1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,*,单击此处编辑母版标题样式,*,单击此处编
2、辑母版文本样式,第二级,第九章 物联网信息安全技术,物联网信息安全技术教材,第1页,Chapter,1,本章节将讨论:,物联网信息安全中四个主要关系问题,物联网网络安全技术研究主要内容,物联网中隐私保护问题,物联网信息安全技术教材,第2页,9.1,物联网信息安全中四个主要关系问题,01,物联网信息安全与现实社会关系,02,物联网信息安全与互联网信息安全关系,03,物联网信息安全与密码学得关系,04,物联网信息安全与国家信息安全战略关系,物联网信息安全技术教材,第3页,9.1.1,物联网信息安全与现实社会关系,网络虚拟社会与现实社会关系,是人创造了虚拟社会繁荣,人,网络虚拟社会,现实社会,也是制
3、造了网络虚拟社会很多麻烦,物联网信息安全技术教材,第4页,9.1.2,物联网信息安全与互联网信息安全关系,物联网与互联网问题之间关系,物联网安全,物联网信息安全个性技术,互联网安全,信息安全共性技术,物联网信息安全技术教材,第5页,9.1.2,物联网信息安全与互联网信息安全关系,从技术发展角度看,物联网时间里在互联网基础之上,,RFID,与,WSN,是构建物联网两个主要技术基础。,从应用角度看,互联网信息安全技术在反抗网络攻击、网络协议、防火墙、入侵检测、网络取证、数据传输加密,/,解密、身份认证、信息机制、数据隐藏、垃圾邮件过滤、病毒防治等深入研究并取得有一定进展。,物联网信息安全研究从层次
4、上可分为:感知层安全、网络层安全、应用层安全。,隐私保护是物联网必须面正确重大问题。当前主要研究两大安全隐患:,RFID,安全、位置信息安全。,物联网信息安全技术教材,第6页,9.1.3,物联网信息安全与密码学关系,密码学是研究信息安全所必须主要工具与方法,不过物联网安全研究所包括问题比密码学应用广泛得多,物联网信息安全技术教材,第7页,01,02,03,9.1.4,物联网信息安全与国家信息安全战略关系,假如我们将这个社会和国家人与人、人与物、物与物都连接在物联网中,那么物联网安全一样要面对国家安全产生深刻影响。,网络安全问题已成为信息化奢华一个焦点问题。每个国家职能立足与本国,研究网络安全产
5、业,培养专门人才,发展网络安全产业,才能构筑本国网络与信息安全防范系。,互联网应用发达国家新动向:信息安全问题已经成为信息化社会一个焦点问题。我们必须高度重视物联网中信息安全技术研究与人才培养。,物联网信息安全技术教材,第8页,提,问,答,疑,物联网信息安全技术教材,第9页,9.2,物联网信息安全技术研究,01,信息安全需求,02,物联网信息安全技术研究内容,03,物联网中网络攻击技术研究,04,物联网安全防护技术研究,密码学及其在物联网中应用,05,06,网络安全协议研究,物联网信息安全技术教材,第10页,9.2.1,信息安全需求,什么是信息安全?,在既定安全密级条件下,信息系统抵抗意外事件
6、或恶意行为能力,这些事件和行为将危机所存放、处理或传输数据,以及经由这些系统所提供服务,可用性,、,机密性,、,完整性,、,不可否定性,与,可控性,。,物联网信息安全技术教材,第11页,9.2.2,物联网信息安全技术研究内容,物联网信息安全技术研究主要内容以下列图:,物联网信息安全技术教材,第12页,9.2.3,物联网中网络防攻击技术研究,物联网中可能存在网络攻击路径,法律对攻击定义是:攻击仅仅发生在入侵行为完全完成,而且入侵者已在目标网络内。不过,对于信息安全管理员来说一切可能使网络系统受到破坏行为都应视为攻击。,借鉴互联网对攻击分类方法能够分为,非服务攻击,与,服务攻击,物联网中网络攻击路
7、径示意图以下列图,物联网信息安全技术教材,第13页,9.2.3,物联网中网络防攻击技术研究,物联网中网络攻击路径示意图,物联网信息安全技术教材,第14页,9.2.3,物联网中网络防攻击技术研究,物联网中可能存在攻击伎俩,物联网信息安全技术教材,第15页,9.2.4,物联网安全防护技术研究,01,防火墙技术,02,03,04,05,入侵检测技术,安全审计与取证,网络防病毒技术,业务连续性规划技术,物联网信息安全技术教材,第16页,9.2.4,物联网安全防护技术研究,防火墙技术,防火墙是在网络之间执行控制策略设备,包含,硬件,和,软件,。,设置防火墙目标是保护内部网络资源不被外部非授权用户使用,预
8、防内部受到外部非法用户攻击。,物联网信息安全技术教材,第17页,9.2.4,物联网安全防护技术研究,防火墙工作原理示意图,物联网信息安全技术教材,第18页,9.2.4,物联网安全防护技术研究,入侵检测技术,入侵检测系统是对计算机网络资源恶意使用行为进行识别系统,入侵检测技术,能够及时发觉并汇报物联网中未授权或异常现象,检测物联网中违反安全策略各种行为。信息搜集是入侵检测第一步,由放置在不一样网段传感器来搜集,包含日志文件、网络流量、非正常目录和文件改变、非正常程序执行等情况。信息分析是入侵检测第二步,上述信息被送到检测引擎,经过模式匹配、统计分析和完整性分析等方法进行非法入侵告警。结果处理是入
9、侵检测第三步,按照告警产生预先定义响应采取对应办法,重新配置路由器或防火墙、终山进程、切断连接、改变文件属性等。,物联网信息安全技术教材,第19页,9.2.4,物联网安全防护技术研究,入侵检测系统主要功效包含:,01,监控、分析用户和系统行为,02,检验系统配置和漏洞,03,评定主要系统和数据文件完整性,04,对异常行为统计分析,识别攻击类型,并向网络管理人员报警,05,对操作系统进行审计、跟踪管理、识别违反授权行为用户活动。,物联网信息安全技术教材,第20页,9.2.4,物联网安全防护技术研究,安全审计,安全审计是对用户使用网络和计算机全部活动统计分析、审查和发觉问题主要伎俩,安全审计对于系
10、统安全状态评价、分析攻击源、攻击类型与攻击危害、搜集网络犯罪证据是至关主要技术,安全审计研究内容主要有物联网网络设备及防火墙日志审计、操作系统日志审计,物联网应用系统对数据安全性要求高,所以怎样提升安全审计能力是物联网信息安全研究一个重大课题,安全审计研究主要内容主要有:,物联网网络设备及防火墙日志审计,、,操作系统日志设计,物联网信息安全技术教材,第21页,9.2.4,物联网安全防护技术研究,安全审计主要功效包含:,安全审计自动响应,安全审计事件生成,安全审计分析,安全审计预览,安全审计事件存放,安全审计事件选择,物联网信息安全技术教材,第22页,9.2.4,物联网安全防护技术研究,网络攻击
11、取证,网络攻击取证在网络安全中属于主动防御技术,它是应用计算机辨析方法,对计算机犯罪行为进行分析,以确定罪犯与犯罪电子证据,并以此为主要依据提起诉讼,针对网络入侵与犯罪,计算机取证技术是一个对受侵犯计算机与网络设备与系统进行扫描与破解,对入侵过程进行重构,完成有法律效力电子证据获取、保留、分析、出示全过程,是保护网络系统主要技术伎俩。,物联网信息安全技术教材,第23页,9.2.4,物联网安全防护技术研究,物联网防病毒技术,物联网研究人员经常在嵌入式操作系统Android以及iPhone、iPad等智能手机、PDA与平板电脑平台上开发物联网移动终端软件,需要注意一个动向是当前针对Android与
12、iPhone、iPad病毒越来越多已经成为病毒攻击新重点,物联网防病毒技术研究也就显得越来越主要了,物联网信息安全技术教材,第24页,9.2.4,物联网安全防护技术研究,业务连续性规划技术,因为网络基础设施中止所造成企业业务流程非计划性中止,造成业务流程非计划性中止原因除了洪水、飓风与地震之类自然灾害、恐怖活动之外还有网络攻击、病毒与内部人员破坏以及其它不可抗拒原因,突发事件出现其结果是造成网络与信息系统、硬件与软件损坏以及密钥系统与数据丢失,关键业务流程非计划性中止,针对各种可能发生情况,必须针对可能出现突发事件,提前做好预防突发事件出现造成重大后果预案,控制突发事件对关键业务流程所造成影响
13、,物联网应用系统运行应该到达“电信级”与“准电信级”运行要求,包括金融、电信、社保、医疗与电网网络与数据安全,已经成为影响社会稳定主要原因,物联网系统安全性,以及对于突发事件应对能力、业务连续性规划是物联网设计中必须高度重视问题,物联网信息安全技术教材,第25页,9.2.5 密码学及其在物联网中应用研究,密码学概念,密码技术是确保网络与信息安全基础与关键技术之一。,密码学包含:,密码编码学,和,密码分析学。,密码应用包含:,加密,与,解密。,加密秘钥和解密秘钥相同密码体制称为,对称密码体制,。加密秘钥和解密秘钥不相同密码体制称为,非对称密码体制或公钥密码体制,。,物联网信息安全技术教材,第26
14、页,9.2.5 密码学及其在物联网中应用研究,数据加密,/,解密过程示意图,物联网信息安全技术教材,第27页,9.2.5 密码学及其在物联网中应用研究,对称密码与非对称密码比较,物联网信息安全技术教材,第28页,9.2.5 密码学及其在物联网中应用研究,消息验证与数字署名研究,消息验证与数字署名是预防主动攻击主要技术。消息验证与数字署名在主要目标是:验证信息完整性,验证消息发送者身份真实性。,利用数字署名能够实现以下功效:确保信息传输过程中完整性、对发送端身份认证、预防交易中抵赖发生。,物联网信息安全技术教材,第29页,9.2.5 密码学及其在物联网中应用研究,身份认证技术研究,身份认证能够经
15、过,3,种基本路径之一或它们,组合来实现,:,所知,:个人所掌握密码、口令等,全部,:个人身份证、护照、信用卡、钥匙等,个人特征,:人指纹、声纹、字迹、手型、脸型、血型、视网膜、虹膜、,DNA,,以及个人动作方面特征等,物联网信息安全技术教材,第30页,9.2.5 密码学及其在物联网中应用研究,公钥基础设施,PKI,研究,公钥基础设施是利用公钥加密和数字署名技术建立提供安全服务基础设施。,使用户能够在各种应用环境之下方便地使用加密数字署名技术,确保网络上数据机密性、完整性与不可抵赖性。,公钥基础设施包含:,认证中心(,CA,),、,注册认证中心(,RA,),,,实现密钥与证书管理,、,密钥备份
16、,与,恢复,等功效。,物联网信息安全技术教材,第31页,9.2.5 密码学及其在物联网中应用研究,信息隐藏技术研究,信息隐藏也称为信息伪装。,它是利用人类感觉器官对数字信号感觉冗余,将一些秘密信息以伪装地方式隐藏在非秘密信息之中,到达在网络环境中隐蔽通信和隐蔽标识目标。,当前信息隐藏技术研究内容大致能够分为:隐蔽信道、隐写术、匿名通信与版权标志等,4,个方面。,物联网信息安全技术教材,第32页,9.2.6 网络安全协议,研究,01,网络层:IPSec协议,02,03,04,传输层:SSL协议,隐私保护技术,应用层:SET协议,物联网信息安全技术教材,第33页,9.2.6 网络安全协议,研究,I
17、PSec,(Internet协议安全性)协议,IPSec,协议特征,:,IPSec,能够向,IPv4,与,IPv6,提供互操作与基于密码安全性。,IPSec,提供安全服务包含:访问控制、完整性、数据原始认证等。,IPSec,协议是一个协议包,由三个主要协议及加密与认证算法组成。,SSL,(安全嵌套层)协议,安全套接层(,SSL,)协议主要用于提升应用程序之间数据安全系数。,SSL,标准用于,TCP/IP,应用程序,以及其它企业支持,SSL,客户机与服务器软件。,SSL,协议主要提供三种功效:数据加密、认证服务、报文完整性。,物联网信息安全技术教材,第34页,9.2.6 网络安全协议,研究,SE
18、T,(安全电子交易)协议,物联网信息安全技术教材,第35页,Chapter,3,本章节所讨论内容包含:,RFID,标签安全缺点,对,RFID,系统攻击方法,基于,RFID,位置服务与隐私保护,物联网信息安全技术教材,第36页,9.3 RFID,安全与隐私保护办法,01,RFID,标签安全缺点,02,对,RFID,系统攻击方法,03,基于,RFID,位置服务与隐私保护,物联网信息安全技术教材,第37页,RFID,及应用,什么是,RFID,?,RFID(Radio Frequency Identification),,即射频识别,,俗称电子标签。,RFID,是用来对人或者物品进行身份识别全部没有线
19、设备,。,物联网信息安全技术教材,第38页,RFID,及应,用,火车票识别,物联网信息安全技术教材,第39页,RFID,及应,用,物联网信息安全技术教材,第40页,票证和收费,门禁系统,商品防伪,图书管理,危险品管理,动物识别,RFID,应用领域不停拓展,市场潜力巨大,物联网信息安全技术教材,第41页,9.3.1 RFID,标签安全缺点,低成本电子标签有限资源很大程度制约着,RFID,安全机制实现。,因为,RFID,标签不需经它拥有者允许便能够直接响应阅读器查询,用户假如带有不安全标签产品,则在用户没有感知情况下,被附近阅读器读取,用户数据会被非法盗用产生重大损失。或者泄露个人敏感信息,尤其是
20、可能暴露用户位置隐私,使得用户被跟踪。,所以,,怎样,实现,RFID,系统安全并保护电子标签持有些人隐私将是当前和今后发展,RFID,技术十分关注课题。,物联网信息安全技术教材,第42页,9.3.1 RFID,标签安全缺点,RFID,安全缺点主要表现:,1,、,RFID,标签本身访问安全问题。,因为,RFID,标签本身成本所限,所以极难具备确保本身安全能力。,2,、通信信道安全问题。,RFID,使用 是无线通信信道,攻击者能够非法截取通信数据;能够冒名顶替向,RFID,发送数据,篡改和伪造数据。,3,、,RFID,读写器安全问题,攻击者能够伪造一个读写器,直接读写,RFID,标签,获取,RFI
21、D,标签内所存数据,或者修改,RFID,标签中数据。,物联网信息安全技术教材,第43页,9.3.2,对,RFID,系统攻击方法,RFID,标签与读写器之间是经过无线通信方式进行数据传输。假如,RFID,应用系统在,RFID,标签读写通信过程中没有采取必要保护办法,攻击者便能使用一个用于窃听,RFID,读写器靠近标签,在标签与正常读写器通信过程中窃取,RFID,标签身份信息和传输数据。,1,、窃听与跟踪攻击,物联网信息安全技术教材,第44页,9.3.2,对,RFID,系统攻击方法,2,、中间人攻击,攻击者经过一个充当中间人,RFID,多谢器靠近标签,在窃取身份信息与数据后,使用充当中间人,RFI
22、D,读写器对数据进行处理,再假冒标签向正当,RFID,读写器发送数据。被窃取数据标签与读写器都认为是正常读写数据过程,物联网信息安全技术教材,第45页,9.3.2,对,RFID,系统攻击方法,3,、干扰与拒绝服务攻击,攻击者在使用,RFID,标签地方放置工作频率相同大功率干扰源,使得,RFID,标签与读写器之间不能正常地交换数据,造成,RFID,系统瘫痪;或者在用户将贴有,RFID,标签商品靠近读写器位置时,攻击开启小型干扰器,使得交易失败。,物联网信息安全技术教材,第46页,9.3.2,对,RFID,系统攻击方法,其它攻击方式:,如:坑骗攻击、重放攻击、克隆攻击、物理与篡改攻击、灭活标签攻击
23、与病毒攻击。,物联网信息安全技术教材,第47页,9.3.3,基于,RFID,位置服务与隐私保护,LBS(Location-based Service),基于位置服务,简称“位置服务”。,经过定位技术取得移动终端位置信息(如经纬度、坐标数据),提供给用户本人以及通信系统,实现各种与位置相关业务。,物联网信息安全技术教材,第48页,LBS=GSM,(全球通信系统),/CDMA,(码多分址),/WIFI/GPS,(全球定位系统),+GIS,平台(地理信息系统),智能手机,GPS,应用,物联网信息安全技术教材,第49页,9.3.3,基于,RFID,位置服务与隐私保护,LBS,地理位置服务“利”:,第一
24、,主动性(主动发觉消费者信息;提供个性化服务);第二,精准性(掌握消费者消费习惯,精准投放);第三,实时(基于位置推送信息,即时引导消费者)。,LBS,地理位置服务“弊”:,LBS,获取过多个人位置信息,会使他人感到恐惧。我们个人信息就应该只有我们去自己掌握,我想把哪些信息给他人,就应该是我自己做主。,物联网信息安全技术教材,第50页,保护位置隐私伎俩,优点,一切保护隐私基础,有强制力确保实施,缺点,各国隐私法规不一样,为服务跨区域运行造成不便,一刀切,难以针对不一样人不一样隐私需求进行定制,只能在隐私被侵害后发挥作用,立法耗时甚久,难以赶上最新技术发展,制度约束,5,条标准,知情权、选择权、
25、参加权、采集者、强制性,物联网信息安全技术教材,第51页,保护位置隐私伎俩,优点,可定制型好且用户可依据本身需要设置不一样隐私级别,缺点,缺乏强制力保障实施,对采取隐私方针机制服务商有效,对不采取该机制服务商无效,隐私方针,分类,用户导向性,如,PIDF,服务提供商导向型,如,P3P,物联网信息安全技术教材,第52页,保护位置隐私伎俩,认为“一切服务商皆可疑”,隐藏位置信息中“身份”,服务商能利用位置信息提供服务,但无法依据位置信息判断用户身份,惯用技术,:,k,匿名,身份匿名,物联网信息安全技术教材,第53页,保护位置隐私伎俩,身份匿名(续),优点,不需要强制力保障实施,对任何服务商均可使用,在隐私被侵害前保护隐私,缺点,牺牲服务质量,通常需要借助“中间层”保障隐私,无法应用于需要身份信息服务,物联网信息安全技术教材,第54页,保护位置隐私伎俩,三种方法,含糊范围:准确位置,-,区域,声东击西:偏离准确位置,含糊其辞:引入语义词汇,比如“附近”,数据混同:,保留身份,混同位置信息中其它部分,让攻击者无法得知用户确实切信息,物联网信息安全技术教材,第55页,保护位置隐私伎俩,缺点,运行效率低,支持服务有限,优点,服务质量损失相对较小,不需要中间层,可定制性好,支持需要身份信息服务,数据混同(续):,物联网信息安全技术教材,第56页,物联网信息安全技术教材,第57页,