物联网信息安全威胁与防护策略实现

摘要：物联网被称为继计算机和互联网之后的第三次信息技术革命，如今早已渗透到人们工作、生活的方方面面。然而物联网的广泛应用难以掩盖所存在的安全威胁，这些源自各种漏洞的威胁会导致生产中断、资产损失和生活困扰，因此本文分析了物联网信息安全威胁与需求，阐述了物联网信息安全防护策略及实现方法。

关键词：物联网；信息安全威胁；安全防护策略

狭义上理解，物联网是指物-物互联的网络，即利用信息感知设备（例如射频识别RFID、GPS、激光扫描装置、红外感应装置等）获取物品数据和信息，以互联网为媒介，实现物品的智能识别、定位、跟踪、监控和管理[1]。广义上说，物联网不局限于物-物互联，而是将一切事物数字化、网络化，在物-物之间、人-物之间、人-环境之间实现信息空间与物理空间的充分融合和高效信息交换[2]。物联网的发展和技术更新既带动了经济发展，方便了我们的生活，也存在漏洞、网络攻击、数据安全等亟待解决的多种威胁[3]。因此，本文对物联网信息安全威胁与安全防护策略的实现进行了分析。

1物联网信息安全威胁与安全需求

1.1物联网系统架构

物联网一般采用三层架构：由传感器、RFID等采集数据的设备构成感知层；由信息接入、数据汇聚和核心交换等网络设备构成网络层；由数据分析、计算等管理功能抽象的应用层[4]。三层架构实现了物联网从信息采集、信息传输到信息处理的完整过程，但其面对的信息安全威胁也与三层架构有着密切关系，下面围绕这三层架构进行分析。

1.2物联网常见信息安全威胁

物联网之所以会面对各种安全威胁，主要原因是系统中存在漏洞，攻击者利用这些漏洞进行攻击和非法入侵，而为了达到攻击目的，攻击者常常借助病毒、木马、恶意软件等手段[5]。例如攻击者使用僵尸病毒，通过自动化脚本组合出物联网终端节点用户名和密码，从而篡改设备配置，使之成为僵尸节点。随着越来越多的终端节点设备被破解，庞大的僵尸网络逐渐形成。根据物联网三层结构特点，各层常见信息安全威胁如图1所示。

1.3物联网信息安全需求

根据物联网架构层次特点及威胁来源，信息安全需求主要包括以下几方面：第一，节点安全需求。如图1显示的情况，节点自身易受到各种攻击，譬如物理攻击、恶意注入、篡改假冒等，因而需加强节点防护措施。第二，数据安全需求。数据采集是物联网感知层的主要功能，攻击者通过窃听、篡改、伪造数据方式进行攻击，所以需对采集的数据加以保护。第三，网络安全服务需求。数据传输是网络层的重要功能，为避免网络拥塞和拒绝服务，故有安全服务需求。第四，轻量高效的安全需求。通常，物联网节点设备的计算能力、存储容量、电池电量等有一定限制，不适合运行复杂、能耗高的安全系统，所以轻量化、能耗低、效率高是基本需求。

2物联网信息安全防护策略及实现

2.1物联网信息安全防护策略

第一，感知层安全防护策略。感知层包含各类传感器、RFID、摄像头及多种智能设备，这些设备大小、功能各异，面对的安全威胁也多种多样，故需从硬件、接入、操作系统、应用等多个环节入手，确保硬件安全、接入安全、操作系统安全和应用安全，保证数据不被篡改和未授权获取，防范非法侵入和攻击，保证操作系统升级更新过程安全可控，应用软件行为受到监控。第二，网络层安全防护策略。物联网采用无线局域网、窄带物联网络、蜂窝移动网络、无线自组网络等多种接入技术，面对的安全威胁也复杂多样，需从身份认证、数据完整性保护、数据传输加密操作、网络通信安全感知等方面进行加强，包括引入身份认证机制、强化终端数据完整性保护、禁止明文传输（即加密处理）、跟踪监控通信网络行为等策略。第三，应用层安全防护策略。物联网内会产生海量数据，配置大量服务资源，为避免攻克一点而全网崩溃的局面的出现，应采用去中心管理系统，即分布式数据管理系统，同时配置系统加固、漏洞检测、安全审计等功能，强化安全防护能力。对于采用云计算的应用，为防范各种攻击行为，可采取设置安全基线、自动检测、不定期扫描漏洞和系统更新、数据统计分析、安装防病毒软件等策略，并采取业务分级保护措施。

2.2物联网信息安全防护框架

结合物联网信息安全防护策略，构建应用于多种场景、不同构架层次的防护框架，如图2所示。感知层安全防护的重点是保护终端设备安全，为此根据防护策略需采取多种防护技术，防御攻击者借助僵尸病毒发起攻击是关键环节。网络层安全防护的重心是保障数据传输安全，其中核心是保障通信的安全，保护通信可采取通信加密和认证的方式。应用层安全防护的重点是保护通信服务器安全，为此可采取异常流量监测和通信协议深度包检测的方式，发现异常及时报警，以防范攻击规模扩大。

2.3物联网信息安全防护策略的实现

2.3.1感知层信息安全防护策略的实现感知层内分布着大量节点终端设备，攻击者主要通过端口扫描和暴力破解方式进行攻击，为实现感知层信息安全防护策略，可从加强端口扫描检测和暴力破解检测做起。检测端口扫描可部署入侵检测系统（IDS），其原理是对节点终端设备收集的数据进行分析，从中发现攻击信息，识别攻击行为，进而判断是否存在入侵行为，有则立即采取措施避免攻击扩大。确定入侵行为后向防火墙报警，防火墙实时阻断端口扫描数据包。防御暴力破解攻击可利用防火墙工具，通过限制相关服务的登录次数来防御，因为暴力破解需通过大量尝试获得正确的登录用户名和密码，设置登录失败次数的阈值（例如3次），防火墙就会自动屏蔽攻击者的IP地址。为避免合法用户因输入错误而被防火墙屏蔽，可采取设置白名单的措施。

2.3.2网络层信息安全防护策略的实现网络层信息安全防护可采取通信加密和身份认证策略。现代加密算法有对称加密算法和非对称加密算法之分，前者加密和解密使用同一密钥，后者加密和解密使用不同的密钥。对称加密算法的优点是加解密快速，但用户数量过多时密钥管理负担重，AES、DES或3DES是典型的对称加密算法。非对称加密算法复杂，安全性高，但相对对称加密算法来说加解密速度比较慢，RSA是典型的非对称加密算法。身份认证策略也是基于密码学理论实现的，主要基于数字证书或公钥、身份标识认证，例如基于数字证书的身份认证由发证机构（CA）用私钥对身份信息（用户名、公钥）、证书机构名称、证书有效期进行数字签名，再加上用户身份信息就形成了数字证书。

2.3.3应用层信息安全防护策略的实现应用层信息安全防护主要是检测深度包和监测异常流量。深度包检测是对通信协议进行解析和访问控制，拒绝不符合通信协议及特征异常的数据包。监测通信流量的通信系统，一旦发现异常数据包，即报警处理。

3结语

通常，物联网由感知层、网络层和应用层三层架构组成，各层具有不同的功能与特点，面对的安全威胁也不尽相同。为应对多种安全威胁，提出了物联网节点、数据、网络安全服务、轻量高效等安全需求。针对物联网架构不同层次安全威胁，各层次有其独特的安全防护策略。为实现这些安全防护策略，需构建安全防护框架，并在框架指导下确立各层次安全防护策略的实现方法。

参考文献：

[1]王斌.工业物联网信息安全防护技术研究[D].成都：电子科技大学，2018：1.

[2]骆汉光.面向物联网的轻量级安全协议及关键技术研究[D].成都：电子科技大学，2019：1-4.

[3]杨威超.数据驱动的物联网安全威胁检测与建模[D].郑州：中国人民解放军战略支援部队信息工程大学，2019：1-2.

[4]钮鑫，杨小来.物联网系统安全威胁分析与研究[J].科技通报，2019，35（5）：132-137.

[5]刘化坤，宋兰霞，肖玉月，等.浅析物联网信息安全问题及解决对策[J].电脑知识与技术，2019，15（23）：24-25.

作者：马艳娟 王和宁 单位：国家计算机网络与信息安全管理中心青海分中心