物聯(lián)網(wǎng)的網(wǎng)絡層安全

物聯(lián)網(wǎng)的網(wǎng)絡層主要實現(xiàn)信息的轉(zhuǎn)發(fā)和傳送，它將感知層獲取的信息傳送到遠端，為數(shù)據(jù)在遠端進行智能處理和分析決策提供強有力的支持。在網(wǎng)絡層傳輸?shù)臄?shù)據(jù)數(shù)量巨大，同時對于網(wǎng)絡世界中，數(shù)據(jù)的容量增大的同時速度增快，但同時對于網(wǎng)絡結(jié)點的要求增大，而傳輸?shù)漠悩嬀W(wǎng)絡就容易受到異步攻擊和中間攻擊等攻擊。由于物聯(lián)網(wǎng)本身具有專業(yè)性的特征，其基礎網(wǎng)絡可以是互聯(lián)網(wǎng)，也可以是具體的某個行業(yè)網(wǎng)絡。物聯(lián)網(wǎng)的網(wǎng)絡層按功能可以大致分為接入層和核心層，因此物聯(lián)網(wǎng)的網(wǎng)絡層安全主要體現(xiàn)在以下兩個方面:

(1)來自物聯(lián)網(wǎng)本身架構、接入方式和各種設備的安全問題。物聯(lián)網(wǎng)的接入層將采用如移動互聯(lián)網(wǎng)、有線網(wǎng)、WiFi 和WiMAX等多種無線接入技術。接入層的異構性使得如何為終端提供移動性管理，以保證異構網(wǎng)絡間結(jié)點漫游和服務的無縫移動成為研究的重點，其中安全問題的解決將得益于切換技術和位置管理技術的進一步研究。另外，物聯(lián)網(wǎng)的接入將主要依靠移動通信網(wǎng)絡，而移動網(wǎng)絡中移動站與固定網(wǎng)絡端之間的所有通信都是通過無線接口進行的。由于無線接口的開放性，使得任何使用無線設備的個體均可以通過竊聽無線信道而獲得其中傳輸?shù)男畔ⅲ踔量梢孕薷摹⒉迦搿h除或重傳無線接口中傳輸?shù)南ⅲ_到假冒移動用戶身份以欺騙網(wǎng)絡端的目的，因此移動通信網(wǎng)絡存在無線竊聽、身份假冒和數(shù)據(jù)篡改等不安全因素。

(2)來自數(shù)據(jù)傳輸網(wǎng)絡的安全問題。物聯(lián)網(wǎng)網(wǎng)絡核心層功能的實現(xiàn)主要依賴于傳統(tǒng)網(wǎng)絡技術，其面臨的最大問題是現(xiàn)有網(wǎng)絡地址空間的短缺，而主要的解決方法寄希望于正在推進的IPv6技術。IPv6 采用IPsec協(xié)議，在IP層上對數(shù)據(jù)包進行了高強度的安全處理，提供數(shù)據(jù)源地址驗證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機密性、數(shù)據(jù)抗重播和有限業(yè)務流加密等安全服務。但是任何技術都不是完美的，實際IPv4網(wǎng)絡環(huán)境中的大部分安全風險在IPv6網(wǎng)絡環(huán)境中仍將存在，而且某些安全風險隨著IPv6新特性的引入將變得更加嚴重。首先，分布式拒絕服務(DDoS)攻擊等異常流量攻擊仍然猖獗，甚至更為嚴重，主要包括TCP-flood、UDP flood等現(xiàn)有DDoS攻擊，以及IPv6協(xié)議本身機制缺陷所引起的攻擊；其次，針對域名服務器(DNS)的攻擊仍將繼續(xù)存在，而且在IPv6網(wǎng)絡中提供域名服務的DNS更容易成為黑客攻擊的目標；再次，IPv6協(xié)議作為網(wǎng)絡層協(xié)議，僅對網(wǎng)絡層安全有影響，其他(包括物理層、數(shù)據(jù)鏈路層、傳輸層和應用層等)各層的安全風險在IPv6網(wǎng)絡中仍將保持不變；最后，采用IPv6協(xié)議替換IPv4協(xié)議尚需要一段時間，向IPv6過渡只能采用逐步演進的辦法，而為解決兩者之間互通所采取的各種措施也將帶來新的安全風險。

另外，在傳輸網(wǎng)絡結(jié)點的數(shù)據(jù)是經(jīng)過加密的，在結(jié)點需要解密時，必須有相應的解密密碼才能進行解密。