贾保先 谢圣献 李俊青 贾仰理

(聊城大学计算机学院，山东 聊城 252059)

0 引言

物联网是继计算机、互联网之后世界信息产业发展的第三次浪潮，受到各国学术界、企业和政府的高度重视。物联网在军事、金融、航空航天、交通、国家电网、医疗等领域的应用日趋广泛。这些领域涉及国防安全、军事，国家的政治、经济(金融)，已成为敌对势力、不法分子的攻击目标。因此，物联网系统的安全、可靠性等要求特别高，一旦系统安全发生漏洞，所造成的国家安全、经济损失等将不堪设想。在物联网的规模不断扩大、复杂程度不断增加的情况下，保障各种攸关生命、安全的物联网系统的安全性、可靠性，防止灾难的发生是物联网应用领域面临的主要挑战之一。

1 物联网面临的安全威胁

物联网是一个由感知层、网络层和应用层共同组成的大规模系统，其核心与基础仍是互联网。物联网除了互联网自身安全外，它还具有自身特有的安全需要。

①物联网访问控制机制亟待加强。物联网资源发现服务有助于收集分布于成千上万的组织机构或不同地理位置上的资源信息和状态数据;物联网中海量的分布式资源亟待有效的资源优化与调度算法，以保证高效的资源发现和定位;访问控制机制的缺失将会导致物联网关键资源访问权限的大量泛滥。2009年发布的《欧盟物联网研究战略路线图》强调，物联网资源的发现和访问控制是物联网安全的关键支撑技术。加强物联网资源优化调度和访问控制的研发工作是当务之急。

②物联网软件安全形式化验证十分迫切。物联网在航空航天、军事过程控制、智能交通控制、医疗等安全攸关领域的应用日趋广泛，其行为必须具备可预测性和自适应性，其操作必须具有可靠性和可验证性。而软件是物联网系统的灵魂和中枢神经，这也是“智慧地球”等概念由作为软件和IT服务商的IBM提出的原因［1］。

物联网中间件在物联网软件中占有重要地位。物联网可以划分成感知层、网络层和应用层，各层都需要软件(中间件)的支撑。物联网软件产品涉及基础软件支撑软件和应用软件，物联网软件服务包括咨询规划系统集成、系统运维等各种业态。物联网软件构成了一个完整的产业生态链条，是物联网产业的重要组成部分，软件的安全性能至关重要。因此，对物联网软件安全问题与对策进行研究，对推动物联网产业的成长、发展和壮大具有重要意义。

③物联网射频识别系统(RFID)自身安全亟待完善。RFID是一种非接触式的自动识别技术，其通过射频信号自动识别目标对象并获取相关数据，在物联网中应用广泛。但在实际应用环境中，RFID尚存在诸多安全隐患，增强RFID的安全性能够进一步扩大其使用范围。RFID系统安全问题主要反映在两个方面:第一是RFID标签和后端系统之间的通信是非接触和无线的，它们之间的通信内容很容易泄露;第二是标签的成本会直接影响标签本身性能，因此很难实现对安全威胁的高效防护。

2 安全解决措施

2.1 访问控制研究对策

作为物联网的核心技术，云计算(cloud computation)也面临诸多安全问题，例如云计算也无法避免可能在软件中出现诸如漏洞、病毒、攻击及信息泄露等目前信息系统中普遍存在的、共性的信息安全问题。传统的信息安全技术将会继续应用在云计算中心以及端设备的安全管理上［2］。文献［3］介绍了云服务主要面临的问题，并对云服务安全问题进行了分析。本文主要从访问控制方面展开研究工作，找出解决措施。云服务主要威胁如图1所示。

图1 云服务主要威胁Fig.1 The main threats to cloud services

访问控制在物联网环境下被赋予了新的内涵:将IP网络中给“人”进行访问授权转变成了给机器进行访问授权;有限制地分配、交互共享收据;机器与机器之间变得更加复杂［4］。

通过以下技术措施可以较好地解决物联网访问控制问题:①通过身份验证机制与细粒度的访问控制机制的整合，可以为物联网资源提供有效的权限保护;②通过资源发现机制与优化算法的整合，可以为物联网安全提供有效的算法保证;③通过跨域授权，可以解决不同主体的授权。

基于角色的访问控制(role-based access control，RBAC)通过角色作为用户和权限之间的中介，有效地实现对权限管理数据的层次抽象。将RBAC机制引入跨域授权管理系统，可以实现一种安全有效的模型访问控制体制。同时，其本体是共享概念模型的形式化规范说明，是一种能在语义和知识层次上描述信息系统的概念模型的建模工具，这使企业内部带有语义信息的互操作变得简单的同时，也为解决跨域安全互操作提供了一个新的方法［5］。

2.2 物联网形式化验证对策

对物联网感知层、网络层和应用层的软件技术的研究，重点是对物联网节点软件(闭环式RFID系统软件、RFID中间件、嵌入式系统软件等)、物联网系统软件(数据库软件、操作系统软件等)、物联网支撑软件(网络及通信管理软件、智能计算及控制软件、支持多物联网应用中间件/平台软件、开发环境与开发工具、隐私保护与信息安全软件等)和物联网应用软件(嵌入式应用软件、网络集成软件、系统应用软件等)分层进行研究分析，从而解决物联网安全问题，提高物联网软件的性能及使用寿命。

2.3 RFID安全研究对策

RFID系统本身包括标签、读写器以及标签与读写器之间的射频通信信道，涉及到的安全问题主要包括:①标签本身的访问缺陷，任何用户(授权以及未授权的)都可以通过合法的阅读器读取RFID标签，而且标签的可重写性使得标签中数据的安全性、有效性和完整性都得不到保证;②移动RFID的安全，主要存在假冒和非授权服务访问问题。

RFID是物联网的关键技术，其保护不仅涉及技术问题，还涉及法律等方面的问题。具体对策如下。

①工信部2011年3月公布的《卫星移动通信系统终端地球站管理办法》已于2011年6月1日正式施行，其中对物联网行业安全制定了防范措施，从机制上确保了我国物联网安全，规范了物联网市场竞争，但在法律层面的约束还是空白，因此制定相关的物联网隐私法律法规，明确将隐私权作为独立民事权利对物联网安全至关重要［6］。此外，还需要从完善国家信息安全组织体系、建立国家信息安全技术保障体系等多方面进行全面规划和不断完善，加紧制定出台个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法及计算机安全监督法等可以保证信息空间正常运作的配套法规。

②除了立法外，还要提高行业个人自律以及防范意识能力，注意对个人信息的保护，避免泄露;同时物联网网络主体在道德意识、道德行为方面，自觉按照网络道德规范约束自己。只有法律和道德二者互相配合、互相补充，形成良好的互动，才能确保物联网有序发展［7］。

③标准制定。物联网刚刚起步，在国际上谁掌握了标准，谁就掌握了话语权。如果过分依赖别人的标准，势必会在我国经济、国防等领域埋下重大隐患。

3 结束语

物联网的推广将成为下一个经济发展的助力器，但同时也带来了诸多安全、隐私、资源保护、访问控制等问题。物联网的发展与应用是一个庞大的工程，既需要技术支持，又需要相应的法律、制度配套。只有技术成熟、法律完善、行业自律完善，才能为物联网的快速发展和应用提供一个健康的环境，物联网安全的研究任重而道远。

［1］物联网的未来之路:物联网图强软件先行［EB/OL］.［2010－07－02］.http://www.sdetn.gov.cn/dzxxc/jsdt/webinfo/2010/04/1270687339252615.htm.

［2］李德毅.云计算——物联网的基石［EB/OL］.［2011－03－02］.http://www.huawei.com/cn/about-huawei/publications/communicate.

［3］Chen Danwei，Huang Xiuli，Ren Xunyi.Acess control of cloud services based on UCON［C］∥Proceedings of the 1st International Conference on Cloud Computing，2009:559 －564.

［4］李向军.物联网安全及解决措施［J］.农业网络信息，2010(12):5－7.

［5］李瑞轩，赵战西，文坤梅，等.基于本体的多域访问控制策略集成研究［J］.小型微型计算机系统，2007(9):1710－1714.

［6］聂学武，张永胜.物联网安全问题及对策研究［J］.计算机安全，2010(4):4－6.

［7］刘泽喜.物联网伦理问题探析［D］.武汉:武汉科技大学，2010.