《物联网安全导论》(第2版）PPT课件第12章 安全体系结构规划设计-《物联网安全导论》.ppt

1、学习任务学习任务信息安全需求分析 安全体系结构的设计安全体系结构的设计 安全策略安全策略 Click to add title in here 123本章主要涉及：本章主要涉及：412.1物联网系统的安全物联网系统的安全12.1.1 物联网安全问题物联网安全问题1.物联网安全尺度物联网安全尺度 物联网系统的安全和一般物联网系统的安全和一般IT系统的安全基本一样，系统的安全基本一样，主要有主要有8个尺度：读取控制、隐私保护、用户认个尺度：读取控制、隐私保护、用户认证、不可抵耐性、数据保密性、通信层安全、数证、不可抵耐性、数据保密性、通信层安全、数据完整性、随时可用性。据完整性、随时可用性。前前4

2、项主要处在物联网项主要处在物联网DCM三层架构的应用层，三层架构的应用层，后后4项主要位于传输层和感知层。项主要位于传输层和感知层。其中其中“隐私权隐私权”和和“可信度可信度”（数据完整性和保（数据完整性和保密性）问题在物联网体系中尤其受关注。密性）问题在物联网体系中尤其受关注。12.1物联网系统的安全物联网系统的安全2.物联网应用安全问题物联网应用安全问题 物联网应用特有（比一般物联网应用特有（比一般IT系统更易受侵扰）系统更易受侵扰）的安全问题有如下几种。的安全问题有如下几种。（1）略读（）略读（Skimming）：在末端设备或）：在末端设备或RFID持持卡人不知情的情况下，信息被读取。卡

3、人不知情的情况下，信息被读取。（2）窃听（）窃听（Eavesdropping）：在一个通道的中）：在一个通道的中间，信息被中途截取。间，信息被中途截取。12.1物联网系统的安全物联网系统的安全（3）欺骗（）欺骗（Spoofing）：伪造复制设备数据，冒）：伪造复制设备数据，冒名输入到系统中。名输入到系统中。（4）克隆（）克隆（Cloning）：克隆末端设备，冒名顶）：克隆末端设备，冒名顶替。替。（5）谋杀（）谋杀（Killing）：损坏或盗走末端设备。）：损坏或盗走末端设备。（6）拥塞（）拥塞（Jamming）：伪造数据造成设备阻塞）：伪造数据造成设备阻塞不可用。不可用。（7）屏蔽（）屏蔽（S

4、hielding）：用机械手段屏蔽电信号）：用机械手段屏蔽电信号,让末端无法连接。让末端无法连接。12.1物联网系统的安全物联网系统的安全3.物联网特有信息安全挑战物联网特有信息安全挑战 物联网发展的中、高级阶段面临如下五大特有物联网发展的中、高级阶段面临如下五大特有（在一般（在一般IT安全问题之上）的信息安全挑战。安全问题之上）的信息安全挑战。（1）四大类（有线长、短距离和无线长、短距离）四大类（有线长、短距离和无线长、短距离）网络相互连接组成的异构、多级、分布式网络导网络相互连接组成的异构、多级、分布式网络导致统一的安全体系难以实现致统一的安全体系难以实现“桥接桥接”和过渡。和过渡。（2）

5、设备大小不一、存储和处理能力的不一致导）设备大小不一、存储和处理能力的不一致导致安全信息（如致安全信息（如PKI Credentials等）的传递和等）的传递和处理难以统一。处理难以统一。12.1物联网系统的安全物联网系统的安全（3）设备可能无人值守、丢失、处于运动状态、）设备可能无人值守、丢失、处于运动状态、连接可能时断时续，可信度差，种种这些因素增连接可能时断时续，可信度差，种种这些因素增加了信息安全系统设计和实施的复杂度。加了信息安全系统设计和实施的复杂度。（4）在保证一个智能物件要被数量庞大甚至未知）在保证一个智能物件要被数量庞大甚至未知的其他设备识别和接受的同时，又要同时保证其的其他

6、设备识别和接受的同时，又要同时保证其信息传递的安全性和隐私性。信息传递的安全性和隐私性。（5）用户单一）用户单一Instance服务器服务器SaaS模式对安全框模式对安全框架的设计提出了更高的要求。架的设计提出了更高的要求。12.2 物联网系统安全性分析物联网系统安全性分析12.2.1 传统网络安全问题分析传统网络安全问题分析1.安全编码安全编码 由于任意一个标签的标识或识别码都能被远程任由于任意一个标签的标识或识别码都能被远程任意的扫描，且标签自动地、不加区分回应阅读器意的扫描，且标签自动地、不加区分回应阅读器的指令并将其所存储的信息传输给阅读器，因此的指令并将其所存储的信息传输给阅读器，因

7、此编码的安全性必须引起重视。编码的安全性必须引起重视。12.2 物联网系统安全性分析物联网系统安全性分析2.数据帧安全数据帧安全 在互联网信息传播环境中，攻击者可能偷听数据在互联网信息传播环境中，攻击者可能偷听数据帧内容，获取相关信息，为进一步攻击做准备。帧内容，获取相关信息，为进一步攻击做准备。3.密钥管理与交换密钥管理与交换 互联网中实施机密性和完整性措施关键在于密钥互联网中实施机密性和完整性措施关键在于密钥的建立和管理过程，由于物联网中节点计算能力、的建立和管理过程，由于物联网中节点计算能力、电源能力等有限，使得传统的密钥管理方式不适电源能力等有限，使得传统的密钥管理方式不适用于物联网下

8、的互联网。用于物联网下的互联网。12.2 物联网系统安全性分析物联网系统安全性分析12.2.2 物联网特有安全问题分析物联网特有安全问题分析 根据物联网自身的特点，物联网除了传统网络安根据物联网自身的特点，物联网除了传统网络安全问题之外，还存在着一些与已有移动网络安全全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相设备的有效监控，并且数量庞大，设备集群等相关特点造成的，物联网特有的安全问题主要有几关特点造成的，物联网特有的安全问题主要有

9、几个方面。个方面。12.2 物联网系统安全性分析物联网系统安全性分析1.点到点消息认证点到点消息认证 由于物联网的应用可以取代人来完成一些复杂、由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器危险和机械的工作。所以物联网机器/感知节点感知节点多数部署在无人监控的场景中。多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备，从而那么攻击者就可以轻易地接触到这些设备，从而对他们造成破坏，甚至通过本地操作更换机器的对他们造成破坏，甚至通过本地操作更换机器的软硬件，因此物联网中有可能存在大量的损坏节软硬件，因此物联网中有可能存在大量的损坏节点和恶意节点。点和恶意节

10、点。12.2 物联网系统安全性分析物联网系统安全性分析2.重放攻击重放攻击 在物联网标签体系中无法证明此信息已传递给阅在物联网标签体系中无法证明此信息已传递给阅读器，攻击者可以获得已认证的身份，再次获得读器，攻击者可以获得已认证的身份，再次获得相应服务。相应服务。3.拒绝服务攻击拒绝服务攻击 一方面物联网一方面物联网ONS 以以DNS 技术为基础，技术为基础，ONS 同同样也继承了样也继承了DNS 的安全隐患；的安全隐患；另一方面由于物联网中节点数量庞大，且以集群另一方面由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时，由于大量方式存在，因此会导致在数据传播时，由于大量机器的

11、数据发送使网络拥塞，产生拒绝服务攻击。机器的数据发送使网络拥塞，产生拒绝服务攻击。12.2 物联网系统安全性分析物联网系统安全性分析4.篡改或泄漏标识数据篡改或泄漏标识数据 攻击者一方面可以通过破坏标签数据，使得物品攻击者一方面可以通过破坏标签数据，使得物品服务不可使用；另一方面窃取标识数据，获得相服务不可使用；另一方面窃取标识数据，获得相关服务或者为进一步攻击做准备。关服务或者为进一步攻击做准备。5.权限提升攻击权限提升攻击 攻击者通过协议漏洞或其它脆弱性使得某物品获攻击者通过协议漏洞或其它脆弱性使得某物品获取高级别服务，甚至控制物联网其他节点的运行。取高级别服务，甚至控制物联网其他节点的运

12、行。12.2 物联网系统安全性分析物联网系统安全性分析6.业务安全业务安全 传统的认证是区分不同层次的，网络层的认证就负传统的认证是区分不同层次的，网络层的认证就负责网络层的身份鉴别，业务层的认证就负责业务层责网络层的身份鉴别，业务层的认证就负责业务层的身份鉴别，两者独立存在。的身份鉴别，两者独立存在。在物联网中，机器都是拥有专门的用途，因此其业在物联网中，机器都是拥有专门的用途，因此其业务应用与网络通信紧紧地绑在一起。由于网络层的务应用与网络通信紧紧地绑在一起。由于网络层的认证是不可缺少的，那么其业务层的认证机制就不认证是不可缺少的，那么其业务层的认证机制就不再是必需的，而是可以根据业务由谁

13、来提供和业务再是必需的，而是可以根据业务由谁来提供和业务的安全敏感程度来设计。的安全敏感程度来设计。12.2 物联网系统安全性分析物联网系统安全性分析7.隐私安全隐私安全 在未来的物联网中，每个人包括每件拥有的物品在未来的物联网中，每个人包括每件拥有的物品都将随时随地连接在这个网络上，随时随地被感都将随时随地连接在这个网络上，随时随地被感知，在这种环境中如何确保信息的安全性和隐私知，在这种环境中如何确保信息的安全性和隐私性，防止个人信息、业务信息和财产丢失或被他性，防止个人信息、业务信息和财产丢失或被他人盗用，将是物联网推进过程中需要突破的重大人盗用，将是物联网推进过程中需要突破的重大障碍之一

14、。障碍之一。12.2 物联网系统安全性分析物联网系统安全性分析 安全属性与安全问题安全属性与安全问题 12.3.物联网安全体系的目标与防护原则物联网安全体系的目标与防护原则12.3.1 安全目标安全目标 物联网基本安全目标是指在数据或信息在传输、物联网基本安全目标是指在数据或信息在传输、存储、使用过程中实现机密性、完整性、问责制存储、使用过程中实现机密性、完整性、问责制（Accountability）、可用性。）、可用性。物联网物理安全、安全计算环境、安全区域边界、物联网物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心及应急响应恢复与安全通信网络、安全管理中心及应急响应恢复与处

15、置六方面的安全目标构建处置六方面的安全目标构建EPC安全体系，满足安全体系，满足物联网密钥管理、点到点消息认证、防重放、抗物联网密钥管理、点到点消息认证、防重放、抗拒绝服务、防篡改或泄漏、业务安全等安全需求。拒绝服务、防篡改或泄漏、业务安全等安全需求。12.3.物联网安全体系的目标与防护原则物联网安全体系的目标与防护原则12.3.2 防护原则防护原则物联网的安全需要坚持如下几点原则：物联网的安全需要坚持如下几点原则：坚持综合防范、确保安全的原则坚持综合防范、确保安全的原则 坚持统筹兼顾、分步实施的原则坚持统筹兼顾、分步实施的原则 坚持制度体系、流程管理与技术手段相结合坚持制度体系、流程管理与技

16、术手段相结合的原则的原则 坚持以防为主、注重应急的原则坚持以防为主、注重应急的原则 坚持技术与管理相结合原则坚持技术与管理相结合原则12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 12.4.1 安全体系结构安全体系结构 物联网系统安全技术体系分为物理安全、安全计物联网系统安全技术体系分为物理安全、安全计算环境、安全区域边界、安全通信网络、安全管算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个层面。理中心、应急响应恢复与处置六个层面。物理安全物理安全 主要包括物理访问控制、环境安全（监控、报警主要包括物理访问控制、环境安全（监控、报警系统、防雷、防火、防水

17、、防潮、静电消除器等系统、防雷、防火、防水、防潮、静电消除器等装置）、电磁兼容性安全、记录介质安全、电源装置）、电磁兼容性安全、记录介质安全、电源安全、安全、EPC 设备安全六个方面。设备安全六个方面。12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 安全计算环境安全计算环境 主要包括感知节点身份鉴别、自主主要包括感知节点身份鉴别、自主/强制强制/角色访角色访问控制、授权管理（问控制、授权管理（PKI/PMI 系统）、感知节点系统）、感知节点安全防护（恶意节点、节点失效识别）、标签数安全防护（恶意节点、节点失效识别）、标签数据源可信、数据保密性和完整性、据源可信、数据保密性和完整

18、性、EPC 业务认业务认证、系统安全审计。证、系统安全审计。12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 安全区域边界安全区域边界 主要包括节点控制（网络访问控制、节点设备认主要包括节点控制（网络访问控制、节点设备认证）、信息安全交换（数据机密性与完整性、指证）、信息安全交换（数据机密性与完整性、指令数据与内容数据分离、数据单向传输）、节点令数据与内容数据分离、数据单向传输）、节点完整性（防护非法外联、入侵行为、恶意代码防完整性（防护非法外联、入侵行为、恶意代码防范）、边界审计。范）、边界审计。12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 安全通信网络安全通

19、信网络 主要包括链路安全（物理专用或逻辑隔离）、传主要包括链路安全（物理专用或逻辑隔离）、传输安全（加密控制、消息摘要或数字签名）。输安全（加密控制、消息摘要或数字签名）。安全管理中心安全管理中心 主要包括业务与系统管理主要包括业务与系统管理、安全检测系统、安全、安全检测系统、安全管理。管理。应急响应恢复与处置应急响应恢复与处置 主要包括容灾备份、故障恢复、安全事件处理与主要包括容灾备份、故障恢复、安全事件处理与分析、应急机制。分析、应急机制。12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 12.4.2 纵深防御体系纵深防御体系 一个具体的网络系统可以依据保护对象的重要程一个具

20、体的网络系统可以依据保护对象的重要程度以及防范范围，将整个保护对象从网络空间划度以及防范范围，将整个保护对象从网络空间划分为若干层次，不同层次采取不同的安全技术。分为若干层次，不同层次采取不同的安全技术。目前，物联网体系以互联网为基础，因此可以将目前，物联网体系以互联网为基础，因此可以将保护范围划分为：边界防护、区域防护、节点防保护范围划分为：边界防护、区域防护、节点防护、核心防护（应用防护或内核防护），从而实护、核心防护（应用防护或内核防护），从而实现对物联网的纵深防御现对物联网的纵深防御。12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 纵深防御结构纵深防御结构 12.4 物

21、联网信息安全整体防护技术物联网信息安全整体防护技术 物联网边界防护包括两层面：物联网边界防护包括两层面：首先，物联网边界可以指单个应用的边界，即核首先，物联网边界可以指单个应用的边界，即核心处理层与各个感知节点之间的边界，例如智能心处理层与各个感知节点之间的边界，例如智能家居中控制中心与居室的洗衣机或路途中汽车之家居中控制中心与居室的洗衣机或路途中汽车之间的边界，也可理解是传感器网络与互联网之间间的边界，也可理解是传感器网络与互联网之间的边界；的边界；其次物联网边界也可以指不同应用之间的边界，其次物联网边界也可以指不同应用之间的边界，例如感知电力与感知工业之间的业务应用之间的例如感知电力与感知

22、工业之间的业务应用之间的边界；边界；12.4 物联网信息安全整体防护技术物联网信息安全整体防护技术 区域防护是比边界更小的范围，特指单个业务应区域防护是比边界更小的范围，特指单个业务应用内的区域，例如安全管理中心区域；节点防护用内的区域，例如安全管理中心区域；节点防护一般具体到一台服务器或感知节点的防护，其保一般具体到一台服务器或感知节点的防护，其保护系统的健壮性，消除系统的安全漏洞等；护系统的健壮性，消除系统的安全漏洞等；核心防护可以是针对某一个具体的安全技术，也核心防护可以是针对某一个具体的安全技术，也可以是具体的节点或用户，也可以是操作系统的可以是具体的节点或用户，也可以是操作系统的内核

23、防护，它抗攻击强度最大，能够保证核心的内核防护，它抗攻击强度最大，能够保证核心的安全。安全。12.5 物联网整体防护实现技术物联网整体防护实现技术物联网整体防护横向涉及物理安全、安全计算环物联网整体防护横向涉及物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面；心、应急响应恢复与处置六个方面；纵向涉及边界防护、区域防护、节点防护、核心纵向涉及边界防护、区域防护、节点防护、核心防护四个层次，物联网主要包括访问控制、入侵防护四个层次，物联网主要包括访问控制、入侵检测等检测等40 多种安全技术多种安全技术。12.5

24、物联网整体防护实现技术物联网整体防护实现技术物联网安全物联网安全（1）12.5 物联网整体防护实现技术物联网整体防护实现技术物联网安全物联网安全（2）12.5 物联网整体防护实现技术物联网整体防护实现技术物联网安全物联网安全（3）12.5 物联网整体防护实现技术物联网整体防护实现技术12.5.2 关键技术实现研究关键技术实现研究1.可信接入技术可信接入技术 物联网安全要求接入的节点具有一定的安全保障物联网安全要求接入的节点具有一定的安全保障措施，因此要求终端节点对物联网平台来说是可措施，因此要求终端节点对物联网平台来说是可信的，不同业务平台之间的互联安全可靠。物联信的，不同业务平台之间的互联安

25、全可靠。物联网通过平台验证和加密信道通信实现节点之间、网通过平台验证和加密信道通信实现节点之间、不同业务平台之间的可信互联。不同业务平台之间的可信互联。由于物体标签携带数据量小，不可直接实现节点由于物体标签携带数据量小，不可直接实现节点与物联网平台的可信接入，但可以通过专用于安与物联网平台的可信接入，但可以通过专用于安全的全的EPCIS服务器实现可信接入。服务器实现可信接入。12.5 物联网整体防护实现技术物联网整体防护实现技术 可信接入要涉及两个节点，主要是节点子系统间可信接入要涉及两个节点，主要是节点子系统间的平台证明和身份验证，其流程如图的平台证明和身份验证，其流程如图5 所示，具所示，

26、具体流程如下：体流程如下：1）A 平台系统层接收到应用层的发送数据；平台系统层接收到应用层的发送数据；2）发送数据包交由访问控制模块可信检查；如）发送数据包交由访问控制模块可信检查；如果客体信息未知执行果客体信息未知执行3；已知跳到；已知跳到6；3）平台验证模块读取访问控制模块要验证的客）平台验证模块读取访问控制模块要验证的客体信息；体信息；12.5 物联网整体防护实现技术物联网整体防护实现技术 4）A 平台和平台和B 平台进行相关平台验证；平台进行相关平台验证；5）应用层将验证的信息返回给系统的访问控制）应用层将验证的信息返回给系统的访问控制模块；模块；6）如果检查）如果检查B 平台可信，则

27、和平台可信，则和B 平台执行正常平台执行正常的通讯；的通讯；7）B 平台接收到网络包，也通过访问控制模块平台接收到网络包，也通过访问控制模块检查，如果平台可信而端口不存在，则把新端口检查，如果平台可信而端口不存在，则把新端口作为可信直接添加进去；作为可信直接添加进去；8）B 平台把过滤的数据包向上提交给应用层。平台把过滤的数据包向上提交给应用层。12.5 物联网整体防护实现技术物联网整体防护实现技术可信接入流程图可信接入流程图 12.5 物联网整体防护实现技术物联网整体防护实现技术2.业务封装技术业务封装技术 在物联网中，大部分业务为在物联网中，大部分业务为C/S 和和B/S 模式的模式的应用

28、。虽然很多业务应用系统本身具有一定的安应用。虽然很多业务应用系统本身具有一定的安全机制，如身份认证、权限控制等，但是这些安全机制，如身份认证、权限控制等，但是这些安全机制容易被篡改和旁路，致使敏感信息的安全全机制容易被篡改和旁路，致使敏感信息的安全难以得到有效保护。难以得到有效保护。因此需要有高安全级别的底层支持，对用户的行因此需要有高安全级别的底层支持，对用户的行为进行访问控制，以保护应用的安全。为进行访问控制，以保护应用的安全。12.5 物联网整体防护实现技术物联网整体防护实现技术通常采用业务安全封装的方式实现对业务的访问通常采用业务安全封装的方式实现对业务的访问控制。业务的安全封装主要由

29、可信计算环境、资控制。业务的安全封装主要由可信计算环境、资源隔离和输入输出安全检查来实现，如源隔离和输入输出安全检查来实现，如下下图图所示。所示。业务安全封装机制业务安全封装机制 12.5 物联网整体防护实现技术物联网整体防护实现技术通过可信计算的基础保障机制建立可信应用环境，通过可信计算的基础保障机制建立可信应用环境，完成对业务应用服务程序及相关库文件的可信度完成对业务应用服务程序及相关库文件的可信度量，从而确保其静态完整性。量，从而确保其静态完整性。通过资源隔离限制特定进程对特定文件的访问权通过资源隔离限制特定进程对特定文件的访问权限，从而将业务应用服务隔离在一个受保护的环限，从而将业务应

30、用服务隔离在一个受保护的环境中，不受外界的干扰，确保业务应用服务相关境中，不受外界的干扰，确保业务应用服务相关的客体资源不会被非授权用户以其它方式访问。的客体资源不会被非授权用户以其它方式访问。12.5 物联网整体防护实现技术物联网整体防护实现技术输入输出安全检查截获并分析用户和业务应用服输入输出安全检查截获并分析用户和业务应用服务之间的交互请求，还原出业务应用运行时所固务之间的交互请求，还原出业务应用运行时所固有的语义和语境。有的语义和语境。上述功能实现都需要首先了解不同类型应用的实上述功能实现都需要首先了解不同类型应用的实际工作流程，并在此基础上设定主体访问客体的际工作流程，并在此基础上设定主体访问客体的策略，才能在其运行过程中系统策略，才能在其运行过程中系统TCB 进行正确进行正确的访问控制。的访问控制。Thank You!