【實(shí)例1】2015年一場(chǎng)風(fēng)波降臨在與互聯(lián)網(wǎng)相連接的嬰兒監(jiān)視器的最新產(chǎn)品上，最終該產(chǎn)品被納入智能設(shè)備安全調(diào)查的名列中。究其原因，這款產(chǎn)品在使用過(guò)程中會(huì)很容易地被黑客入侵及攻擊。黑客入侵嬰兒監(jiān)視器偷窺嬰兒的同時(shí)，還會(huì)在深夜里對(duì)其大喊大叫。這無(wú)疑惹惱了愛(ài)子的父母?jìng)?，從而引發(fā)了激烈地抗議?！緦?shí)例2】案件起因：黑客攻擊了安全攝像頭生產(chǎn)商TrendNet的官方網(wǎng)站，并把700多位消費(fèi)者使用家庭安全攝像頭拍攝的視頻發(fā)布在互聯(lián)網(wǎng)上。5.1從案例說(shuō)起物聯(lián)網(wǎng)安全與互聯(lián)網(wǎng)不同，物聯(lián)網(wǎng)的特點(diǎn)在于無(wú)處不在的數(shù)據(jù)感知、以無(wú)線為主的信息傳輸、智能化的信息處理。從物聯(lián)網(wǎng)的整個(gè)信息處理過(guò)程來(lái)看，感知信息經(jīng)過(guò)采集、匯聚、融合、傳輸、決策與控制等過(guò)程，體現(xiàn)了與傳統(tǒng)的網(wǎng)絡(luò)安全不同的特點(diǎn)。5.2物聯(lián)網(wǎng)安全的特點(diǎn)（1）物聯(lián)網(wǎng)的設(shè)備、節(jié)點(diǎn)等無(wú)人看管，容易受到操縱和破壞。（2）信息傳輸主要靠無(wú)線通信方式，信號(hào)容易被竊取和干擾。（3）出于低成本的考慮，傳感器節(jié)點(diǎn)通常是資源受限的。（4）物聯(lián)網(wǎng)中物品的信息能夠被自動(dòng)地獲取和傳送。1.影響物聯(lián)網(wǎng)安全的因素物聯(lián)網(wǎng)安全的總體需求是物理安全、信息采集的安全、信息傳輸?shù)陌踩托畔⑻幚淼陌踩罱K目標(biāo)是要確保信息的機(jī)密性、完整性、真實(shí)性和網(wǎng)絡(luò)的容錯(cuò)性。物聯(lián)網(wǎng)的安全性要求物聯(lián)網(wǎng)中的設(shè)備自己必須是安全可靠的，不僅要可靠地完成設(shè)計(jì)規(guī)定的功能，更不能發(fā)生故障危害到人員或者其他設(shè)備的安全；另一方面，它們必須要能力防護(hù)自己，在遭受黑客攻擊和外力破壞的時(shí)候仍然能夠正常工作。物聯(lián)網(wǎng)的信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，需要從政策引導(dǎo)、標(biāo)準(zhǔn)制定、技術(shù)研發(fā)等多個(gè)方面向前推進(jìn)，提出堅(jiān)實(shí)的信息安全保障手段，保障物聯(lián)網(wǎng)健康、快速地發(fā)展。2.物聯(lián)網(wǎng)的安全要求及安全建設(shè)5.3物聯(lián)網(wǎng)安全層次RFID、二維碼、傳感器、紅外感應(yīng)等應(yīng)用層處理層傳輸層感知層智能交通、環(huán)境監(jiān)測(cè)、內(nèi)容服務(wù)等數(shù)據(jù)挖掘、智能計(jì)算、并行計(jì)算、云計(jì)算等WiMAX、GSM、3G通信網(wǎng)、衛(wèi)星網(wǎng)、互聯(lián)網(wǎng)等網(wǎng)絡(luò)管理與安全感知層的任務(wù)是全面感知外界信息，或者說(shuō)是原始信息收集器。該層的典型設(shè)備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS）、激光掃描儀等。這些設(shè)備收集的信息通常具有明確的應(yīng)用目的，因此傳統(tǒng)上這些信息直接被處理并應(yīng)用，例如，公路攝像頭捕捉的圖像信息直接用于交通監(jiān)控。但是在物聯(lián)網(wǎng)應(yīng)用中，多種類型的感知信息可能會(huì)同時(shí)處理、綜合利用，甚至不同感應(yīng)信息的結(jié)果將影響其他控制調(diào)節(jié)行為，例如，濕度的感應(yīng)結(jié)果可能會(huì)影響到溫度或光照控制的調(diào)節(jié)。同時(shí)，物聯(lián)網(wǎng)應(yīng)用強(qiáng)調(diào)的是信息共享，這是物聯(lián)網(wǎng)區(qū)別于傳感網(wǎng)的最大特點(diǎn)之一。比如交通監(jiān)控錄像信息可能還同時(shí)被用于公安偵破、城市改造規(guī)劃設(shè)計(jì)、城市環(huán)境監(jiān)測(cè)等。于是，如何處理這些感知信息將直接影響到信息的有效應(yīng)用。為了使同樣的信息被不同應(yīng)用領(lǐng)域有效使用，應(yīng)該有綜合處理平臺(tái)，這就是物聯(lián)網(wǎng)的智能處理層，因此這些感知信息需要傳輸?shù)揭粋€(gè)處理平臺(tái)。感知信息要通過(guò)一個(gè)或多個(gè)與外界網(wǎng)連接的傳感節(jié)點(diǎn)，稱之為網(wǎng)關(guān)節(jié)點(diǎn)（sink或gateway），所有與傳感網(wǎng)內(nèi)部節(jié)點(diǎn)的通信都需要經(jīng)過(guò)網(wǎng)關(guān)節(jié)點(diǎn)與外界聯(lián)系，因此在物聯(lián)網(wǎng)的傳感層，我們只需要考慮傳感網(wǎng)本身的安全性即可。1.感知層的安全需求和安全框架1）傳感網(wǎng)的網(wǎng)關(guān)節(jié)點(diǎn)被敵手控制——安全性全部丟失。2）傳感網(wǎng)的普通節(jié)點(diǎn)被敵手控制（敵手掌握節(jié)點(diǎn)密鑰）。3）傳感網(wǎng)的普通節(jié)點(diǎn)被敵手捕獲（但由于沒(méi)有得到節(jié)點(diǎn)密鑰，而沒(méi)有被控制）。4）傳感網(wǎng)的節(jié)點(diǎn)（普通節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)）受來(lái)自于網(wǎng)絡(luò)的DOS攻擊。5）接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點(diǎn)的標(biāo)識(shí)、識(shí)別、認(rèn)證和控制問(wèn)題。（1）感知層的安全挑戰(zhàn)1）機(jī)密性：多數(shù)傳感網(wǎng)內(nèi)部不需要認(rèn)證和密鑰管理，如統(tǒng)一部署的共享一個(gè)密鑰的傳感網(wǎng)。2）密鑰協(xié)商：部分傳感網(wǎng)內(nèi)部節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸前需要預(yù)先協(xié)商會(huì)話密鑰。3）節(jié)點(diǎn)認(rèn)證：個(gè)別傳感網(wǎng)（特別當(dāng)傳感數(shù)據(jù)共享時(shí)）需要節(jié)點(diǎn)認(rèn)證，確保非法節(jié)點(diǎn)不能接入。4）信譽(yù)評(píng)估：一些重要傳感網(wǎng)需要對(duì)可能被敵手控制的節(jié)點(diǎn)行為進(jìn)行評(píng)估，以降低敵手入侵后的危害（某種程度上相當(dāng)于入侵檢測(cè)）。5）安全路由：幾乎所有傳感網(wǎng)內(nèi)部都需要不同的安全路由技術(shù)。（2）感知層的安全需求1）加強(qiáng)對(duì)傳感網(wǎng)機(jī)密性的安全控制。在傳感網(wǎng)內(nèi)部，需要有效的密鑰管理機(jī)制，用于保障傳感網(wǎng)內(nèi)部通信的安全，機(jī)密性需要在通信時(shí)建立一個(gè)臨時(shí)會(huì)話密鑰，確保數(shù)據(jù)安全。例如，在物聯(lián)網(wǎng)構(gòu)建中選擇射頻識(shí)別系統(tǒng)，應(yīng)該根據(jù)實(shí)際需求考慮是否選擇有密碼和認(rèn)證功能的系統(tǒng)。2）加強(qiáng)節(jié)點(diǎn)認(rèn)證。個(gè)別傳感網(wǎng)（特別當(dāng)傳感數(shù)據(jù)共享時(shí)）需要節(jié)點(diǎn)認(rèn)證，確保非法節(jié)點(diǎn)不能接入。認(rèn)證性可以通過(guò)對(duì)稱密碼或非對(duì)稱密碼方案解決。使用對(duì)稱密碼的認(rèn)證方案需要預(yù)置節(jié)點(diǎn)間的共享密鑰，在效率上比較高，消耗網(wǎng)絡(luò)節(jié)點(diǎn)的資源較少，許多傳感網(wǎng)都選用此方案；而使用非對(duì)稱密碼技術(shù)的傳感網(wǎng)一般具有較好的計(jì)算和通信能力，并且對(duì)安全性要求更高。在認(rèn)證的基礎(chǔ)上完成密鑰協(xié)商是建立會(huì)話密鑰的必要步驟。3）加強(qiáng)入侵監(jiān)測(cè)。一些重要傳感網(wǎng)需要對(duì)可能被敵手控制的節(jié)點(diǎn)行為進(jìn)行評(píng)估，以降低敵手入侵后的危害。敏感場(chǎng)合，節(jié)點(diǎn)要設(shè)置封鎖或自毀程序，發(fā)現(xiàn)節(jié)點(diǎn)離開(kāi)特定應(yīng)用和場(chǎng)所，啟動(dòng)封鎖或自毀，使攻擊者無(wú)法完成對(duì)節(jié)點(diǎn)的分析。4）加強(qiáng)對(duì)傳感網(wǎng)的安全路由控制。（3）感知層的安全防護(hù)物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理，即傳輸層主要是網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)和一些專業(yè)網(wǎng)（如國(guó)家電力專用網(wǎng)、廣播電視網(wǎng)）等。在信息傳輸過(guò)程中，可能經(jīng)過(guò)一個(gè)或多個(gè)不同架構(gòu)的網(wǎng)絡(luò)進(jìn)行信息交接。例如，普通電話座機(jī)與手機(jī)之間的通話就是一個(gè)典型的跨網(wǎng)絡(luò)架構(gòu)的信息傳輸。在信息傳輸過(guò)程中跨網(wǎng)絡(luò)傳輸是很正常的，在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，而且很可能在正常而普通的事件中產(chǎn)生信息安全隱患。2.傳輸層的安全需求和安全框架網(wǎng)絡(luò)環(huán)境目前遇到前所未有的安全挑戰(zhàn)，而物聯(lián)網(wǎng)傳輸層所處的網(wǎng)絡(luò)環(huán)境也存在安全挑戰(zhàn)，甚至是更高的挑戰(zhàn)。同時(shí)，由于不同架構(gòu)的網(wǎng)絡(luò)需要相互連通，因此在跨網(wǎng)絡(luò)架構(gòu)的安全認(rèn)證等方面會(huì)面臨更大挑戰(zhàn)。物聯(lián)網(wǎng)傳輸層的安全問(wèn)題主要存在以下方面：1）DOS攻擊、DDOS攻擊。2）假冒攻擊、中間人攻擊等。3）跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。（1）傳輸層的安全挑戰(zhàn)1）數(shù)據(jù)機(jī)密性：需要保證數(shù)據(jù)在傳輸過(guò)程中不泄露其內(nèi)容。2）數(shù)據(jù)完整性：需要保證數(shù)據(jù)在傳輸過(guò)程中不被非法篡改，或非法篡改的數(shù)據(jù)容易被檢測(cè)出。3）數(shù)據(jù)流機(jī)密性：某些應(yīng)用場(chǎng)景需要對(duì)數(shù)據(jù)流量信息進(jìn)行保密，目前只能提供有限的數(shù)據(jù)流機(jī)密性。4）DDOS攻擊的檢測(cè)與預(yù)防：DDOS攻擊是網(wǎng)絡(luò)中最常見(jiàn)的攻擊現(xiàn)象，在物聯(lián)網(wǎng)中將會(huì)更突出。物聯(lián)網(wǎng)中需要解決的問(wèn)題還包括如何對(duì)脆弱節(jié)點(diǎn)的DDOS攻擊進(jìn)行防護(hù)。5）移動(dòng)網(wǎng)中認(rèn)證與密鑰協(xié)商（AKA）機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證。（2）傳輸層的安全需求傳輸層的安全機(jī)制可分為端到端機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性。1）對(duì)于端到端機(jī)密性，需要建立的安全機(jī)制為：端到端認(rèn)證機(jī)制、端到端密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法選取機(jī)制等。在這些安全機(jī)制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務(wù)。2）對(duì)于節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性，需要節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點(diǎn)考慮效率因素。機(jī)密性算法的選取和數(shù)據(jù)完整性服務(wù)，可以根據(jù)需求選取或省略?？紤]到跨網(wǎng)絡(luò)架構(gòu)的安全需求，需要建立不同網(wǎng)絡(luò)環(huán)境的認(rèn)證銜接機(jī)制。另外，根據(jù)應(yīng)用層的不同需求，網(wǎng)絡(luò)傳輸模式可能區(qū)分為單播通信、組播通信和廣播通信，針對(duì)不同類型的通信模式也應(yīng)該有相應(yīng)的認(rèn)證機(jī)制和機(jī)密性保護(hù)機(jī)制。簡(jiǎn)言之，傳輸層的安全防護(hù)主要包括以下幾個(gè)方面：1）節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、數(shù)據(jù)流機(jī)密性、DDOS攻擊的檢測(cè)與預(yù)防。2）移動(dòng)網(wǎng)中AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證。3）相應(yīng)密碼技術(shù)。密鑰管理（密鑰基礎(chǔ)設(shè)施PKI和密鑰協(xié)商）、端對(duì)端加密和節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密、密碼算法和協(xié)議等。4）組播和廣播通信的認(rèn)證性、機(jī)密性和完整性安全機(jī)制。（3）傳輸層的安全防護(hù)處理層是信息到達(dá)智能處理平臺(tái)的處理過(guò)程，包括如何從網(wǎng)絡(luò)中接收信息。在從網(wǎng)絡(luò)中接收信息的過(guò)程中，需要判斷哪些信息是真正有用的信息，哪些是垃圾信息甚至是惡意信息。在來(lái)自于網(wǎng)絡(luò)的信息中，有些屬于一般性數(shù)據(jù)，用于某些應(yīng)用過(guò)程的輸入，而有些可能是操作指令。在這些操作指令中，又有一些可能是多種原因造成的錯(cuò)誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡(luò)傳輸錯(cuò)誤、得到惡意修改等），或者是攻擊者的惡意指令。如何通過(guò)密碼技術(shù)等手段甄別出真正有用的信息，又如何識(shí)別并有效防范惡意信息和指令帶來(lái)的威脅是物聯(lián)網(wǎng)處理層的重大安全挑戰(zhàn)。3.處理層的安全需求和安全框架1）來(lái)自超大量終端的海量數(shù)據(jù)的識(shí)別和處理。2）智能變?yōu)榈湍堋?）自動(dòng)變?yōu)槭Э兀煽匦允切畔踩闹匾笜?biāo)之一）。4）災(zāi)難控制和恢復(fù)。5）非法人為干預(yù)（內(nèi)部攻擊）。6）設(shè)備（特別是移動(dòng)設(shè)備）的丟失。（1）處理層的安全挑戰(zhàn)1）物聯(lián)網(wǎng)時(shí)代需要處理的信息是海量的，需要處理的平臺(tái)也是分布式的。2）計(jì)算技術(shù)的智能處理過(guò)程較人類的智力來(lái)說(shuō)還是有本質(zhì)的區(qū)別，但計(jì)算機(jī)的智能判斷在速度上是人類智力判斷所無(wú)法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。3）如果智能水平很高，那么可以有效識(shí)別并自動(dòng)處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因?yàn)樽詣?dòng)處理過(guò)程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。4）在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災(zāi)難中恢復(fù)到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問(wèn)題，也是一個(gè)重大挑戰(zhàn)，因?yàn)樵诩夹g(shù)上沒(méi)有最好，只有更好。5）智能處理層雖然使用智能的自動(dòng)處理手段，但還是允許人為干預(yù)，而且是必須的。6）智能處理平臺(tái)的大小不同，大的可以是高性能工作站，小的可以是移動(dòng)設(shè)備，如手機(jī)等。工作站的威脅是內(nèi)部人員惡意操作，而移動(dòng)設(shè)備的一個(gè)重大威脅是丟失。由于移動(dòng)設(shè)備不僅是信息處理平臺(tái)，而且其本身通常攜帶大量重要機(jī)密信息，因此，如何降低作為處理平臺(tái)的移動(dòng)設(shè)備丟失所造成的損失是重要的安全挑戰(zhàn)之一。（2）處理層的安全需求1）可靠的認(rèn)證機(jī)制和密鑰管理方案。2）高強(qiáng)度數(shù)據(jù)機(jī)密性和完整性服務(wù)。3）可靠的密鑰管理機(jī)制，包括PKI和對(duì)稱密鑰的有機(jī)結(jié)合機(jī)制。4）可靠的高智能處理手段。5）入侵檢測(cè)和病毒檢測(cè)。6）惡意指令分析和預(yù)防，訪問(wèn)控制及災(zāi)難恢復(fù)機(jī)制。7）保密日志跟蹤和行為分析，惡意行為模型的建立。8）密文查詢、秘密數(shù)據(jù)挖掘、安全多方計(jì)算、安全云計(jì)算技術(shù)等。9）移動(dòng)設(shè)備文件（包括秘密文件）的可備份和恢復(fù)。10）移動(dòng)設(shè)備識(shí)別、定位和追蹤機(jī)制。（3）處理層的安全防護(hù)應(yīng)用層設(shè)計(jì)的是綜合的或有個(gè)體特性的具體應(yīng)用業(yè)務(wù)，它所涉及的某些安全問(wèn)題通過(guò)前面幾個(gè)邏輯層的安全解決方案可能仍然無(wú)法解決。在這些問(wèn)題中，隱私保護(hù)就是典型的一種。無(wú)論感知層、傳輸層還是處理層，都不涉及隱私保護(hù)的問(wèn)題，但它卻是一些特殊應(yīng)用場(chǎng)景的實(shí)際需求，即應(yīng)用層的特殊安全需求。物聯(lián)網(wǎng)的數(shù)據(jù)共享有多種情況，涉及到不同權(quán)限的數(shù)據(jù)訪問(wèn)。此外，在應(yīng)用層還涉及到知識(shí)產(chǎn)權(quán)保護(hù)、計(jì)算機(jī)取證、計(jì)算機(jī)數(shù)據(jù)銷毀等安全需求和相應(yīng)技術(shù)。4.應(yīng)用層的安全需求和安全框架1）如何根據(jù)不同訪問(wèn)權(quán)限對(duì)同一數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行篩選。2）如何提供用戶隱私信息保護(hù)，同時(shí)又能正確認(rèn)證。3）如何解決信息泄露追蹤問(wèn)題。4）如何進(jìn)行計(jì)算機(jī)取證。5）如何銷毀計(jì)算機(jī)數(shù)據(jù)。6）如何保護(hù)電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)。（1）應(yīng)用層的安全挑戰(zhàn)1）由于物聯(lián)網(wǎng)需要根據(jù)不同應(yīng)用需求對(duì)共享數(shù)據(jù)分配不同的訪問(wèn)權(quán)限，而且不同權(quán)限訪問(wèn)同一數(shù)據(jù)可能得到不同的結(jié)果。2）隨著個(gè)人和商業(yè)信息的網(wǎng)絡(luò)化，越來(lái)越多的信息被認(rèn)為是用戶隱私信息。需要隱私保護(hù)的應(yīng)用至少包括以下幾種：a.移動(dòng)用戶既需要知道（或被合法知道）其位置信息，又不愿意非法用戶獲取該信息；b.用戶既需要證明自己合法使用某種業(yè)務(wù)，又不想讓他人知道自己在使用某種業(yè)務(wù)，如在線游戲；c.病人急救時(shí)需要及時(shí)獲得該病人的電子病歷信息，但又要保護(hù)該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實(shí)上，電子病歷數(shù)據(jù)庫(kù)的管理人員可能有機(jī)會(huì)獲得電子病歷的內(nèi)容，但隱私保護(hù)采用某種管理和技術(shù)手段，使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫(kù)中無(wú)關(guān)聯(lián)；d.許多業(yè)務(wù)需要匿名性，如網(wǎng)絡(luò)投票。3）很多情況下，用戶信息是認(rèn)證過(guò)程的必須信息，如何對(duì)這些信息提供隱私保護(hù)，是一個(gè)具有挑戰(zhàn)性的問(wèn)題，但又是必須要解決的問(wèn)題。4）在使用互聯(lián)網(wǎng)的商業(yè)活動(dòng)中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動(dòng)中，無(wú)論采取了什么技術(shù)措施，都難免惡意行為的發(fā)生。5）與計(jì)算機(jī)取證相對(duì)應(yīng)的是數(shù)據(jù)銷毀。數(shù)據(jù)銷毀的目的是銷毀那些在密碼算法或密碼協(xié)議實(shí)施過(guò)程中所產(chǎn)生的臨時(shí)中間變量，一旦密碼算法或密碼協(xié)議實(shí)施完畢，這些中間變量將不再有用。6）物聯(lián)網(wǎng)的主要市場(chǎng)將是商業(yè)應(yīng)用，在商業(yè)應(yīng)用中存在大量需要保護(hù)的知識(shí)產(chǎn)權(quán)產(chǎn)品，包括電子產(chǎn)品和軟件等。（2）應(yīng)用層的安全需求（1）教育。讓用戶意識(shí)到信息安全的重要性，以及如何正確使用