论文部分内容阅读
【摘要】因为物联网的传感网络分布随机、无线网络无处不在,且不能再采取物理隔离等强制手段人为干预信息的交换。因此在发展过程中带来的信息安全、网络安全、数据安全、隐私安全乃至国家安全问题将比传统互联网更为突出,物联网在规模化推广前,安全问题是必须解决的一环。
【关键词】物联网物联网技术安全问题对策
一、引言
2009年以来,物联网相关概念大量在网际和人们的视野中出现。然而,早在1999年,物联网(Internet of things,IOT)的概念就已经被提出了出来,它是指将所有物品通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和管理。物联网把新一代IT技术充分运用在各行各业之中,具体地说,就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将物联网与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以实现更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。
物联网被称为是下一个“万亿元”的产业,它得到了各国政府的高度重视。2009年8月7日,温家宝总理考察中科院无锡高新微纳传感网工程技术研发中心后,指示“尽快建立中国的传感信息中心,或者叫‘感知中国’中心”。当研发中心负责人向总理请教发展传感网的建议时,温家宝沉思片刻说:“至少三件事情可以尽快去做:一是把传感系统和3G中的TD技术结合起来;二是在国家重大科技专项中,加快推进传感网发展;三是尽快建立中国的传感信息中心,或者叫‘感知中国’中心”。“感知中国”概念就是通过“物联网”让所有的物品都与网络连接在一起,方便识别和管理。它是将原本与网络无关,但与我们的生活工作息息相关的万事万物都装上传感器,然后与现有的互联网连接,让人们可以更直接地去控制和管理这些事物,以方便和促进我们的生活、生产乃至整个社会的发展。
我国将物联网列入新兴战略产业,美国政府甚至将其作为重振经济的法宝。然而在乐观看待物联网发展的同时,在其应用中可能出现的信息安全问题也绝不容忽视。除了要在技术层面上对物联网进行可靠的安全防护外,更应该完善相关方面的法律法规和安全管理机制,为物联网的快速发展提供一个有利的环境。
二、物联网面临的安全问题
信息是有价值的,物联网中所包含的丰富信息也不例外。随着物联网为代表的新技术的兴起,信息安全也正告别传统的病毒感染、网络黑客及资源滥用等阶段,迈入一个复杂多元、綜合交互的新时期。基于射频识别技术本身的无线通信特点和物联网所具备的便捷信息获取能力,如果信息安全措施不到位,或者数据管理存在漏洞,物联网就能够使我们所生活的世界“无所遁形”。我们可能会面临黑客、病毒的袭击等威胁,嵌入了射频识别标签的物品还可能不受控制地被跟踪、被定位和被识读,这势必带来对物品持有者个人隐私的侵犯或企业机密泄露等问题,破坏了信息的合法有序使用的要求,可能导致人们的生活、工作完全陷入崩溃,社会秩序混乱,甚至直接威胁到人类的牛命安全。因此,有关部门要吸收互联网发展过程的经验和教训,做到趋利避害,未雨绸缪,尽早研究物联网技术推广应用和物联网产业发展过程中可能遇到或发生的新问题、新情况,制定有关规范物联网发展的法律、政策,通过法律、行政、经济等手段,有效调节物联网技术引发的各种新型社会关系、社会矛盾,规范物联网技术的合法应用,为我国物联网产业的发展提供有效的法律、政策保障,使我国的物联网真正发展成为一个开放、安全、可信任的网络。
在规模化推广前,物联网的安全问题是必须解决的一环。传统的网络中,网络层的安全和业务层的安全是相互独立的,而物联网的特殊安全问题很大一部分是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性,如认证机制、加密机制等,但需要根据物联网的特征对安全机制进行调整和补充。这使得物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题,这些问题主要表现在以下几个方面:
1、物联网是把“双刃剑”,它在推动经济和社会发展的同时,将对国家安全问题提出挑战。因为物联网的核心软硬件领域(如操作系统、数据库、中间件软件、嵌入式软件、集成电路等),如果通过物联网络覆盖电网、油气管道、供水等民生和国家战略,甚至包括军事领域的信息与控制,以现有的信息安全防护体系,难保敏感信息不外泄。一旦遭遇某些信息风险,更可能造成灾难性后果,小到一台计算机、一台发电机,大到一个行业甚至国家经济都会被别人控制。物联网让世界上的万事万物都能参与“互联互通”,不能再采取物理隔离等强制手段来人为地干预信息的交换,对于一个国家或单位而言,也就意味着没有任何秘密可以隐藏。在网络社会里,任何一个人都可以通过一个终端进入网络,物联网中一旦出现敏感信息泄露,将造成巨大的经济损失,危及国家经济安全。如何保证商业机密、地方政府甚至国家的机密不被泄漏已成为一道难题。由于发达国家在技术人才储备、基础设施建设和技术利用上往往占有优势。因此,世界各国的物联网发展并不不平衡,发展中国家在国家安全问题上有更多的忧患。
2、由于物联网在很多场合都需要无线传输,对这种暴露在公开场所之中的信号如果没做合适保护的话,很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。同时,由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器多数部署在无人监控的场景中,攻击者可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件,因而物联网机器的本地安全问题也就显得日趋重要。如射频识别技术被用于物联网系统时,射频识别电子标签将被嵌入任何物品中,比如人们的日常生活用品中,应当确保此类信息的隐私性,防止被非法获取。由于智能传感终端、射频识别电子标签相对于攻击者来说是“裸露”的,且在一定范围内信息是在空中传输的,导致传感器网络中的假冒攻击易实施。它极大地威胁着传感器节点问的协同工作。恶意程序易入侵无线网络环境和传感网络环境,它的传播性、隐蔽性和破坏性等相比TCP/IP网络更加难以防范。如蠕虫这样的恶意代码,本身不需要寄生文件,在物联网环境中检测和清除此类恶意代码将很困难。
3、核心网络的传输与信息安全问题。在物联网中,信息的传输和处理面临现有TCP/IP网络的所有安全问题。同时,由于物联网在感知层所采集的数据格式多样,来自各种各样感知节点的数据是海量的,且是多源异构数据,带来的网络安全问题将更加复杂。物联网的基本构架就是建立一个信息采集网络,然后根据外界要求反馈或接收信息,物联网在很多场合都需要无线传输,对这种暴露在公开场所之中的信号如果没做合适保护的话,很容易被窃取,也更容易被干扰。同时,由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器多数部署在无人监控的场景中,攻击者可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件,因而物联网机器的本地安全问题也就显得日趋重要。核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,而且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。与美国IBM“智慧地球”相比,未来最危险的还是来自于远在云端的联网服务商和失去了国家边界的云服务。以前在安全问题上,更多是考虑多备份,在灾难情况下第一时间断开网络。但未来当机构或企业的信息都存储在网络上,业务也都需要网络才能维系时,一旦面对黑客或是后门,无论断网与否,都必然遭受损失,尤其是这个网络由别人掌控时。
4、RFID系统安全问题。RFID射频识别是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,可识别高速运动物体并可同时识别多个标签,识别工作无需人工干预,操作也非常方便。而针对RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非授权使用。RFID,尤其是被动式的RFID,在目前的安全体系下,除了身份证等高度加密的应用外,绝大多数的RFID信息,被信息采集设备读取并不太难。因此,对于RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非法授权使用。
RFID的安全保护主要依赖于标签信息的加密,但目前的加密机制所提供的保护还能让人完全放心,RFID的加密也并非绝对安全。一个RFID芯片如果设计不良或没有受到保护,还有很多手段可以获取芯片的结构和其中的数据。而且,单纯依赖RFID本身的技术特性也无法满足RFID系统安全要求。例如,2010年2月,美国媒体曾报道,一名西雅图黑客利用廉价的RFID信息采集器,在20分钟内悄然窃取两个美国护照身份资料,而只要将其克隆到空白标签中,该黑客甚至能制造出新的护照。
三、物联网信息安全防范策略
不解决信息安全问题,物联网就无法得到广泛的应用。目前我国物联网的发展还处在初级阶段,关于物联网信息安全的研究还有许多工作要做。根据物联网在信息安全方面的特点及面临的威胁。采取适当的技术防范措施是发展的必然要求。当然,解决物联网的信息安全问题不仅需要技术手段,还需要完善物联网信息安全方面的法律法规及其安全管理机制。以下从法律法规、管理机制和技术手段三个方面给出了相关对策:
1、加强法律法规建设
已经有很多类似的法律法规增加了通过RFID技术损害用户安全与隐私的代价,也为如何防范可能的威胁做出了明确的指导,从一定程度上防止了对RFID安全和隐私的侵犯。例如:2008年9月,美国加利福尼亚州州长施瓦辛格签署了未经标签所有者允许就读取标签上存储的信息是违法行为,除非是为了辅助医疗或者调查犯罪的需要并获得授权的法案;美国华盛顿州也通过法律规定使用RFID恶意监控他人行为属于违法行为;美国国家标准与技术研究院(NIST)也发布了RFID标准导则,要求每个采用RFID技术的个人或者团体都要评判该技术对安全性以及个人隐私的威胁,并采用最好的方法来降低这些威胁等。
安全问题需要从技术和法律上得到解决。物联网的兴起既给人们的生活带来了诸多便利。也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。这一点。从互联网时代的黑客行为可以想象得到它的巨大危害性。物联网应用需重视网络安全,如果不能解决网络的可控、可管和服务质量问题,将会在很大程度上影响物联网的发展。物联网的主干网络必须安全、可靠。这样才能使用户给予其更多的信赖。需要解决恶劣环境和人为因素带来的对数据采集环节和节点间信息传送中的安全性问题。
目前,我国在物联网隐私保护方面还缺乏相关的法律、法规。由于物联网能自动实现对物品的定位和追踪,这可能会致使物品使用者的个人隐私被泄露。因此,要在对物联网的应用可能引发的个人隐私问题进行深入研究的前提下制定相应的法律、法规,保护个人的隐私权。制定的法律至少要确保以下几个方面:首先,消费者应能够知晓哪些信息正在被收集、谁在收集这些信息以及是什么时候被收集的。其次。被收集的个人信息仅能由经授权的服务提供商用作提供相关服务。最后,只有在十分必要的情况下,这些被收集的信息才能被存储起来。除了通过立法来保护人们的隐私权之外,还要提高物联网用户在使用物联网产品时对自身隐私的保护意识。
2、完善物联网安全管理机制
物联网的实现并不仅仅是技术方面的问题,还涉及到规划、管理、协调、合作等方面的问题,涉及标准和安全保护等方面的问题,这就需要有一系列相应的配套政策和规范的制定和完善。例如智能交通、物流,智能电网,其物联网应用的繁荣,除了取决于物联网技术,还取决于政府的公共政策和产业管理模式的变革。如果原先存在于不同利益主体之间的制度壁垒不被消除,这些被物联网数字化的“物”将依然是死物。从闭环应用到开环,从单个节点变成平台运用,还需要政府的支持和鼓励。政府创新公共管理的模式,要打破不同利益主体的制度壁垒,重新构造利益和成本在社会不同主体之间的分配格局。加快制定促进物联网发展的财政、税收、人才、资金方面的政策,為物联网发展创造良好政策环境。
目前监管体系主要存在着管理主体分散,多重多头管理,对重要程度不同的信息网络的管理没有差异、没有标准、缺乏针对性等问题。针对这些问题,要积极采取措施,建立国家层面的安全管理体系,切实提高我国物联网信息安全的保障能力。具体而言:可以强化组织领导,立足于国家层面提升物联网安全防御的组织协调能力;制定物联网信息安全等级,提供有针对性的安全防护;实行动态的监测和分析,增强威胁的发现和预警能力;建立应急处理机制,提高突发事件处理能力;建立多方协同机制,充分发挥各方作用。
3、运用技术手段保护物联网信息安全
(1)加强对感知器与物品设备操作环境的安全控制
物联网应用中的感知器和物品设备操作环境是容易受控制和破坏的终端环节,也是物联网应用最直接的环节,这个环节的环境安全控制对于物联网来说尤为重要。在不断完善感知器自身功能的同时,严格控制感知器的访问权限使一般用户无权更改设置,防止非授权访问。感知器的部署应在防火、防震、温湿度、防雷、防静电等方面按照相应标准进行,确保感知器的物理安全。环境安全控制还可以通过设置安全保卫人员、安装视频监控、报警装置等来完成。如果有条件的话,加装周边防控设施设备,实现全时全景监控将更有助于安全隐患的发现和处理。
(2)加强对物联网信号安全的防护
对传输信息进行加密处理或添加数字水印是解决信号泄露问题的一种方法,在某些重要场合还可以加强授权验证,阻止未授权的阅读器读取信息。加密算法和授权验证要适应单个节点的信息处理能力、存储能力和能量有限的特点。当泄密不可避免,要通过授权验证发现泄密的标签,并发出警告或使标签失效。同时,发射大量的干扰信号,将产生大量重复访问请求,会导致有源标签耗尽能量或网关型汇聚节点被信息淹没、堵塞,使感知层工作失效。因此,对节点大量的访问请求行为可设置计数警告或限制。此外,为了防止对物联网信号和数据的侵害和干扰,建立对信号处理和传输的全过程跟踪,通过对采集数据的合法性、输人数据的有效性和业务处理的正确性进行确认,随时审查验证处理的可靠性,加强安全审计,确保信号处理和传输过程中安全性。
(3)加强对物联网信息交换节点的防护
信息交换节点是物联网中的重要环节,确保节点的合法性和有效性是获取可靠数据的基础。我们可以一方面加强节点和汇聚节点之间以及节点和网络之间的认证来确认节点合法性;另一方面,可以引入相邻节点作为第三方认证排除非法节点,并对节点存储设备进行数据校验来发现非法设备。同时,网络对节点的主动发起大量访问要做限制防止进行拒绝服务攻击。敏感场合,节点要设置封锁或自毁程序,发现节点离开特定应用和场所,启动封锁或自毁,使攻击者无法完成对节点的分析。
(4)加强对数据传送的安全防护
数据在传输过程中可能会遭到黑客的攻击,可以利用云计算技术收集全球黑客攻击节点地址、主控机等信息,在互联网中共享这些信息,全球的ASA、防火墙等都实时的同步这些库,可以防止一些网络攻击、感染木马病毒等,实施IPS联防。增加或改进路由安全机制,安全的路由要适应物联网的动态性、资源有限性,主要从下面两个途径考虑路由的安全:一是采用点对点加密、路由信息认证、入侵检测等途径来对抗假冒路由;二是利用冗余性提供多条路由路径,提高系统的检错和容错能力。并在数据传输过程中采用适当的加密机制,根据不同的业务需求进行分级保护策略,从而实现根据不同的业务安全保护要求实现可定制的安全保护。
四、结语
当前,中国物联网的发展还在初级阶段,关于物联网的安全机制基本还处于概念阶段,研究工作任重而道远。但是,与传统网络相比,物联网发展带来的信息安全、网络安全、数据安全乃至国家安全问题更为严峻,更为突出。因此,物联网的发展必须把安全放在首位,超前研究和解决产业发展可能带来的安全问题。加强法律法规、管理机制和技术手段建设,提高自主防范能力。以便在新的技术革命和社会变革中掌握更多的话语权和主动权。
参考文献
[1]武明虎,张宇.试论物联网引入带来的机遇与挑战.信息技术,2010年第5期.
[2]李如年.基于RFID技术的物联网研究.中国电子科学研究院学报,2009年第4期.
[3]臧劲松.物联网安全性能分析.计算机安全,2010年第6期.
【关键词】物联网物联网技术安全问题对策
一、引言
2009年以来,物联网相关概念大量在网际和人们的视野中出现。然而,早在1999年,物联网(Internet of things,IOT)的概念就已经被提出了出来,它是指将所有物品通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和管理。物联网把新一代IT技术充分运用在各行各业之中,具体地说,就是把感应器嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将物联网与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以实现更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。
物联网被称为是下一个“万亿元”的产业,它得到了各国政府的高度重视。2009年8月7日,温家宝总理考察中科院无锡高新微纳传感网工程技术研发中心后,指示“尽快建立中国的传感信息中心,或者叫‘感知中国’中心”。当研发中心负责人向总理请教发展传感网的建议时,温家宝沉思片刻说:“至少三件事情可以尽快去做:一是把传感系统和3G中的TD技术结合起来;二是在国家重大科技专项中,加快推进传感网发展;三是尽快建立中国的传感信息中心,或者叫‘感知中国’中心”。“感知中国”概念就是通过“物联网”让所有的物品都与网络连接在一起,方便识别和管理。它是将原本与网络无关,但与我们的生活工作息息相关的万事万物都装上传感器,然后与现有的互联网连接,让人们可以更直接地去控制和管理这些事物,以方便和促进我们的生活、生产乃至整个社会的发展。
我国将物联网列入新兴战略产业,美国政府甚至将其作为重振经济的法宝。然而在乐观看待物联网发展的同时,在其应用中可能出现的信息安全问题也绝不容忽视。除了要在技术层面上对物联网进行可靠的安全防护外,更应该完善相关方面的法律法规和安全管理机制,为物联网的快速发展提供一个有利的环境。
二、物联网面临的安全问题
信息是有价值的,物联网中所包含的丰富信息也不例外。随着物联网为代表的新技术的兴起,信息安全也正告别传统的病毒感染、网络黑客及资源滥用等阶段,迈入一个复杂多元、綜合交互的新时期。基于射频识别技术本身的无线通信特点和物联网所具备的便捷信息获取能力,如果信息安全措施不到位,或者数据管理存在漏洞,物联网就能够使我们所生活的世界“无所遁形”。我们可能会面临黑客、病毒的袭击等威胁,嵌入了射频识别标签的物品还可能不受控制地被跟踪、被定位和被识读,这势必带来对物品持有者个人隐私的侵犯或企业机密泄露等问题,破坏了信息的合法有序使用的要求,可能导致人们的生活、工作完全陷入崩溃,社会秩序混乱,甚至直接威胁到人类的牛命安全。因此,有关部门要吸收互联网发展过程的经验和教训,做到趋利避害,未雨绸缪,尽早研究物联网技术推广应用和物联网产业发展过程中可能遇到或发生的新问题、新情况,制定有关规范物联网发展的法律、政策,通过法律、行政、经济等手段,有效调节物联网技术引发的各种新型社会关系、社会矛盾,规范物联网技术的合法应用,为我国物联网产业的发展提供有效的法律、政策保障,使我国的物联网真正发展成为一个开放、安全、可信任的网络。
在规模化推广前,物联网的安全问题是必须解决的一环。传统的网络中,网络层的安全和业务层的安全是相互独立的,而物联网的特殊安全问题很大一部分是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性,如认证机制、加密机制等,但需要根据物联网的特征对安全机制进行调整和补充。这使得物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题,这些问题主要表现在以下几个方面:
1、物联网是把“双刃剑”,它在推动经济和社会发展的同时,将对国家安全问题提出挑战。因为物联网的核心软硬件领域(如操作系统、数据库、中间件软件、嵌入式软件、集成电路等),如果通过物联网络覆盖电网、油气管道、供水等民生和国家战略,甚至包括军事领域的信息与控制,以现有的信息安全防护体系,难保敏感信息不外泄。一旦遭遇某些信息风险,更可能造成灾难性后果,小到一台计算机、一台发电机,大到一个行业甚至国家经济都会被别人控制。物联网让世界上的万事万物都能参与“互联互通”,不能再采取物理隔离等强制手段来人为地干预信息的交换,对于一个国家或单位而言,也就意味着没有任何秘密可以隐藏。在网络社会里,任何一个人都可以通过一个终端进入网络,物联网中一旦出现敏感信息泄露,将造成巨大的经济损失,危及国家经济安全。如何保证商业机密、地方政府甚至国家的机密不被泄漏已成为一道难题。由于发达国家在技术人才储备、基础设施建设和技术利用上往往占有优势。因此,世界各国的物联网发展并不不平衡,发展中国家在国家安全问题上有更多的忧患。
2、由于物联网在很多场合都需要无线传输,对这种暴露在公开场所之中的信号如果没做合适保护的话,很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。同时,由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器多数部署在无人监控的场景中,攻击者可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件,因而物联网机器的本地安全问题也就显得日趋重要。如射频识别技术被用于物联网系统时,射频识别电子标签将被嵌入任何物品中,比如人们的日常生活用品中,应当确保此类信息的隐私性,防止被非法获取。由于智能传感终端、射频识别电子标签相对于攻击者来说是“裸露”的,且在一定范围内信息是在空中传输的,导致传感器网络中的假冒攻击易实施。它极大地威胁着传感器节点问的协同工作。恶意程序易入侵无线网络环境和传感网络环境,它的传播性、隐蔽性和破坏性等相比TCP/IP网络更加难以防范。如蠕虫这样的恶意代码,本身不需要寄生文件,在物联网环境中检测和清除此类恶意代码将很困难。
3、核心网络的传输与信息安全问题。在物联网中,信息的传输和处理面临现有TCP/IP网络的所有安全问题。同时,由于物联网在感知层所采集的数据格式多样,来自各种各样感知节点的数据是海量的,且是多源异构数据,带来的网络安全问题将更加复杂。物联网的基本构架就是建立一个信息采集网络,然后根据外界要求反馈或接收信息,物联网在很多场合都需要无线传输,对这种暴露在公开场所之中的信号如果没做合适保护的话,很容易被窃取,也更容易被干扰。同时,由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器多数部署在无人监控的场景中,攻击者可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件,因而物联网机器的本地安全问题也就显得日趋重要。核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,而且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。与美国IBM“智慧地球”相比,未来最危险的还是来自于远在云端的联网服务商和失去了国家边界的云服务。以前在安全问题上,更多是考虑多备份,在灾难情况下第一时间断开网络。但未来当机构或企业的信息都存储在网络上,业务也都需要网络才能维系时,一旦面对黑客或是后门,无论断网与否,都必然遭受损失,尤其是这个网络由别人掌控时。
4、RFID系统安全问题。RFID射频识别是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,可识别高速运动物体并可同时识别多个标签,识别工作无需人工干预,操作也非常方便。而针对RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非授权使用。RFID,尤其是被动式的RFID,在目前的安全体系下,除了身份证等高度加密的应用外,绝大多数的RFID信息,被信息采集设备读取并不太难。因此,对于RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非法授权使用。
RFID的安全保护主要依赖于标签信息的加密,但目前的加密机制所提供的保护还能让人完全放心,RFID的加密也并非绝对安全。一个RFID芯片如果设计不良或没有受到保护,还有很多手段可以获取芯片的结构和其中的数据。而且,单纯依赖RFID本身的技术特性也无法满足RFID系统安全要求。例如,2010年2月,美国媒体曾报道,一名西雅图黑客利用廉价的RFID信息采集器,在20分钟内悄然窃取两个美国护照身份资料,而只要将其克隆到空白标签中,该黑客甚至能制造出新的护照。
三、物联网信息安全防范策略
不解决信息安全问题,物联网就无法得到广泛的应用。目前我国物联网的发展还处在初级阶段,关于物联网信息安全的研究还有许多工作要做。根据物联网在信息安全方面的特点及面临的威胁。采取适当的技术防范措施是发展的必然要求。当然,解决物联网的信息安全问题不仅需要技术手段,还需要完善物联网信息安全方面的法律法规及其安全管理机制。以下从法律法规、管理机制和技术手段三个方面给出了相关对策:
1、加强法律法规建设
已经有很多类似的法律法规增加了通过RFID技术损害用户安全与隐私的代价,也为如何防范可能的威胁做出了明确的指导,从一定程度上防止了对RFID安全和隐私的侵犯。例如:2008年9月,美国加利福尼亚州州长施瓦辛格签署了未经标签所有者允许就读取标签上存储的信息是违法行为,除非是为了辅助医疗或者调查犯罪的需要并获得授权的法案;美国华盛顿州也通过法律规定使用RFID恶意监控他人行为属于违法行为;美国国家标准与技术研究院(NIST)也发布了RFID标准导则,要求每个采用RFID技术的个人或者团体都要评判该技术对安全性以及个人隐私的威胁,并采用最好的方法来降低这些威胁等。
安全问题需要从技术和法律上得到解决。物联网的兴起既给人们的生活带来了诸多便利。也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。这一点。从互联网时代的黑客行为可以想象得到它的巨大危害性。物联网应用需重视网络安全,如果不能解决网络的可控、可管和服务质量问题,将会在很大程度上影响物联网的发展。物联网的主干网络必须安全、可靠。这样才能使用户给予其更多的信赖。需要解决恶劣环境和人为因素带来的对数据采集环节和节点间信息传送中的安全性问题。
目前,我国在物联网隐私保护方面还缺乏相关的法律、法规。由于物联网能自动实现对物品的定位和追踪,这可能会致使物品使用者的个人隐私被泄露。因此,要在对物联网的应用可能引发的个人隐私问题进行深入研究的前提下制定相应的法律、法规,保护个人的隐私权。制定的法律至少要确保以下几个方面:首先,消费者应能够知晓哪些信息正在被收集、谁在收集这些信息以及是什么时候被收集的。其次。被收集的个人信息仅能由经授权的服务提供商用作提供相关服务。最后,只有在十分必要的情况下,这些被收集的信息才能被存储起来。除了通过立法来保护人们的隐私权之外,还要提高物联网用户在使用物联网产品时对自身隐私的保护意识。
2、完善物联网安全管理机制
物联网的实现并不仅仅是技术方面的问题,还涉及到规划、管理、协调、合作等方面的问题,涉及标准和安全保护等方面的问题,这就需要有一系列相应的配套政策和规范的制定和完善。例如智能交通、物流,智能电网,其物联网应用的繁荣,除了取决于物联网技术,还取决于政府的公共政策和产业管理模式的变革。如果原先存在于不同利益主体之间的制度壁垒不被消除,这些被物联网数字化的“物”将依然是死物。从闭环应用到开环,从单个节点变成平台运用,还需要政府的支持和鼓励。政府创新公共管理的模式,要打破不同利益主体的制度壁垒,重新构造利益和成本在社会不同主体之间的分配格局。加快制定促进物联网发展的财政、税收、人才、资金方面的政策,為物联网发展创造良好政策环境。
目前监管体系主要存在着管理主体分散,多重多头管理,对重要程度不同的信息网络的管理没有差异、没有标准、缺乏针对性等问题。针对这些问题,要积极采取措施,建立国家层面的安全管理体系,切实提高我国物联网信息安全的保障能力。具体而言:可以强化组织领导,立足于国家层面提升物联网安全防御的组织协调能力;制定物联网信息安全等级,提供有针对性的安全防护;实行动态的监测和分析,增强威胁的发现和预警能力;建立应急处理机制,提高突发事件处理能力;建立多方协同机制,充分发挥各方作用。
3、运用技术手段保护物联网信息安全
(1)加强对感知器与物品设备操作环境的安全控制
物联网应用中的感知器和物品设备操作环境是容易受控制和破坏的终端环节,也是物联网应用最直接的环节,这个环节的环境安全控制对于物联网来说尤为重要。在不断完善感知器自身功能的同时,严格控制感知器的访问权限使一般用户无权更改设置,防止非授权访问。感知器的部署应在防火、防震、温湿度、防雷、防静电等方面按照相应标准进行,确保感知器的物理安全。环境安全控制还可以通过设置安全保卫人员、安装视频监控、报警装置等来完成。如果有条件的话,加装周边防控设施设备,实现全时全景监控将更有助于安全隐患的发现和处理。
(2)加强对物联网信号安全的防护
对传输信息进行加密处理或添加数字水印是解决信号泄露问题的一种方法,在某些重要场合还可以加强授权验证,阻止未授权的阅读器读取信息。加密算法和授权验证要适应单个节点的信息处理能力、存储能力和能量有限的特点。当泄密不可避免,要通过授权验证发现泄密的标签,并发出警告或使标签失效。同时,发射大量的干扰信号,将产生大量重复访问请求,会导致有源标签耗尽能量或网关型汇聚节点被信息淹没、堵塞,使感知层工作失效。因此,对节点大量的访问请求行为可设置计数警告或限制。此外,为了防止对物联网信号和数据的侵害和干扰,建立对信号处理和传输的全过程跟踪,通过对采集数据的合法性、输人数据的有效性和业务处理的正确性进行确认,随时审查验证处理的可靠性,加强安全审计,确保信号处理和传输过程中安全性。
(3)加强对物联网信息交换节点的防护
信息交换节点是物联网中的重要环节,确保节点的合法性和有效性是获取可靠数据的基础。我们可以一方面加强节点和汇聚节点之间以及节点和网络之间的认证来确认节点合法性;另一方面,可以引入相邻节点作为第三方认证排除非法节点,并对节点存储设备进行数据校验来发现非法设备。同时,网络对节点的主动发起大量访问要做限制防止进行拒绝服务攻击。敏感场合,节点要设置封锁或自毁程序,发现节点离开特定应用和场所,启动封锁或自毁,使攻击者无法完成对节点的分析。
(4)加强对数据传送的安全防护
数据在传输过程中可能会遭到黑客的攻击,可以利用云计算技术收集全球黑客攻击节点地址、主控机等信息,在互联网中共享这些信息,全球的ASA、防火墙等都实时的同步这些库,可以防止一些网络攻击、感染木马病毒等,实施IPS联防。增加或改进路由安全机制,安全的路由要适应物联网的动态性、资源有限性,主要从下面两个途径考虑路由的安全:一是采用点对点加密、路由信息认证、入侵检测等途径来对抗假冒路由;二是利用冗余性提供多条路由路径,提高系统的检错和容错能力。并在数据传输过程中采用适当的加密机制,根据不同的业务需求进行分级保护策略,从而实现根据不同的业务安全保护要求实现可定制的安全保护。
四、结语
当前,中国物联网的发展还在初级阶段,关于物联网的安全机制基本还处于概念阶段,研究工作任重而道远。但是,与传统网络相比,物联网发展带来的信息安全、网络安全、数据安全乃至国家安全问题更为严峻,更为突出。因此,物联网的发展必须把安全放在首位,超前研究和解决产业发展可能带来的安全问题。加强法律法规、管理机制和技术手段建设,提高自主防范能力。以便在新的技术革命和社会变革中掌握更多的话语权和主动权。
参考文献
[1]武明虎,张宇.试论物联网引入带来的机遇与挑战.信息技术,2010年第5期.
[2]李如年.基于RFID技术的物联网研究.中国电子科学研究院学报,2009年第4期.
[3]臧劲松.物联网安全性能分析.计算机安全,2010年第6期.