杨悦梅 宋执环
摘 要:随着物联网技术的发展,物联网在工业领域的应用也日益广泛,但物联网的安全隐患为其在工业领域的应用提出了新的挑战。通过建立工业物联网的四层体系架构,详细分析了其体系结构中全面感知层、可靠传输层、智能处理层、综合应用层存在的安全风险,同时对工业物联网安全防护的关键技术进行了初步探讨。
关键词:工业物联网;安全风险;安全防护;感知层
中图分类号:TP316 文献标识码:A 文章编号:2095-1302(2015)03-00-03
0 引 言
物联网是在互联网的基础上,通过无线射频识别(Radio Frequency Identification)技术、全球定位系统(Global Positioning System)以及红外感应器、激光扫描器等信息传感设备,依据相关技术协议,将任意物品与互联网进行联接,开展数据通信以及信息交换,最终实现智能化识别、定位、跟踪、监管等功能。但物联网的安全隐患成为制约物联网发展的一大瓶颈。物联网是跟物理世界打交道的,无论是智能交通、智能电网、智能医疗还是桥梁检测、灾害监测,一旦出现问题就会涉及实体的损失,这也对物联网在工业项目中的具体应用提出了新的挑战。
从当前技术发展和应用前景来看,工业物联网的具体应用主要集中在以下层面:
(1)制造业供应链管理。工业物联网项目通常会应用于企业的原材料采购、库存管理、下游销售等环节,通过具体的工业物联网技术完善、优化整个供应链的管理架构,提升整体效率,降低生产损耗与管理成本;
(2)生产过程工艺优化。通过应用工业物联网技术可以优化生产线过程检测流程、完成生产参数实时采集和生产设备实时监控,并提升生产材料消耗监测水准,实现生产过程的智能监控和智能控制,形成智能诊断与智能决策机制,使得企业智能维护水平不断提高;
(3)产品设备监控管理。通过传感器和网络对设备进行在线监测和实时监控,并提供设备维护和故障诊断的解决方案;
(4)环保监测及能源管理。物联网与环保设备的融合实现了对工业生产过程中产生的各种污染源及污染治理各环节关键指标的实时监控;
(5)工业安全生产管理。把感应器嵌入和装配到矿山设备、油气管道、矿工设备中,可以感知危险环境中工作人员、设备机器、周边环境等方面的安全状态信息,将现有的网络监管平台提升为系统、开放、多元的综合网络监管平台,实现实时感知、准确辨识、快捷响应及有效控制。
1 工业物联网的安全风险分析
工业物联网的三个特征是全面感知、可靠传输、智能处理,系统通过网络通信协议协调各模块之间的操作时序,从而实现整个系统的自我感知和判断、自我调节和控制等。按各层次结构和业务可以将工业物联网分为全面感知层、可靠传输层、智能处理层、综合应用层。工业物联网的体系架构如图1所示。
1.1 全面感知层的安全风险
全面感知层由感知子系统和控制子系统构成,主要通过智能嵌入式芯片负责从物理世界采集原始信息,并根据系统指令改造物理世界,实现对物理世界的标识、感知、协同和互动。典型的设备包括RFID装置、各类传感器、图像采集装置、执行器单元以及全球定位系统(GPS)。全面感知层可以说是工业物联网中最脆弱的部分,它的架构特点是本身组成局部传感网,并通过网关节点与外网连接,因此这一层次可能受到局域网内部和通过网关节点的外部两方面威胁,一旦传感层的节点(普通节点或网关节点)受来自于网络的数据攻击(例如DDoS攻击);传感层的普通节点就有可能被外部攻击者屏蔽,严重影响传感层可靠性,继而导致传感层的普通节点被外部攻击者控制,丢失节点密钥;最终传感层的网关节点就会被外部攻击者完全掌控;导致接入到物联网的超大量传感节点的标识、识别、认证和控制都会产生问题。
1.2 可靠传输层的安全风险
可靠传输层保证感知数据在异构网络中的可靠传输,其功能相当于TCP/IP结构中的网络层和传输层,包括信息传输和识别、数据存储、数据压缩和恢复。构成该层的要素包括网络基础设施、通信协议以及通信协议间的协调机制。可靠传输层的安全主要是传统互联网、移动网、专业网(如国家电力数据网、广播电视网等)、三网融合通信平台(跨越单一网络架构)等基础性网络的安全,其可能受到的安全威胁有:垃圾数据传播(垃圾邮件、病毒等);假冒攻击、中间人攻击等(存在于所有类型的网络);DDoS攻击(来源于互联网,可扩展到移动和无线网);跨异构网络的攻击(互联网、移动网等互联情况下);新型针对三网融合通信平台的攻击等。
图1 工业物联网的体系架构
1.3 智能处理层的安全风险
智能处理层由多个具有不同功能的智能处理平台组成,并采用网格运算或云计算的方式调配、组织这些平台的运算能力。智能处理平台的处理层会依据需求将原始感知数据以不同的格式进行处理,从而实现同一感知数据在不同应用系统间的数据共享,同时根据感知数据和应用层用户指令进行智能决策、调控子系统内部的预设规则,改变控制子系统的运行状态。智能处理层的安全风险主要包括数据智能处理失控、非法人为干预(内部攻击)、设备(特别移动设备)丢失等,由于将工业控制系统引入到其中,所面临的风险主要有:智能平台受到病毒的威胁;阻塞、欺骗、拒绝服务等使控制命令延迟或失真,导致系统无法进入稳定状态;自动控制平台受到攻击导致失控(可控性是工业安全重要指标之一);容灾性差,灾难造成的后果无法有效控制和恢复。
1.4 综合应用层的安全风险
综合应用层面向终端用户提供个性化业务,包括身份认证、隐私保护等,同时面向协同处理层,预留人机交互接口并提供用户操作指令,用户通过这些接口可以使用TV端、PC端、移动端等多终端设备对网络进行访问。综合应用层具有多样性和不确定性的特点,不同的工业现场应用环境对安全有不同的需求,其面临的威胁也呈现出多样化:超大量终端、海量数据、异构网络和多样化系统下的多种不同安全问题,有些安全威胁难以预测;数据共享是物联网应用层的特征之一,但数据共享可能带来数据隐私性、访问权限可控性、信息泄露追踪等方面的问题;应用场景的不同将决定对安全需求的不同,例如隐私保护问题就是在特殊应用环境中出现的。
2 工业物联网安全及防护关键技术
在当前的物联网技术水平下,大多数工业物联网体系的构建都是以现有的移动网络为基础,再将工业感知网络和工业应用平台整合、聚集而成,因此大部分的移动网络安全机制仍然可以适用于此并提供一定程度的安全性保障,如安全认证机制、安全加密机制等。此外,在传统网络体系结构中,网络层与业务层在安全及防护层面是互相隔断且独立的,而工业物联网则因构成方式而具备自身的特殊性,故而需要根据其特征对安全机制进行相应的补充和调整。
2.1 工业物联网中的业务认证机制
传统认证过程中,网络层认证和业务层认证都只负责各自层面的身份鉴别,两者互相独立;而工业物联网中的设备一般都拥有特定用途,因此多数情况下其业务层的应用与网络通信紧密捆绑,基于此,加之网络层认证的不可或缺性,则其业务层认证机制不再必需,可以根据业务提供方的不同和安全敏感程度的高低来进行设计。
具体来看,可以通过以下几种情况为例:(1)工业物联网的业务由运营商提供,可以跳过业务层认证,只采纳网络层认证结果即可;(2)工业物联网的业务由第三方提供,且无法通过网络运营商获得安全参数,可以不考虑网络层认证结果,发起独立的业务层认证;(3)当工业物联网所涉及的业务敏感度较高,如军事类业务等,业务提供者一般情况下无法采信网络层认证结果,会使用更高级别的业务层认证;(4)当工业物联网涉及普通业务,如气温采集业务等,业务提供者认为网络认证的结果可以采信,则无需再进行业务层认证。
2.2 工业物联网中的加密机制
传统的加密机制中,网络层采用逐跳加密机制,而业务层则采用端到端加密机制,两者具有很大的区别;逐跳加密机制可以保证信息在传输过程中是加密的,但是需要在途经节点之上不断地进行解密和加密,即信息在每个节点上都是明文的;端到端加密机制可以保证信息在传输过程和转发节点上都是密文,只在发送端和接收端才是明文。在目前的工业物联网应用中,网络连接和业务使用密切相关,因而面临到底是使用逐跳加密机制还是端到端加密机制的选择。
逐跳加密机制是在网络层进行的,因而适用于所有业务,不同的业务可以通过统一的工业物联网业务平台进行安全管理,从而实现安全机制对业务的透明;此外,逐跳加密机制可以只针对有保护需求的链接进行信息加密,这就保证了逐跳加密机制的低时延性、低成本性、高效率性和高扩展性等特点。但是,逐跳加密机制需要在各传送节点对加密信息进行解密的特性也导致各节点都有可能泄露加密信息的明文,因而对传输路径中各传送节点提出了很高的可信任度要求。
采用端到端加密机制时,一般会根据所涉及的业务类型选择不同的安全策略,从而为高安全要求的业务提供高安全等级的保护。但是,端到端加密机制中每一个消息所经过的节点都要以消息最终目的地址来确定消息的传输方式,因而不能对此目的地址进行保护,这就导致端到端加密机制不能掩盖被传输消息的源点与终点,其通信业务过程容易受到分析而遭受恶意攻击。此外,从国家安全的角度来看,端到端加密机制也无法满足国家合法监听的实际需求。
综上所述可知,对于安全要求不是很高的普通业务,网络层逐跳加密机制已经能够提供足够的安全防护,因而业务层端到端加密机制并不是必需的;但是一旦涉及高安全需求的业务,仍然首选端到端加密机制。因而,可以依据工业物联网业务项目具体的安全级别需求而选择相应的加密机制。
2.3 大规模实体身份标识和认证技术
在实际的工业物联网项目应用过程中,通常会采用外部网络与末梢网络节点间的双向认证技术来实现网络与实体之间的互信机制,这部分技术主要在传输层实现,包括安全密码算法(对称和公钥密码)的设计、密钥管理、节点对节点机密性、端对端机密性、强认证协议、密码算法和密码协议标准化等内容。但是,在现有的技术环境下,双向认证还必须考虑以下两个现实问题:(1)末梢网络资源通常是非常有限的,认证过程中必须充分地认识到这一点,因而认证机制所涉及的计算量和通信开销必须尽可能小;(2)对外部网络而言,其连接的末梢网络数量巨大,且结构不尽相同,要在如此复杂的环境下建立一个高效的识别机制,以区分这些网络及其内部节点,并赋予唯一的身份标识,需要完善的解决方案。
2.4 工业物联网中的网隐私保护技术
企业用户和个人用户在享受物联网个性化服务的同时,也会因为“无处不在”的网络环境和“无孔不入”的网络黑客而面临自身隐私信息泄露的可能;此外,工业物联网项目任务通常由多个网络节点协同完成,协作过程中节点的数据输出也会造成隐私泄露。因此,如何兼顾用户隐私机密性和系统数据分析处理效率,是一个亟待解决的问题。
目前在工业物联网应用层面,隐私保护技术主要集中在数据发布、数据挖掘以及无线传感网等领域,具体的隐私保护方法可以分为3类:
(1)匿名化方法:该方法主要通过将敏感信息进行模糊化来保护隐私,即对原始信息的局部或全局敏感数据进行修改或隐藏。
(2)加密方法:该方法是基于数据加密的保护方法,通过密码机制实现了原始数据对于他方的不可见性,同时还保证了数据的无损失性,兼顾了数据的机密性和隐私性。目前使用最多的加密方法是同态加密技术和安全多方计算SMC。同态加密技术最初由Rivest等人于1978年提出,是一种以代数理论为基础的加密变换技术,允许用户直接对密文进行操作,后期Domingo等人完善并改进了该技术,该算法的同态性可以保证用户对敏感数据进行安全操作,避免数据信息的泄露。SMC是一种利用加密机制形成交互计算的协议,可以实现无信息泄露的分布式安全计算,参与该计算的各实体均以私有数据参与协作计算过程,一旦计算完成,各方只能得到正确的数据结果,无法触及他人隐私数据,即两个或多个站点通过某种协议完成计算后,任何一方只能得到自己输入的数据和相关的计算结果。
(3)路由协议方法:该方法一般用于无线传感网中节点位置的隐私保护,一般基于随机路由策略,即数据包的每次传输并不都是从源节点传输至汇聚节点方向,转发节点会以一定的概率将数据包向远离汇聚节点的方向进行传输,同时传输路径也是变化的,每一个数据包的传输路径都随机产生,这就使得攻击者很难获取节点的准确位置信息,从而达成安全防护目标。
2.5 工业物联网中的安全控制技术
工业物联网技术和传统工业控制系统的结合,在产生额外效益的同时也带来了新的安全问题,目前工业物联网控制系统安全尚未形成成熟的研究模型和安全策略,相关研究还处于初期阶段,主要集中在攻击行为模式分析和鲁棒网络控制系统构建两个方面。因此,为了得到更具精准性和确定性的安全控制技术,需要更加细致地分析将物联网引入工业控制系统后所产生的各种影响因素,将其纳入安全控制分析模型之中,进行更深入的研究。
3 结 语
目前物联网的安全问题已经成为大家关注的焦点问题,尤其在工业物联网的安全防护和评估的发展方面,我国尚无系统化的安全防护体系,也缺乏适用于工业物联网在各领域的通用和专用安全标准和规范。因此建立全面的安全防御体系,并开发一系列的工业物联网安全防护产品,以及制定针对工业网联网的评估系列标准,不仅保证了人民的日常生活、安全生产活动,而且为社会的稳定、基础设施和战略信息的安全提代了保障,对国家安全都具有重要战略意义。
参考文献
[1]杨金翠.物联网环境下的控制安全关键技术研究[D].北京:北京邮电大学, 2013.
[2]朱云龙.物联网应用促进工业化水平持续提升[J].世界电信,2011(7):50-53.
[3]宋慧欣.破解“工业控制系统信息安全”迷局[J].自动化博览,2012(7):30-35.
[4]钱萍,吴蒙.物联网隐私保护研究与方法综述[J].计算机应用研究,2013(1):13-20.
[5]周水庚,李丰.面向数据库应用的隐私保护研究综述[J].计算机学报,2009,32(5):847-861.
[6]RIVEST R L,ADLEMAN L.On data banks andprivacy homomorphism[C]/ /Foundations of Secure Computation.New York:Academic Press,1978:169-179.
[7]李士宁.工业物联网技术及应用概述[J] .电信网技术,2014(3):26-31.
[8]谭建平,柔卫国.基于物联网的一体化安全防范技术体系研究[J]. 湖南理工学院学报(自然科学版),2011(12):46-51.