1、物联网将社会经济活动全部放置在全球网络上,所有活动理论上透明化,一旦遭受攻击,人们以及社会安全和隐私就面临着巨大的威胁。
2、在物联网的感知层,传感器的安全运行几乎全部依赖于网络安全接入技术,采用完善的路由控制技术,能够降低非法设备入侵系统对物联网设备造成安全威胁,实现对非法入侵用户的阻隔。安全管理不到位。
由于分布式节点多、数据传输分散、监管不到位等原因,物联网的安全与隐私问题更加突出,已成为物联网安全管理需要重点关注的内容。
物联网的安全与隐私保护问题严重阻碍了物联网的发展,因此研究物联网隐私保护,并制定出良好的隐私保护解决方案,对推动物联网技术的普及应用具有十分重要的意义。
感知层安全威胁
物联网感知层面临的安全威胁主要如下:
T1 物理攻击:攻击者实施物理破坏使物联网终端无法正常工作,或者盗窃终端设备并通过破解获取用户敏感信息。
T2 传感设备替换威胁:攻击者非法更换传感器设备,导致数据感知异常,破坏业务正常开展。
T3 假冒传感节点威胁:攻击者假冒终端节点加入感知网络,上报虚假感知信息,发布虚假指令或者从感知网络中合法终端节点骗取用户信息,影响业务正常开展。
T4 拦截、篡改、伪造、重放:攻击者对网络中传输的数据和信令进行拦截、篡改、伪造、重放,从而获取用户敏感信息或者导致信息传输错误,业务无法正常开展。
T5 耗尽攻击:攻击者向物联网终端泛洪发送垃圾信息,耗尽终端电量,使其无法继续工作。
T6 卡滥用威胁:攻击者将物联网终端的(U)SIM卡拔出并插入其他终端设备滥用(如打电话、发短信等),对网络运营商业务造成不利影响。
感知层由具有感知、识别、控制和执行等能力的多种设备组成,采集物品和周围环境的数据,完成对现实物理世界的认知和识别。感知层感知物理世界信息的两大关键技术是射频识别(Radio Frequency Identification,RFID)技术和无线传感器网络(Wireless Sensor Networ
k,WSN)技术。因此,探讨物联网感知层的数据信息安全,重点在于解决RFID系统和WSN系统的安全问题。
RFID技术是一种通过射频通信实现的非接触式自动识别技术。基于RFID技术的物联网感知层结构如图1所示:每个RFID系统作为一个独立的网络节点通过网关接入到网络层。因此,该系统架构下的信息安全依赖于在于单个RFID系统的信息安全。
物联网信息安全
随着信息技术的飞速发展,信息安全的研究内容日益广泛,尤其是在物联网的大背景下,物联网信息安全的定义为:在既定的安全级别下,信息系统抵御恶意行为或意外事件的综合处理能力,而这些恶意行为(事件)可能危及数据信息的存储、传输和处理。那么在这个背景下,研究RFID信息安全与隐私保护机制就是为了保障物联网中信息系统提供的服务是可靠的、安全的、机密的、可控的状态。
物联网RFID系统安全漏洞
RFID系统安全漏洞分析
RFID系统作为物联网体系架构的基础,也是物联网的核心技术。RFID系统的安全性直接影响到物联网技术在行业中的应用安全。
攻击RFID系统主要方法
RFID标签是物联网信息系统的重要部分,它们储存了大量的商业价值信息,这对于非法用户、黑客们具有极大的诱惑力,一旦造成信息泄露或篡改,将造成灾难性的后果。
物联网信息安全与隐私保护策略
在推广和应用物联网技术之前,应该首先解决信息安全与防护的问题。隐私信息的内容包括个人基本信息、身份信息、财产信息、位置信息、个人信仰、个体特征等。尊重和保护个人隐私已经是全社会的共识,也是共同的需要。在物联网信息安全领域,研究并应用隐私信息保护机制具有重要的意义。
(1)法律法规保护政策:通过法律政策来规范化物联网信息系统对用户个人隐私信息的保护和使用过程。
(2)隐私信息使用方针:通过终端用户本着自愿的原则,以及根据需要与物联网运营商、网络运营商等供应商达成协议来使用个人隐私信息。
(3)匿名身份应用:使用间接的匿名信息来代替实名制信息,防止个人隐私信息泄露以及被非法用户用于非法活动或行为。
(4)数据加密解密:对于重要的数据信息,比如商品交易信息,个人的位置信息等,可以使用复杂的加密及解密算法来混淆或置换这些隐私信息,防止被非法用户窃取。
物联网的安全和互联网的安全问题一样,永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据,其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高,对“隐私权”(Privacy)保护的要求也更高(如ITU物联网报告中指出的),此外还有可信度(Trust)问题,包括“防伪”和DoS(Denial of Services)(即用伪造的末端冒充替换(eavesdropping等手段)侵入系统,造成真正的末端无法使用等),由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样,主要有8个尺度: 读取控制,隐私保护,用户认证,不可抵赖性,数据保密性,通讯层安全,数据完整性,随时可用性。 前4项主要处在物联网DCM三层架构的应用层,后4项主要位于传输层和感知层。其中“隐私权”和“可信度”(数据完整性和保密性)问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析,我们会发现现有的安全体系基本上可以满足物联网应用的需求,尤其在其初级和中级发展阶段。
物联网应用的特有(比一般IT系统更易受侵扰)的安全问题有如下几种:
1 Skimming:在末端设备或RFID持卡人不知情的情况下,信息被读取
2 Eavesdropping: 在一个通讯通道的中间,信息被中途截取
3 Spoofing:伪造复制设备数据,冒名输入到系统中
4 Cloning: 克隆末端设备,冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题,物联网发展的中、高级阶段面临如下五大特有(在一般IT安全问题之上)的信息安全挑战:
1 4大类(有线长、短距离和无线长、短距离)网路相互连接组成的异构(heterogeneous)、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一,存储和处理能力的不一致导致安全信息(如PKI Credentials等)的传递和处理难以统一
3 设备可能无人值守,丢失,处于运动状态,连接可能时断时续,可信度差,种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大,甚至未知的其他设备识别和接受的同时,又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发,国内外都还处于起步阶段,在WSN和RFID领域有一些针对性的研发工作,统一标准的物联网安全体系的问题还没提上议事日程,比物联网统一数据标准的问题更滞后。这两个标准密切相关,甚至合并到一起统筹考虑,其重要性不言而喻。
物联网信息安全应对方式:
首先是调查。企业IT首先要现场调查,要理解当前物联网有哪些网络连接,如何连接,为什么连接,等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁,如果这些物联网设备遭受攻击,物联网在遭到破坏时,会发生什么,有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具,这些物联网工具最好还要能够确认和阻止攻击,并且能够帮助物联网企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)