物聯網並不是淩駕於現有技術之上的顛覆性革命，而是當前高端技術的融合應用。物聯網的核心是網絡，是在互聯網基礎上的延伸和創新，所以，物聯網除了具有傳統互聯網所存在的安全問題之外，還具有一些與互聯網不同的特殊安全問題。物聯網的目標是實現萬物互聯，比傳統互聯網時代的信息量大得多，加之物聯網的應用領域和人們的日常生活息息相關，呈現大眾化、平民化的特征，因此，物聯網安全事故的危害遠遠超過互聯網。

研究物聯網安全問題，要從其基本層次和架構開始，其感知層、網絡層和應用層時刻麵臨著安全隱患。設計物聯網的安全係統不能一概而論，要從各個層麵可能出現的威脅出發，利用不同的設備和技術，有針對性地進行防禦和反治；此後再從整體出發，找出各種安全係統存在的共性，將其看成一個大的體係，實現對物聯網安全問題的總體把握。

1.保護感知層：射頻識別係統的控製與加密

感知層處在物聯網結構的最底層，包括射頻識別技術、條碼識別技術、圖像識別技術以及各種網絡和路由技術。其中，射頻識別技術的安全尤為重要，使用該技術的智能機車係統，可以利用終端自由的開關門，在百米之內了解汽車的安全情況。但這看似精密的係統也很容易產生漏洞，優秀的黑客可以通過監聽終端設備的通信信號加以模擬，複製出同樣可以打開車門的電子鑰匙。同理，安置在我們家庭的、方便我們生活的智能監控設備和傳感器也很可能會被人利用，比如監控我們的生活，甚至在網上泄露我們的隱私，這是相當可怕的。那麼，怎樣了解射頻識別攻擊，又怎樣防禦和反製呢？

黑客攻擊射頻識別係統的目的主要有獲取信息、非法訪問、篡改數據和擾亂係統，攻擊方式也是多種多樣，有被動攻擊、假冒攻擊、病毒攻擊和破壞性攻擊。當然，無論黑客使用何種方式攻擊，都是針對射頻識別係統所存在的缺點和漏洞進行的：一是射頻標簽，該組件為了滿足需求，必須要具備低功耗、低成本的特點，加之使用環境難以控製，就很容易被黑客偽造、篡改和實施破壞；二是閱讀器，該組件的可控性差，容易被人盜竊、複製和濫用，而且閱讀器的軟件需要定期升級，如果不加以保護，很可能會被盜取密匙。

因此，我們在設計射頻識別係統的時候，一定要考慮以下幾個技術方麵的問題：一是算法複雜度；電子標簽的一大特點就是快速讀取，這要求算法要在保證安全的同時，不占用過多的計算周期，也就是不能使用高強度加密算法，無源電子標簽的內部最多有2000個邏輯門，而普通的DES算法需要20000個邏輯門，即便是輕量級的算法，也需要3500個邏輯門，如何選取合適的算法，是一個重要研究課題；二是密匙管理，在射頻識別係統中，無論是門禁管理還是物流，其電子標簽的數量都是100起步，如果將每個電子標簽的密匙設置成惟一，在增強了安全的同時，也增大了管理的難度，反之，如果同係列商品的密匙都相同，那麼，當一個密匙被竊取，那與之相關的所有商品都會受到威脅。除了以上需要考慮的方麵外，對傳感器、射頻標簽、讀寫器等設備的物理保護也是非常有必要的。

目前，關於射頻識別技術的安全研究成果主要有訪問控製和數據加密。

第一，訪問控製。主要目的是防止隱私的泄露，使射頻標簽中的數據不被輕易讀取。訪問控製設計的技術主要有標簽失效、天線能量分析、法拉第籠和阻塞標簽。這些方法實施簡單，缺點是針對性強，不能普遍適用。

（1）標簽失效及類似機製。有的不法分子在購買商品時往往會尋找射頻標簽，因為撕下後就可以騙過警報器，從而順利將商品帶走。為了解決這一問題，很多射頻標簽被嵌在了商品內部，人力幾乎無法移除。不需要該標簽時，還可以通過“KILL”命令使其芯片進入睡眠狀態。即便遇到退貨、返倉等情況，射頻標簽還可以被係統重新激活讀取。

（2）阻塞標簽。該標簽可作為有效的隱私保護工具，它能在受到閱讀器的監測命令後，幹擾係統的防衝突協議，使閱讀器周圍的其他合法標簽無法進行回應。該方法的優點是不需要射頻標簽進行修改，也不用執行運算周期。

（3）法拉第籠。就是將射頻標簽的周圍用金屬網或金屬片包裹起來，從而屏蔽黑客的無線電信號，防止第三方非法閱讀射頻標簽的信息。

（4）天線能量分析。該係統的理論基礎是：合法閱讀器離標簽很近地概率較大，而惡意閱讀器離標簽通常很遠。因為信號強度隨著距離的增加而減弱，而信噪比逐漸降低，這樣，射頻標簽就可以智能地估計閱讀器的距離。對於近距離的閱讀器，該標簽會告知自己惟一的ID，反之則拒絕被讀取。

第二，數據加密。密碼技術不僅可以實現隱私保護，還可以保證射頻識別係統的完整性和真實性。密碼技術有普及性，在任何射頻標簽上都可以進行，難點就是平衡密碼強度與成本功耗的關係。目前，最常用的集中密碼技術解決方案如下：

（1）HASH鎖協議。在最初階段，每個射頻標簽都有一個惟一的ID，並製定一個隨機的鑰匙（KEY值），計算META ID\u003dKEY，然後將ID存儲於標簽中。其認證過程如下：

圖8-1-1 HASH鎖協議的認證過程

由上圖我們可以看出，協議認證過程是這樣的：閱讀器監測讀取標簽，標簽感應到信號後響應META ID。同時，閱讀器從數據庫中調出與該ID對應的KEY並傳輸給標簽，標簽確認無誤後將惟一的ID發送給閱讀器。該協議的優點就是運算量小、數據查詢響應快，缺點就是標簽容易被跟蹤和克隆。

（2）隨機HASH-LOCK協議。該協議采用隨機數的詢問和應答規則，射頻標簽除了基於HASH的函數外，還存在偽隨機數生成器，而後端數據庫用來存儲所有標簽的ID。其基本工作原理是：閱讀器訪問標簽，標簽隨機返回一組數值，閱讀器會根據數值到數據庫中搜索，獲得正確的ID。該協議采用的是隨機數的方式，每次響應都發生變化，安全性相對HASH鎖有所增強；缺點就是增加了HASH、函數運算，功耗和成本上升。

（3）移動型射頻識別密匙協議。該協議要求在射頻標簽內部安置一個HASH函數，存儲ID和一個秘密值S，並和數據庫實現共享。該協議的執行步驟為：①閱讀器向標簽發送監測和讀取命令；②標簽將ID返回；③閱讀器生成一個隨機數發送給標簽；④標簽計算HASH，得出結果後，通過閱讀器傳輸到數據庫；⑤數據庫搜索所有標簽，並進行運算匹配，找到相同值之後就把正確的標簽ID發給閱讀器。該協議的安全性和機密性得到了保證，缺點就是密匙管理難度加大。

（4）基於HASH的ID變化協議。該協議基於HASH鏈接協議，在每一次認證過程中，與閱讀器交換的信息都會改變。在初始狀態，射頻標簽內存有ID、上次發送序號（TID）、最後一次發送序號（LST），而後端數據庫中存儲H（ID）、TID、LST和AE，其中，TID\u003dLST。其協議執行步驟為：①閱讀器向標簽發送監測和讀取命令；②射頻標簽將自身的ID加1並保存，並將H、△TID\u003dTID-LST、H（TID||ID）分別計算出來，並發送給閱讀器；③閱讀器將三個數值轉發給數據庫；④數據庫根據H搜索標簽，找到後，計算出TID，然後計算H（TID||ID），並與接收到的標簽進行比對認證，通過後，向計算結果發送給閱讀器，閱讀器再轉送給標簽；⑤標簽利用自身存儲的ID、TID以及各種計算數值，分析閱讀器與數據庫發送的數值是否相等，相等則通過認證。該協議比較複雜，優點是避免了追蹤和第三方監控；缺點是對環境依賴較大，容易受到其他信號的幹擾。

由上述幾個加密方法可以看出，這些方案采用的都是基於密碼學的機製，包括HASH函數、標簽信息更新、隨機數產生器、服務器數據讀取、公式加密、對稱加密、混沌加密等。這些方案使射頻識別係統的機密性、完整性和隱私性得到了保障，但目前仍然存在著或多或少的問題，如數據同步差、抗幹擾能力弱等。因此，不管是訪問控製技術還是數據加密技術，都不是一成不變的，而是隨著新技術的產生而逐漸創新發展。

2.如何防禦針對傳感網絡的“內外夾擊”

傳感網絡由多個傳感器節點、網關、通信基站和後台係統組成，這些設備之間的通信鏈路相對薄弱，很可能成為黑客的攻擊對象。為了抵禦攻擊，一般的應對措施就是對傳感器節點之間的鏈路進行加密；對接收端受到的數據進行校驗；對數據的發起者進行身份認證；對頻率進行監聽以及依靠安全路由或入侵檢測。

無線傳感網絡本身就包括物理層、數據鏈路層、網絡層、傳輸層與應用層，針對每一層都要設計不同的安全防護措施，具體如下：

第一，物理層安全設計。物理層包括天線部分和傳感器節點，為了保證物理層的安全，就需要解決節點的通訊問題和身份認證問題，然後通過研究天線來解決節點間的信息傳輸，抓好多信道通信。其中，需要特別注意的是節點設計和天線設計。

（1）節點設計。安全且完整的WSN節點主要由數據采集單元、數據傳輸單元和數據處理單元組成，其節點結構如下圖：

圖8-2-1 WSN節點的結構圖

節點設計的正確與否直接關係到整個傳感器的安全性和穩定性。其中，WSN節點硬件結構設計、CPU和射頻芯片的選擇和連接、射頻電路的設計以及數據采集單元的設計一定要采用標準和既定規則。

（2）天線設計。WSN設備大多具有低功耗、小體積等特點，所以其係統設計多采用微帶天線。該類天線具有體積小、質量小、易集成和電性能化等優勢。

第二，鏈路層安全協議。在該層的眾多協議中，MAC層通信協議的安全問題最為重要，S-MAC協議是在802.11 MAC協議的基礎上、針對傳感器網絡的節省能量需求而提出的，針對該協議存在的安全漏洞，又提出了基於數字簽名算法的SSMAC協議，實現了抵禦重放攻擊、保證數據的來源真實和完整的目的。

SSMAC主要包括數據幀格式設計和ACK幀格式設計，前者用來傳輸上一層發到MAC子層的信息，後者是接受終端收到正確的信息幀後所傳輸的確認幀。

第三，網絡層安全路由協議。高效的安全路由協議算法基於分簇機製、多跳路由機製、數據融合機製、多路徑路由機製和密匙機製，其實質是一個高穩定性、高安全性和高可靠性的WSN路由協議。為了解決路由協議通有的安全問題，它一般采用ARRIVE協議的思路，對TREE-BASED路由算法進行安全擴充，優化BP神經網絡的係統安全評價模塊，從而保證路由的可靠性和魯棒性。

第四，傳輸層可靠傳輸協議。可靠傳輸模塊的功能是：（1）網絡遭到破壞時，運行在網絡層上層的傳輸層協議可以將數據安全、穩定送達目的地；（2）能夠抵禦傳輸層所受到的攻擊，依靠智能化的終端保證其穩定性，盡量簡化核心操作，降低傳輸負擔。另外，在設計該傳輸協議時，要盡量考慮如何應對資源有限性和對惡意節點的排查。

第五，應用層認證鑒權協議。針對資源受限於環境和無線網絡的特點，該層協議總和基於SPINS，包括SNEP和uTESLA模塊。SNEP提供了基本的安全規則，即端對端認證、數據的新鮮度、雙方數據鑒別和數據機密性，uTESLA則提供了一種嚴格的針對資源限製情況的廣播認證。不過，SPINS模塊雖然能有效地解決節點之間的安全通信，但對密匙管理卻顯得力不從心。針對應用層的密匙管理問題，一般采用基於Merkle哈希樹的訪問控製方式，以所有密匙的HASH值作為葉子節點構造Merkle樹，這樣，每個傳感器節點就能夠輕鬆分配認證用戶的請求信息。