物聯網技術基礎第6章物聯網安全目錄ContentRFID安全技術無線傳感器網絡安全物聯網面臨的安全問題及安全機制物聯網安全概述1234從信息與網絡安全的角度來看，物聯網作為一個多網的異構融合網絡，不僅存在與無線傳感器網絡、移動通信網絡和互聯網同樣的安全問題，同時還有其特殊性，如隱私保護問題、異構網絡的認證與訪問控制問題、信息的存儲與管理問題等。在物聯網安全體系架構中，物聯網安全層次模型將物聯網定義成了感知層、網絡層、處理層和應用層4層架構。“”6.1物聯網安全概述信息與網絡安全的目標是要達到被保護信息的機密性、完整性和可用性。隨著網絡和服務規(guī)模的不斷增大，安全問題日益凸顯，引起了人們的高度重視，相繼出現了一些安全技術，如入侵檢測系統(tǒng)、防火墻、PKI（公鑰基礎設施）等。目前，物聯網的研究與應用處于初級階段，很多的理論與關鍵技術有待突破，特別是與互聯網和移動通信網相比，還沒有展示出令人信服的實際應用，物聯網安全問題需要進一步地深入研究。物聯網作為互聯網的延伸，被稱為世界信息產業(yè)的第三次浪潮。2016年信息安全行業(yè)領軍企業(yè)綠盟科技認為，物聯網安全產品的核心在于技術，物聯網的安全其實是互聯網安全的延伸，我們可以利用互聯網已有的安全技術，結合物聯網安全的實際需要改進已有技術，并將改進后的技術應用到物聯網中，從而解決物聯網的安全問題。白皮書指出，物聯網安全研究可以從工控安全、智能汽車安全和智能家居安全3個領域切入。白皮書指出，目前物聯網設備制造商沒有強大的安全背景，也缺乏標準來說明一個產品是否是安全的。很多安全問題來自不安全的設計。綠盟科技建議，信息安全廠商要做到三點：一是提供安全的開發(fā)規(guī)范，提高產品的安全性；二是將安全模塊內置于物聯網產品中，對設備提供更好的安全防護；三是對出廠設備進行安全檢測，及時發(fā)現設備中的漏洞并協助廠商進行修復。在2017世界移動通信大會期間，華為與西班牙網絡安全局、Red.es聯合發(fā)布了名為《共建可信可管的物聯網世界》的白皮書。該白皮書分析了物聯網安全技術的發(fā)展現狀，總結了物聯網安全實踐，提出了物聯網需要通過多重的端到端安全防御機制來確保安全。目前，ARM和賽門鐵克公司在感知層安全方面的實力比較強。Sigfox和LoRa公司在傳輸層安全方面的實力比較強。由于物聯網的應用領域非常廣泛，而這些應用在應用層又沒有統(tǒng)一的安全平臺和標準，因此，各物聯網企業(yè)在應用層方面的研究也各有特點。物聯網是一個復雜多樣、跨度大的系統(tǒng)，在安全防護方面要進行體系化治理，就需要具備整體解決方案能力的公司。目前，國際上許多安全公司聲稱自己提供這方面的服務。國內為物聯網提供整體安全解決方案的企業(yè)還不多。在這方面，匡恩網絡則走在了技術創(chuàng)新前沿。據了解，匡恩網絡集結了一批信息安全領域的尖端人才和專家，以其在工業(yè)領域的安全防護領先技術為基礎，針對物聯網的感知層安全研發(fā)了物聯網安全網關，可有效解決感知層安全問題；針對物聯網的傳輸層安全研發(fā)了安全交換機，以加強網絡傳輸層的安全保護；針對處理應用層研發(fā)了工業(yè)大數據態(tài)勢感知平臺等。這些產品之間相互配合，從整體上提供工業(yè)物聯網系統(tǒng)全產業(yè)鏈的安全服務，并逐步將其解決方案應用于其他物聯網行業(yè)。物聯網系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個尺度：讀取控制、隱私保護、用戶認證、不可抵賴性、數據保密性、通信層安全、數據完整性、隨時可用性。相較于傳統(tǒng)網絡，物聯網的感知節(jié)點大都部署在無人監(jiān)控的環(huán)境，具有能力脆弱、資源受限等特點，并且由于物聯網是在現有的網絡基礎上擴展了感知網絡和應用平臺，傳統(tǒng)網絡安全措施不足以提供可靠的安全保障，從而使得物聯網的安全問題具有特殊性。1．從物聯網的構成要素分析物聯網的構成要素包括傳感器、傳輸系統(tǒng)（泛在網）及處理系統(tǒng)。就物理安全而言，主要表現在傳感器的安全方面。就運行安全而言，則存在于各個要素中。數據安全也是存在于各個要素中，要求在傳感器、傳輸系統(tǒng)、處理系統(tǒng)中的信息不會出現被竊取、被篡改、被偽造、被抵賴等。傳感器與無線傳感器網絡所面臨的問題比傳統(tǒng)的信息安全更為復雜，因為傳感器與無線傳感器網絡可能會因為能量受限的問題而不能運行過于復雜的保護體系。2．從物聯網的保護要素分析物聯網的保護要素是可用性、機密性、可鑒別性與可控性。其中，可用性是從體系上來保障物聯網的健壯性、可生存性；機密性是要構建整體的加密體系來保護物聯網的數據隱私；可鑒別性是要構建完整的信任體系來保證所有的行為、來源、數據的完整性等都是真實可信的；可控性是物聯網最為特殊的地方，是要采取措施來保證物聯網不會因為錯誤而帶來控制方面的災難，包括控制判斷的冗余性、控制命令傳輸渠道的可生存性、控制結果的風險評估能力等。3．從物聯網安全的機密性、完整性和可用性分析信息隱私是物聯網信息機密性的直接體現，如感知終端的位置信息是物聯網的重要信息資源之一，也是需要保護的敏感信息。另外，在數據處理過程中同樣存在隱私保護問題，要建立訪問控制機制，控制物聯網中信息采集、傳遞和查詢等操作。信息的加密是實現機密性的重要手段，由于物聯網的多源異構性，使密鑰管理顯得更為困難，特別是對感知網絡的密鑰管理是制約物聯網信息機密性的瓶頸。物聯網的信息完整性和可用性貫穿物聯網數據流的全過程。4．從物聯網面臨的安全問題分析從物聯網的信息處理過程來看，感知信息經過采集、匯聚、融合、傳輸、決策與控制等過程，整個信息處理的過程體現了物聯網安全的特征與要求，也揭示了其所面臨的安全問題。下面從物聯網面臨的安全問題角度分析物聯網的安全需求。（1）感知網絡的信息采集、傳輸與信息安全問題。感知節(jié)點呈現多源異構性，通常情況下感知節(jié)點功能簡單（如自動溫度計）、攜帶能量少（使用電池），使得它們無法擁有復雜的安全保護能力，而感知網絡多種多樣，從溫度測量到水文監(jiān)控，從道路導航到自動控制，它們的數據傳輸和消息也沒有特定的標準，所以無法提供統(tǒng)一的安全保護體系，因此要根據具體的應用去制定相應的標準。（2）核心網絡的傳輸與信息安全問題。核心網絡具有相對完整的安全保護能力，但是由于物聯網中節(jié)點數量龐大，且以集群方式存在，因此會導致在數據傳播時，由于大量機器的數據發(fā)送使網絡擁塞，產生拒絕服務攻擊。此外，現有通信網絡的安全架構都是從人通信的角度設計的，對以物為主體的物聯網，要建立適合于感知信息傳輸與應用的安全架構。（3）物聯網業(yè)務的安全問題。支撐物聯網業(yè)務的平臺有著不同的安全策略，如云計算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺要為上層服務管理和大規(guī)模行業(yè)應用建立起一個高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺、多業(yè)務類型使物聯網業(yè)務層次的安全面臨新的挑戰(zhàn)，是針對不同的行業(yè)應用建立相應的安全策略，還是建立一個相對獨立的安全架構，這都是需要研究和討論的問題。（3）物聯網業(yè)務的安全問題。支撐物聯網業(yè)務的平臺有著不同的安全策略，如云計算、分布式系統(tǒng)、海量信息處理等，這些支撐平臺要為上層服務管理和大規(guī)模行業(yè)應用建立起一個高效、可靠和可信的系統(tǒng)，而大規(guī)模、多平臺、多業(yè)務類型使物聯網業(yè)務層次的安全面臨新的挑戰(zhàn)，是針對不同的行業(yè)應用建立相應的安全策略，還是建立一個相對獨立的安全架構，這都是需要研究和討論的問題?？傊?，物聯網安全的總體需求就是物理安全、信息采集安全、信息傳輸安全和信息處理安全的綜合，安全的最終目標是確保信息的機密性、完整性、真實性和網絡的容錯性。1．物聯網的安全層次模型物聯網的3個特征分別是全面感知、可靠傳遞和智能處理，因此在分析物聯網的安全性時，也相應地將其分為3個邏輯層，即感知層、網絡層和應用層。除此之外，在物聯網的綜合應用方面還應該有一個處理層，它主要完成對采集數據的智能處理，并保證數據的完整性、有效性和安全性。在某些框架中，處理層與應用層可能被作為統(tǒng)一邏輯層進行處理，但從信息安全的角度考慮，將處理層和應用層獨立出來更容易建立安全架構。結合物聯網的安全需求、分布式連接和管理（DCM）模式，給出物聯網的安全層次模型，如圖所示。感知層通過各種傳感器節(jié)點獲取各類數據，包括物體屬性、環(huán)境狀態(tài)、行為狀態(tài)等動態(tài)和靜態(tài)信息，通過傳感器網絡、射頻讀寫器、GPS、圖像捕捉裝置（如攝像頭）等網絡和設備實現數據在感知層的匯聚和傳輸；網絡層主要通過移動通信網、無線網絡、互聯網等網絡基礎設施，實現對感知層信息的接入和傳輸；處理層是為上層應用服務建立起一個高效、可靠的支撐技術平臺，通過并行數據挖掘處理等過程，為應用提供服務，屏蔽底層的網絡、信息的異構性；應用層是根據用戶的需求，建立相應的業(yè)務模型，運行相應的應用系統(tǒng)。在各個層次中，安全和管理貫穿于其中。2．物聯網的安全技術架構下表為物聯網在不同層次可以采取的安全技術。以密碼技術為核心的基礎信息安全平臺及基礎設施建設是物聯網安全，特別是數據隱私保護的基礎，安全平臺同時包括安全事件應急響應中心、數據備份和災難恢復設施、安全管理等。應用層應用環(huán)境安全技術（可信終端、身份認證、訪問控制、安全審計等）信息應用安全處理層信息安全防御關鍵技術（攻擊監(jiān)測、內容分析、病毒防治、訪問控制、應急反應、戰(zhàn)略預警等）信息處理安全網絡層網絡環(huán)境安全技術（無線網安全、虛擬專用網、傳輸安全、安全路由、防火墻、安全域策略、安全審計等）網絡與信息系統(tǒng)安全感知層信息安全基礎核心技術（密碼技術、高速密碼芯片、PKI、信息系統(tǒng)平臺安全等）物理安全、信息采集安全安全防御技術主要是為了保證信息的安全而采用的一些方法。在物理安全和信息采集安全方面主要采用針對信息安全基礎核心的安全技術，如密碼技術、高速密碼芯片、PKI（公鑰基礎設施）、信息系統(tǒng)平臺安全等，以保證信息采集過程中節(jié)點不被控制和破壞，信息不被偽造和攻擊。在網絡與信息系統(tǒng)安全方面主要采用針對網絡環(huán)境的安全技術。在信息處理安全方面主要采用針對信息安全防御的關鍵技術，如攻擊監(jiān)測、內容分析、病毒防治、訪問控制、應急反應、戰(zhàn)略預警等，以保證信息的安全處理和存儲。在信息應用安全方面主要采用針對應用環(huán)境的安全技術，如可信終端、身份認證、訪問控制、安全審計等，以實現應用系統(tǒng)安全運行和信息保護。作為一種多網絡融合的網絡，物聯網安全涉及各個網絡的不同層次，在這些獨立的網絡中已實際應用了多種安全技術，物聯網中涉及安全的關鍵技術主要包括密鑰管理機制、數據處理與隱私性、安全路由協議、認證與訪問控制、入侵檢測與容侵容錯技術、決策與控制安全等。1．密鑰管理機制密鑰作為物聯網安全技術的基礎，在網絡安全中起著決定性作用。物聯網密鑰管理系統(tǒng)面臨兩個主要問題：一是如何構建一個貫穿多個網絡的統(tǒng)一密鑰管理系統(tǒng)，并與物聯網的體系結構相適應；二是如何解決無線傳感器網絡中的密鑰管理問題，如密鑰的分配、更新、組播等問題。實現統(tǒng)一的密鑰管理系統(tǒng)可以采用兩種方法：一種是以互聯網為中心的集中式管理方法，一種是以各自網絡為中心的分布式管理方法。在后一種模式下，互聯網和移動通信網比較容易實現對密鑰進行管理，但在無線傳感器網絡環(huán)境中對匯聚節(jié)點的要求就比較高了。盡管可以在無線傳感器網絡中采用簇頭選擇方法，推選簇頭，形成層次式網絡結構，每個節(jié)點與相應的簇頭通信，簇頭間以及簇頭與匯聚節(jié)點之間進行密鑰的協商，但對多跳通信的邊緣節(jié)點，以及由于簇頭選擇算法和簇頭本身的能量消耗，使無線傳感器網絡的密鑰管理成為解決問題的關鍵。2．數據處理與隱私性物聯網應用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權用戶使用，同時，還要考慮到網絡的可靠、可信和安全。物聯網能否大規(guī)模推廣應用，很大程度上取決于其是否能夠保障用戶數據和隱私的安全?；谲浖奶摂M光學密碼系統(tǒng)由于可以在光波的多個維度進行信息的加密處理，比一般傳統(tǒng)的對稱加密系統(tǒng)具有更高的安全性，數學模型的建立和軟件技術的發(fā)展極大地推動了該領域的研究和應用推廣。數據處理過程中涉及基于位置的服務和在信息處理過程中的隱私保護問題。基于位置的服務是物聯網提供的基本功能。定位技術目前主要有GPS定位、基于手機的定位、無線傳感器網絡定位等。無線傳感器網絡的定位主要是射頻識別、藍牙及ZigBee等。基于位置的服務面臨嚴峻的隱私保護問題，這既是安全問題，也是法律問題。歐洲通過了《隱私與電子通信法》，對隱私保護問題給出了明確的法律規(guī)定?；谖恢梅罩械碾[私內容涉及兩個方面：一是位置隱私，二是查詢隱私。位置隱私中的位置指用戶過去或現在的位置，而查詢隱私指敏感信息的查詢與挖掘。查詢隱私就是數據處理過程中的隱私保護問題。所以，我們面臨一個困難的選擇，一方面希望提供盡可能精確的位置服務，另一方面又希望個人的隱私得到保護，這就需要在技術上給予保證。目前的隱私保護方法主要有位置偽裝、時空匿名、空間加密等。3．安全路由協議物聯網的路由要跨越多類網絡，至少要解決兩個問題：一是多網融合的路由問題；二是無線傳感器網絡的路由問題。目前，國內外學者提出了多種無線傳感器網絡路由協議，這些路由協議最初的設計目標通常是以最小的通信、計算和存儲開銷完成節(jié)點間的數據傳輸，但是這些路由協議大都沒有考慮到安全問題。實際上由于無線傳感器節(jié)點電量有限、計算能力有限、存儲容量有限、部署在野外等特點，使得它極易受到各類攻擊。無線傳感器網絡路由協議常受到的攻擊主要有虛假路由信息攻擊、選擇性轉發(fā)攻擊、污水池攻擊、女巫攻擊、蟲洞攻擊、Hello泛洪攻擊、確認攻擊等。4．認證與訪問控制1）認證認證是指使用者采用某種方式來證明自己確實是自己宣稱的某人。保密性和及時性是認證的密鑰交換中兩個重要的問題。消息認證中主要是接收方希望能夠保證其接收的消息確實來自真正的發(fā)送方。廣播認證是一種特殊的消息認證形式，在廣播認證中一方廣播的消息被多方認證。傳統(tǒng)的認證是區(qū)分不同層次的，網絡層的認證負責網絡層的身份鑒別，業(yè)務層的認證負責業(yè)務層的身份鑒別，兩者獨立存在。但是在物聯網中，業(yè)務應用與網絡通信緊緊地綁在一起，認證有其特殊性。在物聯網的認證過程中，無線傳感器網絡的認證機制是重要的研究部分，無線傳感器網絡中的認證技術主要包括基于輕量級公鑰的認證技術、預共享密鑰的認證技術、隨機密鑰預分布的認證技術、利用輔助信息的認證、基于單向散列函數的認證等。（1）基于輕量級公鑰算法的認證技術。鑒于經典的公鑰算法需要高計算量，在資源有限的無線傳感器網絡中不具有可操作性，當前有一些研究正致力于對公鑰算法進行優(yōu)化設計，使其能適應于無線傳感器網絡，但在能耗和資源方面還存在很大的改進空間。（2）基于預共享密鑰的認證技術。SNEP方案中提出兩種配置方法：一是節(jié)點之間的共享密鑰，二是每個節(jié)點和基站之間的共享密鑰。這類方案使用每對節(jié)點之間共享一個主密鑰，可以在任何一對節(jié)點之間建立安全通信。缺點表現為擴展性和抗捕獲能力較差。（3）基于單向散列函數的認證方法。主要用在廣播認證中，由單向散列函數生成一個密鑰鏈，利用單向散列函數的不可逆性，保證密鑰不可預測。通過某種方式依次公布密鑰鏈中的密鑰，可對消息進行認證。目前基于單向散列函數的廣播認證方法主要是對μTESLA協議的改進。2）訪問控制訪問控制是對用戶合法使用資源的認證和控制，目前信息系統(tǒng)的訪問控制主要是基于角色的訪問控制機制（RBAC）及其擴展模型。RBAC機制主要由Sandhu于1996年提出的基本模型RBAC96構成，一個用戶先由系統(tǒng)分配一個角色，如管理員、普通用戶等，登錄系統(tǒng)后，根據用戶的角色所設置的訪問策略實現對資源的訪問，顯然，同樣的角色可以訪問同樣的資源。RBAC機制是基于互聯網的OA系統(tǒng)、銀行系統(tǒng)、網上商店等系統(tǒng)的訪問控制方法，是基于用戶的。對物聯網而言，末端是感知網絡，可能是一個感知節(jié)點或一個物體，采用用戶角色的形式進行資源的控制顯得不夠靈活，一是本身基于角色的訪問控制在分布式的網絡環(huán)境中已呈現出不相適應的地方；二是節(jié)點不是用戶，是各類傳感器或其他設備，且種類繁多；三是物聯網表現的是信息的感知互動過程，包含了信息的處理、決策和控制等過程，特別是反向控制是物物互連的特征之一。所以，尋求新的訪問控制機制是物聯網，也是互聯網值得研究的問題。5．入侵檢測與容侵容錯技術無線傳感器網絡可用性的要求是網絡的容侵和容錯性。容侵是指在網絡中存在惡意入侵的情況下，網絡仍然能夠正常地運行?，F階段無線傳感器網絡的容侵技術主要集中于網絡的拓撲容侵、安全路由容侵及數據傳輸過程中的容侵機制。容錯性指的是當部分節(jié)點或鏈路失效后，網絡能夠進行傳輸數據的恢復或者網絡結構自愈，從而盡可能減小節(jié)點或鏈路失效對無線傳感器網絡功能的影響。由于傳感器節(jié)點在能量、存儲空間、計算能力和通信帶寬等諸多方面都受限，而且通常工作在惡劣的環(huán)境中，網絡中的傳感器節(jié)點經常會出現失效的狀況。因此，容錯性成為無線傳感器網絡中一個重要的設計因素，容錯技術也是無線傳感器網絡研究的一個重要領域。5．入侵檢測與容侵容錯技術容侵是指在網絡中存在惡意入侵的情況下，網絡仍然能夠正常地運行。現階段無線傳感器網絡的容侵技術主要集中于網絡的拓撲容侵、安全路由容侵及數據傳輸過程中的容侵機制。容錯性指的是當部分節(jié)點或鏈路失效后，網絡能夠進行傳輸數據的恢復或者網絡結構自愈，從而盡可能減小節(jié)點或鏈路失效對無線傳感器網絡功能的影響。容錯性成為無線傳感器網絡中一個重要的設計因素，容錯技術也是無線傳感器網絡研究的一個重要領域。無線傳感器網絡可用性的要求是網絡的容侵和容錯性。6．決策與控制安全物聯網的數據是一個雙向流動的信息流，一是從感知端采集物理世界的各種信息，經過數據的處理，存儲在網絡的數據庫中；二是根據用戶的需求，進行數據的挖掘、決策和控制，實現與物理世界中任何互連物體的互動。決策和控制的正確性和可靠性決定了數據的安全。在傳統(tǒng)的無線傳感器網絡中由于側重對感知端的信息獲取，對決策控制的安全考慮不多，互聯網的應用也是側重于信息的獲取與挖掘，較少應用對第三方的控制。而物聯網中對物體的控制將是重要的組成部分，需要進一步更深入地研究。6.2RFID安全技術隨著RFID技術應用越來越廣泛，其安全與隱私保護也變得愈加重要。例如，銀行等金融機構是國家的重要部門，涉及大量關系國家和個人經濟方面的重要信息。在這種機構中裝有RFID等裝置，雖然對信息的監(jiān)控有很大幫助，但也給不法分子提供了竊取信息的途徑。不法分子通過信號干擾，竊取、篡改金融機構中的重要文件信息，會給個人和國家造成重大的損失。1．RFID系統(tǒng)的安全問題RFID系統(tǒng)同傳統(tǒng)的Internet一樣，容易受到各種攻擊，這主要是由于標簽和讀寫器之間的通信是通過電磁波的形式實現的，其過程中沒有任何物理或者可視的接觸，這種非接觸和無線通信存在嚴重安全隱患。1）RFID標識自身訪問的安全性問題由于標簽成本、工藝和功耗受限，其本身并不包含完善的安全模塊，其數據大多采用簡單的加密機制進行傳輸，很容易被復制、篡改甚至刪除。特別是對于無源標簽，由于缺乏自身能量供應系統(tǒng)，標簽芯片很容易受到“耗盡”攻擊。未授權用戶可以通過合法的讀寫器直接與RFID標簽進行通信。就可以很容易地獲取RFID標識中的數據并能夠修改。此外，標簽的一致開放性對于個人隱私、企業(yè)利益和公共安全都形成了風險，容易造成隱私泄露。RFID系統(tǒng)面臨的安全問題主要表現在以下幾個方面。2）通信信道的安全性問題由于使用的是無線通信信道，就容易遭受攻擊。RFID系統(tǒng)的通信鏈路包括前端標簽到讀寫器的空中接口無線鏈路和后端讀寫器到后臺系統(tǒng)的計算機網絡。在前端空中接口鏈路中，無線傳輸信號本身具有的開放性，使數據安全性十分脆弱。在后端通信鏈路中，系統(tǒng)面臨著傳統(tǒng)計算機網絡普遍存在的安全問題，屬于傳統(tǒng)信息安全的范疇，具有相對成熟的安全機制，可以認為具有較好的安全性。3）RFID讀寫器的安全性問題由于RFID讀寫器自身可以被偽造；RFID讀寫器與主機之間的通信可以采用傳統(tǒng)的攻擊方法截獲，所以RFID讀寫器自然也是攻擊者要攻擊的對象。由此可見，RFID所遇到的安全問題要比通常的計算機網絡安全問題復雜得多。4）物理破壞物理破壞是指針對RFID設備的損壞和攻擊。攻擊者一般會毀壞附在物品上的標簽，或使用一些屏蔽措施如“法拉第籠”使RFID的標簽失效。對于這些破壞性的攻擊，主要考慮使用監(jiān)控設備進行監(jiān)視、將標簽隱藏在產品中等傳統(tǒng)方法。另外，“KILL”命令和“RFIDZapper”的惡意使用或者誤用也會使RFID的標簽永久失效。為了降低惡意使用或者誤用“KILL”命令帶來的風險，在Class-1Gen-2EPC標準中，“KILL”命令的使用必須要有一個32位的密碼認證。5）“中間人”攻擊攻擊者將一個設備秘密地放置在合法的RFID標簽和讀寫器之間。該設備可以攔截甚至修改合法標簽與讀寫器之間發(fā)射的無線電信號。目前在技術上一般利用往返時延及信號強度等指標來檢測標簽和讀寫器之間的距離，以此來檢測是否存在“中間人”攻擊。比較著名的有Hancke&Kuhn提出基于超寬帶脈沖通信的距離限協議。之后，Reid等人研究了基于超寬帶脈沖通信的距離限協議的缺陷，然后提出了另一種基于XOR操作的距離限協議。6）對中間件的攻擊緩沖器溢出和惡意代碼植入是常見的對中間件的攻擊。緩沖器溢出使程序隨意執(zhí)行代碼，從而危及中間件后臺系統(tǒng)安全。惡意代碼植入是入侵者先制作惡意鏈接，欺騙用戶點擊，激活時這些腳本將執(zhí)行攻擊。6）對中間件的攻擊緩沖器溢出和惡意代碼植入是常見的對中間件的攻擊。緩沖器溢出使程序隨意執(zhí)行代碼，從而危及中間件后臺系統(tǒng)安全。惡意代碼植入是入侵者先制作惡意鏈接，欺騙用戶點擊，激活時這些腳本將執(zhí)行攻擊。7）隱私保護相關問題隱私問題主要是指跟蹤定位問題，即攻擊者通過標簽的響應信息來追蹤定位標簽。要想達到反追蹤的目的，首先應該做到ID匿名。其次，我們還應考慮前向安全性。前向安全性是指如果一個攻擊者獲取了該標簽當前發(fā)出的信息，那么攻擊者用該信息仍然不能夠確定該標簽以前的歷史信息。這樣，就能有效防止攻擊者對標簽進行追蹤定位。2．RFID系統(tǒng)的安全需求根據前面對現存RFID安全問題的分類和分析，著重針對隱私保護和數據通信中存在的安全問題提出了RFID系統(tǒng)應滿足的安全要求，包括不可追蹤性、可區(qū)分性、前向安全性、后向安全性和同步性5個方面。1）不可追蹤性為了有效保護標簽持有者的隱私和合法利益，必須保證標簽輸出的信息不僅可以區(qū)分，而且攻擊者不能從雙方通信的信息中得到區(qū)分標簽的信息，更不能從此次通信的信息中得出目標標簽下次通信的信息特點，對標簽進行跟蹤。否則會將持有者的安全、隱私、個人行蹤都暴露給攻擊者。因此，通信的協議的設計必須要保證標簽的不可追蹤性。2）可區(qū)分性對于大量使用標簽的RFID系統(tǒng)，對于讀寫器來說不同標簽在同一時刻的輸出應該具有可區(qū)分性；對于攻擊者來說標簽的輸出要保證不可區(qū)分性。這主要是針對攻擊者有可能利用標簽的輸出信息，通過分析、綜合后，對目的標簽進行跟蹤，進行下一步的不法活動。因此，在標簽的認證過程中要保證標簽是可區(qū)分的，但是對于攻擊者來說標簽的輸出信息要保證不可區(qū)分性，這樣才能保證整個RFID系統(tǒng)的安全性。3）前向安全性前向安全性是指即使攻擊者獲得了某次通信過程中的全部信息，也不能利用截獲的信息來獲得關于目標標簽以前的信息，比如在何時、何地認證的，標簽所處的環(huán)境信息等。對于供應鏈系統(tǒng)的RFID系統(tǒng)來說，前向安全性是很重要的需求，可以保護商業(yè)機密，對于目標標簽整個生產、銷售等各個環(huán)節(jié)都有很好的保護。4）后向安全性后向安全性是指即使攻擊者獲得了認證過程中的所有信息，且攻擊者有強大的攻擊能力，也不能從這些信息中來破解標簽以后的認證消息、標簽的具體位置。相對來說，前向安全性更加重要一點，但是后向安全性也能確保整個RFID系統(tǒng)具有更好的安全性。5）同步性對于需要對共享信息進行更新的系統(tǒng)來說，攻擊者如果在某次認證過程中阻塞、篡改了更新消息，就會在后端數據庫和標簽的共享信息中出現不同步狀態(tài)，秘密信息不相同。這樣在下次認證時，對于目標標簽就會拒絕認證。因此，對于上述系統(tǒng)中的安全隱患，在構建認證協議的時候要考慮到。實際上，由于RFID系統(tǒng)的計算能力有限，除了需要考慮上述安全性需求外，算法的復雜度和系統(tǒng)的開銷、成本等方面也必須予以考慮。如果盲目追求安全保密性，而導致系統(tǒng)開銷和成本急劇上升，其應用場合必然受到限制，結果也沒有太大的實際意義。因此，需要在系統(tǒng)安全性和系統(tǒng)性能及成本之間進行權衡，找到一個可以接受的平衡點。1．RFID系統(tǒng)解決方案的基本特征1）機密性RFID標簽不應當向未被授權的讀寫器泄露任何信息。在許多應用中，RFID標簽中所包含的信息關系重大，因而一個完備的RFID安全方案必須能夠保證標簽中的信息只能被授權的讀寫器所訪問。2）完整性在通信過程中，數據完整性能夠保證接收者收到的信息在傳輸過程中沒有被攻擊者篡改或替換。在基于公鑰的密碼體制中，數據完整性一般是通過數字簽名來完成的，但資源有限的RFID系統(tǒng)難以采用這種代價昂貴的密碼算法。在RFID系統(tǒng)中，通常使用消息認證碼來進行數據完整性的檢驗，它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗的消息連接在一起進行散列運算，對數據的任何細微改動都會對消息認證碼的值產生較大影響。3）可用性RFID系統(tǒng)的安全解決方案所提供的各種服務能夠被授權的用戶使用，并能有效防止非法攻擊者企圖中斷RFID服務的惡意攻擊。一個合理的安全方案應該具有節(jié)能的特點，各種安全協議和算法的設計不應太復雜，并盡可能避開公鑰運算，計算開銷、存儲容量和通信能力也應當充分考慮RFID系統(tǒng)資源有限的特點，從而使得能量消耗最小化。同時安全性設計方案不應當限制RFID系統(tǒng)的可用性，并能夠有效防止攻擊者對射頻標簽資源的惡意消耗。4）真實性射頻標簽的身份認證在RFID系統(tǒng)的許多應用中是非常重要的。讀寫器只有通過身份認證才能確信消息是從正確的射頻標簽處發(fā)送過來的。在傳統(tǒng)的有線網絡中，通常使用數字簽名或數字證書來進行身份驗證，但這種公鑰算法不適用于通信能力、計算速度和存儲空間相當有限的射頻標簽。5）隱私性一個安全的RFID應用系統(tǒng)應當能夠保護使用者的隱私信息和相關的經濟實體的商業(yè)利益。事實上，目前的RFID系統(tǒng)面臨著位置保密和實時跟蹤的安全風險。個人攜帶物品的射頻標簽可能會泄露個人身份，通過讀寫器能夠跟蹤攜帶不安全標簽的個人，并將這些信息進行綜合和分析，就可以獲得使用者個人喜好和行蹤等隱私信息。同時，情報人員也可能通過跟蹤不安全的標簽來獲得有用的商業(yè)機密。2．RFID系統(tǒng)的安全解決方案RFID安全技術研究的原則是在標簽有限的硬件資源條件下，開發(fā)出一種高效、可靠和具有一定強度的安全機制。然而，RFID安全和隱私保護與成本之間是相互制約的。針對RFID系統(tǒng)中存在的一系列安全問題，國內外的學者進行了廣泛和深入的研究與探索，并取得了一定的成果。當前，實現RFID安全機制所采用的方法主要有物理方法、安全認證機制、分布式環(huán)境下的安全方案等。1）物理方法保護RFID系統(tǒng)安全性的物理方法主要有5類：封殺標簽法、裁剪標簽法、法拉第籠法、主動干擾法和阻塞標簽法。這些方法主要用于一些低成本的標簽中，因為這類標簽有嚴格的成本限制，難以采用復雜的密碼機制來實現標簽與讀寫器之間的通信安全。（1）封殺標簽法封殺標簽的方法是在物品被購買后，利用協議中的Kill指令使標簽失效，這是由標準化組織Auto-ID中心提出的方案。可以完全杜絕物品的ID號被非法讀取，但是該方法以犧牲RFID的性能為代價換取了隱私的保護，使得RFID的標簽功能盡失，是不可逆的操作，如顧客需要退換商品時，則無法再次驗證商品的信息。

（2）裁剪標簽法IBM公司針對RFID的隱私問題開發(fā)的一種“裁剪標簽”技術，消費者能夠將RFID天線扯掉或者刮除，大大縮短了標簽的可讀取范圍，使標簽不能被遠端的讀寫器隨意讀取。IBM的裁剪標簽法，彌補了封殺標簽法的短處，使得標簽的讀取距離縮短到1～2英寸，可以防止攻擊者在遠處非法監(jiān)聽和跟蹤標簽。

（3）法拉第籠法法拉第籠法根據電磁波屏蔽原理，采用金屬絲網制成電磁波不能穿透的容器，用以放置帶有RFID標簽的物品。根據電磁場的理論，無線電波可以被由傳導材料構成的容器所屏蔽。當我們將標簽放入法拉第網籠內，可以阻止標簽被掃描，被動標簽接收不到信號，不能獲得能量，而主動標簽不能將信號發(fā)射出去。利用法拉第網籠同時可以阻止隱私侵犯者的掃描。

（4）主動干擾法主動干擾法使用某些特殊裝置干擾RFID讀寫器的掃描，破壞和抵制非法的讀取過程。主動干擾無線電信號是另一種屏蔽標簽的方法。標簽用戶可以通過一個設備主動廣播無線電信號，用于阻止或破壞附近的RFID讀寫器的操作。但這種方法可能導致非法干擾，使附近其他合法的RFID系統(tǒng)受到干擾，也可能阻斷附近其他無線系統(tǒng)。

（5）阻塞標簽法阻塞標簽法也稱RSA軟阻塞器，是指內置在購物袋中的標簽，在物品被購買后，禁止讀寫器讀取袋中所購物品上的標簽。EPCglobal第二代標準具有這項功能。阻塞標簽法基于二進制樹查詢算法，它通過模擬標簽ID的方式干擾算法的查詢過程。阻塞標簽可以模擬RFID標簽中所有可能的ID集合，從而避免標簽的真實ID被查詢到。

阻塞標簽法可以有效防止非法掃描，最大的優(yōu)點是RFID標簽基本上不需要修改，也不需要執(zhí)行加解密運算，減少了標簽的成本，而且阻塞標簽的價格可以做到和普通標簽價格相當，這使得阻塞標簽可以作為一種有效的隱私保護工具。但缺點是阻塞標簽可以模擬多個標簽存在的情況，攻擊者可利用數量有限的阻塞標簽向讀寫器發(fā)動拒絕服務攻擊。另外，阻塞標簽有其保護范圍，超出隱私保護范圍的標簽無法得到保護。2）安全認證機制由于各種物理安全機制存在著這樣或那樣的缺陷和不足，因此基于密碼技術的安全機制更加受到人們的關注。嚴格的RFID安全機制應該能同時包括認證和加密兩種功能。針對低端RFID系統(tǒng)，設計切實可行的讀寫器與標簽之間的相互認證方案，是實現低成本RFID系統(tǒng)信息安全的重要途徑。（1）Hash鎖方案Hash（哈希）鎖是一種較完善的抵制標簽未授權訪問的安全與隱私技術，整個方案只需要采用Hash函數，因此成本很低，方案原理是讀寫器存儲每個標簽的訪問密鑰K，對應標簽存儲的元身份為MetaID，其中MetaID＝Hash(K)。標簽接收到讀寫器訪問請求后發(fā)送MetaID作為響應，讀寫器通過查詢獲得與標簽對應的密鑰K并發(fā)送給標簽，標簽檢查Hash(K)是否與MetaID相同，相同則解鎖，發(fā)送標簽真實ID給讀寫器。

（2）隨機Hash鎖方案作為Hash鎖的擴展，隨機Hash鎖解決了標簽位置隱私問題。采用隨機Hash鎖方案，讀寫器每次訪問標簽的輸出信息都不同。隨機Hash鎖的原理是標簽包含Hash函數和隨機數發(fā)生器，后臺服務器數據庫存儲所有標簽ID。

（3）隨機Hash鎖方案作為Hash方法的一個發(fā)展，為了解決可跟蹤性，標簽使用了Hash函數在每次讀寫器訪問后自動更新標識符的方案。Hash鏈原理是標簽在存儲器中設置一個隨機的初始化標識符S1，這個標識符也存儲到后臺數據庫。標簽包含兩個Hash函數G和H。當讀寫器請求訪問標簽時，標簽返回當前標簽標識符ak＝G(Sk)給讀寫器，標簽從電磁場獲得能量時自動更新標識符Sk＋1＝H(Sk)。

（4）匿名ID方案采用匿名ID，隱私侵犯者即使在消息傳遞過程中不能獲得標簽的真實ID。該方案通過第三方數據加密裝置采用公鑰加密、私鑰加密或者添加隨機數生成匿名標簽ID。雖然標簽信息只需要采用隨機讀取存儲器（RAM）存儲，成本較低，但數據加密裝置與高級加密算法都將導致系統(tǒng)的成本增加。由于標簽ID加密以后仍具有固定輸出，這使得標簽的跟蹤成為可能，故存在標簽位置隱私問題。并且，該方案的實施前提是讀寫器與后臺服務器的通信建立在可信通道上。

（5）重加密方案該方案采用公鑰加密，標簽可以在用戶請求下通過第三方數據加密裝置定期對標簽數據進行重寫。因采用公鑰加密，大量的計算負載超出了標簽的能力，通常這個過程由讀寫器來處理。該方案存在的最大缺陷是標簽的數據必須經常重寫，否則，即使加密標簽ID固定的輸出也將導致標簽定位隱私泄露。與匿名ID方案相似，標簽數據加密裝置與公鑰加密將導致系統(tǒng)成本的增加，使得大規(guī)模的應用受到限制，并且頻繁的重復加密操作也會給實際操作帶來困難。

隨著RFID標簽越來越普遍地出現在人們的日常生產和生活當中，也產生了許多新的安全和隱私問題。對低成本RFID標簽的追求，使得現有的密碼技術難以應用。如何根據RFID標簽有限的計算資源設計出安全有效的安全技術解決方案，仍然是一個具有相當挑戰(zhàn)性的課題。為了有效保護數據安全和個人隱私，引導RFID的合理應用和健康發(fā)展，還需要建立和制定完善的RFID安全與隱私保護法規(guī)、政策。3）分布式環(huán)境下的安全方案目前，分布式環(huán)境下的安全方案主要有David等提出的數字圖書館RFID協議和Rhee等提出的基于分布式數據庫環(huán)境的RFID認證協議。前者使用基于預共享秘密的偽隨機函數來實現認證，而后者則是典型的“詢問－應答”型雙向認證協議。這兩種方案都能滿足系統(tǒng)的安全性需求。但是為了支持這兩個協議，必須在標簽電路中包含比較復雜的電路和函數功能模塊，因此它們不適用于低成本的RFID系統(tǒng)。6.3無線傳感器網絡安全無線傳感器網絡作為物聯網的一種重要支撐技術，它的應用前景非常廣闊，主要表現在軍事、環(huán)境、健康、家庭和其他商業(yè)領域等各個方面。隨著無線傳感器網絡研究的深入和不斷走向實用，其安全性問題顯得更加重要。本節(jié)首先介紹無線傳感器網絡的安全目標，然后分析無線傳感器網絡各層面臨的安全攻擊及防御措施。無線傳感器網絡在遭受DOS攻擊時，主要功能還能夠正常工作，也就是說攻擊不能使網絡癱瘓。（1）可用性保證信息在傳輸的過程中沒有被篡改或出錯。（3）完整性確保節(jié)點對自己的行為不能抵賴。（5）抗抵賴性保證網絡中的一些敏感信息不被未授權的實體竊聽，除了傳感器節(jié)點收集到的敏感信息外，路由信息也可能要求被保密。（2）機密性認證是節(jié)點相互建立信任機制的基礎。（4）認證1．物理層面臨的攻擊及防御方法1）信號干擾和竊聽攻擊及防御方法因為采用無線通信，低成本的傳感器網絡很容易遭受信號干擾和竊聽攻擊。其防御對策有擴頻通信，如跳頻；如果干擾不是持續(xù)的，在非干擾間歇內可以發(fā)送優(yōu)先級高的信息來降低干擾破壞程度；另一種方法是切換到其他通信方式，如紅外線、光等，其缺點是成本比較高。而防止竊聽攻擊的有效方法是對敏感通信信息進行加密。2）篡改和物理破壞攻擊及防御方法由于傳感器節(jié)點分布廣，成本低，很容易遭到物理損壞或被捕獲。攻擊者能夠篡改路由報文的根本原因在于節(jié)點無法對路由報文進行完整性檢測，因此對付篡改攻擊的方法是對整個路由報文或其中的關鍵信息加入報文鑒別碼MAC。節(jié)點在收到路由報文之后，先進行完整性檢測，通過后才能進行下一步處理，以防止報文被非法篡改。另外，還需要結合入侵檢測系統(tǒng)IDS找到并清除這些被捕俘節(jié)點，更新加密密鑰。在實際應用中，對節(jié)點進行物理偽裝和隱藏也是躲避物理破壞攻擊的有效方法。3）仿冒節(jié)點攻擊及防御方法因為很多路由協議并不認證報文的地址，所以攻擊者可以聲稱為某個合法節(jié)點而加入網絡，甚至能夠屏蔽某些合法節(jié)點，替它們收發(fā)報文。造成這種攻擊的根本原因是節(jié)點未能鑒別報文的來源。因此對付仿冒節(jié)點攻擊的有效方法是網絡各節(jié)點之間進行相互認證。對于節(jié)點的行為，首先要進行身份認證，確定為合法節(jié)點才能接收和發(fā)送報文。2．鏈路層面臨的攻擊及防御方法1）鏈路層沖突攻擊及防御方法攻擊者通過花費很小的代價可實行鏈路層沖突攻擊。校錯碼雖然具有一定的糾錯能力，但是如果攻擊者惡意破壞數據包的較多數據位，校錯碼將無法糾正這些數據位而失效，并且校錯碼本身也會產生額外的CPU處理和通信開銷，造成網絡負荷過重。沖突檢測機制雖然能檢測出沖突節(jié)點，但難以判斷沖突節(jié)點是否為惡意節(jié)點。因此，關于鏈路層攻擊的防御機制仍需進一步研究。2）資源消耗攻擊及防御方法攻擊者發(fā)送大量的無用報文消耗網絡和節(jié)點資源，如帶寬、內存、CPU、電池等。例如剝奪睡眠攻擊，攻擊者不停發(fā)送報文，使得節(jié)點的電源很快耗盡，從而達到DOS攻擊效果。這種攻擊的防御方法之一是在MAC層限制節(jié)點發(fā)送數據報的速度，使得攻擊者不能發(fā)送大量的無用報文。另外，鄰居節(jié)點也可以監(jiān)視節(jié)點的反常行為，降低頻繁發(fā)送報文節(jié)點的發(fā)送優(yōu)先級。3．網絡層面臨的攻擊及防御方法1）路由信息的欺騙、篡改或回放攻擊及防御方法主要是通過改變兩個節(jié)點之間的路由信息進行攻擊。攻擊者可以偽造并廣播假的路由信息。其根本原因在于節(jié)點無法驗證報文的內容。因為要隨時掌握整個網絡的連通情況，才能辨別某個節(jié)點所發(fā)出信息的真假，因此防止偽造路由攻擊比較困難，防御方法主要是通過入侵檢測系統(tǒng)來檢測和清除這些入侵節(jié)點。2）Rushing攻擊及防御方法Rushing攻擊將導致兩個問題，其一，攻擊者短時間內發(fā)送大量的路由查詢，令其遍歷整個網絡，從而使得其他節(jié)點正常的路由查詢由于無法提交處理而被拋棄；其二，所有建立的路由都要通過攻擊者。Y-C．Hu等人提出了通過隨機轉發(fā)的方法防御Rushing攻擊。其方法是將節(jié)點只處理第一個收到的路由查詢報文并拋棄隨后到達的相同路由查詢報文，改變?yōu)楣?jié)點收集一定數量的相同路由查詢報文，然后選擇其中任意一個進行處理，以阻止Rushing攻擊。3）選擇性轉發(fā)攻擊及防御方法惡意節(jié)點拒絕轉發(fā)包，但是為了防止被發(fā)現，可能會選擇性地發(fā)些包或將一些報文修改后再轉發(fā)。多路徑路由能有效減少由于這種攻擊所造成的信息丟失。另外，鄰居節(jié)點和基站能監(jiān)視這種行為，降低向這種容易丟包的節(jié)點轉發(fā)包的優(yōu)先級。4）污水池（Sinkhole）攻擊及防御方法攻擊者引誘其他節(jié)點向它發(fā)包，從而創(chuàng)造一個以攻擊者為中心的污水池。比較典型的攻擊方法是攻擊者讓其他節(jié)點根據路由算法相信它是最好的轉發(fā)選擇，從而吸引其他節(jié)點向它發(fā)包。例如，一個攻擊者可以通過偽造或回放一個廣告，以示它有十分高質量的路由到基站。等吸引到其他節(jié)點向它發(fā)包后，再進行其他攻擊，如進行選擇性轉發(fā)攻擊。該類攻擊可采用隨機密鑰預分配機制和基站入侵檢測與響應系統(tǒng)進行防御。5）女巫（Sybil）攻擊及防御方法女巫攻擊是指一個攻擊節(jié)點假冒多個合法節(jié)點的身份。能有效地降低容錯機制性能如分布存儲、多路徑路由和拓撲維護。女巫攻擊對基于位置的路由協議的安全也能產生很大的威脅。建立對密鑰能使得任意兩個鄰居節(jié)點相互驗證，即使節(jié)點被捕獲，女巫攻擊也不能對其他鄰居節(jié)點進行攻擊。Douceur建議通過資源測試來確認一個物理節(jié)點的唯一身份。該類攻擊可采用無線波資源測試的方法、隨機密鑰預分配機制、節(jié)點注冊、節(jié)點位置驗證、代碼驗證等方法進行防御。6）蟲洞（Wormhole）攻擊及防御方法蟲洞攻擊是攻擊者把收到的包通過延遲很小的隧道發(fā)送到隧道另一端，在隧道的另一端進行回放攻擊。定義兩個攻擊者之間的隧道為蟲洞。蟲洞攻擊能破壞路由競爭條件，還可導致路由拓撲混亂，通過蟲洞轉發(fā)包，可以使得兩個遠距離的節(jié)點認為是相鄰的。蟲洞攻擊也可以和其他攻擊結合，檢測這種攻擊十分困難。報文約束方法可以抵抗蟲洞攻擊，原理是基于精確的時間或位置信息來發(fā)現并阻止蟲洞攻擊。7）Hello泛洪攻擊及防御方法很多協議通過Hello泛洪和鄰居節(jié)點建立聯系。一個節(jié)點廣播Hello消息，收到者認為是該節(jié)點的相鄰節(jié)點，也就是說在該節(jié)點的發(fā)射波覆蓋范圍內。實際上，一個發(fā)射能量很大的攻擊節(jié)點能有效地使得很遠的節(jié)點認為是攻擊者的鄰居，從而形成Hello泛洪攻擊。通過隨機密鑰預分配機制建立對密鑰進行鄰居節(jié)點的身份驗證，利用基站來檢查節(jié)點身份和它們的鄰居關系能有效對付這類攻擊。8）假冒應答攻擊及防御方法針對一些依賴鏈路層應答的路由算法，攻擊者可以利用應答機制，使得發(fā)送者以為一條原本不可靠的鏈路（甚至是不通的鏈路）是可靠的。攻擊者通過使發(fā)送者相信這些不可靠鏈路或死鏈路是可靠鏈路，引誘報文在這些鏈路上發(fā)送，從而造成報文丟失。這種攻擊主要依靠多路徑路由和基站進行入侵檢測來發(fā)現和避免。4．傳輸層面臨的攻擊及防御方法1）泛洪攻擊及防御方法攻擊者通過泛洪發(fā)送大量攻擊報文的方式，導致整個網絡性能下降，不能正常通信。一種解決方案是要求客戶成功回答服務器的若干問題后再建立連接，它的缺點是要求合法節(jié)點進行更多的計算、通信和消耗更多的能量。另一種方案是引入入侵檢測機制，基站限制這些泛洪攻擊報文的發(fā)送。如規(guī)定在一定時間內，節(jié)點發(fā)包數量不能超過某個閾值。2）同步破壞攻擊及防御方法傳感器網絡通常采用同步機制進行通信，攻擊者通過不斷地偽造消息發(fā)給已經建立通信連接的節(jié)點。這些偽造的消息可能包含序列號或控制標志，以引起連接的兩節(jié)點由于誤認為幀丟失而要求重新傳輸。如果攻擊者能控制同步時間機制，就能引起兩個節(jié)點進行無休止的同步恢復協議。這種攻擊可以通過報文鑒別碼MAC對所有報文（傳輸協議中包頭的控制部分）進行鑒別，發(fā)現并防止攻擊者通過偽造報文來破壞同步機制?？傊?，物理隱藏、擴頻、加密、報文鑒別碼、建立統(tǒng)一密鑰、對密鑰、簇密鑰、身份認證、多路徑路由、雙向鏈路驗證和入侵檢測等都是防止各類傳感器網絡攻擊的有效防御手段。然而由于傳感器網絡資源受限，大多數時候只能根據安全要求設計合理的安全體制，并在安全和資源消耗中進行折中考慮。6.4物聯網面臨的安全問題及安全機制從信息與網絡安全的角度來看，物聯網作為一個多網的異構融合網絡，不僅存在與無線傳感器網絡、移動通信網絡和互聯網同樣的安全問題，同時還有其特殊性，如隱私保護問題、異構網絡的認證與訪問控制問題、信息的存儲與管理問題等。在物聯網安全體系架構中，物聯網安全層次模型將物聯網定義成了感知層、網絡層、處理層和應用層4層架構。1．感知層面臨的安全問題感知層是最為基本的一層，負責完成物體的信息采集和識別。感知層需要解決高靈敏度、全面感知能力、低功耗、微型化和低成本問題。感知層包括多種感知設備。在基于物聯網的應用服務中，感知信息來源復雜，需要綜合處理和利用。在當前物聯網環(huán)境與應用技術下，由各種感知器件構成的無線傳感器網絡是支撐感知層的主體。無線傳感器網絡內部的感知器件與外網的信息傳遞通過無線傳感器網絡的網關節(jié)點，網關節(jié)點是所有內部節(jié)點與外界通信的控制渠道，因此無線傳感器網絡的安全性便決定了物聯網感知層的安全性。通過分析，感知層所面臨的安全威脅可能有以下幾種情況。（1）非法方控制了網關節(jié)點。（2）非法方竊取了節(jié)點密鑰，控制了普通節(jié)點。（3）網關節(jié)點或普通節(jié)點受到來自網絡的拒絕服務攻擊，造成網絡癱瘓。（4）海量傳感節(jié)點接入物聯網，帶來節(jié)點識別、節(jié)點認證和節(jié)點控制等諸多問題。在一般的應用中，由于竊取網關節(jié)點的通信密鑰比較困難，因此非法方實際控制無線傳感器網絡的網關節(jié)點的可能性很小。內部傳感節(jié)點與網關節(jié)點之間的共享密鑰是最為關鍵的安全要素，一旦該密鑰被非法方所竊取，那么非法方便能利用共享密鑰獲取一切經過該網關節(jié)點傳送的信息，這樣一來無線傳感器網絡便完全沒有安全性可言。如果該共享密鑰沒有被非法方掌握，那么非法方就無法通過控制網關節(jié)點來任意修改傳送的消息，而且這種非法操作也容易被遠程處理平臺所察覺和追蹤。2．感知層的安全機制無線傳感器網絡的安全解決方案可以采用多種安全機制，如可靠的密鑰管理、信息路由安全、連通性解決方案等，設計人員可以選擇使用這些安全機制來保證無線傳感器網絡內部的數據通信安全可靠。無線傳感器網絡的類型具有多樣化的特點，因此難以對安全服務做統(tǒng)一要求，但是必須要保證認證性和機密性。保證認證性利用對稱密碼或非對稱密碼方案，而機密性需要雙方在通信會話時協商建立一個臨時密鑰。此外，入侵檢測方法和連通性安全等也是無線傳感器網絡常用的安全手段。因為無線傳感器網絡有一定的獨立性和封閉性，它的安全性一般不會影響到其他網絡的安全。相比于傳統(tǒng)的互聯網，物聯網的構成環(huán)境更為復雜，面對的外部威脅會大大增多，因此面向無線傳感器網絡應用傳統(tǒng)的安全解決方案，必須增強它們的安全技術和級別后方能應用到實際場合中。目前密碼技術發(fā)展較快，有多種密碼技術可應用在無線傳感器網絡的安全架構中，如輕量級密碼協議、輕量級密碼算法、可設定安全級別的密碼技術等。1．網絡層面臨的安全問題物聯網的網絡層是實現物體互聯的通信網絡系統(tǒng)，負責完成物體之間的信息傳遞和交換，融合了現有的所有異構網絡。它負責將從感知層的感知設備采集到的信息傳送到應用業(yè)務層，為上層提供可靠安全的信息傳輸服務。由于網絡層的異構性，在實際的應用環(huán)境下，網絡層可能會由多個不同類型的網絡組成，這便給信息的傳遞帶來極大的安全威脅。由多樣化的異構性網絡相互連通而成的物聯網網絡層，在實施安全認證時需要跨網絡架構，會帶來許多操作上的困難。網絡層面臨的安全威脅主要包括假冒攻擊、中間人攻擊、DOS攻擊、DDoS攻擊、跨異構網絡的網絡攻擊等。在目前的物聯網網絡層中，傳統(tǒng)的互聯網仍是傳輸多數信息的核心平臺。在互聯網上出現的安全威脅仍然會出現在物聯網的網絡層上，因此可以借助已有的互聯網安全機制或防范策略來增強物聯網的安全性。由于物聯網上的