物联网的网络层安全
物联网的网络层主要实现信息的转发和传送,它将感知层获取的信息传送到远端,为数据在远端进行智能处理和分析决策提供强有力的支持。在网络层传输的数据数量巨大,同时对于网络世界中,数据的容量增大的同时速度增快,但同时对于网络结点的要求增大,而传输的异构网络就容易受到异步攻击和中间攻击等攻击。由于物联网本身具有专业性的特征,其基础网络可以是互联网,也可以是具体的某个行业网络。物联网的网络层按功能可以大致分为接入层和核心层,因此物联网的网络层安全主要体现在以下两个方面:
(1)来自物联网本身架构、接入方式和各种设备的安全问题。物联网的接入层将采用如移动互联网、有线网、WiFi 和WiMAX等多种无线接入技术。接入层的异构性使得如何为终端提供移动性管理,以保证异构网络间结点漫游和服务的无缝移动成为研究的重点,其中安全问题的解决将得益于切换技术和位置管理技术的进一步研究。另外,物联网的接入将主要依靠移动通信网络,而移动网络中移动站与固定网络端之间的所有通信都是通过无线接口进行的。由于无线接口的开放性,使得任何使用无线设备的个体均可以通过窃听无线信道而获得其中传输的信息,甚至可以修改、插入、删除或重传无线接口中传输的消息,达到假冒移动用户身份以欺骗网络端的目的,因此移动通信网络存在无线窃听、身份假冒和数据篡改等不安全因素。
(2)来自数据传输网络的安全问题。物联网网络核心层功能的实现主要依赖于传统网络技术,其面临的最大问题是现有网络地址空间的短缺,而主要的解决方法寄希望于正在推进的IPv6技术。IPv6 采用IPsec协议,在IP层上对数据包进行了高强度的安全处理,提供数据源地址验证、无连接数据完整性、数据机密性、数据抗重播和有限业务流加密等安全服务。但是任何技术都不是完美的,实际IPv4网络环境中的大部分安全风险在IPv6网络环境中仍将存在,而且某些安全风险随着IPv6新特性的引入将变得更加严重。首先,分布式拒绝服务(DDoS)攻击等异常流量攻击仍然猖獗,甚至更为严重,主要包括TCP-flood、UDP flood等现有DDoS攻击,以及IPv6协议本身机制缺陷所引起的攻击;其次,针对域名服务器(DNS)的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标;再次,IPv6协议作为网络层协议,仅对网络层安全有影响,其他(包括物理层、数据链路层、传输层和应用层等)各层的安全风险在IPv6网络中仍将保持不变;最后,采用IPv6协议替换IPv4协议尚需要一段时间,向IPv6过渡只能采用逐步演进的办法,而为解决两者之间互通所采取的各种措施也将带来新的安全风险。
另外,在传输网络结点的数据是经过加密的,在结点需要解密时,必须有相应的解密密码才能进行解密。