物聯網安全技術

單元一物聯網安全概述引言隨著物聯網逐漸被人們認識和應用，它將人和周圍物品聯系起來，使物品成為網絡中的一份子，并給人們帶來諸多便利。然而，在享受物聯網帶給人類許多便利的同時，與任何新生信息系統一樣，物聯網的出現不可避免將產生信息安全問題，包括物理安全、運行安全、數據安全等。一信息安全與物聯網安全1.信息安全1）信息安全的定義信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不因偶然或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多個學科。一信息安全與物聯網安全2）信息安全的目標（5）不可否認性（4）可控性（3）可用性（2）完整性（1）保密性一信息安全與物聯網安全3）信息安全的原則Subtitletext1(2)分權制衡原則(3)安全隔離原則Subtitle（1）最小化原則一信息安全與物聯網安全受保護的敏感信息只能在一定范圍內被共享，履行工作職責和職能的安全主體在法律和相關安全策略允許的前提下，為滿足工作需要，僅被授予其訪問信息的適當權限，稱為最小化原則。（1）最小化原則一信息安全與物聯網安全在信息系統中，對所有權限應該進行適當地劃分，使每個授權主體只能擁有其中的一部分權限，使它們之間相互制約、相互監督，共同保證信息系統的安全。如果一個授權主體分配的權限過大，無人監督和制約，就隱含了“濫用權力”、“一言九鼎”的安全隱患。(2)分權制衡原則一信息安全與物聯網安全隔離和控制是實現信息安全的基本方法，而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。(3)安全隔離原則一信息安全與物聯網安全4）信息安全技術一信息安全與物聯網安全在網絡應用中一般采取兩種加密形式，即對稱密鑰和公開密鑰，采用何種加密算法則要結合具體應用環境和系統，而不能簡單地根據其加密強度來作出判斷，因為除了加密算法本身之外，密鑰合理分配、加密效率與現有系統的結合性以及投入產出分析都應在實際環境中具體考慮。加密技術的選擇一信息安全與物聯網安全（2）認證和識別④安全電子交易（SET）協議③智能卡②數字證書①雙重認證一信息安全與物聯網安全2.物聯網安全從信息與網絡安全的角度來看，物聯網作為一個多網的異構融合網絡，不僅存在與傳感器網絡、移動通信網絡和因特網同樣的安全問題，同時還有其特殊性，如隱私保護問題、異構網絡的認證與訪問控制問題、信息的存儲與管理等。數據與隱私保護是物聯網應用過程中的挑戰之一。一信息安全與物聯網安全Subtitletext1(2)感知網絡的傳輸與信息安全問題（3）核心網絡的傳輸和信息安全問題Subtitle（1）感知層本地安全問題二物聯網安全的特征1.物聯網安全需求特點感知節點呈現多源異構性，感知節點通常情況下功能簡單(如自動溫度計)、攜帶能量少(使用電池)，使得它們無法擁有復雜的安全保護能力，而感知網絡多種多樣，從溫度測量到水文監控，從道路導航到自動控制，它們的數據傳輸和消息也沒有特定的標準，所以沒法提供統一的安全保護體系。（1）感知網絡的信息采集、傳輸與信息安全問題二物聯網安全的特征核心網絡具有相對完整的安全保護能力，但是由于物聯網中節點數量龐大，且以集群方式存在，因此會導致在數據傳播時由于大量機器的數據發送使網絡擁塞，產生拒絕服務攻擊。此外，現有通信網絡的安全架構都是從人通信的角度設計的，對以物為主體的物聯網，要建立適合于感知信息傳輸與應用的安全架構。（2）核心網絡的傳輸與信息安全問題二物聯網安全的特征支撐物聯網業務的平臺有著不同的安全策略，如云計算、分布式系統、海量信息處理等，這些支撐平臺要為上層服務管理和大規模行業應用建立起一個高效、可靠和可信的系統，而大規模、多平臺、多業務類型使物聯網業務層次的安全受到新的挑戰。（3）物聯網業務的安全問題二物聯網安全的特征2.物聯網安全與傳統網絡安全的區別Subtitletext1（2）運行安全（3）數據安全Subtitle（1）物理安全二物聯網安全的特征物聯網的物理安全主要是傳感器的安全，不安全因素包括對傳感器的干擾、屏蔽、信號截獲等，是物聯網安全特殊性的體現；（1）物理安全二物聯網安全的特征物聯網的運行安全問題存在于各個要素中，涉及傳感器、傳輸系統及處理系統的正常運行，與傳統信息系統安全基本相同；（2）運行安全二物聯網安全的特征物聯網的數據安全問題也是存在于各個要素中，要求在傳感器、傳輸系統、處理系統中的信息不會出現被竊取、被篡改、被偽造、被抵賴等事件。其中傳感器與傳感網所面臨的安全問題比傳統的信息安全更為復雜，因為傳感器與傳感網可能會因為能量受限的問題而不能運行過于復雜的保護體系。（3）數據安全二物聯網安全的特征（1）對傳感網（感知層）、互聯網（傳輸層）、移動網（傳輸層）、云計算（處理層）等的一些已有安全解決方案在物聯網環境可能不再適用（2）即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯網的安全，物聯網安全與傳統網絡安全的區別主要體現在以下兩個方面問題與思考問題1什么是信息安全?物聯網的安全特征是什么?思考:問題2物聯網安全與傳統網絡安全的區別是什么?思考:物聯網安全技術

單元二物聯網面臨的安全威脅引言本單元根據物聯網目前主流體系架構,分別從感知層、傳輸層和應用層的角度對安全威脅進行研究。感知層安全威脅研究主要針對RFID安全、無線傳感器網絡安全和移動智能終端安全；傳輸層和應用層安全威脅研究主要針對無線網絡、云計算以及IPv6安全。一RFID安全1.RFID系統所帶來的安全問題由于RFID系統具有標識和可跟蹤性，這就造成了攜帶有RFID標簽的用戶的個人隱私被跟蹤和泄露。例如，某人穿了一件嵌有RFID標簽的衣服,由于RFID系統具有可跟蹤性,故此人隱私完全暴露出來。（1）RFID系統所帶來的個人隱私問題一RFID安全RFID系統主要采用兩種頻率信號，一種是低頻信號(電磁感應)，傳輸的距離近，主要頻率有125kHz、225kHz和13.65MHz；另一種是高頻信號和微波(電磁傳播)，主要頻率有433MHz、915MHz、2.45GHz和5.8GHz。如今各個頻帶的電磁波信號都在應用，相鄰頻帶之間的干擾很大。（2）信號干擾問題一RFID安全2.針對RFID的安全威脅安全威脅物理攻擊信道阻塞偽造攻擊假冒攻擊復制攻擊重放攻擊信息篡改二無線傳感器網絡安全無線傳感器網絡安全節點捕獲傳感信息竊聽DoS攻擊重放攻擊虛假路由信息選擇性轉發sinkhole攻擊Sybil攻擊蟲洞攻擊HELLOFlood三移動智能終端安全隨著移動智能設備的迅速發展，以移動智能手機為代表的移動智能設備將是物聯網感知層重要組成部分，其面臨惡意軟件、僵尸網絡、操作系統缺陷和隱私泄露等安全問題。2004年出現了手機蠕蟲病毒Cabir，此后針對移動智能手機的移動僵尸病毒等惡意軟件呈現多發趨勢，尤其是移動僵尸網絡問題的出現將對用戶的個人隱私、財產（話費、手機支付業務等）、有價值信息（銀行卡、密碼等）等構成直接威脅。三移動智能終端安全隨著互聯網SNS的熱潮和3G普及，人與人之間溝通方式越來越多樣化，但是其中也暴露出了大量的安全問題，集中反映出互聯網產品安全防護的滯后以及網友計算機水平的提升。總之，對于新興技術要保持審慎積極的態度，積極開發物聯網新技術的同時更要注意物聯網帶來的安全問題，在提高安全防御措施上未雨綢繆，同時也要養成良好的網絡使用習慣。四無線網絡.云計算與IPv6安全1.無線網絡安全1）非法設備的使用在沒有足夠安全防范措施的情況下，無線網絡很容易受到利用非法AP進行的欺騙攻擊，即使采取了VPN等保護措施也難以避免。一個非法的AP可能是軟件上的也可能是硬件上的，它可以提供進入整個企業網絡的入口，并完全繞過現有的所有安全措施。四無線網絡.云計算與IPv6安全2）網絡中的竊聽大多數網絡通信都是以明文（非加密）的格式出現的，這就會使處于無線信號覆蓋范圍內的攻擊者可以趁機監視并破解（讀取）通信，同時一臺被設置為自動連接到網絡的筆記本電腦經常會連接到相鄰的其他網絡中去，這也就意味著侵入者可以在用戶不知情的情況下連接到用戶電腦中并獲取數據，由于入侵者無須將竊聽設備物理地接入被竊聽網絡，所以這種威脅已經成為無線局域網面臨的最大問題之一。四無線網絡.云計算與IPv6安全3）安全隱患Subtitletext1（2）盜用用戶身份。（3）拒絕服務。Subtitle（1）通過偵測等手段，黑客可以借此了解系統中什么地方存在漏洞并進行攻擊。無線網絡安全隱患云計算風險優先訪問權風險智能權限風險數據處所風險應用及數據風險數據恢復風險調查支持風險長期發展風險四無線網絡.云計算與IPv6安全2.云計算安全四無線網絡.云計算與IPv6安全一般來說，企業數據都有其機密性，但這些企業把數據交給云計算服務商后，具有數據優先訪問權的并不是相應企業，而是云計算服務商，如此一來，就不能排除企業數據被泄露出去的可能性。1）優先訪問權風險四無線網絡.云計算與IPv6安全雖然企業用戶把數據交給云計算服務商托管，但數據安全及整合等事宜最終仍由企業自身負責。傳統服務提供商一般會由外部機構來進行審計或進行安全認證，但如果云計算服務商拒絕這樣做，則意味著企業客戶無法對被托管數據加以有效利用。2）管理權限風險四無線網絡.云計算與IPv6安全當企業客戶使用云計算服務時，他們并不清楚自己數據被放置在哪臺服務器上，甚至根本不了解這臺服務器放置在哪個國家。出于數據安全考慮，企業用戶在選擇使用云計算服務之前，應事先向云計算服務商了解他們是否從屬于服務器放置地所在國的司法管轄；在這些國家展開調查時，云計算服務商是否有權拒絕提交所托管數據。3）數據處所風險四無線網絡.云計算與IPv6安全在云計算服務平臺中，由于大量企業用戶的數據處于共享環境下，繁重的計算任務和數據存儲都拋給云端的計算機群，讓它們來處理，這樣做好處固然很多，但即使提供商采用數據加密方式，隨著黑客技術的不斷提升，也不能保證做到萬無一失，一旦數據遭到破壞或外泄，損失就是無法估量的。因此，解決該問題的最佳方案是將自己的數據與其他企業用戶的數據隔離開來。4）應用及數據風險四無線網絡.云計算與IPv6安全即使企業用戶了解自己數據被放置到哪臺服務器上，也應要求服務商作出承諾，必須對所托管數據進行備份，以防止出現重大事故時企業用戶的數據無法得到恢復。企業用戶不但需要了解服務商是否具有數據恢復的能力，而且還必須知道服務商能在多長時間內完成數據恢復。5）數據恢復風險四無線網絡.云計算與IPv6安全通常情況下，如果企業用戶試圖展開違法活動調查，云計算服務商肯定不會配合，這當然合情合理，但如果企業用戶只是想通過合法方式收集一些數據，云計算服務商也未必愿意提供，原因是云計算平臺涉及多家用戶的數據，在一些數據查詢過程中可能會牽涉云計算服務商的數據中心。如此一來，如果企業用戶本身也是服務企業，當自己需要向其他用戶提供數據收集服務時無法求助于云計算服務商。6）調查支持風險四無線網絡.云計算與IPv6安全如果企業用戶選定了某家云計算服務商，最理想的狀態是這家服務商能夠一直平穩發展，而不會出現破產或被大型公司收購現象，因為如果云計算服務商破產或被他人收購，企業客戶既有服務將被中斷或變得不穩定。建議在選擇云計算服務商之前，應把長期發展風險因素考慮在內。7）長期發展風險四無線網絡.云計算與IPv6安全3.IPv6安全1）IPv6的特點text1（2）安全性（3）網絡管理的影響（1）網絡實名身份證四無線網絡.云計算與IPv6安全IPv6的一個重要應用是網絡實名制下的互聯網身份證，目前基于IPv4的網絡之所以難以實現網絡實名制，一個重要原因就是IP資源的共用，因為IP資源不夠，所以不同的人在不同的時間段共用一個IP，IP和上網用戶無法實現一一對應。IPv6的出現可以使IP資源不再緊張，運營商有足夠多的IP資源，當一個上網用戶的IP固定了之后，你任何時間做的任何事情都和一個唯一IP綁定，你在網絡上做的任何事情在任何時間段內都有據可查，并且無法否認。1）網絡實名身份證四無線網絡.云計算與IPv6安全IPv6具有更高的安全性，在使用IPv6網絡中用戶可以對網絡層的數據進行加密并對IP報文進行校驗，在IPv6中的加密與鑒別選項提供了分組的保密性與完整性，極大地增強了網絡的安全性。（2）安全性四無線網絡.云計算與IPv6安全IPv6具有一種節點自動配置功能，這實際上是在所有的IPv6網絡中替代DHCP（動態主機配置協議）和ARP（地址解析協議）的下一代技術，能夠不進行任何設置就可以把新設備連接到網絡。（3）網絡管理的影響四無線網絡.云計算與IPv6安全2）IPv6存在的安全隱患（4）一些常見的攻擊技術。（3）在IPv4向IPv6遷移過程中的風險。（2）IPv6網絡安全的關鍵是主機的安全。（1）病毒和互聯網蠕蟲。五針對物聯網安全威脅的對策1.物聯網感知層的信息安全對策1）RFID系統中個人隱私問題解決方案text1（2）使用sleep標簽。（3）使用表面涂有鋁箔的購物袋。（1）使用kill標簽。五針對物聯網安全威脅的對策2）對于信號干擾的針對性抗干擾措施text1（2）通過數據編碼和數據的完整性校驗提高抗干擾能力。（3）通過多次重發比較,剔除出錯的數據。（1）通過數據編碼提高數據的抗干擾能力。五針對物聯網安全威脅的對策3）使用各種認證和加密手段來確保標簽和閱讀器之間的數據安全（1）使用hash鎖、帶別名的雙向認證和三方認證等手段，可以保證閱讀器發送一個密碼來解鎖數據之前標簽的數據一直處于鎖定狀態，但是標簽的成本直接影響到其計算能力、存儲容量以及采用的加密算法強度。在物聯網構建中選擇射頻識別系統時,應該根據實際需求考慮是否選擇有密碼和認證功能的系統，一般來說,在高端RFID系統和高價值的被標識物品場合,可以采用這種方式。五針對物聯網安全威脅的對策(2)構建專用的通信協議和通道。利用專用通信協議構建專用通信信道在抗干擾和避免受攻擊方面有很好的效果，但是它在帶來高安全性能的同時增加了資金的投入量，并且喪失了與采用工業標準的系統之間RFID數據共享能力，雖然可以用網關來進行數據的轉換,然而這是要付出時間和空間代價的。五針對物聯網安全威脅的對策(3)中