物联网感知层和传输层的安全问题
物联网作为一个多网的异构融合网络,不仅存在与传感器网络、移动通信网络和因特网同样的安全问题[4],同时在隐私保护问题、异构网络的认证与访问控制问题、信息的安全存储与管理等问题上还有其自身的安全特点。
物联网相较于传统网络,其感知层的感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,并且由于物联网是在现有的网络基础上扩展了感知网络和应用平台,物联网应用比一般的网络系统更易受侵扰,传统网络安全措施不足以提供可靠的安全保障,从而使得物联网的安全问题具有特殊性,其安全问题更复杂。
如Skimming问题[5]:在末端设备或RFID持卡人不知情的情况下,信息被读取;Eavesdropping问题:在一个通道的中间,信息被中途截取;Spoofing问题:伪造复制设备数据,冒名输入到系统中;Cloning问题:克隆末端设备,冒名顶替;Killing问题:损坏或盗走末端设备;Jamming问题:伪造数据造成设备阻塞不可用;Shielding问题:用机械手段屏蔽电信号,让末端无法连接等。
所以在解决物联网安全问题时候,必须根据物联网本身的特点研究设计相应的安全机制。
以下分析物联网感知层和传输层的安全问题。
1.1 物联网感知层的安全问题
物联网感知层主要解决对物理世界的数据获取的问题,以达到对数据全面感知的目的。
目前研究有小范围示范应用的是基于RFID的物联网和基于WSN(无线传感器网络)的物联网。
(1)基于RFID的物联网感知层的安全威胁
RFID是物联网感知层常用的技术之一,针对RFID的安全威胁主要有:
1)物理攻击:主要针对节点本身进行物理上的破坏行为,导致信息泄露、恶意追踪等;
2)信道阻塞:攻击者通过长时间占据信道导致合法通信无法传输;
3)伪造攻击:伪造电子标签产生系统认可的合法用户标签;
4)假冒攻击:在射频通信网络中,攻击者截获一个合法用户的身份信息后,利用这个身份信息来假冒该合法用户的身份入网;
5)复制攻击:通过复制他人的电子标签信息,多次顶替别人使用;
6)重放攻击:攻击者通过某种方法将用户的某次使用过程或身份验证记录重放或将窃听到的有效信息经过一段时间以后再传给信息的接收者,骗取系统的信任,达到其攻击的目的;
7)信息篡改:攻击者将窃听到的信息进行修改之后再将信息传给接收者。
8)安全隐私泄露:RFID标签被嵌入任何物品中,比如人们的日常生活用品中,而用品的拥有者不一定能觉察,从而导致用品的拥有者不受控制地被扫描、定位和追踪,这不仅涉及到技术问题,而且还将涉及到法律问题。
(2)基于WSN的物联网感知层的安全威胁
无线传感网的感知层具有以下的特征:感知单元功能受限、特别是无线传感元器件;感知单元通常以群体为单元与外界网络连接,连接节点成为网关节点(sink或gateway);外界对感知网内部节点的访问需要通过网关节点;节点之间需要认证和数据加密机制;网关节点可以不唯一;特殊传感网可能只有一个传感节点,同时也是网关节点;本身组成局部传感网,传感网通过网关节点与外网连接。
无线传感网感知层的安全威胁包括:
1)传感网的普通节点被敌手屏蔽(影响传感网的可靠性)
①传感网的一个普通节点被敌手捕获,但敌手尚未能破解该节点与相邻内部节点的共享密钥;
②敌手屏蔽该节点,使其功能丧失;
③该攻击的效果等价于破坏攻击或DOS攻击;
④如果多个节点被屏蔽,可能会影响剩余节点的连通性。
2)传感网的普通节点被敌手控制(敌手掌握节点密钥)
①传感网的一个普通节点被敌手捕获,并且敌手破解了该节点与相邻内部节点的共享密钥,包括可能与网关节点的共享密钥;
②途径该节点的所有数据可以被敌手掌握;
③敌手可以伪造数据并将伪造数据传给邻居节点;
④传感网需要通过信任值和行为模型等方法,识别一个节点是否可能被敌手控制,从而将敌手节点隔离。
3)传感网的网关节点被敌手控制(安全性全部丢失)
①传感网的一个网关节点被敌手捕获,并且敌手破解了该节点的密钥,包括
网络端的共享密钥,以及与内部节点的共享密钥,这种情况很少发生;
②所有传输给网关节点的数据可以被敌手掌握;
③敌手可以伪造数据通过该网关节点传给网络侧;
④此时传感网没有任何用途只有制造假冒数据的可能。
如何识别一个传感器网络是否被敌手掌握在某些特殊应用中非常重要。
4)传感网的普通/网关节点受来自网络的DOS攻击
①通常DOS 攻击的目标是网关节点,但如果网关节点能力与传感网内部节点有明显区别,攻击目标也可能是内部某个特殊节点;
②如何识别区分正常访问和攻击数据包是一个技术挑战,因为识别过程本身就可能成为DOS攻击的牺牲品。
5)传感信息窃听
攻击者可轻易的对单个甚至多个通信链路间传输的信息进行窃听,从而分析出传感信息中的敏感数据。
另外,通过传感信息包的窃听,还可以对无线传感器网络中的网络流量进行分析,推导出传感节点的作用等。
6)确认欺骗攻击
一些传感器网络路由算法依赖于潜在的或者明确的链路层确认。
在确认欺骗攻击中,恶意节点窃听发往邻居的分组并欺骗链路层,使得发送者相信一条差的链路是好的或一个已死节点是活着的,而随后在该链路上传输的报文将丢失。
7)虚假路由信息
攻击者通过欺骗、篡改或重发路由信息,可以创建路由循环,引起或抵制网络传输,延长或缩短源路径,形成虚假错误消息,分割网络,增加端到端的延迟,耗尽关键节点能源等。
8)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。
1.2 传输层的安全问题
物联网传输层主要通过移动通信网、互联网、专业网(如国家电力数据网、广播电视网)、小型局域网及三网融合通信平台(跨越单一网络架构)等网络对数据进行传输。
物联网的特点之一是存在海量节点和海量数据,这就必然会对传输层的安全提出更高要求。
虽然目前的核心网络具有相对完整的安全措施,但是当面临海量、集群方式存在的物联网节点的数据传输需求时,很容易导致核心网
络拥塞,产生拒绝服务。
另外由于在物联网传输层存在不同架构的网络需要相互连通,因此传输层将面临异构网络跨网认证等安全问题,容易遭受攻击。
物联网传输层的安全威胁包括:
(1)垃圾数据传播(垃圾邮件、病毒等);
(2)中间人攻击、假冒攻击、异步攻击、合谋攻击等;
(3)DDOS攻击,来源于互联网,可扩展到移动和无线网;
(4)跨异构网络的攻击;
(5)新型针对三网融合平台的攻击(未知,待研究探索)。
物联网的安全问题成了制约物联网全面发展的重要因素。
在物联网发展的推广应用阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备将会对国家基础、社会和个人信息安全构成新的威胁。
一方面,由于物联网具有网络技术种类上的兼容和业务范围上无限扩展的特点,因此当大到国家电网数据、小到个人健康病历情况都接入到看似无边界的物联网时,可能导致更多的公众个人信息在任何时候、任何地方被非法获取;另一方面,随着国家重要的基础行业和社会关键服务领域如电力、医疗等都依赖于物联网和感知业务,国家基础领域的动态信息可能被窃取,一旦这些信息被国外敌对势力利用,对我国进行恶意攻击,很可能会出现全国范围内的工厂停产、商店停业、交通瘫痪,使整个社会陷入混乱。
这些问题使得物联网安全可上升到国家层面,成为影响国家发展和社会稳定的重要因素之一。
考虑以下研究内容:
(1)轻量级密钥管理关键技术。
研究物联网环境中资源受限单元的密钥管理问题,包括轻量级密钥管理技术和资源非对称(当通信单元之一为资源受限而另一端资源较为丰富时)密钥管理机制,设计适合感知层和传输层的密钥管理方案并给出安全性分析。
(2)隐私信息保护
物联网隐私信息安全的主要问题是信息泄露和用户跟踪。
信息泄露的一般解决方法就是在RFID标签上仅仅保存一个ID,而将真正意义的信息存放在后台数据库中,必须通过ID来提取。
但是这无法解决跟踪的实质问题,用户跟踪问题
比较复杂,我们将重点研究采用适当的ID更新机制以及在物联网对象名解析服务查询时的匿名认证机制。
(3)感知层认证机制
认证安全与隐私安全相比较,受到的重视程度比较少。
很多RFID安全协议都忽略了认证安全的重要性,许多RFID芯片都无法抵抗伪造攻击。
成功克隆目标芯片只需要简单的阅读目标芯片,以后再重放就可以得到结果。
我们将重点研究RFID读写器和标签之间的双向认证机制。
(4)传输层认证机制
包括的端点认证、跨域认证和跨网认证问题,重点研究移动节点的认证技术,并研究基于IMSI(International Mobile Subscriber Identification Number国际移动用户识别码)的跨网认证机制,解决不同无线通信网络所使用的不同AKA (Authentication and Key Agreement,认证与密钥协商协议)机制对跨网认证带来的问题。
更进一步的研究是争取在三网融合后的认证性、机密性、完整性、隐私性等安全问题,以及基于数据挖掘和融合推理的物联网安全态势感知技术等方面展开初步探索。
(5)传输层的数据机密性、数据完整性保护机制
传输层数据机密性要保证被传输的数据在传输过程中不泄露其内容,数据完整性要保证被传输数据在传输过程中不被非法篡改,或篡改容易被检测到。
