引 言

物聯(lián)網是在互聯(lián)網的基礎上，通過無線射頻識別（Radio Frequency Identification） 技 術、 全 球 定 位 系 統(tǒng)（Global Positioning System）以及紅外感應器、激光掃描器等信息傳感設備，依據相關技術協(xié)議，將任意物品與互聯(lián)網進行聯(lián)接， 開展數據通信以及信息交換，最終實現智能化識別、定位、跟蹤、監(jiān)管等功能。但物聯(lián)網的安全隱患成為制約物聯(lián)網發(fā)展的一大瓶頸。物聯(lián)網是跟物理世界打交道的，無論是智能交通、智能電網、智能醫(yī)療還是橋梁檢測、災害監(jiān)測，一旦出現問題就會涉及實體的損失，這也對物聯(lián)網在工業(yè)項目中的具體應用提出了新的挑戰(zhàn)。

從當前技術發(fā)展和應用前景來看，工業(yè)物聯(lián)網的具體應用主要集中在以下層面：

(1) 制造業(yè)供應鏈管理。工業(yè)物聯(lián)網項目通常會應用于企業(yè)的原材料采購、庫存管理、下游銷售等環(huán)節(jié)，通過具體的工業(yè)物聯(lián)網技術完善、優(yōu)化整個供應鏈的管理架構，提升整體效率，降低生產損耗與管理成本；

(2) 生產過程工藝優(yōu)化。通過應用工業(yè)物聯(lián)網技術可以優(yōu)化生產線過程檢測流程、完成生產參數實時采集和生產設備實時監(jiān)控，并提升生產材料消耗監(jiān)測水準，實現生產過程的智能監(jiān)控和智能控制，形成智能診斷與智能決策機制，使得企業(yè)智能維護水平不斷提高；

(3) 產品設備監(jiān)控管理。通過傳感器和網絡對設備進行在線監(jiān)測和實時監(jiān)控，并提供設備維護和故障診斷的解決方案；

(4) 環(huán)保監(jiān)測及能源管理。物聯(lián)網與環(huán)保設備的融合實現了對工業(yè)生產過程中產生的各種污染源及污染治理各環(huán)節(jié)關鍵指標的實時監(jiān)控；

(5) 工業(yè)安全生產管理。把感應器嵌入和裝配到礦山設備、油氣管道、礦工設備中，可以感知危險環(huán)境中工作人員、設備機器、周邊環(huán)境等方面的安全狀態(tài)信息，將現有的網絡監(jiān)管平臺提升為系統(tǒng)、開放、多元的綜合網絡監(jiān)管平臺，實現實時感知、準確辨識、快捷響應及有效控制。

1 工業(yè)物聯(lián)網的安全風險分析

工業(yè)物聯(lián)網的三個特征是全面感知、可靠傳輸、智能處理， 系統(tǒng)通過網絡通信協(xié)議協(xié)調各模塊之間的操作時序，從而實現整個系統(tǒng)的自我感知和判斷、自我調節(jié)和控制等。按各層次結構和業(yè)務可以將工業(yè)物聯(lián)網分為全面感知層、可靠傳輸層、智能處理層、綜合應用層。工業(yè)物聯(lián)網的體系架構如圖 1 所示。

1.1 全面感知層的安全風險

全面感知層由感知子系統(tǒng)和控制子系統(tǒng)構成，主要通過智能嵌入式芯片負責從物理世界采集原始信息，并根據系統(tǒng)指令改造物理世界，實現對物理世界的標識、感知、協(xié)同和互動。典型的設備包括RFID 裝置、各類傳感器、圖像采集裝置、執(zhí)行器單元以及全球定位系統(tǒng)（GPS）。全面感知層可以說是工業(yè)物聯(lián)網中最脆弱的部分，它的架構特點是本身組成局部傳感網，并通過網關節(jié)點與外網連接，因此這一層次可能受到局域網內部和通過網關節(jié)點的外部兩方面威脅，一旦傳感層的節(jié)點（普通節(jié)點或網關節(jié)點）受來自于網絡的數據攻擊（例如DDoS 攻擊）；傳感層的普通節(jié)點就有可能被外部攻擊者屏蔽， 嚴重影響傳感層可靠性，繼而導致傳感層的普通節(jié)點被外部攻擊者控制，丟失節(jié)點密鑰 ；最終傳感層的網關節(jié)點就會被外部攻擊者完全掌控 ；導致接入到物聯(lián)網的超大量傳感節(jié)點的標識、識別、認證和控制都會產生問題。

1.2 可靠傳輸層的安全風險

可靠傳輸層保證感知數據在異構網絡中的可靠傳輸，其功能相當于TCP/IP 結構中的網絡層和傳輸層，包括信息傳輸和識別、數據存儲、數據壓縮和恢復。構成該層的要素包括網絡基礎設施、通信協(xié)議以及通信協(xié)議間的協(xié)調機制?？煽總鬏攲拥陌踩饕莻鹘y(tǒng)互聯(lián)網、移動網、專業(yè)網（如國家電力數據網、廣播電視網等）、三網融合通信平臺（跨越單一網絡架構）等基礎性網絡的安全，其可能受到的安全威脅有： 垃圾數據傳播（垃圾郵件、病毒等）；假冒攻擊、中間人攻擊等（存在于所有類型的網絡）；DDoS 攻擊（來源于互聯(lián)網，可擴展到移動和無線網）；跨異構網絡的攻擊（互聯(lián)網、移動網等互聯(lián)情況下）；新型針對三網融合通信平臺的攻擊等。

1.3 智能處理層的安全風險

智能處理層由多個具有不同功能的智能處理平臺組成， 并采用網格運算或云計算的方式調配、組織這些平臺的運算能力。智能處理平臺的處理層會依據需求將原始感知數據以不同的格式進行處理，從而實現同一感知數據在不同應用系統(tǒng)間的數據共享，同時根據感知數據和應用層用戶指令進行智能決策、調控子系統(tǒng)內部的預設規(guī)則，改變控制子系統(tǒng)的運行狀態(tài)。智能處理層的安全風險主要包括數據智能處理失控、非法人為干預（內部攻擊）、設備（特別移動設備）丟失等， 由于將工業(yè)控制系統(tǒng)引入到其中，所面臨的風險主要有：智能平臺受到病毒的威脅 ；阻塞、欺騙、拒絕服務等使控制命令延遲或失真，導致系統(tǒng)無法進入穩(wěn)定狀態(tài) ；自動控制平臺受到攻擊導致失控（可控性是工業(yè)安全重要指標之一）；容災性差， 災難造成的后果無法有效控制和恢復。

1.4 綜合應用層的安全風險

綜合應用層面向終端用戶提供個性化業(yè)務，包括身份認證、隱私保護等，同時面向協(xié)同處理層，預留人機交互接口并提供用戶操作指令，用戶通過這些接口可以使用 TV 端、PC 端、移動端等多終端設備對網絡進行訪問。綜合應用層具有多樣性和不確定性的特點，不同的工業(yè)現場應用環(huán)境對安全有不同的需求，其面臨的威脅也呈現出多樣化 ：超大量終端、海量數據、異構網絡和多樣化系統(tǒng)下的多種不同安全問題，有些安全威脅難以預測 ；數據共享是物聯(lián)網應用層的特征之一，但數據共享可能帶來數據隱私性、訪問權限可控性、信息泄露追蹤等方面的問題 ；應用場景的不同將決定對安全需求的不同， 例如隱私保護問題就是在特殊應用環(huán)境中出現的。

2 工業(yè)物聯(lián)網安全及防護關鍵技術

在當前的物聯(lián)網技術水平下，大多數工業(yè)物聯(lián)網體系的構建都是以現有的移動網絡為基礎，再將工業(yè)感知網絡和工業(yè)應用平臺整合、聚集而成，因此大部分的移動網絡安全機制仍然可以適用于此并提供一定程度的安全性保障，如安全認證機制、安全加密機制等。此外，在傳統(tǒng)網絡體系結構中，網絡層與業(yè)務層在安全及防護層面是互相隔斷且獨立的，而工業(yè)物聯(lián)網則因構成方式而具備自身的特殊性，故而需要根據其特征對安全機制進行相應的補充和調整。

2.1 工業(yè)物聯(lián)網中的業(yè)務認證機制

傳統(tǒng)認證過程中，網絡層認證和業(yè)務層認證都只負責各自層面的身份鑒別，兩者互相獨立 ；而工業(yè)物聯(lián)網中的設備一般都擁有特定用途，因此多數情況下其業(yè)務層的應用與網絡通信緊密捆綁，基于此，加之網絡層認證的不可或缺性，則其業(yè)務層認證機制不再必需，可以根據業(yè)務提供方的不同和安全敏感程度的高低來進行設計。

具體來看，可以通過以下幾種情況為例 ：（1）工業(yè)物聯(lián)網的業(yè)務由運營商提供，可以跳過業(yè)務層認證，只采納網絡層認證結果即可；（2）工業(yè)物聯(lián)網的業(yè)務由第三方提供，且無法通過網絡運營商獲得安全參數，可以不考慮網絡層認證結果， 發(fā)起獨立的業(yè)務層認證 ；（3）當工業(yè)物聯(lián)網所涉及的業(yè)務敏感度較高，如軍事類業(yè)務等，業(yè)務提供者一般情況下無法采信網絡層認證結果，會使用更高級別的業(yè)務層認證 ；（4）當工業(yè)物聯(lián)網涉及普通業(yè)務，如氣溫采集業(yè)務等，業(yè)務提供者認為網絡認證的結果可以采信，則無需再進行業(yè)務層認證。

2.2 工業(yè)物聯(lián)網中的加密機制

傳統(tǒng)的加密機制中，網絡層采用逐跳加密機制，而業(yè)務層則采用端到端加密機制，兩者具有很大的區(qū)別 ；逐跳加密機制可以保證信息在傳輸過程中是加密的，但是需要在途經節(jié)點之上不斷地進行解密和加密，即信息在每個節(jié)點上都是明文的 ；端到端加密機制可以保證信息在傳輸過程和轉發(fā)節(jié)點上都是密文，只在發(fā)送端和接收端才是明文。在目前的工業(yè)物聯(lián)網應用中，網絡連接和業(yè)務使用密切相關，因而面臨到底是使用逐跳加密機制還是端到端加密機制的選擇。

逐跳加密機制是在網絡層進行的，因而適用于所有業(yè)務， 不同的業(yè)務可以通過統(tǒng)一的工業(yè)物聯(lián)網業(yè)務平臺進行安全管理，從而實現安全機制對業(yè)務的透明 ；此外，逐跳加密機制可以只針對有保護需求的鏈接進行信息加密，這就保證了逐跳加密機制的低時延性、低成本性、高效率性和高擴展性等特點。但是，逐跳加密機制需要在各傳送節(jié)點對加密信息進行解密的特性也導致各節(jié)點都有可能泄露加密信息的明文，因而對傳輸路徑中各傳送節(jié)點提出了很高的可信任度要求。

采用端到端加密機制時，一般會根據所涉及的業(yè)務類型選擇不同的安全策略，從而為高安全要求的業(yè)務提供高安全等級的保護。但是，端到端加密機制中每一個消息所經過的節(jié)點都要以消息最終目的地址來確定消息的傳輸方式，因而不能對此目的地址進行保護，這就導致端到端加密機制不能掩蓋被傳輸消息的源點與終點，其通信業(yè)務過程容易受到分析而遭受惡意攻擊。此外，從國家安全的角度來看，端到端加密機制也無法滿足國家合法監(jiān)聽的實際需求。

綜上所述可知，對于安全要求不是很高的普通業(yè)務，網絡層逐跳加密機制已經能夠提供足夠的安全防護，因而業(yè)務層端到端加密機制并不是必需的 ；但是一旦涉及高安全需求的業(yè)務，仍然首選端到端加密機制。因而，可以依據工業(yè)物聯(lián)網業(yè)務項目具體的安全級別需求而選擇相應的加密機制。

2.3 大規(guī)模實體身份標識和認證技術

在實際的工業(yè)物聯(lián)網項目應用過程中，通常會采用外部網絡與末梢網絡節(jié)點間的雙向認證技術來實現網絡與實體之間的互信機制，這部分技術主要在傳輸層實現，包括安全密碼算法（對稱和公鑰密碼）的設計、密鑰管理、節(jié)點對節(jié)點機密性、端對端機密性、強認證協(xié)議、密碼算法和密碼協(xié)議標準化等內容。但是，在現有的技術環(huán)境下，雙向認證還必須考慮以下兩個現實問題 ：（1）末梢網絡資源通常是非常有限的，認證過程中必須充分地認識到這一點，因而認證機制所涉及的計算量和通信開銷必須盡可能小 ；（2）對外部網絡而言，其連接的末梢網絡數量巨大，且結構不盡相同，要在如此復雜的環(huán)境下建立一個高效的識別機制，以區(qū)分這些網絡及其內部節(jié)點，并賦予唯一的身份標識，需要完善的解決方案。

2.4 工業(yè)物聯(lián)網中的網隱私保護技術

企業(yè)用戶和個人用戶在享受物聯(lián)網個性化服務的同時， 也會因為“無處不在”的網絡環(huán)境和“無孔不入”的網絡黑客而面臨自身隱私信息泄露的可能 ；此外，工業(yè)物聯(lián)網項目任務通常由多個網絡節(jié)點協(xié)同完成，協(xié)作過程中節(jié)點的數據輸出也會造成隱私泄露。因此，如何兼顧用戶隱私機密性和系統(tǒng)數據分析處理效率，是一個亟待解決的問題。

目前在工業(yè)物聯(lián)網應用層面，隱私保護技術主要集中在數據發(fā)布、數據挖掘以及無線傳感網等領域，具體的隱私保護方法可以分為 3 類：

(1) 匿名化方法 ：該方法主要通過將敏感信息進行模糊化來保護隱私，即對原始信息的局部或全局敏感數據進行修改或隱藏。

(2) 加密方法 ：該方法是基于數據加密的保護方法，通過密碼機制實現了原始數據對于他方的不可見性，同時還保證了數據的無損失性，兼顧了數據的機密性和隱私性。目前使用最多的加密方法是同態(tài)加密技術和安全多方計算 SMC。同態(tài)加密技術最初由Rivest 等人于 1978 年提出，是一種以代數理論為基礎的加密變換技術，允許用戶直接對密文進行操作， 后期 Domingo 等人完善并改進了該技術，該算法的同態(tài)性可以保證用戶對敏感數據進行安全操作，避免數據信息的泄露。SMC 是一種利用加密機制形成交互計算的協(xié)議，可以實現無信息泄露的分布式安全計算，參與該計算的各實體均以私有數據參與協(xié)作計算過程，一旦計算完成，各方只能得到正確的數據結果，無法觸及他人隱私數據，即兩個或多個站點通過某種協(xié)議完成計算后，任何一方只能得到自己輸入的數據和相關的計算結果。

(3) 路由協(xié)議方法 ：該方法一般用于無線傳感網中節(jié)點位置的隱私保護，一般基于隨機路由策略，即數據包的每次傳輸并不都是從源節(jié)點傳輸至匯聚節(jié)點方向，轉發(fā)節(jié)點會以一定的概率將數據包向遠離匯聚節(jié)點的方向進行傳輸，同時傳輸路徑也是變化的，每一個數據包的傳輸路徑都隨機產生， 這就使得攻擊者很難獲取節(jié)點的準確位置信息，從而達成安全防護目標。

2.5 工業(yè)物聯(lián)網中的安全控制技術

工業(yè)物聯(lián)網技術和傳統(tǒng)工業(yè)控制系統(tǒng)的結合，在產生額外效益的同時也帶來了新的安全問題，目前工業(yè)物聯(lián)網控制系統(tǒng)安全尚未形成成熟的研究模型和安全策略，相關研究還處于初期階段，主要集中在攻擊行為模式分析和魯棒網絡控制系統(tǒng)構建兩個方面。因此，為了得到更具精準性和確定性的安全控制技術，需要更加細致地分析將物聯(lián)網引入工業(yè)控制系統(tǒng)后所產生的各種影響因素，將其納入安全控制分析模型之中， 進行更深入的研究。

3 結 語

目前物聯(lián)網的安全問題已經成為大家關注的焦點問題， 尤其在工業(yè)物聯(lián)網的安全防護和評估的發(fā)展方面，我國尚無系統(tǒng)化的安全防護體系，也缺乏適用于工業(yè)物聯(lián)網在各領域的通用和專用安全標準和規(guī)范。因此建立全面的安全防御體系， 并開發(fā)一系列的工業(yè)物聯(lián)網安全防護產品，以及制定針對工業(yè)網聯(lián)網的評估系列標準，不僅保證了人民的日常生活、安全生產活動，而且為社會的穩(wěn)定、基礎設施和戰(zhàn)略信息的安全提代了保障，對國家安全都具有重要戰(zhàn)略意義。