《【9A文】物联网安全架构初探-武传坤》由会员分享,可在线阅读,更多相关《【9A文】物联网安全架构初探-武传坤(11页珍藏版)》请在金锄头文库上搜索。
1、【MeiWei_81重点借鉴文档】物联网安全架构初探武传坤中国科学院软件研究所信息安全国家重点实验室物联网是信息技术发展到一定阶段的产物,是全球信息产业的又一次科技与经济浪潮,将影响到许多重大技术创新和产业的发展,受到各国政府、企业和科研机构的高度重视。同时,物联网的信息安全问题是关系物联网产业能否安全可持续发展的核心技术之一,必需引起高度重视。因此如何建立合理的物联网安全架构和安全体系将对物联网的安全使用和可持续发展有着重大影响。本文试图从不同层次分析物联网的安全需求,搭建物联网的安全架构体系,希望为物联网可靠的信息安全系统提供理论参考依据。物联网应具备三个特征:一是全面感知;二是可靠传递;
2、三是智能处理。尽管对物联网概念还有其他一些不同的描述,但内涵基本相同。因此我们在分析物联网的安全性时,也相应地将其分为三个逻辑层,即感知层,传输层和处理层。除此之外,在物联网的综合应用方面还应该有一个应用层,它是对智能处理后的信息的利用。在某些框架中,尽管智能处理应该与应用层可能被作为同一逻辑层进行处理,但从信息安全的角度考虑,将应用层独立出来更容易建立安全架构。本文试图从不同层次分析物联网对信息安全的需求和如何建立安全架构。其实,对物联网的几个逻辑层,目前已经有许多针对性的密码技术手段和解决方案。但需要说明的是,物联网作为一个应用整体,各个层独立的安全措施简单相加不足以提供可靠的安全保障。而
3、且,物联网与几个逻辑层所对应的基础设施之间还存在许多本质区别。最基本的区别可以从下述几点看到:(1)已有的对传感网(感知层)、互联网(传输层)、移动网(传输层)、安全多方计算、云计算(处理层)等的一些安全解决方案在物联网环境可能不再适用。首先,物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的;其次,物联网所联接的终端设备或器件的处理能力将有很大差异,它们之间可能需要相互作用;再次,物联网所处理的数据量将比现在的互联网和移动网都大得多。(2)即使分别保证感知层、传输层和处理层的安全,也不能保证物联网的安全。这是因为物联网是融几个层于一体的大系统,许多安全问题来源于系统整合;物联
4、网的数据共享对安全性提出了更高的要求;物联网的应用将对安全提出了新要求,比如隐私保护不属于任一层的安全需求,但却是许多物联网应用的安全需求。鉴于以上诸原因,对物联网的发展需要重新规划并制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施能够不断完善。1感知层的安全需求和安全框架在讨论安全问题之前,首先要了解什么是感知层。感知层的任务是全面感知外界信息,或者说是原始信息收集器。该层的典型设备包括RFID装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、全球定位系统(GPS)、激光扫描仪等。这些设备收集的信息通常具有明确的应用目的,因此传统上这些信息直接
5、被处理并应用,如公路摄像头捕捉的图像信息直接用于交通监控。但是在物联网应用中,多种类型的感知信息可能会同时处理,综合利用,甚至不同感应信息的结果将影响其他控制调节行为,如湿度的感应结果可能会影响到温度或光照控制的调节。同时,物联网应用强调的是信息共享,这是物联网区别于传感网的最大特点之一。比如交通监控录像信息可能还同时被用于公安侦破、城市改造规划设计、城市环境监测等。于是,如何处理这些感知信息将直接影响到信息的有效应用。为了使同样的信息被不同应用领域有效使用,应该有综合处理平台,这就是物联网的智能处理层,因此这些感知信息需要传输到一个处理平台。在考虑感知信息进入传输层之前,我们把传感网络本身(
6、包括上述各种感知器件构成的网络)看作感知的部分。感知信息要通过一个或多个与外界网连接的传感节点,称之为网关节点(sink或gatewaR),所有与传感网内部节点的通信都需要经过网关节点与外界联系,因此在物联网的传感层,我们只需要考虑传感网本身的安全性即可。1.1感知层的安全挑战和安全需求感知层可能遇到的安全挑战包括下列情况:(1)传感网的网关节点被敌手控制安全性全部丢失;(2)传感网的普通节点被敌手控制(敌手掌握节点密钥);(3)传感网的普通节点被敌手捕获(但由于没有得到节点密钥,而没有被控制);(4)传感网的节点(普通节点或网关节点)受来自于网络的DOS攻击;(5)接入到物联网的超大量传感节
7、点的标识、识别、认证和控制问题。敌手捕获网关节点不等于控制该节点,一个传感网的网关节点实际被敌手控制的可能性很小,因为需要掌握该节点的密钥(与传感网内部节点通信的密钥或与远程信息处理平台共享的密钥),而这是很困难的。如果敌手掌握了一个网关节点与传感网内部节点的共享密钥,那么他就可以控制传感网的网关节点,并由此获得通过该网关节点传出的所有信息。但如果敌手不知道该网关节点与远程信息处理平台的共享密钥,那么他不能篡改发送的信息,只能阻止部分或全部信息的发送,但这样容易被远程信息处理平台觉察到。因此,若能识别一个被敌手控制的传感网,便可以降低甚至避免由敌手控制的传感网传来的虚假信息所造成的损失。传感网
8、遇到比较普遍的情况是某些普通网络节点被敌手控制而发起的攻击,传感网与这些普通节点交互的所有信息都被敌手获取。敌手的目的可能不仅仅是被动窃听,还通过所控制的网络节点传输一些错误数据。因此,传感网的安全需求应包括对恶意节点行为的判断和对这些节点的阻断,以及在阻断一些恶意节点(假定这些被阻断的节点分布是随机的)后,网络的连通性如何保障。对传感网络分析(很难说是否为攻击行为,因为有别于主动攻击网络的行为)更为常见的情况是敌手捕获一些网络节点,不需要解析它们的预置密钥或通信密钥(这种解析需要代价和时间),只需要鉴别节点种类,比如检查节点是用于检测温度、湿度还是噪音等。有时候这种分析对敌手是很有用的。因此
9、安全的传感网络应该有保护其工作类型的安全机制。既然传感网最终要接入其他外在网络,包括互联网,那么就难免受到来自外在网络的攻击。目前能预期到的主要攻击除了非法访问外,应该是拒绝服务(DOS)攻击了。因为传感网节点的通常资源(计算和通信能力)有限,所以对抗DOS攻击的能力比较脆弱,在互联网环境里不被识别为DOS攻击的访问就可能使传感网瘫痪,因此,传感网的安全应该包括节点抗DOS攻击的能力。考虑到外部访问可能直接针对传感网内部的某个节点(如远程控制启动或关闭红外装置),而传感网内部普通节点的资源一般比网关节点更小,因此,网络抗DOS攻击的能力应包括网关节点和普通节点两种情况。传感网接入互联网或其他类
10、型网络所带来的问题不仅仅是传感网如何对抗外来攻击的问题,更重要的是如何与外部设备相互认证的问题,而认证过程又需要特别考虑传感网资源的有限性,因此认证机制需要的计算和通信代价都必须尽可能小。此外,对外部互联网来说,其所连接的不同传感网的数量可能是一个庞大的数字,如何区分这些传感网及其内部节点,有效地识别它们,是安全机制能够建立的前提。针对上述的挑战,感知层的安全需求可以总结为如下几点:(1)机密性:多数传感网内部不需要认证和密钥管理,如统一部署的共享一个密钥的传感网。(2)密钥协商:部分传感网内部节点进行数据传输前需要预先协商会话密钥。(3)节点认证:个别传感网(特别当传感数据共享时)需要节点认
11、证,确保非法节点不能接入。(4)信誉评估:一些重要传感网需要对可能被敌手控制的节点行为进行评估,以降低敌手入侵后的危害(某种程度上相当于入侵检测)。(5)安全路由:几乎所有传感网内部都需要不同的安全路由技术。1.2感知层的安全架构了解了传感网的安全威胁,就容易建立合理的安全架构。在传感网内部,需要有效的密钥管理机制,用于保障传感网内部通信的安全。传感网内部的安全路由、联通性解决方案等都可以相对独立地使用。由于传感网类型的多样性,很难统一要求有哪些安全服务,但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥,而认证性可以通过对称密码或非对称密码方案解决。使用对称密码的认证方案需要
12、预置节点间的共享密钥5,在效率上也比较高,消耗网络节点的资源较少,许多传感网都选用此方案;而使用非对称密码技术的传感网一般具有较好的计算和通信能力,并且对安全性要求更高。在认证的基础上完成密钥协商是建立会话密钥的必要步骤。安全路由和入侵检测等也是传感网应具有的性能。由于传感网的安全一般不涉及其他网路的安全,因此是相对较独立的问题,有些已有的安全解决方案在物联网环境中也同样适用。但由于物联网环境中传感网遭受外部攻击的机会增大,因此用于独立传感网的传统安全解决方案需要提升安全等级后才能使用,也就是说在安全的要求上更高,这仅仅是量的要求,没有质的变化。相应地,传感网的安全需求所涉及的密码技术包括轻量
13、级密码算法、轻量级密码协议、可设定安全等级的密码技术等。2传输层的安全需求和安全框架物联网的传输层主要用于把感知层收集到的信息安全可靠地传输到信息处理层,然后根据不同的应用需求进行信息处理,即传输层主要是网络基础设施,包括互联网、移动网和一些专业网(如国家电力专用网、广播电视网)等。在信息传输过程中,可能经过一个或多个不同架构的网络进行信息交接。例如,普通电话座机与手机之间的通话就是一个典型的跨网络架构的信息传输实例。在信息传输过程中跨网络传输是很正常的,在物联网环境中这一现象更突出,而且很可能在正常而普通的事件中产生信息安全隐患。2.1传输层的安全挑战和安全需求网络环境目前遇到前所未有的安全
14、挑战,而物联网传输层所处的网络环境也存在安全挑战,甚至是更高的挑战。同时,由于不同架构的网络需要相互连通,因此在跨网络架构的安全认证等方面会面临更大挑战。初步分析认为,物联网传输层将会遇到下列安全挑战。(1)DOS攻击、DDOS攻击;(2)假冒攻击、中间人攻击等;(3)跨异构网络的网络攻击。在物联网发展过程中,目前的互联网或者下一代互联网将是物联网传输层的核心载体,多数信息要经过互联网传输。互联网遇到的DOS和分布式拒绝服务攻击(DDOS)仍然存在,因此需要有更好的防范措施和灾难恢复机制。考虑到物联网所连接的终端设备性能和对网络需求的巨大差异,对网络攻击的防护能力也会有很大差别,因此很难设计通
15、用的安全方案,而应针对不同网络性能和网络需求有不同的防范措施。在传输层,异构网络的信息交换将成为安全性的脆弱点,特别在网络认证方面,难免存在中间人攻击和其他类型的攻击(如异步攻击、合谋攻击等)。这些攻击都需要有更高的安全防护措施。如果仅考虑互联网和移动网以及其他一些专用网络,则物联网传输层对安全的需求可以概括为以下几点:(1)数据机密性:需要保证数据在传输过程中不泄露其内容;(2)数据完整性:需要保证数据在传输过程中不被非法篡改,或非法篡改的数据容易被检测出;(3)数据流机密性:某些应用场景需要对数据流量信息进行保密,目前只能提供有限的数据流机密性;(4)DDOS攻击的检测与预防:DDOS攻击
16、是网络中最常见的攻击现象,在物联网中将会更突出。物联网中需要解决的问题还包括如何对脆弱节点的DDOS攻击进行防护;(5)移动网中认证与密钥协商(AKA)机制的一致性或兼容性、跨域认证和跨网络认证(基于IMSI):不同无线网络所使用的不同AKA机制对跨网认证带来不利。这一问题亟待解决。2.2传输层的安全架构传输层的安全机制可分为端到端机密性和节点到节点机密性。对于端到端机密性,需要建立如下安全机制:端到端认证机制、端到端密钥协商机制、密钥管理机制和机密性算法选取机制等。在这些安全机制中,根据需要可以增加数据完整服务。对于节点到节点机密性,需要节点间的认证和密钥协商协议,这类协议要重点考虑效率因素。机密性算法的选取和数据完整服务则可以根据需求选取或省略。考虑到跨网络架构的安全需求,需要建立不同网络环境的认证衔接机制。另外,根据应用层的不同需求,网络传输模式可能区分为单播通信、组播通信和广播通信,针对不同类型的通信模式也应该有相应的认证机制和机
