幸虧物聯(lián)網(wǎng)離我們還遠(yuǎn)

　　1998年以來全世界掀起的新一輪技術(shù)革命：通過RFID和智能計(jì)算等技術(shù)將全世界設(shè)備互聯(lián)的網(wǎng)絡(luò)技術(shù)——物聯(lián)網(wǎng)技術(shù)，已引起各國政府、全球企業(yè)的全面關(guān)注和參與：國際上美國、日本、歐盟相繼提出“智慧地球”等國家戰(zhàn)略、ITU/ISO大力開展物聯(lián)網(wǎng)標(biāo)準(zhǔn)及趨勢研究;在國內(nèi)，中央及各省市政府以“感知中國”為方針，對(duì)國內(nèi)物聯(lián)網(wǎng)的發(fā)展給予大力政策傾斜和資金投入，企業(yè)和學(xué)術(shù)界已全面行動(dòng)起來，物聯(lián)網(wǎng)產(chǎn)業(yè)園區(qū)、物聯(lián)網(wǎng)標(biāo)準(zhǔn)工作組像雨后春筍應(yīng)運(yùn)而生;物聯(lián)網(wǎng)時(shí)代來臨了。

　　2011年金秋，OWASP 2011亞州峰會(huì)在北京勝利召開，加密、RFID等物聯(lián)網(wǎng)相關(guān)技術(shù)也自然成為與會(huì)嘉賓熱議的話題，現(xiàn)場的RFID信息破解演示更是讓人震驚，其低成本、高速度、多環(huán)節(jié)的破解手法，讓人不得不從物聯(lián)網(wǎng)帶給人們的欣喜中回到巨大安全漏洞這一現(xiàn)實(shí)，在這張將物聯(lián)在一起的大網(wǎng)中，我們安全嗎?我們有健全的手段來保障這張網(wǎng)的安全嗎?如果不安全，會(huì)產(chǎn)生怎樣的影響?美國大片《鷹眼》中曾經(jīng)描述這樣一幅場景：黑客通過網(wǎng)絡(luò)進(jìn)入電力網(wǎng)，通過控制高壓電路熔斷來追擊駕駛奔馳轎車的獵殺對(duì)象;這一幕雖然有藝術(shù)的夸張，但是也折射出物聯(lián)網(wǎng)在深入滲透到國計(jì)民生后可能產(chǎn)生的可怕后果!

　　本文以物聯(lián)網(wǎng)移動(dòng)感知網(wǎng)絡(luò)——RFID為對(duì)象，從非技術(shù)和技術(shù)兩個(gè)層面分析和探討其涉及的安全問題，以期有利物聯(lián)網(wǎng)健康發(fā)展。

　　一、從經(jīng)濟(jì)、法規(guī)看RFID及物聯(lián)網(wǎng)

　　RFID作為物聯(lián)網(wǎng)感知網(wǎng)絡(luò)主要技術(shù)之一，其有形產(chǎn)品廣泛應(yīng)用于各種應(yīng)用場所：公安、電力、醫(yī)療、城市、交通、供應(yīng)鏈、銀行、環(huán)保等，無人看管、無人值守是常態(tài)，由于相關(guān)法規(guī)的不完善，特別是法律意識(shí)的普遍淡漠，導(dǎo)致物聯(lián)網(wǎng)感知網(wǎng)絡(luò)被非法拆卸、非法讀取、非法替換等行為廣泛滋生，而此類非法行為因物聯(lián)網(wǎng)感知網(wǎng)絡(luò)的特殊性，其后果和影響也將遠(yuǎn)大于針對(duì)非物聯(lián)感知網(wǎng)的破壞行為，理應(yīng)受到更高的法律重視。

　　在物聯(lián)網(wǎng)廣泛應(yīng)用的今天和明天，在經(jīng)濟(jì)國際化和互聯(lián)網(wǎng)無國界化的大背景下，RFID因其量子級(jí)增長的速度和數(shù)量，其廣泛應(yīng)用使巨額技術(shù)標(biāo)準(zhǔn)專利費(fèi)的產(chǎn)生、企業(yè)經(jīng)營信息的泄露等涉及國家經(jīng)濟(jì)安全的事件更容易發(fā)生，只有通過國家自有標(biāo)準(zhǔn)的成熟、完善和應(yīng)用才能有效的解決物聯(lián)網(wǎng)應(yīng)用帶來的經(jīng)濟(jì)安全問題。

　　從非技術(shù)的角度來看，RFID乃至整個(gè)物聯(lián)網(wǎng)的安全均離不開強(qiáng)有力的法律保障，更離不開完善又成熟的中國RFID技術(shù)標(biāo)準(zhǔn)體系，我國從1999年前后開始了在此兩方面的探索和努力，仍處于起步階段，離國際水準(zhǔn)還有較大的差距。從這個(gè)特殊的角度來講(不完善的法規(guī)影響RFID系統(tǒng)的安全，而RFID系統(tǒng)安全與否有直接影響國家經(jīng)濟(jì)的安全)，幸虧物聯(lián)網(wǎng)離我們還遠(yuǎn)。

　　二、從技術(shù)標(biāo)準(zhǔn)看RFID及物聯(lián)網(wǎng)

　　RFID標(biāo)準(zhǔn)由空口協(xié)議、編碼體系和應(yīng)用體系架構(gòu)等三部分構(gòu)成，

　　a)傳送及編碼安全隱患

　　在物聯(lián)網(wǎng)中，RFID系統(tǒng)實(shí)現(xiàn)末端信息的感知，其本身是通過無線電訊號(hào)識(shí)別特定目標(biāo)并讀寫相關(guān)數(shù)據(jù)，而無需識(shí)別系統(tǒng)與特定目標(biāo)之間建立機(jī)械或光學(xué)接觸，這一特性使得其暴露在公開場所之中的無線電訊號(hào)很容易被竊取，也更容易被干擾，所產(chǎn)生的竊取、破解和惡意修改等就是整個(gè)物聯(lián)網(wǎng)很大的一個(gè)安全問題。

　　b)應(yīng)用體系安全隱患

　　RFID標(biāo)準(zhǔn)由空口協(xié)議、編碼體系和應(yīng)用體系架構(gòu)等三部分構(gòu)成，其中應(yīng)用體系架構(gòu)涉及RFID的網(wǎng)絡(luò)應(yīng)用，RFID讀寫設(shè)備將讀取到的信息通過網(wǎng)絡(luò)送到類似互聯(lián)網(wǎng)域名解析服務(wù)DNS類似的解析服務(wù)器上，這樣，帶有RFID標(biāo)簽的物品因?yàn)榫幋a的唯一性而可以透過編碼解析后在網(wǎng)絡(luò)上查到，如同人們在互聯(lián)網(wǎng)上看已知域名的網(wǎng)站一樣。

　　因此與人們對(duì)互聯(lián)網(wǎng)DNS存在的信息安全擔(dān)憂類似的是，物聯(lián)網(wǎng)也存在著誰來掌握解析服務(wù)的問題。誰掌握了解析權(quán)，誰就可以掌握網(wǎng)內(nèi)所有物品的內(nèi)容、位置和物流信息情況，而一旦某一地區(qū)的解析服務(wù)中斷，所造成的后果就遠(yuǎn)不是“不能上網(wǎng)了”這么簡單

　　c)數(shù)據(jù)安全隱患

　　隨著RFID技術(shù)的廣泛應(yīng)用，各類物聯(lián)網(wǎng)系統(tǒng)也得到蓬勃發(fā)展，以T甚至P為單位的海量過程數(shù)據(jù)、最終數(shù)據(jù)以數(shù)據(jù)庫/文件、移動(dòng)數(shù)據(jù)/非移動(dòng)數(shù)據(jù)/等結(jié)構(gòu)/非結(jié)構(gòu)等多樣的形態(tài)存在物聯(lián)網(wǎng)系統(tǒng)中，它們是一切系統(tǒng)正常、正確運(yùn)行的關(guān)鍵，正因?yàn)榇?，保障各類?shù)據(jù)不被惡意查看、修改、破壞也就成為物聯(lián)網(wǎng)安全的重點(diǎn)。

　　2005年開始的中國物聯(lián)網(wǎng)標(biāo)準(zhǔn)組織針對(duì)RFID本身的技術(shù)架構(gòu)制訂了中國的技術(shù)標(biāo)準(zhǔn)，一定程度解決了傳送及編碼、應(yīng)用體系方面的安全問題，值得欣慰。但隨著RFID的安全問題得以緩解，整個(gè)物聯(lián)網(wǎng)系統(tǒng)的安全中心將移向易忽略的數(shù)據(jù)安全上，而只有這一領(lǐng)域得到加強(qiáng)，RFID包括物聯(lián)網(wǎng)整體才得到完整的安全。目前在該領(lǐng)域，國民意識(shí)處在朦朧階段，技術(shù)研發(fā)處在起步階段，項(xiàng)目建設(shè)處在引導(dǎo)型階段，中國標(biāo)準(zhǔn)發(fā)展更是遠(yuǎn)遠(yuǎn)落后于物聯(lián)網(wǎng)快速發(fā)展的需求，這些都影響著物聯(lián)網(wǎng)的安全，也無從全方位保障RFID的安全應(yīng)用。從RFID安全視角來看，即便RFID本身的安全得以提升，但因數(shù)據(jù)安全等核心威脅仍然存在，物聯(lián)網(wǎng)與我們之間還存在一巨大鴻溝，從這一角度來講，也幸虧物聯(lián)網(wǎng)離我們還遠(yuǎn)。