物联网感知层安全及传感器技术

感知层的任务是实现全面感知外界信息的功能，包括原始信息的采集、捕获和物体识别。该层的典型设备包括RFID装置、各类传感器（如温度、湿度、红外、超声、速度等）、图像捕捉装置（摄像头）、全球定位系统GPS、激光扫描仪等，其涉及的关键技术包括传感器、RFID、自组网络、短距离无线通信、低功耗路由等。这些设备收集的信息通常具有明确的应用目的，因此传统上这些信息直接被处理并应用，如公路摄像头捕捉的图像信息直接用于交通监控，使用导航仪可以使人轻松了解当前位置及要去目的地的路线；使用摄像头可以和朋友聊天和在网络上面对面交流；使用条形码技术，商场结算可以快速便捷；使用RFID技术的汽车无匙系统，人们可以自由开关门，甚至开车都免去钥匙的麻烦，人们也可以在上百米内了解汽车的安全系统等。但是，各种方便的感知系统给人们生活带来便利的同时，也存在各种安全和隐私问题。例如，通过摄像头的视频对话或监控在给人们生活提供方便的同时，也会被具有恶意的人控制利用，从而监控个人的生活，泄露个人的隐私。特别是近年来，黑客利用个人计算机连接的摄像头泄露用户的隐私事件层出不穷，另外，在物联网应用中，多种类型的感知信息可能会被同时处理、综合利用，甚至不同感应信息的结果将影响其他控制调节行为。如湿度的感应结果可能会影响到温度或光照控制的调节，同时，物联网应用强调的是信息共享，这是物联网区别于传感器网的最大特点之一，如交通监控录像信息可能还同时被用于公安侦破、城市改造规划设计、城市环境监测等。因此，如何处理这些感知信息将直接影响到信息的有效应用。

（一）感知层的安全挑战

感知层节点由于大多数来源于第三方，如何保证这些异构的、第三方制造的感知节点的安全，将面临如下挑战。

感知层的网络节点被恶意控制（安全性全部丢失）。

感知节点所感知的信息被非法获取（泄密）。

感知层的普通节点被恶意控制（密钥被控制者获得）。

感知层的普通节点被非法捕获（节点的密钥没有被捕获，因此没有被控制）。

感知层的结点（普通节点或关键节点）受来自网络DOS的攻击。

接入物联网中的海量感知节点的标识、识别、认证和控制问题。

如果感知节点所感知的信息不采取安全防护措施或者安全防护的强度不够，这些信息则很可能被第三方非法获取，这种泄密某些时候可能造成很大危害。由于安全防护措施的成本因素或者使用便利性等因素的存在，很可能使某些感知节点不会采取安全防护措施或者采取很简单的信息安全防护措施，这样将导致大量的信息被公开传输，其结果很可能在意想不到时引起严重后果。

攻击者捕获关键节点不等于控制该节点，一个感知层的关键节点实际被非法控制的可能性很小，因为攻击者需要掌握该节点的密钥（与感知层内部节点通信的密钥或与远程信息处理平台共享的密钥），而这是很困难的。如果攻击者掌握了一个关键节点与其他节点的共享密钥，那么他就可以控制此关键节点，并由此获得通过该关键节点传出的所有信息。但如果攻击者不知道该关键节点与远程信息处理平台的共享密钥，那么他不能篡改发送的信息，只能阻止部分或全部信息的发送，但这样容易被远程处理平台觉察到。因此，若能识别一个被攻击方控制的感知层，便可以降低甚至避免由攻击方控制的感知层传来的虚假信息所造成的损失。

感知层所遇到的比较普遍的情况是某些普通网络节点被攻击方控制而发起的攻击，感知层与这些普通节点交互的所有信息都被攻击方获取。攻击方的目的可能不仅仅是被动窃听，还可能通过所控制的网络节点传输一些错误数据。因此，感知层的安全需求应包括对恶意节点行为的判断和对这些的节点的阻断，以及在阻断一些恶意节点（假定这些被阻断的节点分布式随机的）后，保障网络的连通性。

对感知层分析（很难说是否为攻击行为，因为有别于主动攻击网络的行为）更为常见的情况是攻击方捕获一些网络节点，不需要解析他们的预置密钥或通信密钥（这种解析需要代价和时间），只需要鉴别节点种类，比如检查节点是用于检测温度、湿度还是噪声等。有时候这种分析对攻击方是很有用的。因此，安全的感知层应该有保护其工作类型的安全机制。

因为感知层要接入其他外在网络，如互联网，所以就难免会受到来自外在网络的攻击。目前能预测到的主要攻击除非法访问外，还有拒绝服务攻击DOS。由于感知节点资源受限，计算和通信能力都较低，所以对抗DOS攻击的能力比较弱，在互联网环境里不能识破DOS攻击的访问就可能使感知网络瘫痪。因此，感知层的安全应该包括节点抗DOS攻击能力。考虑到外部访问可能直接针对感知层内部的某个节点（如远程控制启动或关闭红外装置），而感知层内部普通节点的资源一般比网关节点更小，因此，网络抗DOS攻击能力应包括关键节点和普通节点两种情况。

感知层接入互联网或其他网络所带来的问题不仅仅是感知层如何对抗外来攻击的问题，更重要的是如何与外部设备相互认证的问题，而认证过程又需要特别注意感知资源的有限性，因此认证付出的计算和通信代价都必须尽可能小。此外，对外部互联网来讲，其所连接的不同感知系统或者网络的数量可能是一个庞大的数字，如何区分这些系统或者网络及其内部节点并有效地识别它们是安全机制能够建立的前提。

（二）感知层的安全问题

1.传感器安全问题

作为物联网的基础单元，传感器在物联网信息采集中扮演着十分重要的角色。它是物联网感知任务成败的关键，传感器技术是物联网技术的支撑、应用的支撑和未来泛在网的支撑。传感器技术利用传感器和多跳自组织网协作的感知、采集网络覆盖区域中感知对象信息，并发布给上层。由于传感器网络本身具有无线链路比较脆弱，网络拓扑动态变化，节点计算能力、存储能力和能源有限，无线通信过程中易受到干扰等特点，所以传统的安全机制无法应用到传感器网络中。目前传感器网络安全技术主要包括基本安全框架、密钥分配、安全路由、入侵检测和加密技术等。其中传感器网络的密钥分配主要倾向于采用随机预分配模型的密钥分配方案；安全路由技术常采用的方法是加入容侵策略；入侵检测技术作为信息安全的二道防线，主要包括被动监听检测和主动检测两大类。除了上述安全保护技术外，由于物联网节点资源受限且高密度冗余散布，不可能在每个节点上运行一个全功能的入侵检测系统，所以如何在传感网中合理地分布入侵检测系统需要进一步研究。

2.RFID安全问题

RFID设计和应用的目标是降低成本和提高效率，大多采用“系统开放”的设计思想，很少采用安全措施，导致在数据获取、数据传输、数据处理和数据存储各个环节以及标签、读写器、天线和计算机各个设备中都面临严重的安全威胁。RFID是一种非接触式自动识别技术，它通过射频信号自动识别目标对象并获取相关数据，识别工作无须人工干预。RFID也是一种简单的无线系统，该系统用于控制、监测和跟踪物体，由一个询问器（或阅读器）和很多应答器（或标签）组成。

RFID标签虽然获得了广泛的应用，但是由于RFID标签本身的一些特点，如低成本电子标签资源的有限性导致RFID系统安全机制的实现受到一定的约束和限制，使得它面临着严峻的信息安全和隐私保护困扰。隐私是个人或者集团能够自由保持自己的生活和个人事务或控制关于自己的信息流。RFID是一种无处不在的技术，而且注定会得到越来越多的应用，其带来的隐私权威胁将更加突出。2008年8月，美国麻省理工学院的三名学生宣布成功破解了波士顿地铁资费卡。更严重的是，世界各地的公共交通系统都采用了几乎同样的智能卡技术，因此使用它们的破解方法可以“免费搭车游世界”。近几年来不时爆出这样的破解新闻，相关技术人员或者通常意义上的“黑客”声称破解了一种或多种使用RFID技术的产品，并可以从中获取用户的隐私或者伪造RFID标签。(www.chuimin.cn)

（1）非法跟踪

攻击者可以非接触地识别受害者身上的标签，掌握受害者的位置信息，从而给非法侵害行为或活动提供便利的目标及条件。跟踪是对位置隐私权的一种破坏。

（2）窃取个人信息和物品信息

当RFID用于个人身份标识时，攻击者可以从标签中读出唯一的电子编码，从而获得使用者的相关个人信息；当RFID用于物品标识时，抢劫者可以用阅读器确定哪些目标更值得他们下手。

（3）扰乱RFID系统正常运行

缺乏安全措施的电子标签十分脆弱，通过一些简单的技术，任何人都可以随意改变甚至破坏RFID标签上的有用信息，如篡改、重放、屏蔽（法拉第网罩）、失效（大功率发射机使标签感应出足够大的电流烧断天线）、DOS攻击等，这将破坏系统的正常通信，扰乱RFID系统的正常运行。

（4）伪造或克隆RFID标签

每一个RFID标签都有一个唯一的标识符，要伪造标签就必须修改标签的标识，该标识通常是被加锁保护的，RFID制造技术可能会被犯罪分子掌握。伪造标签比较困难，但在某些场合下，标签会被复制或克隆，这与信用卡被拿去复制并允许卡同一时刻在多个地方使用的问题类似。伪造或克隆的RFID标签会严重影响RFID在零售业和自动付费等领域的应用。

如何在RFID标签计算速度、通信能力和存储空间非常有限的情况下，通过设计安全机制，提供系统信息安全性和隐私性保护、防止各种恶意攻击，是关系到RFID系统能否正常安全运行的关键性问题。

RFID系统的安全与隐私问题是由RFID标签的基础功能以及射频信道的开放性所引起的。对RFID系统的攻击可以简单地分为如下几类。

①数据窃听。由于RFID标签与标签读取设备之间是通过无线广播的方式来进行数据传输的，攻击者将有可能获得双方所传输的信息内容。如果这些信息内容未受到保护的话，攻击者就将能够得到标签与标签读取设备之间传输的信息及其具体的含义内容，进而可以使用这些信息用于身份欺骗或者偷窃。价格低廉的超高频RFID标签一般通信的有效距离比较短，直接窃听不容易实现，但是攻击者可以通过中间人来发起攻击最终获得其相关信息。

②中间人攻击。被动的RFID标签在收到来自标签读取设备的查询信息指令后会主动地发起响应过程，将会发送能够证明自身身份的信息数据，因此攻击者可以使用那些已经受到自己控制的标签读取设备来接收并读取标签发出的信息。具体来说，攻击者首先伪装成一个标签读取设备来靠近标签，在标签携带者毫不知情的情况下进行信息的获取，然后攻击者将从标签中所获得的信息直接或者经过一定的处理之后再发送给合法的标签读取设备，从而达到攻击者的各种目的。在攻击的过程中，标签与标签读取设备都以为攻击者是正常的通信流程中的另一方。采用中间人攻击手段的成本十分低廉，与使用的安全协议无关，这种方式是RFID系统所面临的最大挑战之一。

③重放攻击。重放攻击是指主动攻击者将窃听到的用户某次消费过程或身份验证记录重放或将窃听到的有效信息经过一段时间以后再次传给信息的接收者，以骗取系统的信任，达到其攻击的目的。重放攻击复制两个当事人之间的一串信息流，并且重放给一个或两个当事人。

④物理破解。由于RFID系统通常包含了大量的系统内合法标签，而攻击者却可以很容易地获取到系统内标签。廉价的标签通常是没有赋予防破解机制的，因此它容易被攻击者破解，从中获取其安全机制和所有的隐私信息。一般在物理层面被破解之后，标签将被破坏，并且不能够继续使用。这种攻击的技术门槛较高，一般不容易实现。

一旦攻击者破解特定的RFID系统的部分标签后，就可以获得这个标签内部的所有信息，进而可发起两种更加复杂的攻击。其一是试图使用一个标签现在的秘密来推测此标签在之前所使用的秘密，甚至能够破译出该标签在之前所发送的加密信息之中的内容；其二是通过已经获得的部分标签的秘密来推断其他未被破解的标签的秘密，进而发起更广泛的攻击。

⑤信息篡改。信息篡改是指攻击者将窃听到的信息进行修改之后再将信息传给原本的接收者，它是一种非授权的修改RFID标签上的数据。攻击者可以让物品所附着的标签传达他们想要的信息。

这种攻击的主要目的：一是攻击者恶意破坏合法用户的通信内容，阻止合法用户建立通信链接；二是攻击者将修改后的信息传给接收者，企图欺骗接收者相信该信息是由一个合法用户发送和传递的。

⑥拒绝服务攻击。拒绝服务攻击又称淹没攻击，当数据量超过其处理能力而导致信息淹没时，则会发生拒绝服务攻击。这种攻击方法在RFID领域的变种是射频阻塞，当射频信号被噪声信号淹没后就会发生射频阻塞。拒绝服务攻击主要是通过发送不完整的交互请求来消耗系统资源。如当系统中多个标签发生通信冲突，或者一个特别设计的用于消耗RFID标签读取设备资源的标签发送数据时，拒绝服务攻击就发生了。此外，如果标签内部数据的状态是有限的话，同样也会受到服务拒绝攻击的影响。一个特别设计的标签是可以打乱其识别的过程，使RFID标签读取设备无法正确识别所有的标签。

⑦屏蔽攻击。屏蔽是指用机械的方法来阻止RFID标签阅读器对标签的读取。如使用法拉第网罩（Faraday cage）阻挡某一频率的无线电信号，使阅读器不能正常读取标签。攻击者还有可能通过干扰手段来破坏标签的正常访问。干扰是指使用电子设备来破坏RFID标签读取设备对RFID标签的正确访问。

⑧略读。略读是在标签所有者不知情和没有得到所有者同意的情况下读取存储在RFID上的数据。它通过一个特殊的阅读器与标签交互得到标签中存储的数据。这种攻击会发生是因为大多数标签不需要认证的情况下广播存储的内容。