《物联网安全导论》(第2版)PPT课件第2章 物联网安全技术框架 -《物联网安全导论》.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《物联网安全导论》(第2版)PPT课件第2章 物联网安全技术框架 -《物联网安全导论》.ppt》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 物联网安全导论 物联网安全导论第2版PPT课件第2章 物联网安全技术框架 -物联网安全导论 联网 安全 导论 PPT 课件 安全技术 框架
- 资源描述:
-
1、学习任务学习任务常用信息安全技术简介常用信息安全技术简介 物联网安全技术架构物联网安全技术架构 12本章主要涉及:本章主要涉及:42.1 常用信息安全技术简介常用信息安全技术简介现代经常涉及的信息安全技术主要有数据加密、现代经常涉及的信息安全技术主要有数据加密、身份认证、访问控制和口令、数字证书、电子签身份认证、访问控制和口令、数字证书、电子签证机关(证机关(CA)、数字签名等常用信息安全技术。)、数字签名等常用信息安全技术。为便于进一步学习,先在本节进行概念性解释。为便于进一步学习,先在本节进行概念性解释。2.1 常用信息安全技术简介常用信息安全技术简介2.1.1 数据加密与身份认证数据加密
2、与身份认证1.数据加密数据加密 数据加密是计算机系统对信息进行保护的一种最数据加密是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行交换,可靠的办法。它利用密码技术对信息进行交换,实现信息隐蔽,从而保护信息的安全。实现信息隐蔽,从而保护信息的安全。考虑到用户可能试图旁路系统的情况,如物理地考虑到用户可能试图旁路系统的情况,如物理地取走数据库,在通信线路上窃听。对这样的威胁取走数据库,在通信线路上窃听。对这样的威胁最有效的解决方法就是数据加密,即以加密格式最有效的解决方法就是数据加密,即以加密格式存储和传输敏感数据。存储和传输敏感数据。2.1 常用信息安全技术简介常用信息安全
3、技术简介2.身份验证身份验证 身份验证是指通过一定的手段,完成对用户身份身份验证是指通过一定的手段,完成对用户身份的确认。身份验证的目的是确认当前所声称为某的确认。身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。种身份的用户,确实是所声称的用户。身份验证的方法有很多,基本上可分为:基于共身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身和基于公开密钥加密算法的身份验证。不同的身份验证方法,安全性也各有高低。份验证方法,安全性也各有高低。2.1 常用信息安全技
4、术简介常用信息安全技术简介2.1.2 访问控制和口令访问控制和口令 1.访问控制访问控制 按用户身份及其所归属的某预设的定义组限制用按用户身份及其所归属的某预设的定义组限制用户对某些信息项的访问,或限制对某些控制功能户对某些信息项的访问,或限制对某些控制功能的使用。的使用。访问控制通常用于系统管理员控制用户对服务器、访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。目录、文件等网络资源的访问。2.1 常用信息安全技术简介常用信息安全技术简介2.访问控制的类型访问控制的类型 自主访问控制,是指由用户有权对自身所创建的自主访问控制,是指由用户有权对自身所创建的访问对象(文件、
5、数据表等)进行访问,并可将访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限的用户收回其访问权限 强制访问控制,是指由系统(通过专门设置的系强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访创建者用户,在创建一个对象后
6、,也可能无权访问该对象。问该对象。2.1 常用信息安全技术简介常用信息安全技术简介3.口令口令 通过用户通过用户ID和口令进行认证是操作系统或应用程和口令进行认证是操作系统或应用程序通常采用的。序通常采用的。如果非法用户获得合法用户身份的口令,他就可如果非法用户获得合法用户身份的口令,他就可以自由访问未授权的系统资源,所以需要防止口以自由访问未授权的系统资源,所以需要防止口令泄露。令泄露。易被猜中的口令或缺省口令也是一个很严重的问易被猜中的口令或缺省口令也是一个很严重的问题,但一个更严重的问题是有的账号根本没有口题,但一个更严重的问题是有的账号根本没有口令。实际上,所有使用弱口令,缺省口令和没
7、有令。实际上,所有使用弱口令,缺省口令和没有口令的账号都应从系统中清除。口令的账号都应从系统中清除。2.1 常用信息安全技术简介常用信息安全技术简介 目前各类计算资源主要靠固定口令的方式来目前各类计算资源主要靠固定口令的方式来保护,对口令的攻击包括以下几种:保护,对口令的攻击包括以下几种:(1)网络数据流窃听()网络数据流窃听(Sniffer):):攻击者通过窃听网络数据,如果口令使用明攻击者通过窃听网络数据,如果口令使用明文传输,则可被非法截获。文传输,则可被非法截获。2.1 常用信息安全技术简介常用信息安全技术简介(2)认证信息截取)认证信息截取/重放(重放(Record/Replay):
8、):有的系统会将认证信息进行简单加密后进行有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,传输,如果攻击者无法用第一种方式推算出密码,可以使用截取可以使用截取/重放方式,需要的是重新编写客户重放方式,需要的是重新编写客户端软件以使用加密口令实现系统登录。端软件以使用加密口令实现系统登录。2.1 常用信息安全技术简介常用信息安全技术简介(3)字典攻击:)字典攻击:根据调查结果可知,大部份的人为了方便记忆选根据调查结果可知,大部份的人为了方便记忆选用的密码都与自己周遭的事物有关,如身份证字用的密码都与自己周遭的事物有关,如身份证字号、生日、车牌号码、在办公桌上可以
9、马上看到号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字,某些的标记或事物、其他有意义的单词或数字,某些攻击者会使用字典中的单词来尝试用户的密码。攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统建议用户在口令中加入特殊字符,所以大多数系统建议用户在口令中加入特殊字符,以增加口令的安全性。以增加口令的安全性。2.1 常用信息安全技术简介常用信息安全技术简介(4)穷举攻击()穷举攻击(Brute Force):):也称蛮力破解。这是一种特殊的字典攻击,也称蛮力破解。这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码它使用字符串的全集作为字典。如
10、果用户的密码较短,很容易被穷举出来,因而很多系统都建议较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。用户使用长口令。(5)窥探:)窥探:攻击者利用与被攻击系统接近的机会,安装攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以监视器或亲自窥探合法用户输入口令的过程,以得到口令。得到口令。2.1 常用信息安全技术简介常用信息安全技术简介(6)社交工程:)社交工程:社会工程就是指采用非隐蔽方法盗用口令等,比社会工程就是指采用非隐蔽方法盗用口令等,比如冒充是领导骗取管理员信任得到口令等。冒充如冒充是领导骗取管理员信任得到口令等。冒充合法用户发送邮件或打电话给管
11、理人员,以骗取合法用户发送邮件或打电话给管理人员,以骗取用户口令等。用户口令等。(7)垃圾搜索:)垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与攻击攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如果用户将口令写在纸上又随系统有关的信息,如果用户将口令写在纸上又随便丢弃,则很容易成为垃圾搜索的攻击对象。便丢弃,则很容易成为垃圾搜索的攻击对象。2.1 常用信息安全技术简介常用信息安全技术简介 为防止攻击猜中口令。安全口令应具有以下为防止攻击猜中口令。安全口令应具有以下特点:特点:位数位数 6位。位。大小写字母混合。如果用一个大写字母,既不大小写字母混合。如果用一个大写字母,既不要放在
12、开头,也不要放在结尾。要放在开头,也不要放在结尾。可以把数字无序的加在字母中。可以把数字无序的加在字母中。系统用户一定用系统用户一定用8位口令,而且包括位口令,而且包括!?:等特殊符号。等特殊符号。2.1 常用信息安全技术简介常用信息安全技术简介2.1.3 数据加密算法数据加密算法 1.背景简介背景简介 直到现代以前,密码学几乎专指加密算法:将普通直到现代以前,密码学几乎专指加密算法:将普通信息(明文)转换成难以理解的资料(密文)的过信息(明文)转换成难以理解的资料(密文)的过程;解密算法则是其相反的过程:由密文转换回明程;解密算法则是其相反的过程:由密文转换回明文;文;密码机(密码机(cip
13、her)包含了这两种算法,一般加密即)包含了这两种算法,一般加密即同时指称加密与解密的技术。同时指称加密与解密的技术。密码机的具体运作由两部分决定:一个是算法,另密码机的具体运作由两部分决定:一个是算法,另一个是钥匙。钥匙是一个用于密码机算法的秘密参一个是钥匙。钥匙是一个用于密码机算法的秘密参数,通常只有通信者拥有。数,通常只有通信者拥有。2.1 常用信息安全技术简介常用信息安全技术简介2.密钥的定义密钥的定义 密钥是一种参数,它是在明文转换为密文或将密密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的数据。文转换为明文的算法中输入的数据。密钥一词是现代词,从字面上可以读作密
14、钥一词是现代词,从字面上可以读作【m yo】,也可以读作,也可以读作【m yu】,但现在人们普,但现在人们普遍把密钥读作遍把密钥读作【m yo】。密钥在英文中解释为密钥在英文中解释为key,中文意思偏向于钥匙。,中文意思偏向于钥匙。在密码学中,特别是公钥密码体系中,密钥的形在密码学中,特别是公钥密码体系中,密钥的形象描述往往是房屋或者保险箱的钥匙。象描述往往是房屋或者保险箱的钥匙。2.1 常用信息安全技术简介常用信息安全技术简介3.密钥密码体系的分类密钥密码体系的分类 通常大量使用的两种密钥加密技术是:私用密钥通常大量使用的两种密钥加密技术是:私用密钥(对称加密)和公共密钥(非对称加密)。(对
15、称加密)和公共密钥(非对称加密)。(1)对称密钥加密系统)对称密钥加密系统 对称密钥加密,又称私钥加密或会话密钥加密算对称密钥加密,又称私钥加密或会话密钥加密算法,即信息的发送方和接收方用同一个密钥去加法,即信息的发送方和接收方用同一个密钥去加密和解密数据。密和解密数据。它的最大优势是加它的最大优势是加/解密速度快,适合于对大数据解密速度快,适合于对大数据量进行加密,但密钥管理困难。量进行加密,但密钥管理困难。2.1 常用信息安全技术简介常用信息安全技术简介(2)非对称密钥加密系统)非对称密钥加密系统 非对称密钥加密系统,又称公钥密钥加密。它需非对称密钥加密系统,又称公钥密钥加密。它需要使用不
16、同的密钥来分别完成加密和解密操作,要使用不同的密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。密速度却比对称密钥加密慢得多。2.1 常用信息安全技术简介常用信息安全技术简介4.私钥加密(对称密钥)私钥加密(对称密钥)私钥加密又称为秘密密钥(私钥加密又称为秘密密钥(Secret Key)技术,
17、)技术,是指发送方和接收方依靠事先约定的密钥对明文是指发送方和接收方依靠事先约定的密钥对明文进行加密和解密的算法,它的加密密钥和解密密进行加密和解密的算法,它的加密密钥和解密密钥相同,只有发送方和接收方才知道这一密钥。钥相同,只有发送方和接收方才知道这一密钥。它的最大优势是加它的最大优势是加/解密速度快,适合于对大数据解密速度快,适合于对大数据量进行加密,但密钥管理困难。量进行加密,但密钥管理困难。2.1 常用信息安全技术简介常用信息安全技术简介私钥加密私钥加密 2.1 常用信息安全技术简介常用信息安全技术简介5.公钥加密(非对称密钥)公钥加密(非对称密钥)公开密钥密码体制最主要的特点就是加密
18、和解密公开密钥密码体制最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥:公使用不同的密钥,每个用户保存着一对密钥:公开密钥开密钥PK和私有密钥和私有密钥SK,因此,这种体制又称,因此,这种体制又称为双钥或非对称密钥码体制。为双钥或非对称密钥码体制。这种数字签名方法必须同时使用收、发双方的解这种数字签名方法必须同时使用收、发双方的解密密钥和公开密钥才能获得原文,也能够完成发密密钥和公开密钥才能获得原文,也能够完成发送方的身份认证和接收方无法伪造报文的功能。送方的身份认证和接收方无法伪造报文的功能。2.1 常用信息安全技术简介常用信息安全技术简介公钥加密(对称密钥)公钥加密(对称密
19、钥)2.1 常用信息安全技术简介常用信息安全技术简介6.数据加密算法应用数据加密算法应用 非对称密钥加密技术采用一对匹配的密钥进行加非对称密钥加密技术采用一对匹配的密钥进行加密、解密,具有两个密钥,一个是公钥一个是私密、解密,具有两个密钥,一个是公钥一个是私钥,它们具有这种性质:每把密钥执行一种对数钥,它们具有这种性质:每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。一把用于加密时,则另一把就用于解密。用公钥加密的文件只能用私钥解密,而私钥加密用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解
20、密。的文件只能用公钥解密。公共密钥是由其主人加公共密钥是由其主人加以公开的,而私人密钥必须保密存放。以公开的,而私人密钥必须保密存放。2.1 常用信息安全技术简介常用信息安全技术简介这提供了这提供了“数字签名数字签名”的基础,如果要一个用户用的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名过的报文就形成了一种电子签名-一种别人无一种别人无法产生的文件。法产生的文
21、件。数字证书中包含了公共密钥信息,数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。从而确认了拥有密钥对的用户的身份。2.1 常用信息安全技术简介常用信息安全技术简介2.1.4 数字证书和电子签证机关(数字证书和电子签证机关(CA)1.证书证书 数字证书(数字证书(Digital ID)又称为数字凭证。数字证书)又称为数字凭证。数字证书是用电子手段来证实一个用户的身份和对网络资源是用电子手段来证实一个用户的身份和对网络资源访问权限。访问权限。数字证书就是一个数字文件,通常由四个部分组成:数字证书就是一个数字文件,通常由四个部分组成:第一是证书持有人的姓名、地址等关键信息;第二第一
22、是证书持有人的姓名、地址等关键信息;第二是证书持有人的公开密钥;第三是证书序号、证书是证书持有人的公开密钥;第三是证书序号、证书的有效期限;第四是发证单位的数字签名。的有效期限;第四是发证单位的数字签名。2.1 常用信息安全技术简介常用信息安全技术简介 互连网络的用户群决不是几个人互相信任的小集互连网络的用户群决不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信公钥的主人名字联
23、系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个得过有信誉的公正、权威机构确认,并加上这个权威机构的签名。这就形成了证书。权威机构的签名。这就形成了证书。2.1 常用信息安全技术简介常用信息安全技术简介2.电子签证机关电子签证机关CA(Certificate Authority)所谓所谓CA(Certificate Authority:证书发行机:证书发行机构),是采用构),是采用PKI(Public Key Infrastructure:公开密钥体系)公开密钥技术,专门提供网络身公开密钥体系)公开密钥技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有份认证服务
24、,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就权威性和公正性的第三方信任机构,它的作用就像颁发证件的部门,如护照办理机构。像颁发证件的部门,如护照办理机构。2.1 常用信息安全技术简介常用信息安全技术简介 如果用户想得到一份属于自己的证书,他应先向如果用户想得到一份属于自己的证书,他应先向CA提出申请。在提出申请。在CA判明申请者的身份后,便为判明申请者的身份后,便为他分配一个公钥,并且他分配一个公钥,并且CA将该公钥与申请者的身将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。给那个用户(
25、申请者)。如果一个用户想鉴别另一个证书的真伪,他就用如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(如前所的公钥对那个证书上的签字进行验证(如前所述,述,CA签字实际上是经过签字实际上是经过CA私钥加密的信息,私钥加密的信息,签字验证的过程还伴随使用签字验证的过程还伴随使用CA公钥解密的过程),公钥解密的过程),一旦验证通过,该证书就被认为是有效的。一旦验证通过,该证书就被认为是有效的。2.1 常用信息安全技术简介常用信息安全技术简介2.1.5 数字签名数字签名 数字签名是指通过一个单向函数对传送的报文进数字签名是指通过一个单向函数对传送的报文进行处理得到的,是
展开阅读全文