1.3 物联网面临的典型威胁和攻击_物联网安全技术-QQ阅读男生玄幻网

上QQ阅读APP看书，第一时间看更新

1.3 物联网面临的典型威胁和攻击

1.3.1 物联网面临的威胁

物联网除了面对传统网络安全问题之外，还存在着大量自身特殊的安全问题，而这些问题大多来自感知层。具体来说，物联网感知层面临的主要威胁有以下5个方面。

（1）物理俘获：由于物联网应用可以取代人来完成一些复杂、危险和机械的工作，物联网感知节点或设备多数部署在无人监控的场景中，并且有可能是动态的。这种情况下攻击者就可以轻易地接触到这些设备，使用一些外部手段非法俘获感知点，从而对他们造成破坏，甚至可以通过本地操作更换机器的软件和硬件。

（2）传输威胁：首先物联网感知节点和设备大量部署在开放环境中，其节点和设备能量、处理能力和通信范围有限，无法进行高强度的加密运算，导致缺乏复杂的安全保护能力；其次物联网感知网络多种多样，如温度测量、水文监控、道路导航、自动控制等，它们的数据传输和消息没有特定的标准，因此无法提供统一的安全保护体系，严重影响了感知信息的采集、传输和信息安全，这些会导致物联网面临中断、窃听、拦截、篡改、伪造等威胁，例如可以通过感知节点窃听和流量分析获取感知节点上的信息。

（3）自私性威胁：物联网感知节点表现出自私行为，为节省自身能量拒绝提供转发数据包的服务，造成网络性能大幅下降。

（4）拒绝服务威胁：由于硬件失败、软件瑕疵、资源耗尽、环境条件恶劣等原因造成网络的可用性被破坏，网络或系统执行某一期望功能的能力被降低。

（5）感知数据威胁：由于物联网感知网络与感知节点的复杂性和多样性，感知数据具有海量、复杂的特点，因而感知数据存在实时性、可用性和可控性的威胁。

1.3.2 物联网面临的攻击

结合物联网感知节点的部署特点，感知节点可能面临以下攻击。

（1）阻塞干扰：攻击者在获取目标网络通信频率的中心频率后，通过在这个频点附近发射无线电波进行干扰，使得攻击节点通信半径内的所有物联网感知节点不能正常工作，甚至使网络瘫痪，是一种典型的DoS攻击方法。

（2）碰撞攻击：攻击者连续发送数据包，在传输过程中和正常的物联网感知节点发送的数据包发生冲突，导致正常节点发送的整个数据包因为校验和不匹配被丢弃，是一种有效的DoS攻击方法。

（3）耗尽攻击：利用协议漏洞，通过持续通信的方式使节点能量耗尽，如利用链路层的错包重传机制使物联网感知节点不断重复发送上一包数据，最终耗尽节点资源。

（4）非公平攻击：攻击者不断地发送高优先级的数据包从而占据信道，导致其他感知节点在通信过程中处于劣势。

（5）选择转发攻击：物联网是多跳传输，每一个感知节点既是终节点又是路由中继点。这要求感知节点在收到报文时要无条件转发（该节点为报文的目的地时除外）。攻击者利用这一特点拒绝转发特定的消息并将其丢弃，使这些数据包无法传播，采用这种攻击方式，只丢弃一部分应转发的报文，从而迷惑邻居感知节点，达到攻击目的。

（6）陷洞攻击：攻击者通过一个危害点吸引某一特定区域的通信流量，形成以危害节点为中心的“陷洞”，处于陷洞附近的攻击者就能相对容易地对数据进行篡改。

（7）女巫攻击：物联网中每一个传感器都应有唯一的一个标识与其他传感器进行区分，由于系统的开放性，攻击者可以扮演或替代合法的感知节点，伪装成具有多个身份标识的节点，干扰分布式文件系统、路由算法、数据获取、无线资源公平性使用、节点选举流程等，从而达到攻击网络目的。

（8）洪泛攻击：攻击者通过发送大量攻击报文，导致整个网络性能下降，影响正常通信。

（9）信息篡改：攻击者将窃听到的信息进行修改（如删除、替代全部或部分信息）之后再将信息传送给原本的接收者，以达到攻击目的。

1.3.3 物联网的安全策略

传统的网络中，网络层的安全和业务层的安全是相互独立的，而物联网的安全问题很大一部分是由于物联网是在现有网络基础上集成了感知网络和智能处理平台带来的，传统网络中的大部分机制仍然适用于物联网并能够提供一定的安全性，如认证机制、加密机制等[2]。其中网络层和物理层可以借鉴的抗攻击手段相对多一些，但因物联网技术与应用特点使其对实时性等安全特性要求比较高，传统安全技术和机制还不足以使物联网的安全需求得到满足。

对物联网的网络安全防护可以采用多种传统的安全措施，如防火墙技术、病毒防治技术等，同时针对物联网的特殊安全需求，目前可以采取以下6种安全机制来保障物联网的安全。

（1）加密机制和密钥管理：是安全的基础，是实现感知信息隐私保护的手段之一，可以满足物联网对保密性的安全需求，但由于传感器节点能量、计算能力、存储空间的限制，要尽量采用轻量级的加密算法。

（2）感知层鉴别机制：用于证实交换过程的合法性、有效性和交换信息的真实性。主要包括网络内部节点之间的鉴别、感知层节点对用户的鉴别和感知层消息的鉴别。

（3）安全路由机制：保证网络在受到威胁和攻击时，仍能进行正确的路由发现、构建和维护，解决网络融合中的抗攻击问题，主要包括数据保密和鉴别机制、数据完整性和新鲜性校验机制、设备和身份鉴别机制以及路由消息广播鉴别机制等。

（4）访问控制机制：确定合法用户对物联网系统资源所享有的权限，以防止非法用户的入侵和合法用户使用非权限内资源，是维护系统安全运行、保护系统信息的重要技术手段，包括自主访问机制和强制访问机制。

（5）安全数据融合机制：保障信息保密性、信息传输安全和信息聚合的准确性，通过加密、安全路由、融合算法的设计、节点间的交互证明、节点采集信息的抽样、采集信息的签名等机制实现。

（6）容侵容错机制：容侵就是指在网络中存在恶意入侵的情况下，网络仍然能够正常地运行，容错是指在故障存在的情况下系统不会失效、仍然能够正常工作。容侵容错机制主要是解决行为异常节点、外部入侵节点带来的安全问题。

物联网作为正在兴起的、支撑性的多学科交叉前沿信息领域，还处于起步阶段，大多数领域的核心技术正在不断发展中，物联网所面临的安全挑战比想象的更加严峻，物联网安全尚在探索阶段，而网络安全机制还需要在实践中进一步创新、完善和发展，关于物联网的安全研究仍然任重而道远。我们既要迎接挑战，更要抓住这个机遇，充分利用现有的网络安全机制，并在原有安全机制基础上通过技术研发和自主创新进行调整和补充，以满足物联网的特殊安全需求，同时还要通过技术、标准、法律、政策、管理等多种手段来构建和完善物联网安全体系。