在具體的物聯(lián)網(wǎng)開發(fā)業(yè)務中，M2M終端收集的數(shù)據(jù)信息經由核心接入網(wǎng)傳遞到M2M平臺，在這個過程中，物聯(lián)網(wǎng)業(yè)務將面臨多種安全威脅。

　　首先，攻擊者可能假冒M2M終端，向M2M平臺發(fā)送虛假的業(yè)務數(shù)據(jù)。

　　其次，攻擊者可能竊聽合法終端上傳的業(yè)務數(shù)據(jù)，導致業(yè)務機密信息的泄露。例如，車務通業(yè)務中的調度信息和遠程配置信息，攻擊者一旦獲得這些信息，則可以掌握車輛及其車主的位置等機密信息，造成一定的安全隱患。

　　再次，攻擊者還可能篡改傳輸過程中的數(shù)據(jù)信息，使得業(yè)務平臺收不到準確的業(yè)務數(shù)據(jù)，導致業(yè)務不能正常進行，給業(yè)務使用者的生命和財產安全帶來危害。例如，在電梯衛(wèi)士業(yè)務中，如果敵手篡改傳輸過程的故障信息，使得平臺收不到準確的故障信息，則不能對電梯做出及時的響應措施，可能對電梯中人員生命安全造成威脅。

　　最后，在某些具體的業(yè)務（如愛貝通）中，IMSI是暴露給外部業(yè)務的，并且某些密鑰也采取明文下發(fā)，這樣將會使得攻擊者直接獲得業(yè)務的身份信息或者密鑰信息，使得M2M終端的身份信息等暴露在攻擊者環(huán)境下，造成一定的安全隱患。

　　假冒終端用戶

　　（1）攻擊場景。在車務通、電梯衛(wèi)士、直放站監(jiān)控系統(tǒng)、船舶GPS監(jiān)控和智能停車系統(tǒng)等物聯(lián)網(wǎng)業(yè)務中，信息由感知層中的傳感設備收集并傳送到傳感網(wǎng)網(wǎng)關（M2M終端），然后經由網(wǎng)絡層發(fā)送給業(yè)務平臺。在傳感信息由M2M終端上傳給業(yè)務平臺這個過程中，攻擊者有可能假冒合法的終端設備上傳虛假的業(yè)務信息，致使業(yè)務平臺無法收到正確的業(yè)務信息，破壞業(yè)務的正常使用，導致業(yè)務使用者的隱私泄露和經濟損失。

　?。?）理論分析。在整個物聯(lián)網(wǎng)數(shù)據(jù)傳遞的過程中，攻擊者可以竊取用戶終端設備并從中獲得用戶的合法身份信息，從而輕易地假冒合法用戶來參與通信。一旦該攻擊得以實現(xiàn)，則會使用戶身份隱私、財產、生命安全等受到嚴重威脅。

　?。?）安全需求：業(yè)務認證。針對“假冒終端用戶”中描述的問題，為了保護M2M終端傳遞給業(yè)務平臺數(shù)據(jù)的安全，避免攻擊者假冒M2M終端設備上傳虛假的信息，保證業(yè)務的順利實施，M2M平臺需要對M2M終端進行認證。

　　在認證的過程中，為了提高業(yè)務效率，降低業(yè)務成本，應當在目前已經存在網(wǎng)絡層認證的基礎上，考慮是否有必要進行業(yè)務層的認證。當可以認可網(wǎng)絡層認證結果或者可以復用網(wǎng)絡層認證結果的時候，就不需要再進行業(yè)務層認證。以下兩種情況是需要進行單獨認證的，這也是我們要著重考慮的情況。

　?、俑鶕?jù)業(yè)務平臺的情況：當物聯(lián)網(wǎng)業(yè)務不是運營商自己部署的，且終端簽約的物聯(lián)網(wǎng)業(yè)務不是由運營商負責提供的，業(yè)務層不能信任網(wǎng)絡接入的認證結果。在這種情況下，需要進行業(yè)務層的認證。

　　②根據(jù)業(yè)務信息的敏感情況：從業(yè)務安全的角度來看，某些比較特殊的業(yè)務，是需要進行業(yè)務認證的。例如，在金融行業(yè)，業(yè)務數(shù)據(jù)十分敏感，并且對安全等級的要求超過了通常意義上的通信網(wǎng)絡的安全等級，因此在這種情況下，就需要提供業(yè)務層的認證。

　　對終端設備的物理攻擊

　?。?）攻擊場景。在太湖藍藻治理、電梯衛(wèi)士、車務通等業(yè)務中，M2M終端設備一般分布在無人看管的環(huán)境中，甚至在敵對的環(huán)境中，因此設備容易被攻擊者捕獲或控制。攻擊者可以通過編程接口進入設備內部，利用UISP和匯編軟件等，獲取終端設備的內部存儲信息；也可以直接采用物理方法，將M2M終端設備連接到控制信號線上，獲取信號線上所傳輸?shù)臋C密信息或者將自己的數(shù)據(jù)傳入設備中。

　　在不同的業(yè)務中，攻擊者對不同終端設備的威脅及攻擊形式也是不同的，具體如下表。

業(yè)務類型	設備類型	威脅及攻擊形式
太湖藍藻治理	傳感節(jié)點	攻擊者捕獲傳感節(jié)點，通過JTAG接口獲取節(jié)點中的信息或代碼，分析出該節(jié)點所存儲的ID、位置、密鑰等敏感信息，從而假冒合法節(jié)點加入傳感網(wǎng)絡中；也可以分析出瞬時的水域信息，造成業(yè)務機密信息的泄漏
太湖藍藻	傳感節(jié)點	攻擊者修改節(jié)點中的身份等隱私信息，使得節(jié)點以多個身份在傳感網(wǎng)中通信；也可以修改水域中的各類指標，加載到節(jié)點中，然后發(fā)送錯誤的水域信息至M2M平臺
	傳感網(wǎng)網(wǎng)關	攻擊者對開放的網(wǎng)關端口發(fā)送Update信息，插入、刪除路由表和節(jié)點密鑰等，也可以遠程訪問以修改網(wǎng)關里存儲的程序和機密信息 攻擊者可以用自己的終端設備直接連接網(wǎng)關的信號線，讀取其保密數(shù)據(jù)或將自己的數(shù)據(jù)傳入其中 攻擊者可以在網(wǎng)關工作時，仔細地觀察各種參數(shù)，利用功率分析法獲取機密信息，控制網(wǎng)關后，迫使其做出錯誤的決定（如允許非法節(jié)點的訪問），同時修改機密信息，平臺則無法得到太湖水域的準確信息，也就不能及時有效采取治理措施
電梯衛(wèi)士	攝像頭	攻擊者可以修改芯片的內部程序和密鑰信息，從而控制攝像頭所捕獲的圖像，即有選擇地將圖像信息上傳至M2M平臺。這些可能影響電梯的故障信息，造成對電梯的修理延誤，從而造成一定的隱患 攻擊者可以通過圖片信息了解電梯中常出現(xiàn)的人的信息，進而可以推測出其生活習慣，造成業(yè)主的隱私泄露
車務通	車載終端	攻擊者通過RS-232接口獲取或修改GPS中的位置信息；通過接口直接連接存儲器獲取其密鑰、身份；改變GPS智能軟件系統(tǒng)或嵌入終端來獲取位置、密鑰等信息 攻擊者通過給車載終端連接車載GPS干擾器等外接設備，屏蔽GPS導航，使其失效，從而可以任意改變車輛的位置信息，并上傳虛假的或者錯誤的位置信息給M2M平臺

　　威脅及攻擊形式

　　（2）理論分析。攻擊者可以輕易通過物理手段使用編程接口進入設備內部，利用UISP和匯編軟件等獲取設備機密信息，對M2M終端的物理攻擊所造成的安全威脅是最大的，防止物理攻擊所采取的保護措施也是最難實現(xiàn)的。

　?。?）安全需求：設備自身安全。針對“對終端設備的物理攻擊”中描述的問題，為了保護終端設備的安全，避免被攻擊者捕獲后控制，并上傳虛假業(yè)務信息，保證業(yè)務的順利實施，對于傳感節(jié)點，我們可以采取定時更新終端設備中存儲的密鑰的方法，這樣即使有一小部分節(jié)點被操縱，攻擊者也不能或很難從獲取的節(jié)點信息推導出其他節(jié)點的密鑰信息。對于傳感網(wǎng)網(wǎng)關、攝像頭和車載終端，我們采用在其設備的芯片內部對存儲器和總線系統(tǒng)進行加密的方式，或者建立安全網(wǎng)關的方法，避免非法的遠程訪問；也可以用一些物理方法保護設備芯片存儲的信息，如提高芯片設計的復雜程度、芯片制造的精細程度等。

　　卡被非法撥出或替換

　　（1）攻擊場景。例如，在電力抄表等業(yè)務中，需要把USIM卡插入M2M終端設備中，才能使得業(yè)務順利進行。然而，該設備很容易受到攻擊者的破壞。具體的，攻擊者可以進行如下兩種攻擊：將合法的USM卡插入非法的終端設備中，假冒合法終端設備與業(yè)務平臺進行通信：將非法的USM卡插入合法的終端設備，從而與業(yè)務平臺進行通信。這就使得攻擊者可以傳遞錯誤的或者虛假的信息，破壞業(yè)務的正常進行，對用戶造成人身和經濟財產的損失。

　　（2）理論分析。在某些物聯(lián)網(wǎng)設備中，終端需要插入合法的USIM卡才能進行通信，由于設備經常處于開放環(huán)境中，USIM卡或者設備很容易遭受攻擊者的竊取和破壞，從而泄露存儲的機密信息。

　?。?）安全需求：機卡綁定。針對電力抄表等業(yè)務中所遭受的將合法的USIM卡插入非法的M2M終端設備或者將非法的USIM卡插入合法的M2M終端設備的攻擊，當用戶將USIM卡插入M2M終端設備時，USIM卡要對終端設備的身份合法性進行認證，防止插入非法設備中，由非法設備盜取USIM卡中存儲的通信密鑰、用戶隱私等機密信息，從而給整個業(yè)務的安全性帶來威脅。與此同時，M2M終端設備也要對USM卡的合法性進行認證，防止攻擊者使用非法的USIM卡插入M2M終端設備中，竊取設備中存儲的用戶隱私等機密信息，因此，當USIM卡插入M2M終端設備時，在卡與設備之間應當進行雙向認證，從而確定雙方身份的合法性，以保證業(yè)務的安全。

　　在USIM卡與M2M終端設備之間進行的雙向認證方案應當滿足USIM卡與M2M終端設備各自的特點，在保證安全性的基礎上便于方案在實際中的應用。

　　在上述業(yè)務中，均需要由M2M終端及傳感外設收集數(shù)據(jù)。

　　（4）理論分析。攻擊者可以通過竊聽、流量分析獲得源位置信息等手段輕易獲得業(yè)務中的隱私信息，因此攻擊較易實現(xiàn)。對業(yè)務造成的隱私信息泄漏，用戶損失較大。

　　（5）安全需求：隱私保護。針對“業(yè)務隱私泄漏”描述的問題，為了防止有M2M終端及其傳感外設收集到的信息再傳輸過程中被攻擊者竊聽，避免敏感數(shù)據(jù)、身份信息和位置信息的泄漏，需要對傳輸過程中的數(shù)據(jù)進行加密，保證此類信息的安全。此外，針對攻擊者可以通過分析傳輸過程中的信息的流量狀況來反向追蹤出信息源位置的問題，需要采用信源模擬等位置保護方法。

　　針對IMSI暴露給外部業(yè)務和假冒終端用戶的問題，為了保護具體業(yè)務中的身份信息不被攻擊者獲得和仿冒，需要使用匿名認證機制等來防止身份信息的泄漏，以保證用戶身份隱私的安全。

　　該文為上半部分，下文可閱讀：物聯(lián)網(wǎng)業(yè)務安全威脅（下）。