物联网的特点能揭示出其相关的安全问题,这些安全问题为:1)感知层数据信息采集和传输的安全问题。传感器节点具有种类多和高异质性的特点,且通常具有单一的结构和单处理器,这些特点使其不可能具备复杂的安全防护能力。2)网络层的传统安全问题。目前的网络安全体系虽已成熟,但仍存在许多的攻击漏洞。例如,大量的恶意节点同时发送数据引起的DoS(Denial of Service)攻击,等等。因此需要建立具体的网络以适应物联网的信息传输。3)应用层的安全问题。物联网在不同应用领域都会存在许多复杂和多样的安全问题。4)安全与成本之间的矛盾问题。如果每个传感器节点的成本太低,那么就会存在大量的低性能节点,这些节点将会降低传感器网络安全,相反高质量节点能够提高安全性,但是网络的维护成本将提高。5)传感器节点性能问题。传感器节点的处理器性能较低,必须采用轻量级的加密算法和安全认证来保证其安全性。6)非对称性问题。相对于网络终端,网关节点的数据处理能力非常弱,这就需要有高效的安全管理措施来协调网络的非对称性。7)复杂度问题。物联网应用的类型决定了其安全问题的数量和复杂度,因此,应该综合考虑每一层的安全问题。以上前三个是传统的安全问题,其他的为新问题。
这些安全问题非常复杂并且处理起来相当困难,因此需要了解不同层的各种安全问题和潜在攻击。考虑到该系统是一个整体,安全问题在刚开始设计的时候就应该被解决。因此,灰色关联算法在物联网安全状态评估中的应用,它将常见的几种网络攻击行为作为安全因素,通过使用灰色关联分析法来量化某段时间内网络攻击行为对该网络所产生的相对影响,进而实现对整个网络所处的安全环境与状态的定量评估,并且给出了基于灰色关联算法的物联网信息安全状态评估的具体步骤。下面将讨论每一层的安全问题。
(一)感知层的安全问题
目前感知层主要的感知设备包括RFID模块、zigbee模块等各种无线传感器设备。由于数据信息被采集时,信息传输方式主要是通过无线网络来传输,因此信号被暴露在公共场所。如果此信号缺乏有效的保护措施,就会很容易被监控、截获和干扰。由于大部分无线传感设备被部署在非受控区域,因此攻击者很容易获得并控制这些设备,或者从物理上毁坏它们。例如,DPA(微分功率分析)就是一种非常有效的攻击。

几种常见的攻击[9]:

(1)节点捕获。关键节点(如网关节点)很容易被攻击者控制,可能会导致所有信息的泄漏,包括组通信密钥、无线电密钥、匹配密钥,等等,进而威胁到整个网络的安全。

(2)伪节点和恶意数据。攻击者给系统添加一个节点,并为其输入伪代码或数据,该节点会阻碍实时数据的传输并剥夺能量受限节点的睡眠,进而导致宝贵的节点能量的消耗,从而潜在控制或摧毁整个网络。
(3)DoS(拒绝服务)攻击。DoS攻击是无线传感器网络和互联网中最常见的攻击,它会导致网络资源的消耗殆尽并使服务失效。
(4)延时攻击。通过分析用于执行加密算法所需要的时间来获取关键信息。
(5)路由威胁。通过欺骗、篡改或重发路由信息,攻击者可以创建路由环路来产生或阻碍网络传输、延长或缩短来源路径、形成错误信息、增加终端到终端的延迟,等等。
(6)重放攻击。攻击者发送一个目的主机已接受过的数据包,来取得系统的信任,主要用于身份认证过程和破坏认证的正确性。
(7)SCA(边信道攻击)。攻击者针对设备在运行过程中侧信道信息的泄露而对加密设备进行的攻击,如时间消耗、电力消耗或电磁辐射,等等。

(8)海量节点认证问题。需要解决物联网海量节点认证的效率问题。
此外,移动智能终端将是物联网感知层的一个重要的组成部分,所以其安全性不容忽视。目前,市场上大部分智能手机都是以安卓操作系统为主,然而根据安卓系统发展的特点,大多数安卓手机存在安全验证和短信诈骗漏洞的高风险。此外,几乎所有的安卓软件都具有一些如扫描手机内存、上传用户地址簿、定位和收集用户隐私的功能,因此,对于智能手机用户的隐私保护也是一个需要解决的问题。
(二)网络层的安全问题
(1)传统网络问题。通信网络的安全问题将对数据机密性和完整性构成威胁。虽然现有的通信网络具有相对完整和安全的保护措施,但是仍有一些常见的问题,包括网络非法入侵、信息窃听、保密性缺失、完整性破坏、DoS攻击、中间人攻击、病毒入侵、漏洞攻击,等等。
(2)兼容性问题。现有的互联网安全体系结构是以人的角度设计的,并不一定适用于机器之间的通信,利用现有的安全机制将会分裂物联网机器之间的逻辑关系。由于接入网络的方式有多种,这种异质性使得安全性、互操作性和网络协调性变得糟糕,并且容易产生安全漏洞。
(3)群集安全问题。包括网络阻塞、DoS攻击、身份验证问题,等等。由于物联网设备的数量巨大,如果使用现有的验证模式来验证设备,将会产生巨大的数据流量而造成网络阻塞。现有的IP技术不适用于海量节点验证,因为在大量设备之间的相互验证会导致关键资源的严重浪费。
(4)隐私泄露问题。随着信息检索技术和社会工程的发展,黑客很容易就能收集到大量特定用户的隐私信息。
(三)应用层的安全问题
物联网在不同的应用领域,其应用层也具有不同的安全问题。虽然物联网应用层的构架至今还没有统一的标准,但是一些企业已经实施了物联网的M2M(机器到机器)模式,如智能小区、智能家居、医疗,等等。虽然应用层的安全问题比较复杂和繁琐,但仍可以总结出一些常见的安全问题。
(1)数据访问权限、身份认证。由于不同的应用会有不同的用户而每个应用也会有大量的用户,因此,需要采取高效的身份验证技术以防止非法用户的介入,同时也应该考虑到垃圾邮件和恶意信息的识别和处理。
(2)数据保护和恢复。由于通信数据涉及到用户个人隐私,而数据保护机制和数据处理算法却不够完美,因此很可能会导致数据丢失,甚至造成灾难性的损害。海量节点管理也是造成数据丢失的原因之一。
(3)海量数据处理能力。在具有大量节点、海量数据传输和复杂环境的情况下,一旦数据处理能力和适应能力不能够满足需求,就会导致网络中断和数据丢失。
(4)应用层软件漏洞。由于程序员是用非标准代码来编写软件,这会导致在软件中存在缓冲区溢出漏洞等问题,黑客可以利用这些漏洞来实施他们的计划。