在中國，物聯(lián)網(wǎng)的概念是在溫家寶總理去無錫考察后才引起廣泛重視的。隨著人們對物聯(lián)網(wǎng)理解的不斷深入，物聯(lián)網(wǎng)的內(nèi)涵進一步明朗。在2009年的百家講壇上，中國移動總裁王建宙指出，物聯(lián)網(wǎng)應具備三個特征：一是全面感知；二是可靠傳遞；三是智能處理。盡管對物聯(lián)網(wǎng)概念還有其他一些不同的描述，但內(nèi)涵基本相同。因此我們在分析物聯(lián)網(wǎng)的安全性時，也相應地將其分為三個邏輯層，即感知層，傳輸層和處理層。除此之外，在物聯(lián)網(wǎng)的綜合應用方面還應該有一個應用層，它是對智能處理后的信息的利用。在某些框架中，盡管智能處理應該與應用層可能被作為同一邏輯層進行處理，但從信息安全的角度考慮，將應用層獨立出來更容易建立安全架構(gòu)。本文試圖從不同層次分析物聯(lián)網(wǎng)對信息安全的需求和如何建立安全架構(gòu)。

其實，對物聯(lián)網(wǎng)的幾個邏輯層，目前已經(jīng)有許多針對性的密碼技術手段和解決方案。但需要說明的是，物聯(lián)網(wǎng)作為一個應用整體，各個層獨立的安全措施簡單相加不足以提供可靠的安全保障。而且，物聯(lián)網(wǎng)與幾個邏輯層所對應的基礎設施之間還存在許多本質(zhì)區(qū)別。最基本的區(qū)別可以從下述幾點看到：（1）已有的對傳感網(wǎng)（感知層）、互聯(lián)網(wǎng)（傳輸層）、移動網(wǎng)（傳輸層）、安全多方計算、云計算（處理層）等的一些安全解決方案在物聯(lián)網(wǎng)環(huán)境可能不再適用。首先，物聯(lián)網(wǎng)所對應的傳感網(wǎng)的數(shù)量和終端物體的規(guī)模是單個傳感網(wǎng)所無法相比的；其次，物聯(lián)網(wǎng)所聯(lián)接的終端設備或器件的處理能力將有很大差異，它們之間可能需要相互作用；再次，物聯(lián)網(wǎng)所處理的數(shù)據(jù)量將比現(xiàn)在的互聯(lián)網(wǎng)和移動網(wǎng)都大得多。（2）即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯(lián)網(wǎng)的安全。這是因為物聯(lián)網(wǎng)是融幾個層于一體的大系統(tǒng)，許多安全問題來源于系統(tǒng)整合；物聯(lián)網(wǎng)的數(shù)據(jù)共享對安全性提出了更高的要求；物聯(lián)網(wǎng)的應用將對安全提出了新要求，比如隱私保護不屬于任一層的安全需求，但卻是許多物聯(lián)網(wǎng)應用的安全需求。

鑒于以上諸原因，對物聯(lián)網(wǎng)的發(fā)展需要重新規(guī)劃并制定可持續(xù)發(fā)展的安全架構(gòu)，使物聯(lián)網(wǎng)在發(fā)展和應用過程中，其安全防護措施能夠不斷完善。

1 感知層的安全需求和安全框架

在討論安全問題之前，首先要了解什么是感知層。感知層的任務是全面感知外界信息，或者說是原始信息收集器。該層的典型設備包括RFID裝置、各類傳感器（如紅外、超聲、溫度、濕度、速度等）、圖像捕捉裝置（攝像頭）、全球定位系統(tǒng)（GPS）、激光掃描儀等。這些設備收集的信息通常具有明確的應用目的，因此傳統(tǒng)上這些信息直接被處理并應用，如公路攝像頭捕捉的圖像信息直接用于交通監(jiān)控。但是在物聯(lián)網(wǎng)應用中，多種類型的感知信息可能會同時處理，綜合利用，甚至不同感應信息的結(jié)果將影響其他控制調(diào)節(jié)行為，如濕度的感應結(jié)果可能會影響到溫度或光照控制的調(diào)節(jié)。同時，物聯(lián)網(wǎng)應用強調(diào)的是信息共享，這是物聯(lián)網(wǎng)區(qū)別于傳感網(wǎng)的最大特點之一。比如交通監(jiān)控錄像信息可能還同時被用于公安偵破、城市改造規(guī)劃設計、城市環(huán)境監(jiān)測等。于是，如何處理這些感知信息將直接影響到信息的有效應用。為了使同樣的信息被不同應用領域有效使用，應該有綜合處理平臺，這就是物聯(lián)網(wǎng)的智能處理層，因此這些感知信息需要傳輸?shù)揭粋€處理平臺。 在考慮感知信息進入傳輸層之前，我們把傳感網(wǎng)絡本身（包括上述各種感知器件構(gòu)成的網(wǎng)絡）看作感知的部分。感知信息要通過一個或多個與外界網(wǎng)連接的傳感節(jié)點，稱之為網(wǎng)關節(jié)點（sink或gateway），所有與傳感網(wǎng)內(nèi)部節(jié)點的通信都需要經(jīng)過網(wǎng)關節(jié)點與外界聯(lián)系，因此在物聯(lián)網(wǎng)的傳感層，我們只需要考慮傳感網(wǎng)本身的安全性即可。

1.1 感知層的安全挑戰(zhàn)和安全需求

感知層可能遇到的安全挑戰(zhàn)包括下列情況：

（1）傳感網(wǎng)的網(wǎng)關節(jié)點被敵手控制——安全性全部丟失(通過什么技術能控制網(wǎng)關節(jié)點？查找相關資料)；（2）傳感網(wǎng)的普通節(jié)點被敵手控制（敵手掌握節(jié)點密鑰）；（3）傳感網(wǎng)的普通節(jié)點被敵手捕獲（但由于沒有得到節(jié)點密鑰，而沒有被控制）；（4）傳感網(wǎng)的節(jié)點（普通節(jié)點或網(wǎng)關節(jié)點）受來自于網(wǎng)絡的DOS攻擊（單純的DOS攻擊研究是否過于單一，理論上取得不好突破？）；（5）接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點的標識、識別、認證和控制問題。

敵手捕獲網(wǎng)關節(jié)點不等于控制該節(jié)點，一個傳感網(wǎng)的網(wǎng)關節(jié)點實際被敵手控制的可能性很小，因為需要掌握該節(jié)點的密鑰（與傳感網(wǎng)內(nèi)部節(jié)點通信的密鑰或與遠程信息處理平臺共享的密鑰），而這是很困難的。如果敵手掌握了一個網(wǎng)關節(jié)點與傳感網(wǎng)內(nèi)部節(jié)點的共享密鑰，那么他就可以控制傳感網(wǎng)的網(wǎng)關節(jié)點，并由此獲得通過該網(wǎng)關節(jié)點傳出的所有信息（怎么也能獲得通過該網(wǎng)關節(jié)點傳出的所有信息？）。但如果敵手不知道該網(wǎng)關節(jié)點與遠程信息處理平臺的共享密鑰，那么他不能篡改發(fā)送的信息，只能阻止部分或全部信息的發(fā)送，但這樣容易被遠程信息處理平臺覺察到。因此，若能識別一個被敵手控制的傳感網(wǎng)，便可以降低甚至避免由敵手控制的傳感網(wǎng)傳來的虛假信息所造成的損失。

傳感網(wǎng)遇到比較普遍的情況是某些普通網(wǎng)絡節(jié)點被敵手控制而發(fā)起的攻擊，傳感網(wǎng)與這些普通節(jié)點交互的所有信息都被敵手獲取。敵手的目的可能不僅僅是被動竊聽，還通過所控制的網(wǎng)絡節(jié)點傳輸一些錯誤數(shù)據(jù)。因此，傳感網(wǎng)的安全需求應包括對惡意節(jié)點行為的判斷和對這些節(jié)點的阻斷，以及在阻斷一些惡意節(jié)點（假定這些被阻斷的節(jié)點分布是隨機的）后，網(wǎng)絡的連通性如何保障。

對傳感網(wǎng)絡分析（很難說是否為攻擊行為，因為有別于主動攻擊網(wǎng)絡的行為）更為常見的情況是敵手捕獲一些網(wǎng)絡節(jié)點，不需要解析它們的預置密鑰或通信密鑰（這種解析需要代價和時間），只需要鑒別節(jié)點種類，比如檢查節(jié)點是用于檢測溫度、濕度還是噪音等。有時候這種分析對敵手是很有用的。因此安全的傳感網(wǎng)絡應該有保護其工作類型的安全機制。

既然傳感網(wǎng)最終要接入其他外在網(wǎng)絡，包括互聯(lián)網(wǎng)，那么就難免受到來自外在網(wǎng)絡的攻擊。目前能預期到的主要攻擊除了非法訪問外，應該是拒絕服務（DOS）攻擊了。因為傳感網(wǎng)節(jié)點的通常資源（計算和通信能力）有限，所以對抗DOS攻擊的能力比較脆弱，在互聯(lián)網(wǎng)環(huán)境里不被識別為DOS攻擊的訪問就可能使傳感網(wǎng)癱瘓，因此，傳感網(wǎng)的安全應該包括節(jié)點抗DOS攻擊的能力?？紤]到外部訪問可能直接針對傳感網(wǎng)內(nèi)部的某個節(jié)點（如遠程控制啟動或關閉紅外裝置），而傳感網(wǎng)內(nèi)部普通節(jié)點的資源一般比網(wǎng)關節(jié)點更小，因此，網(wǎng)絡抗DOS攻擊的能力應包括網(wǎng)關節(jié)點和普通節(jié)點兩種情況。

傳感網(wǎng)接入互聯(lián)網(wǎng)或其他類型網(wǎng)絡所帶來的問題不僅僅是傳感網(wǎng)如何對抗外來攻擊的問題，更重要的是如何與外部設備相互認證的問題，而認證過程又需要特別考慮傳感網(wǎng)資源的有限性，因此認證機制需要的計算和通信代價都必須盡可能小。此外，對外部互聯(lián)網(wǎng)來說，其所連接的不同傳感網(wǎng)的數(shù)量可能是一個龐大的數(shù)字，如何區(qū)分這些傳感網(wǎng)及其內(nèi)部節(jié)點，有效地識別它們，是安全機制能夠建立的前提。

針對上述的挑戰(zhàn)，感知層的安全需求可以總結(jié)為如下幾點：

（1）機密性：多數(shù)傳感網(wǎng)內(nèi)部不需要認證和密鑰管理，如統(tǒng)一部署的共享一個密鑰的傳感網(wǎng)。（2）密鑰協(xié)商：部分傳感網(wǎng)內(nèi)部節(jié)點進行數(shù)據(jù)傳輸前需要預先協(xié)商會話密鑰。（3）節(jié)點認證：個別傳感網(wǎng)（特別當傳感數(shù)據(jù)共享時）需要節(jié)點認證，確保非法節(jié)點不能接入。 （4）信譽評估：一些重要傳感網(wǎng)需要對可能被敵手控制的節(jié)點行為進行評估，以降低敵手入侵后的危害（某種程度上相當于入侵檢測）。 （5）安全路由：幾乎所有傳感網(wǎng)內(nèi)部都需要不同的安全路由技術。（什么叫安全路由？）

1.2 感知層的安全架構(gòu)

了解了傳感網(wǎng)的安全威脅，就容易建立合理的安全架構(gòu)。在傳感網(wǎng)內(nèi)部，需要有效的密鑰管理機制，用于保障傳感網(wǎng)內(nèi)部通信的安全。傳感網(wǎng)內(nèi)部的安全路由、聯(lián)通性解決方案等都可以相對獨立地使用。由于傳感網(wǎng)類型的多樣性，很難統(tǒng)一要求有哪些安全服務，但機密性和認證性都是必要的。機密性需要在通信時建立一個臨時會話密鑰，而認證性可以通過對稱密碼或非對稱密碼方案解決。使用對稱密碼的認證方案需要預置節(jié)點間的共享密鑰，在效率上也比較高，消耗網(wǎng)絡節(jié)點的資源較少，許多傳感網(wǎng)都選用此方案；而使用非對稱密碼技術的傳感網(wǎng)一般具有較好的計算和通信能力，并且對安全性要求更高。在認證的基礎上完成密鑰協(xié)商是建立會話密鑰的必要步驟。安全路由和入侵檢測等也是傳感網(wǎng)應具有的性能。

由于傳感網(wǎng)的安全一般不涉及其他網(wǎng)路的安全，因此是相對較獨立的問題，有些已有的安全解決方案在物聯(lián)網(wǎng)環(huán)境中也同樣適用。但由于物聯(lián)網(wǎng)環(huán)境中傳感網(wǎng)遭受外部攻擊的機會增大，因此用于獨立傳感網(wǎng)的傳統(tǒng)安全解決方案需要提升安全等級后才能使用，也就是說在安全的要求上更高，這僅僅是量的要求，沒有質(zhì)的變化。相應地，傳感網(wǎng)的安全需求所涉及的密碼技術包括輕量級密碼算法、輕量級密碼協(xié)議、可設定安全等級的密碼技術等。

2 傳輸層的安全需求和安全框架

物聯(lián)網(wǎng)的傳輸層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應用需求進行信息處理，即傳輸層主要是網(wǎng)絡基礎設施，包括互聯(lián)網(wǎng)、移動網(wǎng)和一些專業(yè)網(wǎng)（如國家電力專用網(wǎng)、廣播電視網(wǎng)）等。在信息傳輸過程中，可能經(jīng)過一個或多個不同架構(gòu)的網(wǎng)絡進行信息交接。例如，普通電話座機與手機之間的通話就是一個典型的跨網(wǎng)絡架構(gòu)的信息傳輸實例。在信息傳輸過程中跨網(wǎng)絡傳輸是很正常的，在物聯(lián)網(wǎng)環(huán)境中這一現(xiàn)象更突出，而且很可能在正常而普通的事件中產(chǎn)生信息安全隱患。

2.1 傳輸層的安全挑戰(zhàn)和安全需求

網(wǎng)絡環(huán)境目前遇到前所未有的安全挑戰(zhàn)，而物聯(lián)網(wǎng)傳輸層所處的網(wǎng)絡環(huán)境也存在安全挑戰(zhàn)，甚至是更高的挑戰(zhàn)。同時，由于不同架構(gòu)的網(wǎng)絡需要相互連通，因此在跨網(wǎng)絡架構(gòu)的安全認證等方面會面臨更大挑戰(zhàn)。初步分析認為，物聯(lián)網(wǎng)傳輸層將會遇到下列安全挑戰(zhàn)。

（1）DOS攻擊、DDOS攻擊；（2）假冒攻擊、中間人攻擊等；（3）跨異構(gòu)網(wǎng)絡的網(wǎng)絡攻擊。

在物聯(lián)網(wǎng)發(fā)展過程中，目前的互聯(lián)網(wǎng)或者下一代互聯(lián)網(wǎng)將是物聯(lián)網(wǎng)傳輸層的核心載體，多數(shù)信息要經(jīng)過互聯(lián)網(wǎng)傳輸?；ヂ?lián)網(wǎng)遇到的DOS和分布式拒絕服務攻擊（DDOS）仍然存在，因此需要有更好的防范措施和災難恢復機制?？紤]到物聯(lián)網(wǎng)所連接的終端設備性能和對網(wǎng)絡需求的巨大差異，對網(wǎng)絡攻擊的防護能力也會有很大差別，因此很難設計通用的安全方案，而應針對不同網(wǎng)絡性能和網(wǎng)絡需求有不同的防范措施。 在傳輸層，異構(gòu)網(wǎng)絡的信息交換將成為安全性的脆弱點，特別在網(wǎng)絡認證方面，難免存在中間人攻擊和其他類型的攻擊（如異步攻擊、合謀攻擊等）。這些攻擊都需要有更高的安全防護措施。

如果僅考慮互聯(lián)網(wǎng)和移動網(wǎng)以及其他一些專用網(wǎng)絡，則物聯(lián)網(wǎng)傳輸層對安全的需求可以概括為以下幾點：

（1）數(shù)據(jù)機密性：需要保證數(shù)據(jù)在傳輸過程中不泄露其內(nèi)容；（2）數(shù)據(jù)完整性：需要保證數(shù)據(jù)在傳輸過程中不被非法篡改，或非法篡改的數(shù)據(jù)容易被檢測出；（3）數(shù)據(jù)流機密性：某些應用場景需要對數(shù)據(jù)流量信息進行保密，目前只能提供有限的數(shù)據(jù)流機密性；（4）DDOS攻擊的檢測與預防：DDOS攻擊是網(wǎng)絡中最常見的攻擊現(xiàn)象，在物聯(lián)網(wǎng)中將會更突出。物聯(lián)網(wǎng)中需要解決的問題還包括如何對脆弱節(jié)點的DDOS攻擊進行防護；（5）移動網(wǎng)中認證與密鑰協(xié)商（AKA）機制的一致性或兼容性、跨域認證和跨網(wǎng)絡認證（基于IMSI）：不同無線網(wǎng)絡所使用的不同AKA機制對跨網(wǎng)認證帶來不利。這一問題亟待解決。

2.2 傳輸層的安全架構(gòu)

傳輸層的安全機制可分為端到端機密性和節(jié)點到節(jié)點機密性。對于端到端機密性，需要建立如下安全機制：端到端認證機制、端到端密鑰協(xié)商機制、密鑰管理機制和機密性算法選取機制等。在這些安全機制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務。對于節(jié)點到節(jié)點機密性，需要節(jié)點間的認證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點考慮效率因素。機密性算法的選取和數(shù)據(jù)完整性服務則可以根據(jù)需求選取或省略?？紤]到跨網(wǎng)絡架構(gòu)的安全需求，需要建立不同網(wǎng)絡環(huán)境的認證銜接機制。另外，根據(jù)應用層的不同需求，網(wǎng)絡傳輸模式可能區(qū)分為單播通信、組播通信和廣播通信，針對不同類型的通信模式也應該有相應的認證機制和機密性保護機制。簡言之，傳輸層的安全架構(gòu)主要包括如下幾個方面：

（1）節(jié)點認證、數(shù)據(jù)機密性、完整性、數(shù)據(jù)流機密性、DDOS攻擊的檢測與預防；（2）移動網(wǎng)中AKA機制的一致性或兼容性、跨域認證和跨網(wǎng)絡認證（基于IMSI）；（3）相應密碼技術。密鑰管理（密鑰基礎設施PKI和密鑰協(xié)商）、端對端加密和節(jié)點對節(jié)點加密、密碼算法和協(xié)議等；（4）組播和廣播通信的認證性、機密性和完整性安全機制。

3 處理層的安全需求和安全框架

處理層是信息到達智能處理平臺的處理過程，包括如何從網(wǎng)絡中接收信息。在從網(wǎng)絡中接收信息的過程中，需要判斷哪些信息是真正有用的信息，哪些是垃圾信息甚至是惡意信息。在來自于網(wǎng)絡的信息中，有些屬于一般性數(shù)據(jù)，用于某些應用過程的輸入，而有些可能是操作指令。在這些操作指令中，又有一些可能是多種原因造成的錯誤指令（如指令發(fā)出者的操作失誤、網(wǎng)絡傳輸錯誤、得到惡意修改等），或者是攻擊者的惡意指令。如何通過密碼技術等手段甄別出真正有用的信息，又如何識別并有效防范惡意信息和指令帶來的威脅是物聯(lián)網(wǎng)處理層的重大安全挑戰(zhàn)。

3.1 處理層的安全挑戰(zhàn)和安全需求

物聯(lián)網(wǎng)處理層的重要特征是智能，智能的技術實現(xiàn)少不了自動處理技術，其目的是使處理過程方便迅速，而非智能的處理手段可能無法應對海量數(shù)據(jù)。但自動過程對惡意數(shù)據(jù)特別是惡意指令信息的判斷能力是有限的，而智能也僅限于按照一定規(guī)則進行過濾和判斷，攻擊者很容易避開這些規(guī)則，正如垃圾郵件過濾一樣，這么多年來一直是一個棘手的問題。因此處理層的安全挑戰(zhàn)包括如下幾個方面：

（1）來自于超大量終端的海量數(shù)據(jù)的識別和處理；（2）智能變?yōu)榈湍?；?）自動變?yōu)槭Э兀煽匦允切畔踩闹匾笜酥唬? （4）災難控制和恢復；（5）非法人為干預（內(nèi)部攻擊）；（6）設備（特別是移動設備）的丟失。

物聯(lián)網(wǎng)時代需要處理的信息是海量的，需要處理的平臺也是分布式的。當不同性質(zhì)的數(shù)據(jù)通過一個處理平臺處理時，該平臺需要多個功能各異的處理平臺協(xié)同處理。但首先應該知道將哪些數(shù)據(jù)分配到哪個處理平臺，因此數(shù)據(jù)類別分類是必須的。同時，安全的要求使得許多信息都是以加密形式存在的，因此如何快速有效地處理海量加密數(shù)據(jù)是智能處理階段遇到的一個重大挑戰(zhàn)。

計算技術的智能處理過程較人類的智力來說還是有本質(zhì)的區(qū)別，但計算機的智能判斷在速度上是人類智力判斷所無法比擬的，由此，期望物聯(lián)網(wǎng)環(huán)境的智能處理在智能水平上不斷提高，而且不能用人的智力去代替。也就是說，只要智能處理過程存在，就可能讓攻擊者有機會躲過智能處理過程的識別和過濾，從而達到攻擊目的。在這種情況下，智能與低能相當。因此，物聯(lián)網(wǎng)的傳輸層需要高智能的處理機制。

如果智能水平很高，那么可以有效識別并自動處理惡意數(shù)據(jù)和指令。但再好的智能也存在失誤的情況，特別在物聯(lián)網(wǎng)環(huán)境中，即使失誤概率非常小，因為自動處理過程的數(shù)據(jù)量非常龐大，因此失誤的情況還是很多。在處理發(fā)生失誤而使攻擊者攻擊成功后，如何將攻擊所造成的損失降低到最小程度，并盡快從災難中恢復到正常工作狀態(tài)，是物聯(lián)網(wǎng)智能處理層的另一重要問題，也是一個重大挑戰(zhàn)，因為在技術上沒有最好，只有更好。

智能處理層雖然使用智能的自動處理手段，但還是允許人為干預，而且是必須的。人為干預可能發(fā)生在智能處理過程無法做出正確判斷的時候，也可能發(fā)生在智能處理過程有關鍵中間結(jié)果或最終結(jié)果的時候，還可能發(fā)生在其他任何原因而需要人為干預的時候。人為干預的目的是為了處理層更好地工作，但也有例外，那就是實施人為干預的人試圖實施惡意行為時。來自于人的惡意行為具有很大的不可預測性，防范措施除了技術輔助手段外，更多地需要依靠管理手段。因此，物聯(lián)網(wǎng)處理層的信息保障還需要科學管理手段。

智能處理平臺的大小不同，大的可以是高性能工作站，小的可以是移動設備，如手機等。工作站的威脅是內(nèi)部人員惡意操作，而移動設備的一個重大威脅是丟失。由于移動設備不僅是信息處理平臺，而且其本身通常攜帶大量重要機密信息，因此，如何降低作為處理平臺的移動設備丟失所造成的損失是重要的安全挑戰(zhàn)之一。

3.2 處理層的安全架構(gòu)

為了滿足物聯(lián)網(wǎng)智能處理層的基本安全需求，需要如下的安全機制。

（1）可靠的認證機制和密鑰管理方案；（2）高強度數(shù)據(jù)機密性和完整性服務；（3）可靠的密鑰管理機制，包括PKI和對稱密鑰的有機結(jié)合機制；（4）可靠的高智能處理手段；（5）入侵檢測和病毒檢測；（6）惡意指令分析和預防，訪問控制及災難恢復機制；（7）保密日志跟蹤和行為分析，惡意行為模型的建立；（8）密文查詢、秘密數(shù)據(jù)挖掘、安全多方計算、安全云計算技術等；（9）移動設備文件（包括秘密文件）的可備份和恢復；（10）移動設備識別、定位和追蹤機制。

4 應用層的安全需求和安全框架

應用層設計的是綜合的或有個體特性的具體應用業(yè)務，它所涉及的某些安全問題通過前面幾個邏輯層的安全解決方案可能仍然無法解決。在這些問題中，隱私保護就是典型的一種。無論感知層、傳輸層還是處理層，都不涉及隱私保護的問題，但它卻是一些特殊應用場景的實際需求，即應用層的特殊安全需求。物聯(lián)網(wǎng)的數(shù)據(jù)共享有多種情況，涉及到不同權限的數(shù)據(jù)訪問。此外，在應用層還將涉及到知識產(chǎn)權保護、計算機取證、計算機數(shù)據(jù)銷毀等安全需求和相應技術。

4.1 應用層的安全挑戰(zhàn)和安全需求

應用層的安全挑戰(zhàn)和安全需求主要來自于下述幾個方面：

（1）如何根據(jù)不同訪問權限對同一數(shù)據(jù)庫內(nèi)容進行篩選；（2）如何提供用戶隱私信息保護，同時又能正確認證；（3）如何解決信息泄露追蹤問題；（4）如何進行計算機取證；（5）如何銷毀計算機數(shù)據(jù)；（6）如何保護電子產(chǎn)品和軟件的知識產(chǎn)權。 由于物聯(lián)網(wǎng)需要根據(jù)不同應用需求對共享數(shù)據(jù)分配不同的訪問權限，而且不同權限訪問同一數(shù)據(jù)可能得到不同的結(jié)果。例如，道路交通監(jiān)控視頻數(shù)據(jù)在用于城市規(guī)劃時只需要很低的分辨率即可，因為城市規(guī)劃需要的是交通堵塞的大概情況；當用于交通管制時就需要清晰一些，因為需要知道交通實際情況，以便能及時發(fā)現(xiàn)哪里發(fā)生了交通事故，以及交通事故的基本情況等；當用于公安偵查時可能需要更清晰的圖像，以便能準確識別汽車牌照等信息。因此如何以安全方式處理信息是應用中的一項挑戰(zhàn)。

隨著個人和商業(yè)信息的網(wǎng)絡化，越來越多的信息被認為是用戶隱私信息。需要隱私保護的應用至少包括如下幾種：

（1）移動用戶既需要知道（或被合法知道）其位置信息，又不愿意非法用戶獲取該信息；（2）用戶既需要證明自己合法使用某種業(yè)務，又不想讓他人知道自己在使用某種業(yè)務，如在線游戲；（3）病人急救時需要及時獲得該病人的電子病歷信息，但又要保護該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實上，電子病歷數(shù)據(jù)庫的管理人員可能有機會獲得電子病歷的內(nèi)容，但隱私保護采用某種管理和技術手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫中無關聯(lián)；（4）許多業(yè)務需要匿名性，如網(wǎng)絡投票。很多情況下，用戶信息是認證過程的必須信息，如何對這些信息提供隱私保護，是一個具有挑戰(zhàn)性的問題，但又是必須要解決的問題。例如，醫(yī)療病歷的管理系統(tǒng)需要病人的相關信息來獲取正確的病歷數(shù)據(jù)，但又要避免該病歷數(shù)據(jù)跟病人的身份信息相關聯(lián)。在應用過程中，主治醫(yī)生知道病人的病歷數(shù)據(jù)，這種情況下對隱私信息的保護具有一定困難性，但可以通過密碼技術手段掌握醫(yī)生泄露病人病歷信息的證據(jù)。

在使用互聯(lián)網(wǎng)的商業(yè)活動中，特別是在物聯(lián)網(wǎng)環(huán)境的商業(yè)活動中，無論采取了什么技術措施，都難免惡意行為的發(fā)生。如果能根據(jù)惡意行為所造成后果的嚴重程度給予相應的懲罰，那么就可以減少惡意行為的發(fā)生。技術上，這需要搜集相關證據(jù)。因此，計算機取證就顯得非常重要，當然這有一定的技術難度，主要是因為計算機平臺種類太多，包括多種計算機操作系統(tǒng)、虛擬操作系統(tǒng)、移動設備操作系統(tǒng)等。與計算機取證相對應的是數(shù)據(jù)銷毀。數(shù)據(jù)銷毀的目的是銷毀那些在密碼算法或密碼協(xié)議實施過程中所產(chǎn)生的臨時中間變量，一旦密碼算法或密碼協(xié)議實施完畢，這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里，可能為攻擊者提供重要的參數(shù)，從而增大成功攻擊的可能性。因此，這些臨時中間變量需要及時安全地從計算機內(nèi)存和存儲單元中刪除。計算機數(shù)據(jù)銷毀技術不可避免地會被計算機犯罪提供證據(jù)銷毀工具，從而增大計算機取證的難度。因此如何處理好計算機取證和計算機數(shù)據(jù)銷毀這對矛盾是一項具有挑戰(zhàn)性的技術難題，也是物聯(lián)網(wǎng)應用中需要解決的問題。

物聯(lián)網(wǎng)的主要市場將是商業(yè)應用，在商業(yè)應用中存在大量需要保護的知識產(chǎn)權產(chǎn)品，包括電子產(chǎn)品和軟件等。在物聯(lián)網(wǎng)的應用中，對電子產(chǎn)品的知識產(chǎn)權保護將會提高到一個新的高度，對應的技術要求也是一項新的挑戰(zhàn)。

4.2 應用層的安全架構(gòu)

基于物聯(lián)網(wǎng)綜合應用層的安全挑戰(zhàn)和安全需求，需要如下的安全機制：

（1）有效的數(shù)據(jù)庫訪問控制和內(nèi)容篩選機制；（2）不同場景的隱私信息保護技術；（3）叛逆追蹤和其他信息泄露追蹤機制；（4）有效的計算機取證技術；（5）安全的計算機數(shù)據(jù)銷毀技術；（6）安全的電子產(chǎn)品和軟件的知識產(chǎn)權保護技術。

【返回列表】