第九章物联网信息安全技术Chapter1本章节将讨论:物联网信息安全中的四个重要关系问题物联网网络安全技术研究的主要内容物联网中的隐私保护问题9.1物联网信息安全中的四个重要关系问题01物联网信息安全与现实社会的关系02物联网信息安全与互联网信息安全的关系03物联网信息安全与密码学得关系04物联网信息安全与国家信息安全战略的关系9.1.1物联网信息安全与现实社会的关系网络虚拟社会与现实社会的关系是人创造了虚拟社会的繁荣人网络虚拟社会现实社会也是制造了网络虚拟社会的很多麻烦9.1.2物联网信息安全与互联网信息安全的关系物联网与互联网问题之间的关系物联网安全物联网信息安全个性技术互联网安全信息安全共性技术9.1.2物联网信息安全与互联网信息安全的关系从技术发展的角度看,物联网时间里在互联网的基础之上,RFID与WSN是构建物联网的两个重要的技术基础。从应用角度看,互联网信息安全技术在对抗网络攻击、网络协议、防火墙、入侵检测、网络取证、数据传输加密/解密、身份认证、信息机制、数据隐藏、垃圾邮件过滤、病毒防治等深入研究并取得有一定的进展。物联网的信息安全研究从层次上可分为:感知层安全、网络层安全、应用层安全。隐私保护是物联网必须面对的重大问题。目前重要研究的两大安全隐患:RFID安全、位置信息安全。9.1.3物联网信息安全与密码学的关系密码学是研究信息安全所必须的重要的工具与方法,但是物联网安全研究所涉及的问题比密码学应用广泛得多0102039.1.4物联网信息安全与国家信息安全战略的关系如果我们将这个社会和国家的人与人、人与物、物与物都连接在物联网中,那么物联网的安全同样要面对国家安全产生深刻的影响。网络安全问题已成为信息化奢华的一个焦点问题。每个国家职能立足与本国,研究网络安全产业,培养专门人才,发展网络安全产业,才能构筑本国的网络与信息安全防范系。互联网应用发达国家新的动向:信息安全问题已经成为信息化社会的一个焦点问题。我们必须高度重视物联网中的信息安全技术研究与人才培养。问9.2物联网信息安全技术研究01信息安全需求02物联网信息安全技术研究内容03物联网中的网络攻击技术研究04物联网安全防护技术研究密码学及其在物联网中的应用0506网络安全协议研究9.2.1信息安全需求什么是信息安全?在既定的安全密级的条件下,信息系统抵御意外事件或恶意行为的能力,这些事件和行为将危机所存储、处理或传输的数据,以及经由这些系统所提供的服务的可用性、机密性、完整性、不可否认性与可控性。9.2.2物联网信息安全的技术研究内容物联网信息安全技术研究的主要内容如下图:9.2.3物联网中的网络防攻击技术研究物联网中可能存在的网络攻击途径法律对攻击的定义是:攻击仅仅发生在入侵行为完全完成,并且入侵者已在目标网络内。但是对于信息安全管理员来说一切可能使网络系统受到破坏的行为都应视为攻击。借鉴互联网对攻击分类的方法可以分为非服务攻击与服务攻击物联网中网络攻击途径示意图如下图9.2.3物联网中的网络防攻击技术研究物联网中网络攻击途径示意图9.2.3物联网中的网络防攻击技术研究物联网中可能存在的攻击手段9.2.4物联网安全防护技术研究01防火墙技术02030405入侵检测技术安全审计与取证网络防病毒技术业务持续性规划技术9.2.4物联网安全防护技术研究▉防火墙技术防火墙是在网络之间的执行控制策略的设备,包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权的用户使用,防止内部受到外部非法用户的攻击。9.2.4物联网安全防护技术研究防火墙工作原理示意图9.2.4物联网安全防护技术研究▉入侵检测技术入侵检测系统是对计算机的网络资源的恶意使用行为进行识别的系统入侵检测技术,能够及时发现并报告物联网中未授权或异常的现象,检测物联网中违反安全策略的各种行为。信息收集是入侵检测的第一步,由放置在不同网段的传感器来收集,包括日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行等情况。信息分析是入侵检测的第二步,上述信息被送到检测引擎,通过模式匹配、统计分析和完整性分析等方法进行非法入侵告警。结果处理是入侵检测的第三步,按照告警产生预先定义的响应采取相应措施,重新配置路由器或防火墙、终山进程、切断连接、改变文件属性等。9.2.4物联网安全防护技术研究入侵检测系统的主要功能包括:01监控、分析用户和系统的行为02检查系统的配置和漏洞03评估重要的系统和数据文件的完整性04对异常行为统计分析,识别攻击类型,并向网络管理人员报警05对操作系统进行审计、跟踪管理、识别违反授权行为的用户活动。9.2.4物联网安全防护技术研究▉安全审计●安全审计是对用户使用网络和计算机所有活动记录分析、审查和发现问题的重要的手段●安全审计对于系统安全状态的评价、分析攻击源、攻击类型与攻击危害、收集网络犯罪证据是至关重要的技术●安全审计研究的内容主要有物联网网络设备及防火墙日志审计、操作系统日志审计●物联网应用系统对数据的安全性要求高,因此如何提高安全审计能力是物联网信息安全研究的一个重大课题安全审计研究的主要内容主要有:物联网网络设备及防火墙日志审计、操作系统日志设计9.2.4物联网安全防护技术研究安全审计主要功能包括:●安全审计自动响应●安全审计事件生成●安全审计分析●安全审计预览●安全审计事件存储●安全审计事件选择9.2.4物联网安全防护技术研究▉网络攻击取证●网络攻击取证在网络安全中属于主动防御技术,它是应用计算机辨析方法,对计算机犯罪的行为进行分析,以确定罪犯与犯罪的电子证据,并以此为重要依据提起诉讼●针对网络入侵与犯罪,计算机取证技术是一个对受侵犯的计算机与网络设备与系统进行扫描与破解,对入侵的过程进行重构,完成有法律效力的电子证据的获取、保存、分析、出示的全过程,是保护网络系统的重要的技术手段。9.2.4物联网安全防护技术研究▉物联网防病毒技术●物联网研究人员经常在嵌入式操作系统Android以及iPhone、iPad等智能手机、PDA与平板电脑平台上开发物联网移动终端软件●需要注意的一个动向是目前针对Android与iPhone、iPad的病毒越来越多已经成为病毒攻击新的重点●物联网防病毒技术的研究也就显得越来越重要了9.2.4物联网安全防护技术研究▉业务持续性规划技术●由于网络基础设施的中断所导致公司业务流程的非计划性中断●造成业务流程的非计划性中断的原因除了洪水、飓风与地震之类的自然灾害、恐怖活动之外还有网络攻击、病毒与内部人员的破坏以及其他不可抗拒的因素●突发事件的出现其结果是造成网络与信息系统、硬件与软件的损坏以及密钥系统与数据的丢失,关键业务流程的非计划性中断●针对各种可能发生的情况,必须针对可能出现的突发事件,提前做好预防突发事件出现造成重大后果的预案,控制突发事件对关键业务流程所造成的影响●物联网应用系统的运行应该达到“电信级”与“准电信级”运营的要求,涉及金融、电信、社保、医疗与电网的网络与数据的安全,已经成为影响社会稳定的重要因素●物联网系统的安全性,以及对于突发事件的应对能力、业务持续性规划是物联网设计中必须高度重视的问题9.2.5密码学及其在物联网中的应用研究密码学的概念●密码技术是保证网络与信息安全的基础与核心技术之一。●密码学包括:密码编码学和密码分析学。●密码的应用包括:加密与解密。●加密秘钥和解密秘钥相同的密码体制称为对称密码体制。加密秘钥和解密秘钥不相同的密码体制称为非对称密码体制或公钥密码体制。9.2.5密码学及其在物联网中的应用研究数据加密/解密过程示意图9.2.5密码学及其在物联网中的应用研究对称密码与非对称密码的比较9.2.5密码学及其在物联网中的应用研究消息验证与数字签名的研究●消息验证与数字签名是防止主动攻击的重要技术。消息验证与数字签名在主要目的是:验证信息的完整性,验证消息发送者身份的真实性。●利用数字签名可以实现以下功能:保证信息传输过程中的完整性、对发送端身份的认证、防止交易中的抵赖发生。9.2.5密码学及其在物联网中的应用研究身份认证技术的研究●身份认证可以通过3种基本途径之一或它们的组合来实现:所知:个人所掌握的密码、口令等所有:个人的身份证、护照、信用卡、钥匙等个人特征:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征等9.2.5密码学及其在物联网中的应用研究公钥基础设施PKI的研究●公钥基础设施是利用公钥加密和数字签名技术建立的提供安全服务的基础设施。●使用户能够在多种应用环境之下方便地使用加密的数字签名技术,保证网络上数据的机密性、完整性与不可抵赖性。●公钥基础设施包括:认证中心(CA)、注册认证中心(RA),实现密钥与证书的管理、密钥的备份与恢复等功能。9.2.5密码学及其在物联网中的应用研究信息隐藏技术的研究●信息隐藏也称为信息伪装。●它是利用人类感觉器官对数字信号的感觉冗余,将一些秘密信息以伪装地方式隐藏在非秘密信息之中,达到在网络环境中的隐蔽通信和隐蔽标识的目的。●目前信息隐藏技术研究的内容大致可以分为:隐蔽信道、隐写术、匿名通信与版权标志等4个方面。9.2.6网络安全协议研究01网络层:IPSec协议020304传输层:SSL协议隐私保护技术应用层:SET协议9.2.6网络安全协议研究IPSec(Internet协议安全性)协议IPSec协议的特征:●IPSec可以向IPv4与IPv6提供互操作与基于密码的安全性。●IPSec提供的安全服务包括:访问控制、完整性、数据原始认证等。●IPSec协议是一个协议包,由三个主要的协议及加密与认证算法组成。SSL(安全嵌套层)协议●安全套接层(SSL)协议主要用于提高应用程序之间数据的安全系数。SSL标准用于TCP/IP应用程序,以及其他公司支持SSL的客户机与服务器软件。●SSL协议主要提供三种功能:数据加密、认证服务、报文完整性。9.2.6网络安全协议研究SET(安全电子交易)协议Chapter3本章节所讨论的内容包括:RFID标签的安全缺陷对RFID系统的攻击方法基于RFID的位置服务与隐私保护9.3RFID安全与隐私保护措施01RFID标签的安全缺陷02对RFID系统的攻击方法03基于RFID的位置服务与隐私保护RFID及应用什么是RFID?RFID(RadioFrequencyIdentification),即射频识别,俗称电子标签。RFID是用来对人或者物品进行身份识别的所有无线设备。RFID及应用火车票的识别RFID及应用票证和收费门禁系统商品防伪图书管理危险品管理动物识别RFID的应用领域不断拓展,市场潜力巨大9.3.1RFID标签的安全缺陷低成本电子标签有限的资源很大程度的制约着RFID安全机制的实现。由于RFID标签不需经它的拥有者允许便可以直接响应阅读器的查询,用户如果带有不安全的标签的产品,则在用户没有感知的情况下,被附近的阅读器读取,用户数据会被非法盗用产生重大损失。或者泄露个人的敏感信息,特别是可能暴露用户的位置隐私,使得用户被跟踪。因此,如何实现RFID系统的安全并保护电子标签持有人隐私将是目前和今后发展RFID技术十分关注的课题。9.3.1RFID标签的安全缺陷RFID的安全缺陷主要表现:1、RFID标签自身访问的安全问题。由于RFID标签本身的成本所限,因此很难具备保证自身安全的能力。2、通信信道的安全问题。RFID使用的是无线通信信道,攻击者可以非法截取通信数据;可以冒名顶替向RFID发送数据,篡改和伪造数据。3、RFID读写器的安全问题攻击者可以伪造一个读写器,直接读写RFID标签,获取RFID标签内所存数据,或者修改RFID标签中的数据。9.3.2对RFID系统的攻击方法RFID标签与读写器之间是通过无线通信方式进行数据传输的。如果RFID应用系统在RFID标签读写通信过程中没有采取必要的保护措施,攻击者便能使用一个用于窃听的RFID读写器接近标签,在标签与正常的读写器通信过程中窃取RFID标签身份信息和传输的数据。1、窃听与跟踪攻击9.3.2