物联网应用广泛,涉及各行各业,其应用安全问题除了现有通信网络中出现的业务滥用、重放攻击、应用信息的窃听和篡改等安全问题外,还存在更为特殊的应用安全问题及危害。
隐私威胁
在物联网中大量使用的无线通信、电子标签和无人值守设备,将使物联网应用层隐私信息威胁问题变得非常突出。隐私信息可能被攻击者获取,给用户带来安全隐患,物联网的隐私威胁主要包括隐私泄漏和恶意跟踪。
- 隐私泄漏:隐私泄漏是指用户的隐私信息暴露给攻击者,如用户的病历、个人身份、兴趣爱好、商业机密等信息。
- 恶意跟踪:隐私信息的获取者可以对用户进行恶意跟踪。例如,在带有RFID标签的物联网应用中,隐私侵犯者可以通过标签的位置信息获取标签用户的行踪;抢劫犯甚至能够利用标志信息来确定并跟踪贵重物品的数量及位置信息等。
身份冒充
物联网中的设备一般是无人值守的,这些设备可能被劫持,然后伪装成客户端或者应用服务器发送数据信息、执行其他恶意操作。例如,针对智能家居的自动门禁远程控制系统,通过伪装成基于网络的后端服务器,可以解除告警、打开门禁进入房间。
信令拥塞
目前的认证方式是应用终端与应用服务器之间的一对一认证。而在物联网中,终端设备数量巨大,当短期内这些数量巨大的终端使用业务时,会在应用服务器上产生大规模的认证请求消息。这些消息可能会导致应用服务器过载,使得网络中信令通道拥塞,引起拒绝服务攻击。