‍‍当前，信息技术在为人类带来数字化、便捷、快速服务的同时，也改变了工作及生活模式。尤其在物联网技术出现后，进一步‍‍带来了新的挑战。因为它带来了一种极其智能、高效的方式，让众多“物件”相互连接，获得洞察力，并形成协同效应。‍‍

‍‍但物联网的使用，至今在信息安全与隐私机制方面的技术标准并不成熟，还没有统一的政策，不可避免地存在信息安全问题。‍‍‍

‍‍‍‍1 、WF-IoT（融合物联网）技术概述‍‍‍‍

‍‍WF-IoT（Wide area Fusion Internet of Things）是中高速广域融合物联网技术的英文缩写，是优势科技具有完全自主知识产权的一种基于RFID的低功耗广域网通信技术，是一种能实现远距离、大容量、中高速、免付费、低功耗的物联网方案。‍‍

‍‍其典型拓扑如下图。

‍‍WF-IoT（融合物联网）的核心产品主要有节点、网关和云端平台等三类，都有符合国家标准的成熟产品，能够提供物联网技术集成应用的全套解决方案。‍‍

‍‍（1）云端管控平台具有云计算能力，运维人员可以通过智能移动终端、计算机终端和网页终端等进行操作，还提供标准的WebService接口以供其他业务应用集成。‍‍

‍‍‍‍（2）网关具有去中心化、不依赖于云端的霾计算能力，与云端管控平台的云计算结合，可以极大压缩通信量。‍‍‍‍

‍‍（‍‍3）节点是融合商用照明网、识别定位网和无线传感网的单芯片系统，具有语境感知的雾计算能力。在同一个子网内，与其他节点之间，支持“1=N”的软定义操作（见下图）。

‍‍‍‍2 、WF-IoT（融合物联网）面临的主要安全问题‍‍

‍‍鉴于WF-IoT终端设备为轻量级、低功耗系统，传统的大型系统所具有的安全问题和人机交互涉及的安全问题范围将极大地缩小，主要的安全问题集中在感知层的终端上。同时，WF-IoT一般会部署海量终端，一旦感知层终端出现安全问题，就会迅速扩大到整个网络。下图描述了WF-IoT感知层面临的主要安全问题。

‍‍‍‍

‍‍3 、WF-IoT（融合物联网）的安全技术策略‍‍

‍‍3.1 轻量级加解密技术的应用‍‍

‍‍由于WF-IoT（融合物联网）系统的轻量级、低功耗特点，终端设备的运算能力较弱，在通信过程中，很难在安全性和性能上做到平衡。所以，身份认证和数据校验方面可能存在较大的安全隐患，很可能被攻击者利用，比如伪造终端设备和网关通信，发送虚假消息、截获敏感信息等。‍‍

‍‍WF-IoT（融合物联网）采用了面向硬件的HIGHT加解密算法，是一种成熟的、超轻量级的密码算法。‍‍

‍‍3.2 终端设备的安全加固策略‍‍

‍‍（1）终端设备固件的自身安全策略‍‍

‍‍为使终端设备固件更加轻量化，绝大多数物联网终端设备的本地应用存在信息泄露和易受攻击的风险。如：数据的处理、存储等过程没有加密，终端使用明文固件等。‍‍

• ‍‍为提高固件的自身安全水平，在WF-IoT（融合物联网）终端设备的开发中，主要采取了以下策略：‍‍

• ‍‍坚持最小化原则，不附加其他协议；‍‍

• ‍‍在芯片开发时，避免固件代码植入、任意代码执行等；‍‍

• ‍‍采用安全的加密算法；‍‍

• ‍‍在设备更新升级时，强制进行固件更新检查、固件完整性检查；‍‍

• ‍‍在软件开发中，针对设备绑定漏洞、敏感信息泄露等安全问题采取防范措施；‍‍

• ‍‍保护好硬件开发过程中的调试端口。‍‍

‍‍（2）终端设备与网关的通信安全策略‍‍

‍‍目前，传统物联网终端设备与网关的通信，传输层主要是不稳定的UDP协议，应用层一般是HTTP、XMPP、MQTT、CoAP等通用协议，很容易被监听、劫持，具有较大的安全隐患。‍‍

‍‍为确保终端设备与网关的通信安全，WF-IoT（融合物联网）在传输层和应用层采用了专用协议。该协议是在Air Lamp组网控制协议基础上，增加了加解密处理，而发展起来的专用协议。‍‍

‍‍（3）具体业务的机制安全策略‍‍

‍‍由于WF-IoT具有覆盖广、连接多、速率高、免付费、功耗低等特点，可满足对大容量、深覆盖、低功耗、安全性和经济性有要求的应用，适用于静态、动态、固定、移动、实时传输数据等场景，主要处理自主异常报警、自主周期报告、远程控制指令、数据远程同步等四类业务。其中，自主异常报警和周期报告业务中，漏报和误报是最大的安全问题；远程控制指令业务可能存在恶意指令的风险；数据远程同步业务，需要确保同步的加密认证。‍‍

• ‍‍为此，在业务安全方面，采取了以下机制：‍‍

• ‍‍‍‍制定合理的心跳控制策略，以确认终端设备的状态是否良好；‍‍

• ‍‍建立了完善的设备故障排查机制，降低漏报和误报率；‍‍

• ‍‍制定了合理的指令控制策略，以抵御一定程度上的恶意操控等。‍‍‍‍

‍‍3.3 整体的安全防护策略‍‍

‍‍目前，WF-IoT（融合物联网）还未发展成熟，安全建设尚在起步阶段，感知层终端设备的安全不能与其他层次割裂开，需要考虑整体的安全防护策略。比如：‍‍

• ‍‍增加固件的完整性验证机制，保证终端设备的正常升级，同时防止攻击者伪造终端设备的行为；‍‍

• ‍‍建立终端访问的身份安全认证机制，防止攻击者的恶意连接或操作，在一定程度上抵御来自网络的拒绝服务攻击；‍‍

• ‍‍制定终端运维策略，其应用场景要考虑到无人值守、能力受限等因素，设计和实现对终端设备的态势感知系统，对终端设备的固件信息、运行状态等保持掌控。‍‍

‍‍结束语‍‍

‍‍WF-IoT（融合物联网）采用了轻量级安全技术，从加解密算法、终端设备加固到整体安全防护给出了安全策略，相对于现有传统物联网技术，WF-IoT（融合物联网）具有更高的安全性，可以满足大规模部署、多业务融合、低成本刚需、高时效反应、低功耗要求等应用需求。 ‍‍

‍‍文章出处：

‍‍文海,孙长征. 中高速广域融合物联网安全技术研究[J]. 物联网技术,2018,8(4):44-46.‍‍

‍‍DOI:10.16667/j.issn.2095-1302.2018.04.012‍‍‍‍