物联网安全问题及其对策
中国软件评测中心
随着物联网取得了广泛的应用，其安全可靠性问题成为关注的焦点。

物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。

物联网技术的推广和运用，将对国家和企业、公民的信息安全和隐私保护问题提出严峻的挑战。

一、物联网技术体系的安全问题
从物联网的信息处理过程来看, 感知信息经过采集、汇聚、融合、传输、决策与控制等过程, 整个信息处理的过程体现了物联网安全的特征与要求和传统网络安全关注的重点存在着巨大的差异。

1、感知层安全问题
感知节点呈现多源异构性, 感知节点通常情况下功能简单(如自动温度计)、
携带能量少(使用电池) , 使得它们无法拥有复杂的安全保护能力, 而感知网络多
种多样, 从温度测量到水文监控, 从道路导航到自动控制, 它们的数据传输和消
息也没有特定的标准, 所以没法提供统一的安全保护体系。

2、传输层安全问题
核心网络具有相对完整的安全保护能力，但是物联网中节点数量庞大，且以集群方式存在, 因此会导致在数据传播时，由于大量数据发送使网络拥塞，易产生拒绝服务攻击。

此外, 现有通信网络的安全架构都是以人通信的角度设计的, 对以物为主体的物联网, 要建立适合于感知信息传输与应用的安全架构。

3、应用层安全问题
支撑物联网业务的平台有着不同的安全策略, 如云计算、分布式系统、海量
信息处理等, 这些支撑平台要为上层服务管理和大规模行业应用建立起一个高效、可靠和可信的系统, 而大规模、多平台、多业务类型使物联网业务层次的安全面临新的挑战, 是针对不同的行业应用建立相应的安全策略, 还是建立一个相对独立的安全架构。

因此，物联网的安全特征体现了感知信息的多样性、网络环境的多样性和应用需求的多样性, 呈现出网络的规模和数据的处理量大, 决策控制复杂等特点, 给安全研究提出了新的挑战。

二、物联网安全问题的对策
根据物联网在信息安全方面的特点及面临的威胁，采取适当的技术防范措施是必然的。

解决物联网的信息安全问题不仅需要技术手段，还需要完善物联网信息安全方面的法律法规及其安全管理机制。

物联网的安全管理涉及到规划、管理、协调等，还涉及标准和安全保护等方面的问题。

这需要一系列相应的配套政策和规范的制定和完善。

组织和管理体系是构建物联网信息安全保障体系的重要载体，由政府和行业主管部门为主体，以具备公立性、专业性、权威性的第三方测试机构为参与单位。

组织和管理体系的主要职责是在物联网示范工程的规划、验证、监理、验收、运维全生命周期推行安全风险与系统可靠性评估。

运用技术手段解决物联网安全问题
在感知层，加强对感知设备的物理安全防护与节点自身的安全防护能力。

在物联网内部，需要建立有效的密钥管理机制，保证物联网内部通信的安全。

通信的机密性和认证性是最重要的，机密性需要在通话时临时建立一个会话密钥，认证性可以通过对称密码或者非对称密码方式解决。

在网络层，涉及异构网络、互联网、移动网络等通信网络。

网络中的安全机制有节点认证、数据机密性、完整性、数据流机密性、DOS攻击的检测与预防;移动网中AKA机制的一致性或兼容性、跨域认证和跨网络认证；相应密码技术：
密钥管理、密钥基础设施和密钥协商、端对端加密和节点对节点加密、密码算法和协议等；组播和广播通信的认证性、机密性和完整性安全机制。

对于应用层的隐私保护等安全需求，需要建立如下安全机制：数据库访问控制和内容筛选机制;不同场景的隐私保护机制；信息泄露追踪技术；安全的数据销毁技术等。

中国软件评测中心物联网促进中心目前承担了国家“物联网公共服务平台”项目和“物联网系统安全与可靠性测评系统”项目，用于支持物联网系统安全与可靠性测试公共技术服务平台的建设和测试规范、工具的研制。

物联网公共技术服务平台旨在为物联网产业发展提供系统可靠性检测与评估、系统解决方案及推广应用、知识产权等服务，减少重复投入，实现资源共享，保障物联网系统安全可靠运行，推动物联网产业快速健康、自主可控发展，促进物联网行业快速发展和应用推广。