无线物联网安全管理机制研究

引言

物联网这种新型网络架构迅速发展，基于物联网技术的智慧校园、物流管理、医疗管理及煤矿灾害预警与防治等应用会越来越多，所涉及的安全设备和接入类型也会不断增加。物联网的本质是多种不同性质网络的融合，基于无线通信方式进行的物联网内信息传输给系统安全与信息传输安全带来更高的要求。

1无线物联网面临的安全威胁

网络中通过某些软件截取某些数据篡改后重新发送，或截获GSM信号进行解密窥探用户隐私等行为层出不穷，为了保证物联网中信息的正常传播，就必须采取相应的安全策略,保障物联网中传输数据的保密性和完整性。

图1所示是物联网的架构图。在无线物联网架构中，不同层次面临的安全威胁各不相同：终端设备面临的是身份验证、登录口令安全以及终端系统安全等方面的问题；数据传输中主要遇到的问题是数据截取、数据篡改及路由安全等方面；服务器面临的威胁则为病毒防护、服务器安全、终端用

户访问控制等方面。

图1物联网架构

要具备信息安全中机密性、完整性、可用性、可控性和可审查性五个基本要素，营造一个无线物联网安全环境，首先要验证网络访问用户的有效性，判断用户是否为合法用户,保障系统安全稳定，能够给用户提供服务；其次，在通信过程中,用户信息的安全是网络通信的重点,在这里信息安全指的是保障传输的信息内容，尤其是账号密码等信息不被恶意截获、恶意篡改，避免泄露用户个人隐私和造成财务损失；最后，服务端安全要对网络中的攻击、非法入侵等行为进行屏蔽,并且对服务器内部数据库安全、权限安全等采取有效措施o要实现这一环境，就要采取数据加密、数字签名、身份认证、访问控制、入侵检测等技术进行实现。

2物联网安全的关键技术分析

2.1数据加密

数据加密是指对数据进行编码变换使其看起来毫无意义，实际上仍可以保持其可恢复的形式的过程。数据加密用于保护信息的机密性和完整性，还可以识别信息的来源，是最广泛使用的安全机制。加密算法分为私钥加密算法和公钥加密算法。

2.1.1私钥加密算法

这种算法的收发双方使用相同的密钥进行加密和解密,加密速度快、强度高，常用算法有数据加密标准(DES)和国际数据加密算法(IDEA)。但是，密钥的秘密分发困难，在用户数量大的情况下密钥管理复杂，并且无法完成身份认证和数字签名，不便于应用在网络开放的环境中。

2.1.2公钥加密算法

这种算法的收发双方使用不同的密钥进行加密和解密，能够适应网络的开放性要求，密钥管理简单，能够方便地实现数字签名和身份认证，是目前电子商务和身份认证技术的核心基础，但是算法复杂，加密数据的速度和效率低，常用的加密算法为RSA算法。

在无线物联网的实际应用中，应使用两种加密方法结合的方式，利用私钥加密算法进行大容量数据的加密，而私钥加密算法中使用的密钥则通过公钥加密算法进行加密，通过这种方法有效地提高加密的效率并简化对密钥的管理。

2.2访问控制技术

访问控制技术是网络安全防范和保护的主要核心策略,它的主要任务是保证网络资源不被非法使用和访问，防止无权访问资源的用户恶意或偶然访问。访问控制技术大致分为以下两类：

第一类是自主访问控制方式。这是在确认主体身份以及他们所属组的基础上对访问进行限定的一种方法，现在大多数信息系统的访问控制列表就是自主型访问控制方法的一种。

第二类是基于角色的访问控制方式。这种方式对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。

实际上，在无线物联网安全架构中访问控制列表和基于角色的访问控制共同使用，可以有效地防止用户越权操作引发不安全事件的发生。

2.3身份认证

身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。在真实世界中，验证一个用户的身份主要通过以下三种方式：

所知道的。根据用户所知道的信息(whatyouknow)来证明用户的身份，如传统的密码认证方法。

所拥有的。根据用户所拥有(whatyouhave)的东西来证明用户的身份，如基于IP地址、MAC地址以及智能卡等能够表示主机身份的地址认证。

本身的特征。直接根据用户独一无二的体态特征(whatyouare)来证明用户的身份，例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。

2.4入侵检测技术

入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。从检测方法的不同，可以分为以下两类：

第一类是异常检测，就是根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。它的缺点是误检率很高，需要建立完整的异常行为规则库。

第二类是误用检测，就是根据已定义好的入侵模式，通过判断在实际的安全审计数据库中是否出现这些入侵模式来完成检测功能。这种方式检测准确度很高，但是无法检测未知威胁。

在无线物联网安全架构中，要结合两者的使用，将误用检测用于网络数据包的检测，将异常检测用于系统的日志分析。

3物联网安全机制

根据无线终端接入的特点，要使得无线物联网中的终端和服务器系统安全、平稳运行，保障用户隐私不被泄露和篡改、用户身份不被假冒，拟从三个方面，即终端、传输和服务器端构建无线物联网安全管理机制。图2所示是本文给出的无线物联网安全管理机制。

3.1终端安全

在终端，一般可在身份认证、数据链接安全和入侵检测三个方面进行防护。

身份认证方法采用椭圆曲线密码(ECC)策略，ECC算法中包含了设备识别和密钥建立。在终端申请接入网络时，首先要生成相应的身份证书发送至服务器，待确认后用户再以输入用户名与口令的方式进行终端系统登录，通过服务器端的数据处理判断用户的合法性以及角色权限，给予用户相应的终端使用权。

图2无线物联网安全管理机制

所谓数据链接安全，就是在物联网系统初始化时建立黑白名单链接库，并在运行中不断更新。有链接请求时，与黑白名单链接库进行对比，如有陌生节点接入，就提示用户判断链接的安全来确定是否上传服务器端。

入侵检测通常需要建立异常行为特征库，一般包括登录失败次数、单位时间流量上限、对服务器中文件的修改等。采用异常行为检测技术进行监控终端设备的运行，可对终端异常行为的特征进行匹配，然后根据检测结果采用对应手段。

3.2传输安全

在传输方面，对于无线传输中可能出现的数据截取和数据篡改等安全威胁，采取秘密密钥加密算法(DES)和公开密钥加密算法(RSA)相结合的数字签名方式进行，用DES算法加密传输数据，用RSA算法加密秘密密钥和数据摘要,在保证了数据的安全性、验证数据的完整性、不可否认性的同时，又能够提高加密速度，具体如图3所示。

图3DES与RSA相结合的数据加密和数字签名示意图

3.3服务器安全

在服务器端，同样使用数据链接安全机制和异常行为检测的入侵检测，不同的是，服务器不仅要检测服务器的异常行为，同样要检测终端上传至服务器的数据异常。另外，更重要的是采用基于角色的访问控制及接入审核和日志。

基于角色的访问控制，设定安全管理员、接入设备管理员、普通用户等系统角色，将黑白名单维护、接入设备流程、服务器数据访问、网络资源使用、用户修改等操作分配给相应的角色，既减少了系统管理员的工作量，又防止了非法访问对系统造成安全威胁。

接入审核和日志，在设备数据链接检测的基础上，对终端的物理地址、数据内容进行审核，并将审核结果保存为终端的重要日志。

4结语

本文研究了无线物联网接入的安全问题，提出了无线物联网安全管理机制，对系统进行安全保护。今后，基于物联网的应用会越来越多，所涉及的接入类型也会不断增加，安全管理机制也要进行不断的完善才能对物联网系统进行全方面的安全防护。

20211021_617175599fe9e__无线物联网安全管理机制研究