摘要:自上个世纪90年代物联网概念出现以来,越来越的人们对其产生兴趣。物联网是在计算机互联网的基础上,通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物体与互联网相连接,进行信息交换和通信,以实现对物体的智能化识别、定位、跟踪、监控和管理的一种网络。2009年被称为“物联网元年”,物联网在全球受到热捧,中国和美国等均把物联网的发展提到了国家级的战略高度,ICT行业为之沸腾,各大公司纷纷推出相关的计划和举措。随着物联网的发展,其面临的安全问题也越来越凸现出来,物联网安全问题正逐渐走进人们的视线。
关键字:物联网射频识别安全问题
Abstract:since90soflastcenturytheemergenceoftheconceptoftheInternetofthings,moreandmorepeopleinterestedinthem.InternetofThingsisthebasisofthecomputerthroughradiofrequencyidentification(RFID),infraredsensors,globalpositioningsystems,laserscannersandotherinformationsensingequipment,asagreedintheagreementandanyobjectsconnectedtotheInternet,theexchangeofinformationandcommunication,inordertoachievetheobjectoftheintelligentidentify,locate,track,monitorandmanageanetwork.2009isknownas"thefirstyearofthings,"thingsarefavorableintheworld,ChinaandtheUnitedStatesDengjuntothedevelopmentofthingsmentionedinthenationalstrategiclevel,ICTindustryworthboiling,companieshaveintroducedrelevantplansandinitiatives.Withthedevelopmentofthings,theirfacesstandoutmoreandmoresecurityproblems,securityproblemsaregraduallythingsintopeople'sattention.
Keywords:Internetofthingsradiofrequencyidentificationsecurityissues
引言:物联网(InternetofThings)指的是将无处不在的末端设备(Devices)和设施(Facilities),包括具备“内在智能”的传感器、移动终端、工业系统、楼控系统、家庭智能设施、视频监控系统等、和“外在使能”的,如贴上RFID的各种资产(Assets)、携带无线终端的个人与车辆等等“智能化物件或动物”或“智能尘埃”(Mote),通过各种无线和/或有线的长距离和/或短距离通讯网络实现互联互通(M2M)、应用大集成(GrandIntegration)、以及基于云计算的SaaS营运等模式,在内网(Intranet)、专网(Extranet)、和/或互联网(Internet)环境下,采用适当的信息安全保障机制,提供安全可控乃至个性化的实时在线监测、定位追溯、报警联动、调度指挥、预案管理、远程控制、安全防范、远程维保、在线升级、统计报表、决策支持、领导桌面(集中展示的CockpitDashboard)等管理和服务功能,实现对“万物”的“高效、节能、安全、环保”的“管、控、营”一体化。
和传统的互联网相比,物联网有其鲜明的特征。
首先,它是各种感知技术的广泛应用。物联网上部署了海量的多种类型传感器,每个传感器都是一个信息源,不同类别的传感器所捕获的信息内容和信息格式不同。传感器获得的数据具有实时性,按一定的频率周期性的采集环境信息,不断更新数据。
其次,它是一种建立在互联网上的泛在网络。物联网技术的重要基础和核心仍旧是互联网,通过各种有线和无线网络与互联网融合,将物体的信息实时准确地传递出去。在物联网上的传感器定时采集的信息需要通过网络传输,由于其数量极其庞大,形成了海量信息,在传输过程中,为了保障数据的正确性和及时性,必须适应各种异构网络和协议。
还有,物联网不仅仅提供了传感器的连接,其本身也具有智能处理的能力,能够对物体实施智能控制。物联网将传感器和智能处理相结合,利用云计算、模式识别等各种智能技术,扩充其应用领域。从传感器获得的海量信息中分析、加工和处理出有意义的数据,以适应不同用户的不同需求,发现新的应用领域和应用模式。
作为物联网发展的排头兵,射频识别技术(RadioFrequencyIdentification,简称RFID)成为了市场最为关注的技术。RFID是20世纪90年代开始兴起的一种自动识别技术,是目前比较先进的一种非接触识别技术。以简单RFID系统为基础,结合已有的网络技术、数据库技术、中间件技术等,构筑一个由大量联网的阅读器和无数移动的标签组成的,比Internet更为庞大的物联网成为RFID技术发展的趋势。
RFID是能够让物品“开口说话”的一种技术。在“物联网”的构想中,RFID标签中存储着规范而具有互用性的信息,通过无线数据通信网络把它们自动采集到中央信息系统,实现物品(商品)的识别,进而通过开放性的计算机网络实现信息交换和共享,实现对物品的“透明”管理。
在物联网中,射频识别技术是一个很重要的技术。在射频识别系统中,标签有可能预先被嵌入任何物品中,比如人们的日常生活物品中,但由于该物品(比如衣物)的拥有者,不一定能够觉察该物品预先已嵌入有电子标签以及自身可能不受控制地被扫描、定位和追踪,这势必会使个人的隐私问题受到侵犯。因此,如何确保标签物的拥有者个人隐私不受侵犯便成为射频识别技术以至物联网推广的关键问题。传感网的建设要求RFID标签预先被嵌入任何与人息息相关的物品中。可视人们在观念上似乎还不是很能接受自己周围的生活物品甚至包括自己时刻都处于一种被监控的状态,这直接导致嵌入标签势必会使个人的隐私权问题受到侵犯。因此,如何确保标签物的拥有者个人隐私不受侵犯便成为射频识别技术以至物联网推广的关键问题。而且如果一旦政府在这方面和国外的大型企业合作,如何确保企业商业信息,国家机密等不会泄露也至关重要。所以说在这一点上,物联网的发展不仅仅是一个技术问题,更有可能涉及到政治法律和国家安全问题。
正文:物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”保护的要求也更高,此外还有可信度问题,包括“防伪”和DoS侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度:读取控制,隐私保护,用户认证,不可抵赖性,数据保密性,通讯层安全,数据完整性,随时可用性。前4项主要处在物联网DCM三层架构的应用层,后4项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求,尤其在其初级和中级发展阶段。
传统的网络中,网络层的安全和业务层的安全是相互独立的,而物联网的特殊安全问题很大一部分是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性,如认证机制、加密机制等,但需要根据物联网的特征对安全机制进行调整和补充。这使得物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题,这些问题主要表现在以下几个方面:
(1)由于物联网在很多场合都需要无线传输,对这种暴露在公开场所之中的信号如果没做合适保护的话,很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。同时,由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器多数部署在无人监控的场景中,攻击者可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件因而物联网机器的本地安全问题也就显得日趋重要。
(2)核心网络的传输与信息安全问题。核心网络具有相对完整的安全保护能力,但是由干物联网中节点数量庞大,而且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人的通信角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。
(3)物联网业务的安全问题。由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,这使得如何对物联网机器的日志等安全信息进行管理成为新的问翘,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。
(4)RFID系统安全问题。RFID射频识别是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,可识别高速运动物体并可同时识别多个标签,识别工作无需人工干预,操作也非常方便。
而针对RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非授权使用。RFID的安全保护主要依赖于标签信息的加密,但目前的加密机制所提供的保护还能让人完全放心,RFID的加密并非绝对安全。一个RFID芯片如果设计不良或没有受到保护,还有很多手段可以获取芯片的结构和其中的数据。而且,单纯依赖RFID本身的技术特性也无法满足RFID系统安全要求。
根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些特殊的安全问题主要有以下几个方面。
(1)物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。
(2)感知网络的传输与信息安全问题。感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。
(3)核心网络的传输与信息安全问题。核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。
(4)物联网业务的安全问题。由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。
传统的网络中,网络层的安全和业务层的安全是相互独立的,就如同领导间的交流方式与秘书间的交流方式是不同的。而物联网的特殊安全问题很大一部分是由于物联网是在现有移动网络基础上集成了感知网络和应用平台带来的,也就是说,领导与秘书合二为一了。因此,移动网络中的大部分机制仍然可以适用于物联网并能够提供一定的安全性,如认证机制、加密机制等。但还是需要根据物联网的特征对安全机制进行调整和补充。
结论:物联网是把“双刃剑”,物联网技术的推广和运用,一方面将显著提高经济和社会运行效率,另一方面也将对信息安全和公民隐私保护问题提出严峻的挑战。因此,在研究物联网技术推广应用的同时,应做到趋利避害,未雨绸缪,使我国的物联网真正成为一个开放、安全、可信任的网络。
参考文献
【1】《物联网:技术、应用、标准和商业模式》周洪波著.电子工业出版社,2010
【2】《物联网技术》.刘化君,刘传清编著.电子工业出版社
【3】《物联网核心技术:RFID原理与应用》.高飞,薛艳明,王爱华编著.人民邮电出版社,2010
【4】《物联网导论》.刘云浩编著.科学出版社,2010
【5】《计算机世界:创新2.0推动物联网健康发展》
【6】《物联网大趋势》.张铎著.北京:清华大学出版社,2010
【7】百度文库.物联网安全