摘要：物聯網是一種新型網絡技術，在物聯網系統中，計算機網絡安全是其關鍵部分，文章在簡要介紹物聯網概念、基本結構后，對物聯網存在的安全問題進行分析，并提出有效的計算機網絡安全控制策略，以提高物聯網系統的安全性。

　　關鍵詞：物聯網;計算機網絡安全;控制策略

　　1999年，麻省理工學院(Massachusetts Institute ofTechnology， MIT)提出了物聯網的概念，其目的在于提高企業貨物管理水平，實現自動化、智能化管理和控制“物”的目的。物聯網技術的不斷發展，為生產生活帶來了極大的便利，但物聯網安全問題也成為物聯網技術發展的一個重要制約因素。企業在構建物聯網系統的同時，還需要建立安全機制，采取有效措施，確保物聯網系統運行的安全性與穩定性。現代網絡技術的快速推進超過了網絡安全技術的發展速度，技術、運用、信息、數據及管理等問題仍然亟需解決，以促進物聯技術、系統和產品的應用與發展。

　　1 物聯網概述

　　物聯網包含兩個含義：(1)物聯網是基于互聯網所建立的物物相連的系統，是對互聯網絡的擴展和延伸。

　　(2)物聯網是基于無線射頻識別(Radio Frequency Identification，RFID)技術、普適計算技術、全球定位系統和紅外傳感器及激光掃描儀等智能感知技術等，在相應協議的基礎上，連接任意物品，并執行數據通信、信息交換等功能，最終完成智能化認證、定位、跟蹤、監控及管理的一種網絡技術。物聯網系統主要包括感知層、傳輸層、處理層及控制層，以此為基礎組成一個大規模的信息系統。

　　感知層包含各種智能卡、傳感器網絡和RFID標簽等，負責采集各種信息。傳輸層包含融合三網的計算機、互聯網、無線網絡和固網等，負責信息交換及通信。處理層，即云計算平臺、數據挖掘、并行計算、智能計算等，主要負責處理分析收集到的各種信息數據。應用層，即各個具體應用領域的相應系統，主要是對處理后的各種信息的具體運用方向與領域，以此為基礎對各定制用戶提供各種智能化應用與服務，最終完成物物、人物之間的相聯，打造一個覆蓋萬事萬物的物聯網[1]。

　　2 物聯網計算機網絡安全存在的問題

　　2.1 通信安全問題

　　計算機網絡的通信方式考慮對象是人，當通信終端數量較少和通信網絡的承載能力有局限時，會增加網絡安全威脅。

　　(1)網絡擁堵。物聯網包含了數量較多的網絡設備，采用目前的認證方式，會產生無法忽略的信令流量，較短時間內可能會有大量設備申請接入到網絡中，進而造成網絡擁堵。

　　(2)密鑰管理。計算機通信網絡的終端認證采取逐一認證方式，認證之后會產生保護密鑰。

　　如果通信網絡中有物聯網設備接入時，當逐一認證生成密鑰時，會造成網絡資源的大量耗費，并且物聯網中包含了復雜的業務種類，當同一個用戶使用同一個設備逐一認證時也會生成不同的密鑰，進而浪費了大量網絡資源。(3)傳輸安全。計算機通信網絡是通過加密算法保證數據完整性的，物聯網中由于單個網絡設備需要發送的數據量較小，如果采用各種復雜的加密算法加以保護時，會造成不必要的通信延時。

　　(4)隱私泄露。物聯網中的很多網絡設備，其運行時所處的物理環境有很大的不安全性，使網絡攻擊者容易找到入侵路徑，攻擊者能夠從這些安全性較低的網絡設備中，獲取用戶的各種隱私信息，并以此設備作為跳板發起對整個通信網絡的惡意攻擊[2]。

　　2.2 感知層的安全問題

　　(1)安全隱私。感知層的RFID標簽等智能感知設備嵌入到各種物品后，會使物品擁有者被動接受各種掃描、定位與追蹤，使該擁有者的隱私成為一種公開的隱私，且RFID標簽還會對任何請求給予應答，增加了被定位與追蹤的風險。(2)智能感知節點的安全問題。物聯網設備主要部署于各種無人監控場景中，在地理上有很強的分散性，攻擊者容易接觸并破壞這些設備，甚至可以本地操作或更換這些設備的軟硬件。(3)信號干擾。感知層網絡以無線連接形式為主，信號有很強的公開性，因此網絡信號容易被干擾，對物聯網設備之間的正常通信造成干擾。⑷假冒攻擊。相對于傳統網絡設備而言，智能傳感終端設備具有很強的公開性，容易暴露在攻擊者視線中，傳輸平臺也具有很強的暴露性，傳感網絡內部會出現頻繁的竄擾，因此，假冒攻擊往往成為傳感器網絡的主動攻擊形式，對傳感器各節點之間的協同工作造成威脅。(5)數據傳輸的安全性。廣播是感知層數據發送的一種主要途徑，感知節點能力存在局限性，數據傳輸過程無法加密，處于較為公開的無線網絡下，數據容易被攻擊、監聽甚至破壞。(6)數據完整性。感知層中的感知節點不具備完整的數據處理功能，因此各節點無法有效保護數據完整性，當一個副本數據有差錯時，就會使數據接收節點不能判斷數據可靠性，當數據匯聚節點處理同一份數據的多個不同的副本時，也無法正確判斷數據真偽[3]。

　　3 物聯網計算機網絡安全控制策略

　　3.1 感知層的安全控制策略

　　3.1.1 加密機制

　　加密方式包括逐跳加密與端對端加密兩種。逐跳加密的傳輸過程是以加密方式完成的，但在加密時需要不斷地對每個傳輸經過的節點進行解密與加密，每個加點上的信息均是明文形式。逐跳加密是在網絡層中完成加密，可適用于各種業務需要，保證了安全機制在業務中的透明化，具有延時低、可擴展、效率高的特點，能夠加密受保護鏈接，需要傳送節點有較高的可信度。端對端加密則能夠根據業務類型選擇合適的安全策略和加密算法，進而為業務領域提供端到端安全加密措施，確保業務安全性。該加密方式不能對消息目的地址加密，無法掩蓋信息傳輸的起點與終點，受到惡意攻擊的可能性較高。因此，在物聯網中，可以采取逐跳加密，端對端加密可以作為一種安全選項，用戶安全需求較高時，可啟用這種加密方式，以提供端到端安全保護。在加密算法中，哈希鎖是一種主要方法，以此為基礎，可以對加密技術進行改進，以適用于不同領域要求[4]。

　　3.1.2 隱私保護機制

　　隱私保護是物聯網安全的關鍵問題與難點所在。從技術上講，可通過認證機制、加密機制、訪問控制等方法保護用戶在網絡通信中的隱私安全。認證機制即網絡通信中的數據接收端可以確認數據發送端的身份真實性和數據傳輸過程中的安全性與完整性。身份認證技術是保證節點身份信息，進而阻止非授權用戶對通信數據的竊取行為。如在WSN中采用PKI認證方式為各個設備構建信任關系，或采用相互認證機制完成接收端與發送端之間的相互認證，以確保雙方的相互信任。訪問控制技術主要是為可信任的物聯網中的機器設備實施訪問授權，實現有限制地分配與數據交互共享，如，在每個終端節點中設置一個訪問控制列表，每一節點均只接收該列表中的節點信息，進而保證網絡安全。

　　3.2 安全路由協議

　　物聯網由感知網絡與通信網絡兩大部分組成，物聯網路由要跨越多種類型的網絡，包括IP地址為基礎的路由協議及以標簽為基礎的傳感器路由算法等。安全路由協議是一種基

　　于無線傳感網絡中的節點位置的保護方法，通過隨機路由策略的方法，使數據包在每次傳輸時都不會由源節點向匯聚節點方向傳輸，而是由轉發節點以一定概率把數據包傳輸到遠離匯聚節點的位置，傳輸路徑也具有多變性，每個數據包均會隨機生成傳輸路徑，攻擊者不容易獲得各節點的精確位置信息，發實現物聯網安全防護。

　　當前物聯網安全路由協議以無線傳感器安全路由協議為主，能夠從一定程度上避免惡意信息輸入及非法入侵申請的通過，但無法適應物聯網三網融合的組網特征，在保證了網絡安全的同時，降低了物聯網性能。現有兩種安全路由協議均存在一定的局限性，需要設計一套具有可行性的安全路由算法，以阻止入侵者對于物聯網路由的惡意攻擊。一方面可能采用密鑰機制建立安全的網絡通信環境，保證路由信息交互安全。另一方面可能采取冗余路由傳輸數據包。設計安全路由協議時，要充分考慮到物聯網的組網特征與物聯網的性能需求，確保其實用性，保證安全路由協議能夠滿足實際要求，以阻止各種不良信息與非法請求進入物聯網中[5]。

　　3.3 防火墻與入侵檢測技術

　　為加強傳輸安全，可基于物聯網組網特征與性能要求，研制專用的特殊防火墻，以制定安全性更高的訪問控制策略，對類型不同的網絡進行隔離，以確保整個傳輸層的安全。在應用層可采用入侵檢測技術，及時發現并檢測入侵和入侵企圖，并采取有效措施修復漏洞。一方面，可檢測異常入侵，結合異常行為與計算機資源情況對入侵行為進行檢測，通過定量分析方法設定可接受的網絡行為特征，與非正常的和潛在的非法入侵行為進行區分。另一方面可檢測誤用入侵，通過系統與應用軟件的已知弱點攻擊方法檢測入侵行為。要結合物聯網特征，構建一套和物聯網系統相適應的高效的入侵檢測技術，提高物聯網系統安全性[6]。

　　4 結語

　　物聯網的計算機網絡安全是物聯網系統的重要環節，是數據信息安全的保障，在組建物聯網系統的過程中，要從物聯網組網特征、物聯網性能、物聯網實際需求出發，采取可行的、合理的安全控制策略保護計算機網絡安全，確保物聯網數據安全，促進物聯網應用領域的擴展。

　　[參考文獻]

　　[1]馬世登，羅先錄，包文夏.物聯網計算機網絡安全與控制研究[J].無線互聯科技，2017(9)： 24-25.

　　[2]郭金華，明小波.物聯網計算機網絡安全與遠程控制技術初探[J].當代教育實踐與教學研究，2016(3)：264.

　　[3]周彩秋，王永建，劉濤.物聯網安全威脅及其應對措施[J].信息通信技術，2015(5)：61-65.

　　[4]陳永.關于物聯網的安全性問題分析[J].硅谷，2014(21)：142-148.

　　[5]馬芳澍.物聯網安全綜述[J].大陸橋視野，2015(18)：109412.

　　[6]王慧強，呂宏武.物聯網安全關鍵技術及其應用研究[J].大慶師范學院學報，2012(6)：1-5.