在具體的物聯(lián)網(wǎng)開發(fā)業(yè)務(wù)中，M2M終端收集的數(shù)據(jù)信息經(jīng)由核心接入網(wǎng)傳遞到M2M平臺，在這個過程中，物聯(lián)網(wǎng)業(yè)務(wù)將面臨多種安全威脅。

　　首先，攻擊者可能假冒M2M終端，向M2M平臺發(fā)送虛假的業(yè)務(wù)數(shù)據(jù)。

　　其次，攻擊者可能竊聽合法終端上傳的業(yè)務(wù)數(shù)據(jù)，導(dǎo)致業(yè)務(wù)機(jī)密信息的泄露。例如，車務(wù)通業(yè)務(wù)中的調(diào)度信息和遠(yuǎn)程配置信息，攻擊者一旦獲得這些信息，則可以掌握車輛及其車主的位置等機(jī)密信息，造成一定的安全隱患。

　　再次，攻擊者還可能篡改傳輸過程中的數(shù)據(jù)信息，使得業(yè)務(wù)平臺收不到準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)，導(dǎo)致業(yè)務(wù)不能正常進(jìn)行，給業(yè)務(wù)使用者的生命和財(cái)產(chǎn)安全帶來危害。例如，在電梯衛(wèi)士業(yè)務(wù)中，如果敵手篡改傳輸過程的故障信息，使得平臺收不到準(zhǔn)確的故障信息，則不能對電梯做出及時(shí)的響應(yīng)措施，可能對電梯中人員生命安全造成威脅。

　　最后，在某些具體的業(yè)務(wù)（如愛貝通）中，IMSI是暴露給外部業(yè)務(wù)的，并且某些密鑰也采取明文下發(fā)，這樣將會使得攻擊者直接獲得業(yè)務(wù)的身份信息或者密鑰信息，使得M2M終端的身份信息等暴露在攻擊者環(huán)境下，造成一定的安全隱患。

　　假冒終端用戶

　?。?）攻擊場景。在車務(wù)通、電梯衛(wèi)士、直放站監(jiān)控系統(tǒng)、船舶GPS監(jiān)控和智能停車系統(tǒng)等物聯(lián)網(wǎng)業(yè)務(wù)中，信息由感知層中的傳感設(shè)備收集并傳送到傳感網(wǎng)網(wǎng)關(guān)（M2M終端），然后經(jīng)由網(wǎng)絡(luò)層發(fā)送給業(yè)務(wù)平臺。在傳感信息由M2M終端上傳給業(yè)務(wù)平臺這個過程中，攻擊者有可能假冒合法的終端設(shè)備上傳虛假的業(yè)務(wù)信息，致使業(yè)務(wù)平臺無法收到正確的業(yè)務(wù)信息，破壞業(yè)務(wù)的正常使用，導(dǎo)致業(yè)務(wù)使用者的隱私泄露和經(jīng)濟(jì)損失。

　　（2）理論分析。在整個物聯(lián)網(wǎng)數(shù)據(jù)傳遞的過程中，攻擊者可以竊取用戶終端設(shè)備并從中獲得用戶的合法身份信息，從而輕易地假冒合法用戶來參與通信。一旦該攻擊得以實(shí)現(xiàn)，則會使用戶身份隱私、財(cái)產(chǎn)、生命安全等受到嚴(yán)重威脅。

　?。?）安全需求：業(yè)務(wù)認(rèn)證。針對“假冒終端用戶”中描述的問題，為了保護(hù)M2M終端傳遞給業(yè)務(wù)平臺數(shù)據(jù)的安全，避免攻擊者假冒M2M終端設(shè)備上傳虛假的信息，保證業(yè)務(wù)的順利實(shí)施，M2M平臺需要對M2M終端進(jìn)行認(rèn)證。

　　在認(rèn)證的過程中，為了提高業(yè)務(wù)效率，降低業(yè)務(wù)成本，應(yīng)當(dāng)在目前已經(jīng)存在網(wǎng)絡(luò)層認(rèn)證的基礎(chǔ)上，考慮是否有必要進(jìn)行業(yè)務(wù)層的認(rèn)證。當(dāng)可以認(rèn)可網(wǎng)絡(luò)層認(rèn)證結(jié)果或者可以復(fù)用網(wǎng)絡(luò)層認(rèn)證結(jié)果的時(shí)候，就不需要再進(jìn)行業(yè)務(wù)層認(rèn)證。以下兩種情況是需要進(jìn)行單獨(dú)認(rèn)證的，這也是我們要著重考慮的情況。

　?、俑鶕?jù)業(yè)務(wù)平臺的情況：當(dāng)物聯(lián)網(wǎng)業(yè)務(wù)不是運(yùn)營商自己部署的，且終端簽約的物聯(lián)網(wǎng)業(yè)務(wù)不是由運(yùn)營商負(fù)責(zé)提供的，業(yè)務(wù)層不能信任網(wǎng)絡(luò)接入的認(rèn)證結(jié)果。在這種情況下，需要進(jìn)行業(yè)務(wù)層的認(rèn)證。

　?、诟鶕?jù)業(yè)務(wù)信息的敏感情況：從業(yè)務(wù)安全的角度來看，某些比較特殊的業(yè)務(wù)，是需要進(jìn)行業(yè)務(wù)認(rèn)證的。例如，在金融行業(yè)，業(yè)務(wù)數(shù)據(jù)十分敏感，并且對安全等級的要求超過了通常意義上的通信網(wǎng)絡(luò)的安全等級，因此在這種情況下，就需要提供業(yè)務(wù)層的認(rèn)證。

　　對終端設(shè)備的物理攻擊

　?。?）攻擊場景。在太湖藍(lán)藻治理、電梯衛(wèi)士、車務(wù)通等業(yè)務(wù)中，M2M終端設(shè)備一般分布在無人看管的環(huán)境中，甚至在敵對的環(huán)境中，因此設(shè)備容易被攻擊者捕獲或控制。攻擊者可以通過編程接口進(jìn)入設(shè)備內(nèi)部，利用UISP和匯編軟件等，獲取終端設(shè)備的內(nèi)部存儲信息；也可以直接采用物理方法，將M2M終端設(shè)備連接到控制信號線上，獲取信號線上所傳輸?shù)臋C(jī)密信息或者將自己的數(shù)據(jù)傳入設(shè)備中。

　　在不同的業(yè)務(wù)中，攻擊者對不同終端設(shè)備的威脅及攻擊形式也是不同的，具體如下表。

業(yè)務(wù)類型	設(shè)備類型	威脅及攻擊形式
太湖藍(lán)藻治理	傳感節(jié)點(diǎn)	攻擊者捕獲傳感節(jié)點(diǎn)，通過JTAG接口獲取節(jié)點(diǎn)中的信息或代碼，分析出該節(jié)點(diǎn)所存儲的ID、位置、密鑰等敏感信息，從而假冒合法節(jié)點(diǎn)加入傳感網(wǎng)絡(luò)中；也可以分析出瞬時(shí)的水域信息，造成業(yè)務(wù)機(jī)密信息的泄漏
太湖藍(lán)藻	傳感節(jié)點(diǎn)	攻擊者修改節(jié)點(diǎn)中的身份等隱私信息，使得節(jié)點(diǎn)以多個身份在傳感網(wǎng)中通信；也可以修改水域中的各類指標(biāo)，加載到節(jié)點(diǎn)中，然后發(fā)送錯誤的水域信息至M2M平臺
	傳感網(wǎng)網(wǎng)關(guān)	攻擊者對開放的網(wǎng)關(guān)端口發(fā)送Update信息，插入、刪除路由表和節(jié)點(diǎn)密鑰等，也可以遠(yuǎn)程訪問以修改網(wǎng)關(guān)里存儲的程序和機(jī)密信息 攻擊者可以用自己的終端設(shè)備直接連接網(wǎng)關(guān)的信號線，讀取其保密數(shù)據(jù)或?qū)⒆约旱臄?shù)據(jù)傳入其中 攻擊者可以在網(wǎng)關(guān)工作時(shí)，仔細(xì)地觀察各種參數(shù)，利用功率分析法獲取機(jī)密信息，控制網(wǎng)關(guān)后，迫使其做出錯誤的決定（如允許非法節(jié)點(diǎn)的訪問），同時(shí)修改機(jī)密信息，平臺則無法得到太湖水域的準(zhǔn)確信息，也就不能及時(shí)有效采取治理措施
電梯衛(wèi)士	攝像頭	攻擊者可以修改芯片的內(nèi)部程序和密鑰信息，從而控制攝像頭所捕獲的圖像，即有選擇地將圖像信息上傳至M2M平臺。這些可能影響電梯的故障信息，造成對電梯的修理延誤，從而造成一定的隱患 攻擊者可以通過圖片信息了解電梯中常出現(xiàn)的人的信息，進(jìn)而可以推測出其生活習(xí)慣，造成業(yè)主的隱私泄露
車務(wù)通	車載終端	攻擊者通過RS-232接口獲取或修改GPS中的位置信息；通過接口直接連接存儲器獲取其密鑰、身份；改變GPS智能軟件系統(tǒng)或嵌入終端來獲取位置、密鑰等信息 攻擊者通過給車載終端連接車載GPS干擾器等外接設(shè)備，屏蔽GPS導(dǎo)航，使其失效，從而可以任意改變車輛的位置信息，并上傳虛假的或者錯誤的位置信息給M2M平臺

　　威脅及攻擊形式

　?。?）理論分析。攻擊者可以輕易通過物理手段使用編程接口進(jìn)入設(shè)備內(nèi)部，利用UISP和匯編軟件等獲取設(shè)備機(jī)密信息，對M2M終端的物理攻擊所造成的安全威脅是最大的，防止物理攻擊所采取的保護(hù)措施也是最難實(shí)現(xiàn)的。

　　（3）安全需求：設(shè)備自身安全。針對“對終端設(shè)備的物理攻擊”中描述的問題，為了保護(hù)終端設(shè)備的安全，避免被攻擊者捕獲后控制，并上傳虛假業(yè)務(wù)信息，保證業(yè)務(wù)的順利實(shí)施，對于傳感節(jié)點(diǎn)，我們可以采取定時(shí)更新終端設(shè)備中存儲的密鑰的方法，這樣即使有一小部分節(jié)點(diǎn)被操縱，攻擊者也不能或很難從獲取的節(jié)點(diǎn)信息推導(dǎo)出其他節(jié)點(diǎn)的密鑰信息。對于傳感網(wǎng)網(wǎng)關(guān)、攝像頭和車載終端，我們采用在其設(shè)備的芯片內(nèi)部對存儲器和總線系統(tǒng)進(jìn)行加密的方式，或者建立安全網(wǎng)關(guān)的方法，避免非法的遠(yuǎn)程訪問；也可以用一些物理方法保護(hù)設(shè)備芯片存儲的信息，如提高芯片設(shè)計(jì)的復(fù)雜程度、芯片制造的精細(xì)程度等。

　　卡被非法撥出或替換

　　（1）攻擊場景。例如，在電力抄表等業(yè)務(wù)中，需要把USIM卡插入M2M終端設(shè)備中，才能使得業(yè)務(wù)順利進(jìn)行。然而，該設(shè)備很容易受到攻擊者的破壞。具體的，攻擊者可以進(jìn)行如下兩種攻擊：將合法的USM卡插入非法的終端設(shè)備中，假冒合法終端設(shè)備與業(yè)務(wù)平臺進(jìn)行通信：將非法的USM卡插入合法的終端設(shè)備，從而與業(yè)務(wù)平臺進(jìn)行通信。這就使得攻擊者可以傳遞錯誤的或者虛假的信息，破壞業(yè)務(wù)的正常進(jìn)行，對用戶造成人身和經(jīng)濟(jì)財(cái)產(chǎn)的損失。

　?。?）理論分析。在某些物聯(lián)網(wǎng)設(shè)備中，終端需要插入合法的USIM卡才能進(jìn)行通信，由于設(shè)備經(jīng)常處于開放環(huán)境中，USIM卡或者設(shè)備很容易遭受攻擊者的竊取和破壞，從而泄露存儲的機(jī)密信息。

　?。?）安全需求：機(jī)卡綁定。針對電力抄表等業(yè)務(wù)中所遭受的將合法的USIM卡插入非法的M2M終端設(shè)備或者將非法的USIM卡插入合法的M2M終端設(shè)備的攻擊，當(dāng)用戶將USIM卡插入M2M終端設(shè)備時(shí)，USIM卡要對終端設(shè)備的身份合法性進(jìn)行認(rèn)證，防止插入非法設(shè)備中，由非法設(shè)備盜取USIM卡中存儲的通信密鑰、用戶隱私等機(jī)密信息，從而給整個業(yè)務(wù)的安全性帶來威脅。與此同時(shí)，M2M終端設(shè)備也要對USM卡的合法性進(jìn)行認(rèn)證，防止攻擊者使用非法的USIM卡插入M2M終端設(shè)備中，竊取設(shè)備中存儲的用戶隱私等機(jī)密信息，因此，當(dāng)USIM卡插入M2M終端設(shè)備時(shí)，在卡與設(shè)備之間應(yīng)當(dāng)進(jìn)行雙向認(rèn)證，從而確定雙方身份的合法性，以保證業(yè)務(wù)的安全。

　　在USIM卡與M2M終端設(shè)備之間進(jìn)行的雙向認(rèn)證方案應(yīng)當(dāng)滿足USIM卡與M2M終端設(shè)備各自的特點(diǎn)，在保證安全性的基礎(chǔ)上便于方案在實(shí)際中的應(yīng)用。

　　在上述業(yè)務(wù)中，均需要由M2M終端及傳感外設(shè)收集數(shù)據(jù)。

　?。?）理論分析。攻擊者可以通過竊聽、流量分析獲得源位置信息等手段輕易獲得業(yè)務(wù)中的隱私信息，因此攻擊較易實(shí)現(xiàn)。對業(yè)務(wù)造成的隱私信息泄漏，用戶損失較大。

　　（5）安全需求：隱私保護(hù)。針對“業(yè)務(wù)隱私泄漏”描述的問題，為了防止有M2M終端及其傳感外設(shè)收集到的信息再傳輸過程中被攻擊者竊聽，避免敏感數(shù)據(jù)、身份信息和位置信息的泄漏，需要對傳輸過程中的數(shù)據(jù)進(jìn)行加密，保證此類信息的安全。此外，針對攻擊者可以通過分析傳輸過程中的信息的流量狀況來反向追蹤出信息源位置的問題，需要采用信源模擬等位置保護(hù)方法。

　　針對IMSI暴露給外部業(yè)務(wù)和假冒終端用戶的問題，為了保護(hù)具體業(yè)務(wù)中的身份信息不被攻擊者獲得和仿冒，需要使用匿名認(rèn)證機(jī)制等來防止身份信息的泄漏，以保證用戶身份隱私的安全。

　　該文為上半部分，下文可閱讀：物聯(lián)網(wǎng)業(yè)務(wù)安全威脅（下）。