引言

物聯(lián)網這種新型網絡架構迅速發(fā)展，基于物聯(lián)網技術的智慧校園、物流管理、醫(yī)療管理及煤礦災害預警與防治等應用會越來越多，所涉及的安全設備和接入類型也會不斷增加。物聯(lián)網的本質是多種不同性質網絡的融合，基于無線通信方式進行的物聯(lián)網內信息傳輸給系統(tǒng)安全與信息傳輸安全帶來更高的要求。

1無線物聯(lián)網面臨的安全威脅

網絡中通過某些軟件截取某些數(shù)據(jù)篡改后重新發(fā)送，或截獲GSM信號進行解密窺探用戶隱私等行為層出不窮，為了保證物聯(lián)網中信息的正常傳播，就必須采取相應的安全策略,保障物聯(lián)網中傳輸數(shù)據(jù)的保密性和完整性。

圖1所示是物聯(lián)網的架構圖。在無線物聯(lián)網架構中，不同層次面臨的安全威脅各不相同：終端設備面臨的是身份驗證、登錄口令安全以及終端系統(tǒng)安全等方面的問題；數(shù)據(jù)傳輸中主要遇到的問題是數(shù)據(jù)截取、數(shù)據(jù)篡改及路由安全等方面；服務器面臨的威脅則為病毒防護、服務器安全、終端用

戶訪問控制等方面。

圖1物聯(lián)網架構

要具備信息安全中機密性、完整性、可用性、可控性和可審查性五個基本要素，營造一個無線物聯(lián)網安全環(huán)境，首先要驗證網絡訪問用戶的有效性，判斷用戶是否為合法用戶,保障系統(tǒng)安全穩(wěn)定，能夠給用戶提供服務；其次，在通信過程中,用戶信息的安全是網絡通信的重點,在這里信息安全指的是保障傳輸?shù)男畔热?，尤其是賬號密碼等信息不被惡意截獲、惡意篡改，避免泄露用戶個人隱私和造成財務損失；最后，服務端安全要對網絡中的攻擊、非法入侵等行為進行屏蔽,并且對服務器內部數(shù)據(jù)庫安全、權限安全等采取有效措施o要實現(xiàn)這一環(huán)境，就要采取數(shù)據(jù)加密、數(shù)字簽名、身份認證、訪問控制、入侵檢測等技術進行實現(xiàn)。

2物聯(lián)網安全的關鍵技術分析

2.1數(shù)據(jù)加密

數(shù)據(jù)加密是指對數(shù)據(jù)進行編碼變換使其看起來毫無意義，實際上仍可以保持其可恢復的形式的過程。數(shù)據(jù)加密用于保護信息的機密性和完整性，還可以識別信息的來源，是最廣泛使用的安全機制。加密算法分為私鑰加密算法和公鑰加密算法。

2.1.1私鑰加密算法

這種算法的收發(fā)雙方使用相同的密鑰進行加密和解密,加密速度快、強度高，常用算法有數(shù)據(jù)加密標準(DES)和國際數(shù)據(jù)加密算法(IDEA)。但是，密鑰的秘密分發(fā)困難，在用戶數(shù)量大的情況下密鑰管理復雜，并且無法完成身份認證和數(shù)字簽名，不便于應用在網絡開放的環(huán)境中。

2.1.2公鑰加密算法

這種算法的收發(fā)雙方使用不同的密鑰進行加密和解密，能夠適應網絡的開放性要求，密鑰管理簡單，能夠方便地實現(xiàn)數(shù)字簽名和身份認證，是目前電子商務和身份認證技術的核心基礎，但是算法復雜，加密數(shù)據(jù)的速度和效率低，常用的加密算法為RSA算法。

在無線物聯(lián)網的實際應用中，應使用兩種加密方法結合的方式，利用私鑰加密算法進行大容量數(shù)據(jù)的加密，而私鑰加密算法中使用的密鑰則通過公鑰加密算法進行加密，通過這種方法有效地提高加密的效率并簡化對密鑰的管理。

2.2訪問控制技術

訪問控制技術是網絡安全防范和保護的主要核心策略,它的主要任務是保證網絡資源不被非法使用和訪問，防止無權訪問資源的用戶惡意或偶然訪問。訪問控制技術大致分為以下兩類：

第一類是自主訪問控制方式。這是在確認主體身份以及他們所屬組的基礎上對訪問進行限定的一種方法，現(xiàn)在大多數(shù)信息系統(tǒng)的訪問控制列表就是自主型訪問控制方法的一種。

第二類是基于角色的訪問控制方式。這種方式對系統(tǒng)操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合，每一種角色對應一組相應的權限。一旦用戶被分配了適當?shù)慕巧螅撚脩艟蛽碛写私巧乃胁僮鳈嘞蕖＿@樣做的好處是，不必在每次創(chuàng)建用戶時都進行分配權限的操作，只要分配用戶相應的角色即可，而且角色的權限變更比用戶的權限變更要少得多，這樣將簡化用戶的權限管理，減少系統(tǒng)的開銷。

實際上，在無線物聯(lián)網安全架構中訪問控制列表和基于角色的訪問控制共同使用，可以有效地防止用戶越權操作引發(fā)不安全事件的發(fā)生。

2.3身份認證

身份認證是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。身份認證通過標識和鑒別用戶的身份，提供一種判別和確認用戶身份的機制。在真實世界中，驗證一個用戶的身份主要通過以下三種方式：

所知道的。根據(jù)用戶所知道的信息(whatyouknow)來證明用戶的身份，如傳統(tǒng)的密碼認證方法。

所擁有的。根據(jù)用戶所擁有(whatyouhave)的東西來證明用戶的身份，如基于IP地址、MAC地址以及智能卡等能夠表示主機身份的地址認證。

本身的特征。直接根據(jù)用戶獨一無二的體態(tài)特征(whatyouare)來證明用戶的身份，例如人的指紋、筆跡、DNA、視網膜及身體的特殊標志等。

2.4入侵檢測技術

入侵檢測是通過從計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。從檢測方法的不同，可以分為以下兩類：

第一類是異常檢測，就是根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測。它的缺點是誤檢率很高，需要建立完整的異常行為規(guī)則庫。

第二類是誤用檢測，就是根據(jù)已定義好的入侵模式，通過判斷在實際的安全審計數(shù)據(jù)庫中是否出現(xiàn)這些入侵模式來完成檢測功能。這種方式檢測準確度很高，但是無法檢測未知威脅。

在無線物聯(lián)網安全架構中，要結合兩者的使用，將誤用檢測用于網絡數(shù)據(jù)包的檢測，將異常檢測用于系統(tǒng)的日志分析。

3物聯(lián)網安全機制

根據(jù)無線終端接入的特點，要使得無線物聯(lián)網中的終端和服務器系統(tǒng)安全、平穩(wěn)運行，保障用戶隱私不被泄露和篡改、用戶身份不被假冒，擬從三個方面，即終端、傳輸和服務器端構建無線物聯(lián)網安全管理機制。圖2所示是本文給出的無線物聯(lián)網安全管理機制。

3.1終端安全

在終端，一般可在身份認證、數(shù)據(jù)鏈接安全和入侵檢測三個方面進行防護。

身份認證方法采用橢圓曲線密碼(ECC)策略，ECC算法中包含了設備識別和密鑰建立。在終端申請接入網絡時，首先要生成相應的身份證書發(fā)送至服務器，待確認后用戶再以輸入用戶名與口令的方式進行終端系統(tǒng)登錄，通過服務器端的數(shù)據(jù)處理判斷用戶的合法性以及角色權限，給予用戶相應的終端使用權。

圖2無線物聯(lián)網安全管理機制

所謂數(shù)據(jù)鏈接安全，就是在物聯(lián)網系統(tǒng)初始化時建立黑白名單鏈接庫，并在運行中不斷更新。有鏈接請求時，與黑白名單鏈接庫進行對比，如有陌生節(jié)點接入，就提示用戶判斷鏈接的安全來確定是否上傳服務器端。

入侵檢測通常需要建立異常行為特征庫，一般包括登錄失敗次數(shù)、單位時間流量上限、對服務器中文件的修改等。采用異常行為檢測技術進行監(jiān)控終端設備的運行，可對終端異常行為的特征進行匹配，然后根據(jù)檢測結果采用對應手段。

3.2傳輸安全

在傳輸方面，對于無線傳輸中可能出現(xiàn)的數(shù)據(jù)截取和數(shù)據(jù)篡改等安全威脅，采取秘密密鑰加密算法(DES)和公開密鑰加密算法(RSA)相結合的數(shù)字簽名方式進行，用DES算法加密傳輸數(shù)據(jù)，用RSA算法加密秘密密鑰和數(shù)據(jù)摘要,在保證了數(shù)據(jù)的安全性、驗證數(shù)據(jù)的完整性、不可否認性的同時，又能夠提高加密速度，具體如圖3所示。

圖3DES與RSA相結合的數(shù)據(jù)加密和數(shù)字簽名示意圖

3.3服務器安全

在服務器端，同樣使用數(shù)據(jù)鏈接安全機制和異常行為檢測的入侵檢測，不同的是，服務器不僅要檢測服務器的異常行為，同樣要檢測終端上傳至服務器的數(shù)據(jù)異常。另外，更重要的是采用基于角色的訪問控制及接入審核和日志。

基于角色的訪問控制，設定安全管理員、接入設備管理員、普通用戶等系統(tǒng)角色，將黑白名單維護、接入設備流程、服務器數(shù)據(jù)訪問、網絡資源使用、用戶修改等操作分配給相應的角色，既減少了系統(tǒng)管理員的工作量，又防止了非法訪問對系統(tǒng)造成安全威脅。

接入審核和日志，在設備數(shù)據(jù)鏈接檢測的基礎上，對終端的物理地址、數(shù)據(jù)內容進行審核，并將審核結果保存為終端的重要日志。

4結語

本文研究了無線物聯(lián)網接入的安全問題，提出了無線物聯(lián)網安全管理機制，對系統(tǒng)進行安全保護。今后，基于物聯(lián)網的應用會越來越多，所涉及的接入類型也會不斷增加，安全管理機制也要進行不斷的完善才能對物聯(lián)網系統(tǒng)進行全方面的安全防護。

20211021_617175599fe9e__無線物聯(lián)網安全管理機制研究