物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)物聯(lián)網(wǎng)是通過(guò)射頻識(shí)別(RFID)裝置、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器、傳感器節(jié)點(diǎn)等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)相連接，進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理等功能的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)的核心是完成物體信息的可感、可知、可傳和可控。1.介紹從信息與網(wǎng)絡(luò)安全的角度來(lái)看，物聯(lián)網(wǎng)作為一個(gè)多網(wǎng)的異構(gòu)融合網(wǎng)絡(luò)，不僅存在與傳感器網(wǎng)絡(luò)、移動(dòng)通信網(wǎng)絡(luò)和因特網(wǎng)同樣的安全問(wèn)題，同時(shí)還有其特殊性隱私保護(hù)問(wèn)題異構(gòu)網(wǎng)絡(luò)的認(rèn)證與訪問(wèn)控制問(wèn)題信息的存儲(chǔ)與管理等2.1

物聯(lián)網(wǎng)安全特征一、感知網(wǎng)絡(luò)的信息采集、傳輸與信息安全問(wèn)題感知節(jié)點(diǎn)呈現(xiàn)多源異構(gòu)性感知節(jié)點(diǎn)功能簡(jiǎn)單、攜帶能量少感知網(wǎng)絡(luò)多種多樣二、核心網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)是從人通信的角度進(jìn)行設(shè)計(jì)2.

物聯(lián)網(wǎng)安全特征與架構(gòu)三、物聯(lián)網(wǎng)業(yè)務(wù)的安全問(wèn)題支撐物聯(lián)網(wǎng)業(yè)務(wù)的平臺(tái)有著不同的安全策略大規(guī)模、多平臺(tái)、多業(yè)務(wù)類型使物聯(lián)網(wǎng)業(yè)務(wù)層次的安全面臨新的挑戰(zhàn)也可以從安全的機(jī)密性、完整性和可用性來(lái)分析物聯(lián)網(wǎng)的安全需求信息隱私是物聯(lián)網(wǎng)信息機(jī)密性的直接體現(xiàn)信息的加密是實(shí)現(xiàn)機(jī)密性的重要手段物聯(lián)網(wǎng)的信息完整性和可用性貫穿物聯(lián)網(wǎng)數(shù)據(jù)流的全過(guò)程物聯(lián)網(wǎng)的感知互動(dòng)過(guò)程也要求網(wǎng)絡(luò)具有高度的穩(wěn)定性和可靠性2.2

物聯(lián)網(wǎng)安全架構(gòu)3.1密鑰管理機(jī)制物聯(lián)網(wǎng)密鑰管理系統(tǒng)面臨兩個(gè)主要問(wèn)題：一、如何構(gòu)建一個(gè)貫穿多個(gè)網(wǎng)絡(luò)的統(tǒng)一密鑰管理系統(tǒng)，并與物聯(lián)網(wǎng)的體系結(jié)構(gòu)相適應(yīng)；二、如何解決傳感網(wǎng)的密鑰管理問(wèn)題，如密鑰的分配、更新、組播等問(wèn)題。3.

物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)實(shí)現(xiàn)統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方式：一、以互聯(lián)網(wǎng)為中心的集中式管理方式一旦傳感器網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，通過(guò)密鑰中心與傳感器網(wǎng)絡(luò)匯聚點(diǎn)進(jìn)行交互，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)的密鑰管理二、以各自網(wǎng)絡(luò)為中心的分布式管理方式互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)比較容易解決，但對(duì)多跳通信的邊緣節(jié)點(diǎn)、以及由于簇頭選擇算法和簇頭本身的能量消耗，使傳感網(wǎng)的密鑰管理成為解決問(wèn)題的關(guān)鍵。無(wú)線傳感感器網(wǎng)絡(luò)絡(luò)的密鑰鑰管理系系統(tǒng)的安安全需求求：(1).密鑰生成成或更新新算法的的安全性性(2).前向私密密性(3).后向私密密性和可可擴(kuò)展性性(4).抗同謀攻攻擊(5).源端認(rèn)證證性和新新鮮性根據(jù)這些些要求，，在密鑰鑰管理系系統(tǒng)的實(shí)實(shí)現(xiàn)方法法中，提提出了基于對(duì)對(duì)稱密鑰鑰系統(tǒng)的的方法和和基于非非對(duì)稱密密鑰系統(tǒng)統(tǒng)的方法。在基于對(duì)對(duì)稱密鑰鑰的管理理系統(tǒng)方方面，從從分配方方式上也也可分為以下下三類：：基于密鑰鑰分配中中心方式式預(yù)分配方方式基于分組組分簇方方式典型的解解決方法法有SPINS協(xié)議、基基于密鑰鑰池預(yù)分分配方式式的E-G方法和q-Composite方法、單單密鑰空空間隨機(jī)機(jī)密鑰預(yù)預(yù)分配方法、、多密鑰鑰空間隨隨機(jī)密鑰鑰預(yù)分配配方法、、對(duì)稱多多項(xiàng)式隨機(jī)密鑰鑰預(yù)分配配方法、、基于地地理信息息或部署署信息的的隨機(jī)密鑰預(yù)分分配方法法、低能能耗的密密鑰管理理方法等等。與非對(duì)稱稱密鑰系系統(tǒng)相比比，對(duì)稱稱密鑰系系統(tǒng)在計(jì)計(jì)算復(fù)雜雜度方面具有優(yōu)優(yōu)勢(shì)。但在密鑰鑰管理和和安全性性方面有有不足例如：鄰鄰居節(jié)點(diǎn)點(diǎn)間的認(rèn)認(rèn)證難于于實(shí)現(xiàn)，，節(jié)點(diǎn)的的加入和和退出不夠靈活活等。在物聯(lián)網(wǎng)網(wǎng)環(huán)境下下，如何何實(shí)現(xiàn)與與其他網(wǎng)網(wǎng)絡(luò)的密密鑰管理理系統(tǒng)的融融合？將非對(duì)稱稱密鑰系系統(tǒng)也應(yīng)應(yīng)用于無(wú)無(wú)線傳感感器網(wǎng)絡(luò)絡(luò)：使用TinyOS開(kāi)發(fā)環(huán)境境的MICA2節(jié)點(diǎn)上，，采用RSA算法實(shí)現(xiàn)現(xiàn)傳感器網(wǎng)網(wǎng)絡(luò)外部部節(jié)點(diǎn)的的認(rèn)證以以及TinySec密鑰的分分發(fā)；在MICA2節(jié)點(diǎn)上基基于橢圓圓曲線密密碼ECC(ellipsecurvecryptography)實(shí)現(xiàn)了TinyOS的TinySec密鑰的分分發(fā)；基于輕量量級(jí)ECC的密鑰管管理提出出了改進(jìn)進(jìn)的方案案，特別別是基于于橢圓曲線線密碼體體制作為為公鑰密密碼系統(tǒng)統(tǒng)之一；；非對(duì)稱密密鑰系統(tǒng)統(tǒng)的基于于身份標(biāo)標(biāo)識(shí)的加加密算法法(identity-basedencryption，IBE)引起了人人們的關(guān)關(guān)注3.2數(shù)據(jù)處理理與隱私私性物聯(lián)網(wǎng)應(yīng)應(yīng)用不僅僅面臨信信息采集集的安全全性，也也要考慮慮到信息傳傳送的私私密性，，要求信信息不能能被篡改改和非授授權(quán)用戶使使用，同同時(shí)，還還要考慮慮到網(wǎng)絡(luò)絡(luò)的可靠靠、可信信和安全就傳感網(wǎng)網(wǎng)而言，，在信息息的感知知采集階階段就要要進(jìn)行相相關(guān)的安安全處理對(duì)RFID采集的信信息進(jìn)行行輕量級(jí)級(jí)的加密密處理后后，再傳傳送到匯匯聚節(jié)點(diǎn)關(guān)注對(duì)光光學(xué)標(biāo)簽簽的信息息采集處處理與安安全虛擬光學(xué)學(xué)的加密密解密技技術(shù)：基于軟件件的虛擬擬光學(xué)密密碼系統(tǒng)統(tǒng)由于可可以在光光波的多多個(gè)維度度進(jìn)行信息的加加密處理，，具有比一一般傳統(tǒng)的的對(duì)稱加密密系統(tǒng)有更更高的安全性，，數(shù)學(xué)模型型的建立和和軟件技術(shù)術(shù)的發(fā)展極極大地推動(dòng)動(dòng)了該領(lǐng)域的研研究和應(yīng)用用推廣數(shù)據(jù)處理過(guò)過(guò)程中涉及及到基于位位置的服務(wù)務(wù)與在信息息處理過(guò)程程中的隱私保護(hù)問(wèn)題題基于位置的的服務(wù)是物物聯(lián)網(wǎng)提供供的基本功功能，是定定位、電子子地圖、基于位置的的數(shù)據(jù)挖掘掘和發(fā)現(xiàn)、、自適應(yīng)表表達(dá)等技術(shù)術(shù)的融合定位技術(shù)目目前主要有有：GPS定位基于手機(jī)的的定位無(wú)線傳感網(wǎng)網(wǎng)定位等無(wú)線傳感網(wǎng)網(wǎng)的定位主主要是：射頻識(shí)別、、藍(lán)牙ZigBee等基于位置的的服務(wù)面臨臨嚴(yán)峻的隱隱私保護(hù)問(wèn)問(wèn)題，既是是安全問(wèn)題題，也是法律問(wèn)題基于位置服服務(wù)中的隱隱私內(nèi)容涉涉及兩個(gè)方方面：一、位置隱隱私二、查詢隱隱私面臨一個(gè)困困難的選擇擇，一方面面希望提供供盡可能精精確的位置置服務(wù)，另一方方面又希望望個(gè)人的隱隱私得到保保護(hù)3.3安全路由協(xié)協(xié)議物聯(lián)網(wǎng)的路路由要跨越越多類網(wǎng)絡(luò)絡(luò)，有基于于IP地址的互聯(lián)聯(lián)網(wǎng)路由協(xié)議、、有基于標(biāo)標(biāo)識(shí)的移動(dòng)動(dòng)通信網(wǎng)和和傳感網(wǎng)的的路由算法，因此我我們要至少少解決兩個(gè)個(gè)問(wèn)題一、多網(wǎng)融融合的路由由問(wèn)題；二、傳感網(wǎng)網(wǎng)的路由問(wèn)問(wèn)題。前者可以考考慮將身份份標(biāo)識(shí)映射射成類似的的IP地址，實(shí)現(xiàn)現(xiàn)基于地址的統(tǒng)統(tǒng)一路由體體系；后者者是由于傳傳感網(wǎng)的計(jì)計(jì)算資源的局限性和和易受到攻攻擊的特點(diǎn)點(diǎn)，要設(shè)計(jì)計(jì)抗攻擊的的安全路由算法。無(wú)線傳感器器節(jié)點(diǎn)電量量有限、計(jì)計(jì)算能力有有限、存儲(chǔ)儲(chǔ)容量有限以及部署署野外等特特點(diǎn)，使得得它極易受受到各類攻攻擊抗擊上述攻攻擊可以采采用的方法法針對(duì)無(wú)線傳傳感器網(wǎng)絡(luò)絡(luò)中數(shù)據(jù)傳傳送的特點(diǎn)點(diǎn)，目前已已提出許多較為有效效的路由技技術(shù)。按路路由算法的的實(shí)現(xiàn)方法法劃分，洪泛式路由由，如Gossiping等；以數(shù)據(jù)為中中心的路由由，如DirectedDiffusion，SPIN等；層次式路由由，如LEACH(lowenergyadaptiveclusteringhierarchy)、TEEN(thresholdsensitiveenergyefficientsensornetworkprotocol)等；基于位置信信息的路由由，如GPSR(greedyperimeterstatelessrouting)、GEAR(geographicandenergyawarerouting)等。3.4認(rèn)證與訪問(wèn)問(wèn)控制認(rèn)證指使用用者采用某某種方式來(lái)來(lái)“證明””自己確實(shí)實(shí)是自己宣稱的某人人，網(wǎng)絡(luò)中中的認(rèn)證主主要包括身身份認(rèn)證和和消息認(rèn)證身份認(rèn)證可可以使通信信雙方確信信對(duì)方的身身份并交換換會(huì)話密鑰。認(rèn)證的密鑰鑰交換中兩兩個(gè)重要的的問(wèn)題：保密性及時(shí)性消息認(rèn)證中中主要是接接收方希望望能夠保證證其接收的的消息確實(shí)來(lái)自真正正的發(fā)送方方廣播認(rèn)證是是一種特殊殊的消息認(rèn)認(rèn)證形式，，在廣播認(rèn)認(rèn)證中一方廣播的消消息被多方方認(rèn)證傳統(tǒng)的認(rèn)證證是區(qū)分不不同層次的的，網(wǎng)絡(luò)層層的認(rèn)證就就負(fù)責(zé)網(wǎng)絡(luò)層的身份份鑒別，業(yè)業(yè)務(wù)層的認(rèn)認(rèn)證就負(fù)責(zé)責(zé)業(yè)務(wù)層的的身份鑒別，兩者獨(dú)獨(dú)立存在。。在物聯(lián)網(wǎng)中中，業(yè)務(wù)應(yīng)應(yīng)用與網(wǎng)絡(luò)絡(luò)通信緊緊緊地綁在一一起，認(rèn)證有其特殊殊性物聯(lián)網(wǎng)的業(yè)業(yè)務(wù)由運(yùn)營(yíng)營(yíng)商提供可以充分利利用網(wǎng)絡(luò)層層認(rèn)證的結(jié)結(jié)果而不需需要進(jìn)行業(yè)業(yè)務(wù)層的認(rèn)證當(dāng)業(yè)務(wù)是敏敏感業(yè)務(wù)需要做業(yè)務(wù)務(wù)層的認(rèn)證證當(dāng)業(yè)務(wù)是普普通業(yè)務(wù)網(wǎng)絡(luò)認(rèn)證已已經(jīng)足夠，，那么就不不再需要業(yè)業(yè)務(wù)層的認(rèn)認(rèn)證在物聯(lián)網(wǎng)的的認(rèn)證過(guò)程程中，傳感感網(wǎng)的認(rèn)證證機(jī)制是重重要的研究部分(1)基于輕量級(jí)級(jí)公鑰算法法的認(rèn)證技技術(shù)基于RSA公鑰算法的的TinyPK認(rèn)證方案基于身份標(biāo)標(biāo)識(shí)的認(rèn)證證算法(2)基于預(yù)共享享密鑰的認(rèn)認(rèn)證技術(shù)SNEP方案中提出出兩種配置置方法：一、節(jié)點(diǎn)之之間的共享享密鑰二、每個(gè)節(jié)節(jié)點(diǎn)和基站站之間的共共享密鑰(3)基于單向散散列函數(shù)的的認(rèn)證方法法訪問(wèn)控制是是對(duì)用戶合合法使用資資源的認(rèn)證證和控制，，目前信息系統(tǒng)的訪訪問(wèn)控制主主要是基于于角色的訪訪問(wèn)控制機(jī)機(jī)制(role-basedaccesscontrol，RBAC)及其擴(kuò)展模模型對(duì)物聯(lián)網(wǎng)而而言，末端端是感知網(wǎng)網(wǎng)絡(luò)，可能能是一個(gè)感感知節(jié)點(diǎn)或一個(gè)物體體，采用用用戶角色的的形式進(jìn)行行資源的控控制顯得不夠靈活(1)基于角色的的訪問(wèn)控制制在分布式式的網(wǎng)絡(luò)環(huán)環(huán)境中已呈呈現(xiàn)出不相適應(yīng)應(yīng)的地方(2)節(jié)點(diǎn)不是用用戶，是各各類傳感器器或其他設(shè)設(shè)備，且種種類繁多(3)物聯(lián)網(wǎng)表現(xiàn)現(xiàn)的是信息息的感知互互動(dòng)過(guò)程，，而RBAC機(jī)制中一旦用戶被被指定為某某種角色，，其可訪問(wèn)問(wèn)資源就相相對(duì)固定新的訪問(wèn)控控制機(jī)制是是物聯(lián)網(wǎng)、、也是互聯(lián)聯(lián)網(wǎng)值得研研究的問(wèn)題題基于屬性的的訪問(wèn)控制制(attribute-basedaccesscontrol，ABAC)是近幾年研研究的熱點(diǎn)點(diǎn)目前有兩個(gè)個(gè)發(fā)展方向向：基于密鑰策策略基于于密密文文策策略略目標(biāo)標(biāo)是是改改善善基基于于屬屬性性的的加加密密算算法法的的性性能能。。3.5入侵侵檢檢測(cè)測(cè)與與容容侵侵容容錯(cuò)錯(cuò)技技術(shù)術(shù)容侵侵就就是是指指在在網(wǎng)網(wǎng)絡(luò)絡(luò)中中存存在在惡惡意意入入侵侵的的情情況況下下，，網(wǎng)網(wǎng)絡(luò)絡(luò)仍仍然然能能夠夠正常常地地運(yùn)運(yùn)行行現(xiàn)階階段段無(wú)無(wú)線線傳傳感感器器網(wǎng)網(wǎng)絡(luò)絡(luò)的的容容侵侵技技術(shù)術(shù)主主要要集集中中于于網(wǎng)絡(luò)絡(luò)的的拓拓?fù)鋼淙萑萸智职踩仿酚捎扇萑萸智謹(jǐn)?shù)據(jù)據(jù)傳傳輸輸過(guò)過(guò)程程中中的的容容侵侵機(jī)機(jī)制制無(wú)線線傳傳感感器器網(wǎng)網(wǎng)絡(luò)絡(luò)可可用用性性的的另另一一個(gè)個(gè)要要求求是是網(wǎng)網(wǎng)絡(luò)絡(luò)的的容容錯(cuò)錯(cuò)性性無(wú)線線傳傳感感器器網(wǎng)網(wǎng)絡(luò)絡(luò)的的容容錯(cuò)錯(cuò)性性指指的的是是當(dāng)當(dāng)部部分分節(jié)節(jié)點(diǎn)點(diǎn)或或鏈鏈路路失失效效后后，，網(wǎng)絡(luò)能夠進(jìn)行行傳輸數(shù)據(jù)的的恢復(fù)或者網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自愈愈，從而盡可可能減小節(jié)點(diǎn)或或鏈路失效對(duì)對(duì)無(wú)線傳感器器網(wǎng)絡(luò)功能的的影響目前相關(guān)領(lǐng)域域的研究主要要集中在：(1)網(wǎng)絡(luò)拓?fù)渲械牡娜蒎e(cuò)(2)網(wǎng)絡(luò)覆蓋中的的容錯(cuò)(3)數(shù)據(jù)檢測(cè)中的的容錯(cuò)機(jī)制一種無(wú)線傳感感器網(wǎng)絡(luò)中的的容侵框架，，該框架包括括三個(gè)部分：：(1)判定惡意節(jié)點(diǎn)點(diǎn)(2)發(fā)現(xiàn)惡意節(jié)點(diǎn)點(diǎn)后啟動(dòng)容侵侵機(jī)制(3)通過(guò)節(jié)節(jié)點(diǎn)之之間的的協(xié)作作，對(duì)對(duì)惡意意節(jié)點(diǎn)點(diǎn)做出出處理理決定定(排除或或是恢復(fù)復(fù))根據(jù)無(wú)無(wú)線傳傳感器器網(wǎng)絡(luò)絡(luò)中不不同的的入侵侵情況況，可可以設(shè)設(shè)計(jì)出出不同同的容侵機(jī)機(jī)制，，如無(wú)無(wú)線傳傳感器