【导读】物联网虽然为生产带来很多便利,但是任何事都有利有弊。在制造业中,物联网机器大多放置在无人之处,从而会受到攻击者的破坏,在网络传输与信息安全方面,制定统一的安全保护体系也有相当的困难。
联网机器多半在无人之处
如联网机器或
传感器
的安全问题方面,因为物联网应用可以取代人,来完成一些复杂、危险和机械的工作。所以物联网机器或传感器,多数都会部署在无人监控的场景中。攻击者更能轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。
而在感知网络的传输与信息安全问题方面,由于传感器的功能简单(如自动温度计)、携带能量少(多半是使用电池),也使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,要提供统一的安全保护体系,也有相当的困难度。
其实就算是核心网络,也存在传输与信息安全的问题。尽管核心网络具有相对完整的安全保护能力,但由于物联网中节点数量庞大,且以集群方式存在,除了会导致数据在传输时,可能会发生大量机器的数据发送导致网络拥塞。此外,现有通信网路的安全架构,多半都是从人使用通信的角度所设计,不见得适用于机器的通信,使用现有的信息安全机制,对物联网中机器,会造成什么样的影响,仍需要更多的实证观察。
由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,如何对物联网设备进行远程签约信息和业务信息配置,也就成为难题。另外,庞大且多样化的物联网平台,必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没。
但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。
物联网的安全技术分析
目前许多行动网络中的信息安全机制,仍然可以应用于物联网,并能够提供一定的安全性,如认证机制、加密机制等,但还是需要根据物联网的特征,对安全机制进行调整和补充。
以物联网中的业务认证机制为例,传统的认证会区分不同层次,网络层的认证就负责网络层的身分鉴别,业务层的认证就负责业务层的身分鉴别,两者独立存在。但在物联网中,大多数情况下,机器都是拥有专门的用途,因此必须将业务应用与网络通信紧紧地绑在一起。由于网络层的认证是不可缺少的,业务层的认证机制就不再是必需的,而是可以根据业务由谁来提供和业务的安全敏感程度来设计。
如物联网的业务是由运营商提供时,就可以充分利用网络层认证的结果,而不需要进行业务层的认证;当物联网的业务是由协力厂商提供,也无法从网络运营商处获得金钥等安全参数时,就可发起独立的业务认证,而不用考虑网络层的认证,或者当业务是敏感业务如金融类业务时,一般业务提供者会不信任网络层的安全级别,而使用更高级别的安全保护,此时就需要做业务层的认证;而当业务仅是普通业务如温度采集等,业务提供者一旦认为网络认证已经足够,就不再需要业务层的认证。
而在物联网中的加密机制方面,传统的网络层加密机制是逐跳加密,即信息在发送过程中,虽然在传输过程中是加密的,但需要不断地在每个经过的节点上解、加密,即在每个节点上多半都是处在解密的状态。而传统的业务层加密机制则是端到端的,即信息只有在发送端和接收端才是解密状态,而在传输的过程和转发节点上都会加密。由于物联网中的网络连接和业务使用紧密结合,势必会面临到底是要使用逐跳加密还是端到端加密的选择。
对于逐跳加密而言,优点在于只对有必要受保护的连结进行加密,并且由于逐跳加密是在网络层进行,所以可以适用于所有业务,即不同的业务可以在统一的物联网业务平台上实施安全管理,从而做到安全机制对业务的透明,也因此达到逐跳加密低时延、高效率、低成本、可扩展性好的特点。
但由于逐跳加密需要在各传送节点上对数据进行解开密钥,所以各节点都有可能解读被加密的信息,因此逐跳加密对传输路径中的各传送节点,可信任度要求必须相对提高。
而对于端到端的加密方式而言,它可以根据业务类型选择不同的安全性原则,从而为高安全要求的业务,提供高安全等级的保护。不过端到端的加密不能对消息的目的地址进行保护,因为每一个消息所经过的节点,都要以此目的地址来确定如何传输消息。这就导致端到端加密方式,不能掩盖被传输消息的源点与终点,并容易受到对通信业务进行分析而发起的恶意攻击。
时时补充信息 防患于未然
由上述分析可知,对一些安全要求不是很高的业务,在网络能够提供逐跳加密保护的前提下,业务层端到端的加密需求就显得并不重要。但是对于高安全需求的业务,端到端的加密仍然是其。因而,由于不同物联网业务对安全级别的要求不同,可以将业务层端到端安全作为可选项。
物联网的发展日新月异,对物联网安全的需求也日益迫切,业者需要明确物联网中的特殊安全需求,考虑如何为物联网提供端到端的安全保护,这些安全保护功能又应该怎么样用现有机制来解决?此外,随着物联网的发展,机器间集群概念的引入,还需要重点考虑如何用群组概念解决群组认证的问题。
目前物联网的发展虽还是初级阶段,甚至还只是停留在概念阶段,要讨论具体的实现结构等内容,有一定程度的困难,有关物联网的安全机制,其实在业界的实践经验也不多,业者在导入应用时,需要时时补充相关信息,才能防患于未然。
