8、物联网安全：需求、威胁、攻击与对策

物联网安全：需求、威胁、攻击与对策

1. 物联网安全概述

物联网将物理世界与互联网相连，实现物理实体与周围环境（如智能建筑、企业等）之间的智能协作。通常，物联网设备在不同环境中运行以实现各种目标，但它们的运行需要满足全面的网络安全和物理安全要求。

物联网环境的复杂性源于多学科元素、网络和计算的参与，这进一步扩大了基于物联网系统的攻击面，使得满足安全约束的任务更具挑战性。物联网设备通常在拥挤和开放的环境中运行，容易受到攻击者的物理访问。此外，它们通过无线通信网络互连，攻击者可能会进行窃听以获取通信中的秘密信息。而且，物联网设备资源受限，无法支持复杂的安全解决方案。因此，维护基于物联网系统的安全和隐私是一项多方面且具有挑战性的任务，在学术和工业领域都备受关注。

2. 物联网安全要求

信息保障的概念是确保信息系统在需要时按要求运行，同时保证其安全和受保护。美国国家标准与技术研究院将信息保障描述为“通过确保信息和信息系统的可用性、完整性、认证、保密性和不可否认性来保护和防御它们的措施。这些措施包括通过纳入保护、检测和反应能力来恢复信息系统”。这五个信息保障的支柱适用于基于物联网的系统，但随着物联网范式在网络和物理方面的不断发展，它们已不足以全面反映物联网环境的整体安全要求或目标。

物联网系统的安全要求如下：
| 安全要求 | 描述 |
| — | — |
| 认证（S1） | 在访问数据或执行任何任务之前，必须绝对确定实体的身份。由于物联网系统的不断发展，不同实体的认证要求因系统、应用和层而异。设计高效的认证方案通常需要综合考虑系统约束，以实现强安全系统。例如，物联网医疗设备的认证方案设计需要在安全性和安全性之间取