搜索
1第五章接入安全桂小林2014.09.2325.1物联网的接入安全5.2信任管理5.3身份认证5.4访问控制5.5公钥基础设施5.6物联网接入安全案例5.7本章小结报告内容3第五章接入安全基本要求理解物联网接入安全相关的基本概念归纳物联网接入安全涉及的安全问题了解物联网接入安全控制技术的不同方法研究物联网接入安全的相关案例45.1物联网的接入安全随着物联网的快速发展,大量的智能终端和传感器系统的网络与外部的通信愈加频繁,给物联网系统的内部安全造成严重的安全威胁。网络接入安全计算正是在这种需求下产生的,它能保证访问网络资源的所有设备得到有效的安全控制,从而消除各种安全威胁对网络资源的影响。它使网络中的所有接入层设备成为安全加强点,而终端设备必须达到一定的安全策略和策略条件才可以接入网络,这样可以有效地帮助用户发现、预防和消除安全威胁。依据物联网中各个层次接入物联网方式的不同,物联网接入安全分为节点接入安全、网络接入安全和用户接入安全。55.1.1物联网的接入安全节点接入安全节点接入安全主要考虑物联网感知节点的接入安全。对于物联网感知层的多种技术,下面将选择无线传感技术进行介绍。要实现各种感知节点的接入,需要无线传感网通过某种方式与互联网相连,使得外部网络中的设备可对传感区域进行控制与管理。目前IPv4正在向IPv6过渡,使用IPv6不仅能满足物联网的地址需求,还能满足物联网对节点移动性、节点冗余、基于流的服务质量保障的需求和对通信两端的信息和通信过程进行加密的安全需求。因此,IPv6很有希望成为物联网应用的基础网络安全技术。65.1.1节点接入安全–基于IPv6的无线接入当前基于IPv6的无线接入技术,主要有以下两种方式:代理接入方式直接接入方式代理接入方式定义:代理接入方式是指将协调节点通过基站(基站是一台计算机)接入到互联网。5.1.1物联网的接入安全基站传感网络互联网协调节点终端用户终端用户数据库服务器感知节点785.1.1节点接入安全–代理接入方式代理接入方式优点:安全性较好。•利用PC作为基站,减少了协调节点软硬件的复杂度及能耗。•可在代理主机上部署认证和授权等安全技术,且能保证传感器数据的完整性。缺点:•PC作为基站,其代价、体积与能耗都较大,不便于布置。•在恶劣环境中不能正常工作。95.1.1节点接入安全–代理接入方式代理接入方式代理接入方式将节点通过基站(基站是一台计算机)接入互联网。在代理接入方式中,传感器不能直接与外部用户通信,要经过代理主机对接收的数据进行中转。传感器网络把采集到的数据传给协调节点,再通过基站把数据通互联网发送到数据处理中心,同时有一个数据库服务器用来缓存数据。用户可通过互联网向基站发送命令,或者访问数据中心。直接接入方式定义:直接接入方式是指通过协调节点直接连接互联网与传感网络,协调节点可通过无线通信模块与传感网络节点进行无线通信,也可利用低功耗、小体积的嵌入式Web服务器接入互联网,实现传感网与互联网的隔离。5.1.1物联网的接入安全直接介入方式类型:•全IP方式•重叠方式10115.1节点接入安全–直接接入方式直接接入方式直接接入方式是指通过协调节点直接连接互联网与传感网络。协调节点可通过无线通信模块与传感网络节点进行无线通信,也可利用低功耗、小体积的嵌入式Web服务器接入互联网,实现传感网与互联网的隔离。这样,传感网就可采用更加适合其特点的MAC协议、路由协议以及拓扑控制等协议,已达到网络能量有效性、网络规模扩展性等目标。125.1节点接入安全–直接接入方式直接接入方式主要有以下几种:全IP方式:直接在无线传感网所有感知节点中使用TCP/IP协议栈,使无线传感网与IPv6网络之间通过统一的网络层协议实现互联。重叠方式:在IPv6网络与传感网之间通过协议承载方式来实现互联。应用网关方式:通过在网关应用层进行协议转换来实现无线传感网与IPv6网络的互联。介入安全需求•基于多种技术融合的终端接入认证技术。•基于多层防护的接入认证体系。•接入认证技术标准化、规范化。5.1.2网络接入安全新型网络接入控制技术•NAC重叠方式•NAP•TNC•UAC13满足多往融合的安全介入网关安全接入设计功能•网络可以把协议转换,同时可以实现移动通信网络和互联网之间的信息转换。•接入网关可以提供基础的管理服务,对终端设备提供身份认证、访问控制等安全管理服务。•通过统一的安全接入网关,将各种网络进行互连整合,借助安全接入网关平台迅速开展物联网业务的安全应用。5.1.2网络接入安全14用户接入安全主要考虑移动用户利用各种智能移动感知设备(如智能手机、PDA等)通过无线的方式安全接入物联网络。用户接入安全涉及到多个方面,首先要对用户的身份的合法性进行确认,这就需要身份认证技术,然后在确定用户身份合法的基础上给用户分配相应的权限,限制用户访问系统资源的行为和权限,保证用户安全的使用系统资源,同时在网络内部还需要考虑节点、用户的信任管理问题5.1.3用户接入安全15165.2信任管理物联网是一个多网并存的异构融合网络。这些网络包括互联网、传感网、移动网络和一些专用网络。物联网使这些网络环境发生了很大的变化,遇到了前所未有的安全挑战,传统的基于密码体系的安全机制不能很好地解决某些环境下的安全问题,如在无线传感器网络中,传统的基于密码体系的安全机制主要用于抵抗外部攻击,无法有效地解决由于节点俘获而发生的内部攻击。且由于传感器网络节点能力有限,无法采用基于对称密码算法的安全措施,当节点被俘获时很容易发生秘密信息泄露,如果无法及时识别被俘获节点,则整个网络将被控制。又如互联网环境是一个开放的、公共可访问的和高度动态的分布式网络环境,传统针对封闭、相对静态环境的安全技术和手段,尤其是安全授权机制,如访问控制列表、一些传统的公钥证书体系等,就不再适用于解决Web安全问题。175.2信任管理为了解决物联网网络环境带来的新的安全问题,1996年M.Blaze等人首次提出使用“信任管理(trustmanagement)”的概念,其思想是承认开放系统中安全信息的不完整性,系统的安全决策需要依靠可信的第三方提供附加的安全信息。信任管理的意义在于提供了一个适合开放、分布和动态特性网络环境的安全决策框架。而且信任管理将传统安全研究中,尤其是安全授权机制研究中隐含的信任概念抽取出来,并以此为中心加以研究,为解决互联网、传感网等网络环境中新的应用形式的安全问题提供了新的思路。信任管理模型•描述和表达安全策略和安全凭证。•设计策略一致性证明验证算法。•划分信任管理引擎和应用系统之间的职能。5.2信任管理18凭证系统本地策略库信任管理引擎应用系统凭证签名凭证本地策略请求描述响应信任边界动作请求5-4信任管理模型设计信任管理引擎需要:信任定义5.2.1信任机制概述19•信任是一个多学科的概念,描述了在特定的情境下,一个个体(A)在可能产生不利后果的情况下(包括风险因素),愿意相信另一个个体(B)具有某种能力或能够完成某项任务的主观信念,或该个体(A)根据自己的经验或同时参考其他个体(C、D等)推荐信息而得出的被信任方(B)的可信赖程度。•对于信任的定义目前还没有形成一个准确而同一的定义,通常都是不同学者根据其所处的背景、视角和所面临的系统环境给出不同的定义。但是,基于信任的应用必须对信任给出清晰且合适的概念,否则将不可能产生一个正确且稳健的系统。信任定义5.2.1信任机制概述20•Luhmann于1979年从社会学的角度描述信任,将其定义为减少社会复杂性的方法。这种社会复杂性由具有不同理解力和目的的个体的交互引起。该定义由于其社会学的本质更适合信誉的系统。•1990年计算机科学家Gambetta将信任定义为一个个体评估另一个个体或集体将执行某一特定行为的特定主观可能性等级,评估发生在个体能够观察到该特定行为之前(或该特定行为独立于个体能够观察到该行为的能力)且该特定行为为会影响评估者自身的行为。•最近的关于信任的概念是Grandison和Sloman提出的,他们将信任定义为对某一个体在特定的情况下,独立、安全且可靠的完成任务的能力的坚固信念。信任的性质5.2.1信任机制概述21•主观性•动态性•信任的实体复杂性•可度量性•传递性•非对称性•时间衰减性•多样性信任的分类5.2.1信任机制概述22•基于身份的信任•基于行为的信任:直接信任和间接信任采用的策略•基于身份的信任采用静态验证机制决定是否给一个实体授权,常用的技术有认证、授权、加密、数据隐藏、数字签名、公钥证书及访问控制。•基于行为的信任通过实体的行为历史记录和当前行为特征来动态判断实体的可信任度。离散表示方法5.2.2信任的表示方式23•离散表示方法可以使用两个值1和-1分别表示信任和不信任,这就构成了最简单的信任表示。也可以用多个离散值表示信任的状况。例如可把信任状况分为四个等级:vt,t,ut,vut,分别表示非常可信,可信,不可信,非常不可信,具体含义如表5-1信任等级含义vt非常可信,服务质量非常好且总是响应及时t可信,服务质量尚可,偶有响应迟缓或小错误发生ut不可信,服务质量较差,总是出现错误vut非常不可信,拒绝服务或提供的服务总是恶意的表5-1信任等级及其含义概率表示方法5.2.2信任的表示方式24•在概率信任模型中,主体间的信任度可用概率值来表示。主体i对主体j的信任度定义为ai,j∈[0,1],ai,j的值越大表示主体i对主体j的信任越高,0表示完全不信任,而1表示完全信任。概率信任值表示方法一方面表示了主体间的信任度,另一方面表示了主体之间不信任的程度。•例如,ai,j=0.7表示主体i对主体j的信任度为0.7,不信任度为0.3。主体之间的信任概率可以理解为主体之间是否选择对方为交易对象的概率,信任概率低并不表示没有主体与之交易。信念表示方法5.2.2信任的表示方式25•信念理论和概率论类似,差别在于所有可能出现结果的概率之和不一定等于1。信念理论保留了概率论中隐含的不确定性。因为基于信念模型的信任系统在信任度的推理方法上类似于概率论的信任度推理方法。•例如,设opinion表示信任度,把opinion定义为一个四元组{b,d,u,a}。b,d,u,分别表示信任、怀疑、不确定。b,d,u∈[0,1]且b+d+u=1。主体的可信任度为b+au,a是一个系数,表示信任度中不确定所占的比例。模糊表示方法5.2.2信任的表示方式26•信任本身就是一个模糊的概念,所以有学者用模糊理论来研究主体的可信度。隶属度可以看成是主体隶属于可信任集合的程度。模糊化评价数据以后,信任系统利用模糊规则等模糊数据,推测主体的可信度。•例如,可以使用模糊子集合T1,T2,T3,T4,T5,T6分别定义具有不同程度的信任集合,具体代表的信任集合的含义如表5-2所示。模糊集含义T1不信任T2不太信任T3信任T4很信任T5特别信任T6完全信任表5-26种不同信任模糊集合灰色表示方法5.2.2信任的表示方式27•灰色模型和模糊模型都可以描述不确定信息,但灰色系统相对于模糊系统来说,可用于解决统计数据少、信息不完全系统的建模与分析。•例如,假定聚类实体集D={d1,d2,d3},灰类集G={g1,g2,g3},g1,g2,g3分别依次表示信任度高、一般、低。主体间的评价用一个灰数表示,这些评价经过灰色推理以后,就得到一个聚类实体关于灰类集的聚类向量。如(0.324,0.233,0.800),根据聚类分析认为实体属于灰类g3,表示其可信度低。云模型表示方法5.2.2信任的表示方式28•云模型是李德毅院士于1995年在模糊集理论中隶属函数的基础上提出的,通常被用来描述不确定性的概念。云模型可以看做是模糊模型的泛化,云由许多云滴组成。主体间的信任关系用信任云描述。信任云是一个三元组(Ex,En,Hx),其中Ex描述主体间的信任度,En是信任度得熵,描述信任度的不确定性,Hx是信任度的超商,描述En的不确定性。信任云能够描述信任的不确定性和模糊性。•例如,用一维正态云模型