2.4 物联网安全体系结构
物联网安全体系结构如图2-1所示。从图2-1中可以看出,物联网安全需要对物联网的各个层次进行有效的安全保障,并且还要能够对各个层次的安全防护手段进行统一的管理和控制。
图2-1 物联网安全体系结构
感知层、网络层、应用层的防护机制既有区别又相互联系,应该形成协同防护的机制。
2.4.1 感知层安全
感知层安全主要分为设备物理安全和信息安全两类。由于物理安全的特殊性,因此本书将重点讨论感知层的信息安全。
在感知层,成千上万的传感器节点、RFID读卡器部署在目标区域收集环境信息。由于传感器节点受到自身能量、计算能力和通信能力的限制,因此需要相互协作来完成任务,如组内传感器节点相互协作收集、处理数据,同时通过多跳方式传递信息给基站或基站发送控制信息给传感器节点。在很多情况下,传感器节点之间传递信息是敏感的,不应该被未授权的第三方获得。因此,传感器网络应用需要安全的通信机制。
任何安全通信机制都需要密码机制提供点对点的安全通信服务,而在传感器网络中应用对称密钥体制必须有相应的密钥管理方案作为支撑。密钥管理是传递数据信息加密技术的重要一环,它处理密钥从生成到销毁的整个生命周期的有关问题,涉及系统的初始化、密钥的生成、存储、备份恢复、装入、验证、传递、保管、使用、分配、保护、更新、控制、丢失、吊销和销毁等多方面的内容,它涵盖了密钥的整个生命周期,是整个加密系统中最薄弱的环节,密钥的泄密将直接导致明文内容的泄密。因此感知层需要通过密钥管理来保障传感器的安全。
传感器网络内部的安全路由、连通性解决方案等都可以相对独立地使用。由于传感器网络类型的多样性,因此很难统一要求有哪些安全服务,但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥;而认证性可以通过对称密码或非对称密码方案解决。使用对称密码的认证方案需要预置节点间的共享密钥,在效率上也比较高,消耗网络节点的资源较少,许多传感网都选用此方案;而使用非对称密码技术的传感网一般具有较好的计算和通信能力,并且对安全性要求更高。在认证的基础上完成密钥协商是建立会话密钥的必要步骤。
在感知层中主要通过各种安全服务和各类安全模块为传感层提供各种安全机制,对某个具体的传感器网络可以选择不同的安全机制来满足其安全需求。因为传感器网络的应用领域非常广,所以不同的应用对安全的需求也不相同。在金融和民用系统中,对于信息的窃听和篡改比较敏感;而对于军事或商业应用领域,除信息可靠性之外,还需要对被俘节点、异构节点入侵的抵抗力进行充分考虑。所以不同的应用,其安全性标准是不同的。在普通网络中,安全目标往往包括数据的保密性、完整性及认证性三方面,但是由于无线传感器网络节点的特殊性及其应用环境的特殊性,其安全目标及重要程度略有不同,感知层安全可以提供以下安全服务。
1.保密性
保密性是无线传感器网络军事应用中的重要目标。在民用系统中,除了部分隐私信息(如屋内是否有人居住、人员居住在哪些房间等信息需要保密),很多探测(温度探测)或警报信息(火警警报)并不需要保密。
2.完整性
完整性是无线传感器网络安全最基本的需求和目标。虽然很多信息不需要保密,但是这些信息必须保证没有被篡改。完整性目标能杜绝虚假警报的发生。
3.鉴别和认证
对于无线传感器网络,组通信是经常使用的通信模式,如基站与传感器节点间的通信使用的就是组通信。对于组通信,源端认证是非常重要的安全需求和目标。
4.可用性
可用性也是无线传感器网络安全的基本需求和目标。可用性是指安全协议高效可靠,不会给节点带来过多的负载导致节点过早消耗完有限的电能。
5.容错性
容错与安全相关,也可以称为是可用性的一个方面。当一部分节点失效或出现安全问题时,必须保证整个无线传感器网络的正确和安全运行。
6.不可否认性
在某些应用中,不可否认也是无线传感器网络安全的重要安全目标。利用不可否认性,节点发送过的信息可以作为证据,证明节点是否具有恶意或进行了不符合协议的操作。但是,由于传感器的计算能力很弱,因此该不可否认性不能通过传统的非对称密钥的方式来完成。
7.扩展性
传感器网络中节点数量多,分布范围广,实际情况的变化可能会影响传感器网络的部署。同时,节点经常加入或失效也会使网络的拓扑结构不断发生变化。传感器网络的可扩展性表现在传感器节点数量、网络覆盖区域、生命周期、感知精度等方面的可扩展性级别。因此,给定传感器网络的可扩展性级别,安全保障机制必须提供支持该可扩展性级别的安全机制和算法,从而使传感器网络保持正常运行。
在传感器网络基站和节点之间通过加/解密及认证技术保护信息安全,密码学技术可以保持整个网络信息的真实性、保密性和完整性。然而,当网络中一个节点或更多节点被妥协时,许多基于密码学技术的算法的安全性将会降低。由于这些妥协的节点此时拥有一些密钥,其他节点不知道它们被妥协,把它们作为合法的节点,因此,之前的安全防护措施很可能不起作用。在此情况下,感知层也需要入侵检测机制。
2.4.2 网络层安全
在网络出现以后,网络的安全问题逐渐成为大家关注的焦点,加/解密技术、防火墙技术、安全路由器技术都很快发展起来。因为网络环境变得越来越复杂,攻击者的知识越来越丰富,他们采用的攻击手法也越来越高明、隐蔽,所以对于入侵和攻击的检测防范难度在不断加大。网络层的安全机制可分为端到端机密性和节点到节点机密性。对于端到端机密性,需要建立的安全机制有端到端认证机制、端到端密钥协商机制、密钥管理机制和机密性算法选取机制等。在这些安全机制中,根据需要可以增加数据完整性服务。对于节点到节点机密性,需要节点间的认证和密钥协商协议,这类协议要重点考虑效率因素。机密性算法的选取和数据完整性服务则可以根据需求选取或省略。考虑到跨网络架构的安全需求,需要建立不同网络环境的认证衔接机制。
综合来说,网络层安全防护主要涉及如下安全机制。
(1)加密机制。加密机制用于保证通信过程中信息的机密性,采用加密算法对数据或通信业务流进行加密。它可以单独使用,也可以与其他机制结合起来使用。加密算法可分为对称密钥系统和非对称密钥系统。
(2)数字签名机制。数字签名机制用于保证通信过程中操作的不可否认性,发送者在报文中附加使用自己私钥加密的签名信息,接收者使用签名者的公钥对签名信息进行验证。
(3)数据完整性机制。数据完整性机制用于保证通信过程中信息的完整性,发送者在报文中附加使用单向散列算法加密的认证信息,接收者对认证信息进行验证。使用单向散列算法加密的认证信息具有不可逆向恢复的单向性。
(4)实体认证机制。实体认证机制用于保证实体身份的真实性,通信双方相互交换实体的特征信息来声明实体的身份,如口令、证书及生物特征等。
(5)访问控制机制。访问控制机制用于控制实体对系统资源的访问,根据实体的身份及有关属性信息确定该实体对系统资源的访问权,访问控制机制一般分为自主访问控制和强制访问控制。
(6)信息过滤机制。信息过滤机制用于控制有害信息流入网络,根据安全规则允许或禁止某些信息流入网络,防止有害信息对网络系统的入侵和破坏。
(7)路由控制机制。路由控制机制用于控制报文的转发路由,根据报文中的安全标签来确定报文的转发路由,防止将敏感报文转发到某些网段或子网,被攻击者窃听和获取。
(8)公证机制。公证机制是由第三方参与的数字签名机制,通过双方都信任的第三方的公证来保证双方操作的不可否认性。
(9)主动防御。主动式动态网络安全防御是指在动态网络中,直接对网络信息进行监控,并能够完成吸引网络攻击蜜罐网络,牵制和转移黑客对真正业务往来的攻击,并对数据传输进行控制,对捕获的网络流数据进行分析,获取黑客入侵手段,依据一定的规则或方法对网络入侵进行取证,对攻击源进行跟踪回溯。
(10)节点认证、数据机密性、完整性、数据流机密性、DDoS攻击的检测与预防。
(11)移动网中AKA机制的一致性或兼容性、跨域认证和跨网络认证(基于IMSI)。
(12)相应密码技术。相应密码技术有密钥管理(密钥基础设施PKI和密钥协商)、端对端加密和节点对节点加密、密码算法和协议等。
(13)组播和广播通信的认证性、机密性和完整性安全机制。
2.4.3 应用层安全
物联网的应用层是物联网核心价值所在,物联网的应用层目前可见的典型应用包括3G视频监控、手机支付、智能交通(ITS)、汽车信息服务、GIS位置业务、智能电网等。由于数据量大,因此需要云计算、云存储等为应用层提供支撑。多样化的物联网应用面临各种各样的安全问题,除了传统的信息安全问题,云计算安全问题也是物联网的应用层所需要面对的。因此应用层需要一个强大而统一的安全管理平台,否则每个应用系统各自建立各自的应用安全平台会割裂网络与应用平台之间的信任关系,导致新一轮安全问题的产生。
除了传统的访问控制、授权管理等安全防护手段,物联网的应用层还需要新的安全机制,如对个人隐私保护的安全需求等。
信息处理需要的安全机制如下。
(1)可靠的认证机制和密钥管理。
(2)高强度数据机密性和完整性服务。
(3)可靠的密钥管理机制,包括PKI和对称密钥的有机结合机制。
(4)可靠的高智能处理手段。
(5)入侵检测和病毒检测。
(6)恶意指令分析和预防,访问控制及灾难恢复机制。
(7)保密日志跟踪和行为分析,恶意行为模型的建立。
(8)密文查询、秘密数据挖掘、安全多方计算、安全云计算技术等。
(9)移动设备文件(包括秘密文件)的可备份和恢复。
(10)移动设备识别、定位和追踪机制。
信息应用需要的安全机制如下。
(1)有效的数据库访问控制和内容筛选机制。
(2)不同场景的隐私信息保护技术。
(3)叛逆追踪和其他信息泄露追踪机制。
(4)有效的计算机取证技术。
(5)安全的计算机数据销毁技术。
(6)安全的电子产品和软件的知识产权保护技术。