物联网感知层安全措施

1.RFID安全措施

1）对标签的身份进行一定的管理和保护，这种安全措施必然会对认证速度产生影响，需要在安全性和效率之间找到一个最佳平衡点，以满足RFID安全性和效率的双重需要。

2）利用近场通信技术和生物识别等技术，可更好地保护RFID的安全性和隐私。

3）加强立法。对利用RFID技术威胁用户安全的行为立法，明确违法行为及其代价。我国在立法方面可参考国外已有的成功法案，如美国加利福尼亚州和华盛顿州关于RFID恶意行为的法律规定，同时也可参考美国国家标准和技术学会（National Institute of Stand-ards and Technology，NIST）发布的《RFID系统安全指南（Guidance for Securing（RFID）System）》。

2.无线传感器网络安全措施

因为物联网构造复杂，面临的环境也更复杂，所以无线传感器网络作为物联网感知层的重要组成部分，应对其密码与密钥技术、安全路由、安全数据融合、安全定位和隐私保护方面进行较全面研究。

（1）密钥管理机制

密钥系统是安全的基础，是实现感知信息隐私保护的手段之一。对互联网由于不存在计算资源的限制，非对称和对称密钥系统都适用，互联网面临的安全问题主要是来源于最初的开放式管理模式的设计。它是一种没有严格管理中心的网络。移动通信网是一种相对集中式管理的网络，而无线传感器网络和感知节点由于计算资源的限制，对密钥系统提出了更多的要求。因此，物联网密钥管理系统面临两个主要问题：一是如何构建一个贯穿多个网络的统一密钥管理系统，并与物联网的体系结构相适应；二是如何解决传感网的密钥管理问题，如密钥的分配、更新、组播等问题。

实现统一的密钥管理系统可以采用两种方式：一是以互联网为中心的集中式管理方式。由互联网的密钥分配中心负责整个物联网的密钥管理，一旦传感器网络接入互联网，通过密钥中心与传感器网络汇聚点进行交互，实现对网络中节点的密钥管理；二是以各自网络为中心的分布式管理方式。在第二种管理方式下，互联网和移动通信网比较容易解决，但在传感网环境中对汇聚点的要求就比较高。尽管可以在传感网中采用簇头选择方法来推选簇头，形成层次式网络结构，每个节点与相应的簇头通信，簇头之间及簇头与汇聚节点之间进行密钥的协商，但是如何解决多跳通信的边缘节点及簇头选择算法和簇头本身的能量消耗问题，是传感网密钥管理要解决的关键问题。

无线传感器网络的密钥管理系统的设计在很大程度上受到自身特征的限制，因此在设计需求上与有线网络和传统的资源不受限制的无线网络有所不同，特别要充分考虑无线传感器网络传感节点的限制和网络组网与路由的特征。

（2）数据处理与隐私性

物联网的数据要经过信息感知、获取、汇聚、融合、传输、存储、挖掘、决策和控制等处理流程，而末端的感知网络几乎要涉及上述信息处理的全过程，只是由于传感节点与汇聚点的资源限制，在信息的挖掘和决策方面不占据主要的位置。物联网应用不仅面临信息采集的安全性，也要考虑到信息传送的私密性，要求信息不能被篡改和非授权用户使用，同时还要考虑到网络的可靠、可信和安全。物联网能否大规模推广应用，很大程度上取决于其是否能够保障用户数据和隐私的安全。

就传感网而言，在信息的感知采集阶段就要进行相关的安全处理，如对RFID采集的信息进行轻量级的加密处理后，再传送到汇聚节点。这里要关注的是对光学标签的信息采集处理与安全，作为感知端的物体身份标识，光学标签显示了独特的优势，而虚拟光学的加密解密技术为基于光学标签的身份标识提供了手段。基于软件的虚拟光学密码系统由于可以在光波的多个维度进行信息的加密处理，具有比一般传统的对称加密系统有更高的安全性。数学模型的建立和软件技术的发展极大地推动了该领域的研究和应用推广。

数据处理过程中涉及基于位置的服务与在信息处理过程中的隐私保护问题。美国计算机协会（Association for Computing Machinery，ACM）于2008年成立了空间信息专委会（Spe-cial Interest Group on Spatial Information，SIGSPATIAL），致力于空间信息理论与应用研究。基于位置的服务是物联网提供的基本功能，是定位、电子地图、基于位置的数据挖掘和发现、自适应表达等技术的融合。定位技术目前主要有GPS定位、基于手机的定位、无线传感器网络定位等。无线传感器网络的定位主要是RFID、蓝牙及ZigBee等。基于位置的服务面临严峻的隐私保护问题，这既是安全问题，也是法律问题。欧洲通过了《隐私与电子通信法》，对隐私保护问题给出了明确的法律规定。

基于位置服务中的隐私内容涉及两个方面：一是位置隐私；二是查询隐私。位置隐私中的位置指用户过去或现在的位置；而查询隐私指敏感信息的查询与挖掘，如某用户经常查询某区域的餐馆或医院，就可以分析该用户的居住位置、收入状况、生活行为、健康状况等敏感信息，造成个人隐私信息的泄漏，查询隐私就是数据处理过程中的隐私保护问题。所以，就面临困难的选择：一方面希望提供尽可能精确的位置服务；另一方面又希望个人的隐私得到保护。这就需要在技术上给以保证。目前的隐私保护方法主要有位置伪装、时空匿名、空间加密等。

（3）安全路由协议

物联网的路由要跨越多类网络，有基于IP地址的互联网路由协议、有基于标识的移动通信网和传感网的路由算法，因此，至少要解决两个问题：一是多网融合的路由问题；二是传感网的路由问题。前者可以考虑将身份标识映射成类似的IP地址，实现基于地址的统一路由体系；后者是由于传感网的计算资源的局限性和易受到攻击的特点，要设计抗攻击的安全路由算法。(www.xing528.com)

目前，国内外学者提出了多种无线传感器网络路由协议，这些路由协议最初的设计目标通常是以最小的通信、计算、存储开销完成节点间数据传输，但是这些路由协议大都没有考虑到安全问题。实际上由于无线传感器节点电量有限、计算能力有限、存储容量有限及部署野外等特点，使得它极易受到各类攻击。

无线传感器网络路由协议常受到的攻击主要有以下几类：虚假路由信息攻击、选择性转发攻击、污水池攻击、女巫攻击、虫洞攻击、Hello洪泛攻击、确认攻击等。针对无线传感器网络中数据传送的特点，目前已提出许多较为有效的路由技术。按路由算法的实现方法划分，有洪泛式路由，如Gossiping等；以数据为中心的路由，如Directed Diffusion、SPIN等；层次式路由，如LEACH、TEEN等；基于位置信息的路由，如GPSR、GEAR等。

（4）认证与访问控制

认证指使用者采用某种方式来证明自己确实是自己宣称的某人，网络中的认证主要包括身份认证和消息认证。身份认证可以使通信双方确信对方的身份并交换会话密钥。保密性和及时性是认证的密钥交换中两个重要的问题。为了防止假冒和会话密钥的泄密，用户标识和会话密钥这样的重要信息必须以密文的形式传送，这就需要事先已有能用于这一目的的主密钥或公钥。因为可能存在消息重放，所以及时性非常重要。在最坏的情况下，攻击者可以利用重放攻击威胁会话密钥或者成功假冒另一方。

消息认证中主要是接收方希望能够保证其接收的消息确实来自真正的发送方。有时收发双方不同时在线，如电子邮件系统，电子邮件消息发送到接收方的电子邮箱中，并一直存放在邮箱中直至接收方读取为止。广播认证是一种特殊的消息认证形式，在广播认证中一方广播的消息被多方认证。

传统的认证是区分不同层次的。网络层的认证就负责网络层的身份鉴别，业务层的认证就负责业务层的身份鉴别，两者独立存在。但是在物联网中，业务应用与网络通信紧紧地绑在一起，认证有其特殊性。例如，当物联网的业务由运营商提供时，那么就可以充分利用网络层认证的结果而不需要进行业务层的认证；或者当业务是敏感业务时，如金融类业务，一般业务提供者会不信任网络层的安全级别，而使用更高级别的安全保护，那么这个时候就需要做业务层的认证；而当业务是普通业务时，如气温采集业务等，业务提供者认为网络认证已经足够，那么就不再需要业务层的认证。

在物联网的认证过程中，传感网的认证机制是重要的研究部分，无线传感器网络中的认证技术主要包括基于轻量级公钥的认证技术、预共享密钥的认证技术、随机密钥预分布的认证技术、利用辅助信息的认证、基于单向散列函数的认证等。

访问控制是对用户合法使用资源的认证和控制，目前信息系统的访问控制主要是基于角色的访问控制（Role-Based Access Control，RBAC）及其扩展模型。RBAC机制主要由Sandhu于1996年提出的基本模型RBAC96构成，一个用户先由系统分配一个角色，如管理员、普通用户等；登录系统后，根据用户的角色所设置的访问策略实现对资源的访问。显然，同样的角色可以访问同样的资源。RBAC机制是基于互联网的OA系统、银行系统、网上商店等系统的访问控制方法，是基于用户的。对物联网而言，末端是感知网络，可能是一个感知节点或一个物体，采用用户角色的形式进行资源的控制显得不够灵活其原因有三方面：一是基于角色的访问控制在分布式的网络环境中已呈现出不相适应的地方，如对具有时间约束资源的访问控制，而访问控制的多层次适应性等方面还需要进一步探讨；二是节点不是用户，是各类传感器或其他设备，且种类繁多，基于角色的访问控制机制中角色类型无法一一对应这些节点，因此使RBAC机制的难于实现；三是物联网表现的是信息的感知互动过程，包含了信息的处理、决策和控制等过程，特别是反向控制是物物互联的特征之一，资源的访问呈现动态性和多层次性，而RBAC机制中一旦用户被指定为某种角色，其可访问资源就相对固定了。所以，寻求新的访问控制机制是物联网，也是互联网值得研究的问题。

基于属性的访问控制（Attribute-Based Access Control，ABAC）是近几年研究的热点，如果将角色映射成用户的属性，可以构成ABAC与RBAC的对等关系，而属性的增加相对简单，同时基于属性的加密算法可以使ABAC得以实现。ABAC方法的问题是对较少的属性来说的，其加密、解密的效率较高，但随着属性数量的增加，加密的密文长度增加，使算法的实用性受到限制。目前，它有两个发展方向：基于密钥策略和基于密文策略。其目标就是改善基于属性的加密算法的性能。

（5）入侵检测与容侵容错技术

容侵就是指在网络中存在恶意入侵的情况下，网络仍然能够正常地运行。无线传感器网络的安全隐患在于网络部署区域的开放特性及无线网络的广播特性，攻击者往往利用这两个特性，通过阻碍网络中节点的正常工作，进而破坏整个传感器网络的运行，降低网络的可用性。无人值守的恶劣环境导致无线传感器网络缺少传统网络的物理上的安全特征，传感器节点很容易被攻击者俘获、毁坏或妥协。现阶段无线传感器网络的容侵技术主要集中于网络的拓扑容侵、安全路由容侵及数据传输过程中的容侵机制。

无线传感器网络可用性的另一个要求是网络的容错性。一般意义上的容错性是指，在故障存在的情况下系统不失效、仍然能够正常工作的特性。无线传感器网络的容错性指的是，当部分节点或链路失效后，网络能够进行传输数据的恢复或者网络结构自愈，从而尽可能减小节点或链路失效对无线传感器网络功能的影响。由于传感器节点在能量、存储空间、计算能力和通信带宽等诸多方面都受限，而且通常工作在恶劣的环境，网络中的传感器节点经常会出现失效的状况。因此，容错性成为无线传感器网络设计的一个重要因素，容错技术也是无线传感器网络研究的一个重要领域。

（6）决策与控制安全

物联网的数据是双向流动的信息流。数据的处理包括两个方面：一是从感知端采集物理世界的各种信息，经过处理，存储在网络的数据库中；二是根据用户的需求，进行数据的挖掘、决策和控制，实现与物理世界中任何互联物体的互动。在数据采集处理中，本书讨论了相关的隐私性等安全问题；而决策控制又将涉及另一个安全问题，如可靠性等。前面讨论的认证和访问控制机制可以对用户进行认证，使合法的用户才能使用相关的数据，并对系统进行控制操作，但问题是如何保证决策和控制的正确性和可靠性。

在传统的无线传感器网络中，由于侧重对感知端的信息获取，对决策控制的安全考虑不多，互联网的应用也是侧重信息的获取与挖掘，较少应用对第三方的控制。而物联网中对物体的控制将是重要的组成部分，需要进一步更深入的研究。