物联网分层安全体系课件.ppt

1、物联网分层安全体系2022-11-3 在射频识别（RFID）系统中，标签有可能预先被嵌入任何物品中，任意一个标签的标识(ID)或识别码都能在远程任意的扫描，且标签自动地，不加区别地回应阅读器的令并将其所存储的信息传输给阅读器。如：人们的日常生活物品中，但由于该物品(比如衣物)的拥有者，不一定能够觉察该物品预先已嵌入有电子签以及自身可能不受控制地被扫描、定位和追踪。1.物联网的安全问题2022-11-3 人们在观念上似乎还不是很能接受安全与隐私可视，比如自己周围的生活物品甚至包括自己时刻都处于一种被监控的状态，这直接导致嵌入标签势必会使个人的隐私权问题受到侵犯。隐私信息泄露：姓名、医疗记录等个人

2、信息 跟踪：监控，掌握用户行为规律和消费喜好等；进一步攻击。2022-11-32.物联网的安全特征 从物联网的信息处理过程来看，感知信息经过采集、汇聚、融合、传输、决策与控制等过程，整个信息处理的过程体现了物联网安全的特征与要求，也揭示了所面临的安全问题。感知网络的信息采集、传输与信息安全问题。感知节点呈现多源异构性，感知节点通常情况下功能简单（如自动温度计）、携带能量少（使用电池），使得它们无法拥有复杂的安全保护能力，而感知网络多种多样，从温度测量到水文监控，从道路导航到自动控制，它们的数据传输和消息也没有特定的标准，所以没法提供统一的安全保护体系。2022-11-3 核心网络的传输与信息安

3、全问题。核心网络具有相对完整的安全保护能力，但是由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时，由于大量机器的数据发送使网络拥塞，产生拒绝服务攻击。此外，现有通信网络的安全架构都是从人通信的角度设计的，对以物为主体的物联网，要建立适合于感知信息传输与应用的安全架构。物联网业务的安全问题。支撑物联网业务的平台有着不同的安全策略，如云计算、分布式系统、海量信息处理等，这些支撑平台要为上层服务管理和大规模行业应用建立起一个高效、可靠和可信的系统，而大规模、多平台、多业务类型使物联网业务层次的安全面临新的挑战，是针对不同的行业应用建立相应的安全策略，还是建立一个相对独立的安全架构?

4、2022-11-3 从安全的机密性、完整性和可用性来分析物联网的安全需求。信息隐私是物联网信息机密性的直接体现，如感知终端的位置信息是物联网的重要信息资源之一，也是需要保护的敏感信息。另外在数据处理过程中同样存在隐私保护问题，如基于数据挖掘的行为分析等等，要建立访问控制机制，控制物联网中信息采集、传递和查询等操作，不会由于个人隐私或机构秘密的泄露而造成对个人或机构的伤害。信息的加密是实现机密性的重要手段，由于物联网的多源异构性，使密钥管理显得更为困难，特别是对感知网络的密钥管理是制约物联网信息机密性的瓶颈。2022-11-33.物联网安全架构2022-11-3（1）感知层的安全问题 感知层的特

5、征n 感知单元功能受限，特别是无线传感元器件；n 感知单元通常以群体为单位与外界网络连接，连接节点称为网关节点（sink或gateway）；n 外界对感知网内部节点的访问需要通过网关节点；n 节点之间需要认证和数据加密机制；n 网关节点可以不唯一；n 特殊传感网可能只有一个传感节点，同时也是网关节点。2022-11-3 感知层的架构n 感知单元功能受限，特别是无线传感元器件；n本身组成局部传感网。感知层的安全威胁n传感网的普通节点被敌手屏蔽（影响传感网可靠性）传感网的一个普通节点被敌手捕获，但敌手尚未能破解该节点与相邻内部节点的共享密钥；敌手屏蔽该节点，使其功能丧失；该攻击的效果等价于破坏攻击

6、或DoS攻击；如果多个节点被屏蔽，可能会影响到剩余节点的连通性。2022-11-3n传感网的普通节点被敌手控制（敌手掌握节点密钥）传感网的一个普通节点被敌手捕获，并且敌手破解该节点与相邻内部节点的共享密钥（包括可能与网关节点的共享密钥）；途经该节点的所有数据可以被敌手掌握；敌手可以伪造数据并将伪造数据传给邻居节点（或网关节点，如果临近网关节点的话）；传感网需要通过信任值和行为模型等方法，识别一个节点是否可能被敌手控制，从而将敌手节点隔离。2022-11-3n传感网的网关节点被敌手控制（安全性全部丢失）传感网的网关节点被敌手捕获，并且敌手破解该节点的密钥（包括与网络端的共享密钥，以及与内部节点的

7、共享密钥）：这种情况很少发生。所有传输给网关节点的数据可以被敌手掌握；敌手可以伪造数据通过该网关节点传给网络侧；此时的传感网没有任何用途，只有制造假冒数据的可能。因此如何识别一个传感器网络是否被敌手掌控在某些特殊应用中非常重要。2022-11-3n传感网的节点（普通节点或网关节点）受来自于网络的DOS攻击 通常DOS攻击的目标是网关节点，但如果网关节点能力与传感网内部节点有明显区别，攻击目标也可能是内部某个特殊节点（脆弱，但重要）；如何识别区分正常访问和攻击数据包是一个技术挑战，因为识别过程本身就可能成为DOS攻击的牺牲品。n 接入到物联网的超大量传感节点的标识、识别、认证和控制问题 该问题其

8、实超出信息安全本身；受影响的将是智能处理层。DOS，Denial of service（拒绝服务）2022-11-3 感知层的安全需求n 节点认证：传感网（特别当传感数据共享时）需要节点认证，确保非法节点不能接入。n 机密性：网络节点之间的数据传输需要机密性保护，防止非法窃听。n 密钥协商：传感网内部节点进行机密数据传输前需要预先协商会话密钥。n 信誉评估：一些重要传感网需要对可能被敌手控制的节点行为进行评估，以降低敌手入侵后的危害（某种程度上相当于入侵检测）。n 安全路由：几乎所有传感网内部都需要不同的安全路由技术。2022-11-3 感知层的安全架构n传感网内部：机密性（对称密码）、节点认

9、证（对称密码）、密钥协商（会话密钥）、入侵检测和安全路由等。安全需求与功能受限的矛盾n安全措施越强，越能保障信息安全，同时消耗也越多；n 解决这一矛盾的一般方法是使用轻量级密码技术。轻量级密码技术n 轻量级密码算法；n 轻量级密码协议；n 可设定安全等级的密码技术。2022-11-3（2）传输层的安全问题 传输层的架构n传统互联网n移动网n专业网（如国家电力数据网、广播电视网等）n三网融合通信平台（跨越单一网络架构）传输层的安全威胁n 垃圾数据传播（垃圾邮件、病毒等）n 假冒攻击、中间人攻击等（存在于所有类型的网络）n DDOS攻击（来源于互联网，可扩展到移动和无线网）n 跨异构网络的攻击（互

10、联网、移动网等互联情况下）n 新型针对三网融合通信平台的攻击（未知，待研究）DDOS，Distributed Denial of service(分布式拒绝服务),2022-11-3 传输层的安全需求n身份认证：安全机制的前提。n 数据机密性：需要保证被传输的数据在传输过程中不泄露其内容。n 数据完整性：需要保证被传输的数据在传输过程中不被非法篡改，或这样的篡改容易被检测到。n 数据流机密性：某些应用场景需要对数据流量信息进行保密，目前只能提供有限的数据流机密性。n DDOS攻击的检测与预防：DDOS攻击是网络中最常见的攻击现象，在物联网中将会更突出。物联网中需要解决的问题还包括如何对脆弱节点

11、的DDOS攻击进行防护。n 移动网中AKA机制的一致性或兼容性、跨域认证和跨网络认证（基于IMSI）：不同无线网络所使用的不同AKA机制对跨网认证带来不利。这一问题亟待需要解决。n 三网融合后的安全需求：认证性、机密性、完整性、隐私性、流量机密性2022-11-3 传输层的安全架构n建立通信端点认证机制n建立数据机密性机制n建立消息完整性机制n根据需求建立数据流机密性机制n建立DDOS攻击的检测与预防机制n建立移动网中AKA机制的一致性（标准化）n建立移动网跨域认证和跨网络认证机制（基于IMSI）n相应密码技术：密钥管理（PKI和密钥协商）、端对端加密和节点对节点加密、密码算法和协议等。202

12、2-11-3 传输层需要的密码和信息安全技术n安全密码算法（对称和公钥密码）的设计；n密钥管理（PKI和密钥协商）；n强认证协议（挑战-应答、数字签名及变化形式、非否认服务）；n端对端机密性（密钥管理+认证+加密+）；n节点对节点机密性（类似于IP协议的传输模式Transport mode）；n密码算法和密码协议的标准化等。2022-11-3（3）处理层的安全问题 处理层的安全威胁n智能vs低能（智能是病毒的平台）n自动vs失控（可控性是信息安全重要指标之一）n方便vs灾难控制和恢复 处理层的架构n数据智能处理失控n非法人为干预（内部攻击）n设备（特别移动设备）丢失2022-11-3 处理层的

13、安全需求n通常需要可靠认证、高强度机密性和完整性。n有时需要对密文进行查询、数据挖掘、安全多方计算、安全云计算等。n 需要对密文的可控性和可恢复性（如何防丢失和丢失后怎么办）。2022-11-3 处理层的安全架构n可靠认证机制（一般需要PKI系统；端对端认证协议，如挑战-应答协议，数字签名等）n高强度机密性（对称和公钥密码算法的结合使用）n完整性（Hash和MAC算法）n 可控性（入侵检测、病毒检测与预防等）n 可靠性（数据安全备份、安全数据库操作、终端移动设备追踪等）n 需要大量基于应用的安全架构（如操作系统安全、数据库安全、云计算安全、安全多方计算等）2022-11-3 处理层需要的密码和

14、信息安全技术n几乎所有强密码算法和密码协议（包括具体算法选取和协议设计，密钥管理等）；n更强的系统安全技术（抗病毒、抗DDOS攻击）。2022-11-3（4）综合应用层的安全问题 综合应用层的安全威胁n 超大量终端、海量数据、异构网络和多样化系统下的多种不同安全问题，有些安全威胁难以预测。n 数据共享是物联网应用层的特征之一，但数据共享可能带来数据隐私性、访问权限可控性、信息泄露追踪等方面的问题。n 应用场景的不同将决定对安全需求的不同。例如隐私保护问题就是在特殊应用环境中（如位置信息、远程医疗等）出现的。n 其他 应用的多样性和不确定性n不同的应用环境对安全有不同的需求2022-11-3 网

15、络存储与网络计算（云计算）中的安全问题n计算过程的机密性n机密数据的可计算性 基于元器件的信息安全n元器件（手机）丢失后如何追踪n元器件（手机）丢失后数据恢复n数据保密存贮和高效实用（如何解决这对矛盾）n 种子密钥的物理保护（硬件技术）2022-11-3 相关技术 跨异构网络的认证与密钥协商（或密钥管理）n数据保密存贮和高效实用（如何解决这对矛盾）n基于对称密钥密码体制n基于公钥密码体制（证书或PKI）n认证传递技术 隐私信息保护（在传统网络安全中很少涉及到）n假名技术n密文验证（包括同态加密）技术n门限密码技术n叛逆追踪技术2022-11-3 非技术问题 物联网的信息安全问题将不仅仅是技术问

16、题n教育让用户意识到信息安全的重要性和如何正确使用物联网服务以减少机密信息的泄露可能；n管理严谨的科学管理方法将使信息安全隐患降低到最小，特别应注意信息安全管理；信息安全管理：找到信息系统安全方面最薄弱环节并进行加强，以提高系统的整体安全程度；包括资源管理、物理安全管理、人力安全管理等。口令管理：许多系统的安全隐患来自于账户口令的管理2022-11-3 区别一：已有的对传感网（感知层）、互联网（传输层）、移动网（传输层）、全安多方计算、云计算（处理层）等的一些安全解决方案在物联网环境可能不再适用。n 超大量终端、海量数据、异构网络和多样化系统下的多种不同安全问题，有些安全威胁难以预测。n 物联

17、网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的；n 物联网所联接的终端物体的处理能力将有很大差异；n 物联网所处理的数据量将比现在的互联网和移动网都大得多。2022-11-3 区别二：即使分别保证感知层、传输层和处理层的安全，也不能保证物联网的安全，因为：n 超大量终端、海量数据、异构网络和多样化系统下的多种不同安全问题，有些安全威胁难以预测。n物联网是融几个层于一体的大系统，许多安全问题来源于系统整合；n物联网的数据共享对安全性提出更高的要求。n物联网的应用将对安全提出新要求，比如隐私保护不属于任一层的安全需求，但却是许多物联网应用的安全需求。2022-11-3 区别三：隐私

18、性需求n场景1：移动用户既需要知道（或被合法知道）其位置信息，又不愿意非法用户获取该信息；n 场景2：用户既需要证明自己合法使用某种业务，又不想让他人知道自己在使用某种业务，如在线游戏；n 场景3：病人急救时需要该病人的病历信息，但又要保护该病历信息被非法获取，包括病历数据管理员。n 场景4：许多业务需要匿名性，如网络投票。2022-11-3 可靠传输层n信息安全保护机制比较完善（但仍需加强）n需要高强度密码算法/高强度安全协议n标准化程度高n可使用现有技术，并随物联网规模的扩大而不断加强 全面感知层n元器件（手机）丢失后如何追踪n信息安全保护机制严重缺乏n需要轻量级密码算法/轻量级安全协议n多变性强，标准化程度低2022-11-3 综合应用层n不同应用之间的安全需求、安全机制差异较大n 隐私保护方面的研究和产业化是最大的技术短板n 安全管理作为安全隐患的非技术因素也需要加强 智能处理层n信息安全保护机制欠缺（多为研究课题）n工作模式尚不确定（可信计算、云计算还是其它？）n 需要工业默认的标准化n 可使用某些现有技术，但安全无保障（用户自担风险）2022-11-3 结论n 物联网从架构到安全需求尚在探索阶段；n 物联网的安全架构必须尽早建立；n 物联网的安全架构应允许安全机制的可扩展性：安全服务的可扩展性；安全等级的可扩展性。n 物联网所面临的安全挑战比想象的要更严峻。