物联网安全技术第六章--物联网应用层安全

物联网应用层安全

      • 学习目标
      • 应用层面临的威胁
      • 应用层安全关键技术
        • 身份认证
        • 访问控制
        • 数据加密
        • 入侵检测
      • 应用层安全核心内容
        • 数据安全
        • 隐私安全
        • 定位安全
        • 云计算安全
        • 物联网安全管理的要求

学习目标

  • 了解物联网应用层面临的安全威胁
  • 熟练掌握物联网应用层安全关键技术(身份认证、访问控制、数据加密、入侵检测)的基本内容
  • 掌握应用层安全核心内容(数据安全、隐私安全、定位安全、云计算安全)
  • 了解物联网安全管理的基本内容和安全管理体系

应用层面临的威胁

  • 应用层数据被攻击
  • 业务滥用
  • 身份冒充
  • 隐私威胁
  • 抵赖和否认
  • 重放攻击
  • 信令拥塞
  • 计算机病毒和蠕虫
  • 网络钓鱼
  • DoS/DDoS攻击

应用层安全关键技术

  • 身份认证
  • 访问控制
  • 数据加密
  • 入侵检测

身份认证

身份认证是指通过一定的手段,完成对用户身份的确认。身份认证的目的是验证消息的发送者是真的而非冒充的,包括信源和信宿,即确认当前所声称为某种身份的用户,确实是所声称的用户。

身份认证系统一般有10个方面的要求:

(1) 验证者正确识别合法被验证者的概率极大化;
(2) 不具可传递性(Transferability),验证者B不可能重用被验证者A提供给他的信息来伪装被验证者A,而成功地骗取其他人的验证,从而得到信任;
(3)攻击者伪装被验证者欺骗验证者成功的概率要小到可忽略的程度;
(4) 计算有效性,即为实现身份证明所需的计算量要尽量小;
(5) 通信有效性,即为实现身份证明所需通信次数和数据量要尽量少;
(6) 秘密参数能安全存储;
(7) 交互识别,有些应用中要求双方能互相进行身份认证;
(8) 第三方的实时参与,如在线公钥检索服务;
(9) 第三方的可信赖性;
(10) 可证明安全性。

具体可通过三种基本方式或其组合来完成。即:

  • (所知)用户所知道的某个秘密信息,如用户口令;
  • (所有)用户所持有的某个秘密信息(硬件),即用户必须持有合法的物理介质(如身份证、智能卡、数字证书等);
  • (个人特征)用户所具有的某些生物特征,如笔迹、指纹、手指静脉纹、声音纹、脸型、DNA、视网膜、虹膜等。

几种实用化的身份认证方法:

(1)基于共享秘密的身份认证
(2)基于智能卡的身份认证
(3)基于数字证书的身份认证
(4)基于个人特征的身份认证

访问控制

访问控制的含义:是对用户合法使用资源的认证和控制。按用户身份及其所归属的某预设的定义组限制用户对某些信息项的访问,或限制对某些控制功能的使用(系统管理员控制用户对服务器、目录、文件等网络资源的访问)

访问控制包括三个要素:主体、客体和访问控制策略
访问控制的功能:①防止非法的主体进入受保护的网络资源;②允许合法用户访问受保护的网络资源;③防止合法的用户对受保护的网络资源进行非授权的访问
访问控制的目的:阻止非法用户进入系统和合法用户对系统资源的非法使用
访问控制的类型:自主访问控制(DAC)、强制访问控制(MAC)

访问控制策略:
①基于身份的访问控制
②基于规则的访问控制
③基于角色的访问控制
④基于属性的访问控制
⑤基于任务的访问控制
⑥基于对象的访问控制

数据加密

(1)对密码算法的要求

  • 物联网感知节点自身的资源有限,需要设计轻量级的、足够强壮的对称加密算法以对传输数据进行加密保护,确保数据的机密性
  • 此外,还需要设计高效的、适合感知节点使用环境的公开密钥密码算法和散列算法以进行身份认证和数字签名等,确保数据的完整性、可用性和可鉴别性
  • 限于物联网本身所拥有资源的差异性特点,物联网安全所需要的密码算法需要兼顾高强度、复杂的密码算法和简单高效的轻量级算法,这两种算法在一定程序上要能够对接融合;同时还要符合我国国家密码管理部门的相关规范要求
    (2)对安全协议的要求
  • 需要针对物联网的使用要求和特点设计专门的轻量级安全协议
  • 加密协议用于实现节点的数据存储或节点之间数据传输的鉴别与保密
  • 安全路由协议用于维护路由安全,确保网络健壮性
  • 安全时间同步协议用于确保即使存在恶意节点攻击的情况下仍能获得高精度的时间同步
  • 安全定位协议用于保护定位信息,检测出定位过程中的恶意节点和虚假信息,抵御各种针对定位操作的攻击,防止恶意节点干扰定位协议正常运行
  • 安全数据融合协议用于确保数据融合过程的顺利进行和数据融合结果的机密性、完整性、可靠性
  • 流认证协议用于实现基于源端认证的安全组播

入侵检测

  • 入侵检测(Intrusion Detection)是指在网络中发现入侵行为及入侵企图,以便采取有效的措施来堵塞漏洞和修复系统的技术
  • 入侵检测是对入侵行为的发现,并及时予以响应,是一种主动安全防护技术
  • 作为防火墙技术的补充,入侵检测技术提供了对内部攻击、外部攻击和误操作的实时发现
  • 入侵检测扩展了系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应能力

入侵检测的作用

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的安全突破
  • 为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大

入侵检测被认为是继防火墙之后保护信息安全的第二道闸门,在不影响网络性能的情况下对网络进行监测,以防止和减轻对网络的安全威胁

入侵检测的基本方法:
(1)特征检测
(2)异常检测

入侵检测系统(Intrusion Detection System,IDS)是一种对网络活动进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备或系统

入侵检测系统的功能:
(1)监测并分析用户和系统的活动;
(2)核查系统配置和漏洞;
(3)评估系统关键资源和数据文件的完整性;
(4)识别已知的攻击行为;
(5)统计分析异常行为;
(6)操作系统日志管理,并识别违反安全策略的用户活动

一个入侵检测系统分为四个组件:

  • 事件产生器(Event Generators)
  • 事件分析器(Event Analyzers)
  • 响应单元(Response Units)
  • 事件数据库(Event Databases)
    入侵检测系统的工作步骤:
    (1)信息收集
    (2)数据分析
    (3)结果处理

应用层安全核心内容

  • 数据安全
  • 隐私安全
  • 定位安全
  • 云计算安全

数据安全

  • “以数据为中心”是物联网的重要特点,数据是物联网的核心资源
  • 物联网中的数据具有海量性、异构性和关联性等特点,且可以方便地进行转移
  • 当数据涉及个人隐私、企业利益或国家安全时,数据安全问题就显得突出和重要,需要在数据共享和数据保护之间寻求一种平衡
  • 一般意义上而言,数据安全涉及到数据的机密性、完整性、可用性、新鲜性及数据来源的真实性等特征的保障

从技术的层面分析,保障数据安全的方法主要有以下几种:
(1)访问控制
(2)数据加密
(3)物理层数据保护
(4)消息认证
(5)数据容灾

隐私安全

分为个人隐私和共同隐私

侵犯网络隐私权的主要技术手段有以下几种:
1)利用监控设备观察隐私
2)利用在线注册收集隐私信息
3)利用IP地址跟踪用户的位置或行踪
4)利用Cookies文件收集用户的隐私信息
5)利用特洛依木马病毒窃取隐私信息
6)利用嵌入式软件收集隐私信息
7)利用Web Beacons窃取隐私信息
8)利用篡改网页收集隐私信息

隐私保护技术分为:

  • 基于数据加密的技术
  • 基于限制发布的技术
  • 基于数据失真的技术

定位安全

定位是指一个信息源点(如物联网传感器节点)确定自己的空间地理位置的操作
需要一个安全的定位机制来保证物联网中定位信息的准确与可靠。与位置隐私保护需要隐藏位置信息的目标相反,安全定位的目标在于揭示目标点的位置并确保定位结果的准确性

在测量或估算未知节点与信标节点间的位置关系时,可使用基于测距和无需测距两类方法。前者需要测量节点间点到点的距离或角度信息,常用的方法有TOA、TDOA、AOA和RSSI;后者无需测距,而是利用网络连通性等信息估算节点间的位置关系,常用的方法有质心算法、APIT算法、DV-Hop算法、Amorphous算法、MDS-MAP算法等

在这里插入图片描述

鲁棒性定位

  • 定位攻击将导致定位结果出现重大偏差
  • 现有的一些针对定位攻击的应对措施往往涉及传统安全技术,但传统安全技术并不能消除所有无线定位的威胁
  • 一种具有容侵、容错特征的鲁棒性安全定位解决办法的策略是:利用网络节点分布冗余的特点来提供受到攻击或干扰的测量结果的稳定性,利用统计工具来取得定位技术的鲁棒性
  • 鲁棒性定位最重要的思想就是“与坏孩子共舞”,借助于网络节点信息的冗余来实现对入侵或错误信息的容忍,即使在受到一定程度攻击的情况下也能保证定位结果的准确性,从而实现安全定位
  • 应用广泛的三角测量定位方案

云计算安全

云计算的特征体现为虚拟化、分布式和动态可扩展

云计算的主要服务形式有三种
1) 软件即服务(Software as a Service,SaaS)
2)平台即服务(Platform as a Service ,PaaS)
3)基础设施服务(Infrastructure as a Service,IaaS)

云安全(Cloud Security)包含两方面含义:一是云自身的安全保护,称为云计算安全,二是使用云的形式提供信息安全服务。云安全的策略:把整个网络当作一个巨大的“杀毒软件”,参与者越多就越安全

云安全关键技术:
1)数据存储安全

  • 同态加密

2)云应用安全

  • IaaS 层安全
  • PaaS层安全
  • SaaS层安全

3)虚拟计算安全

4)可信的访问控制

物联网安全管理的要求

(1)明确安全管理目标
(2)能够提供有效的安全管理手段
(3)建立统一的安全管理策略
(4)实时监控与安全预警相结合
(5)强化信息技术对安全管理的有效支撑

物联网安全管理的内容:
明确物联网安全管理目标
评估物联网安全风险
建立安全基线
制定物联网安全管理措施及规范标准
建立物联网安全管理体系
评估物联网安全管理效能

物联网安全管理的对象:内容、行为、流量。

根据物联网的分层结构和安全威胁来源,对应的物联网安全管理框架可分为感知安全、网络安全、应用安全和安全管理四个方面,其中安全管理(涉及设备管理、拓扑管理、事件管理、策略管理和应急管理等)是基础,其余三个是安全管理支撑的目标

热门文章

暂无图片
编程学习 ·

那些年让我们目瞪口呆的bug

程序员一生与bug奋战,可谓是杀敌无数,见怪不怪了!在某知识社交平台中,一个“有哪些让程序员目瞪口呆的bug”的话题引来了6700多万的阅读,可见程序员们对一个话题的敏感度有多高。 1、麻省理工“只能发500英里的邮件” …
暂无图片
编程学习 ·

redis的下载与安装

下载redis wget http://download.redis.io/releases/redis-5.0.0.tar.gz解压redis tar -zxvf redis-5.0.0.tar.gz编译 make安装 make install快链方便进入redis ln -s redis-5.0.0 redis
暂无图片
编程学习 ·

《大话数据结构》第三章学习笔记--线性表(一)

线性表的定义 线性表:零个或多个数据元素的有限序列。 线性表元素的个数n定义为线性表的长度。n为0时,为空表。 在比较复杂的线性表中,一个数据元素可以由若干个数据项组成。 线性表的存储结构 顺序存储结构 可以用C语言中的一维数组来…
暂无图片
编程学习 ·

对象的扩展

文章目录对象的扩展属性的简洁表示法属性名表达式方法的name属性属性的可枚举性和遍历可枚举性属性的遍历super关键字对象的扩展运算符解构赋值扩展运算符AggregateError错误对象对象的扩展 属性的简洁表示法 const foo bar; const baz {foo}; baz // {foo: "bar"…
暂无图片
编程学习 ·

让程序员最头疼的5种编程语言

世界上的编程语言,按照其应用领域,可以粗略地分成三类。 有的语言是多面手,在很多不同的领域都能派上用场。大家学过的编程语言很多都属于这一类,比如说 C,Java, Python。 有的语言专注于某一特定的领域&…
暂无图片
编程学习 ·

写论文注意事项

参考链接 给研究生修改了一篇论文后,该985博导几近崩溃…… 重点分析 摘要与结论几乎重合 这一条是我见过研究生论文中最常出现的事情,很多情况下,他们论文中摘要部分与结论部分重复率超过70%。对于摘要而言,首先要用一小句话引…
暂无图片
编程学习 ·

安卓 串口开发

上图: 上码: 在APP grable添加 // 串口 需要配合在项目build.gradle中的repositories添加 maven {url "https://jitpack.io" }implementation com.github.licheedev.Android-SerialPort-API:serialport:1.0.1implementation com.jakewhart…
暂无图片
编程学习 ·

2021-2027年中国铪市场调研与发展趋势分析报告

2021-2027年中国铪市场调研与发展趋势分析报告 本报告研究中国市场铪的生产、消费及进出口情况,重点关注在中国市场扮演重要角色的全球及本土铪生产商,呈现这些厂商在中国市场的铪销量、收入、价格、毛利率、市场份额等关键指标。此外,针对…
暂无图片
编程学习 ·

Aggressive cows题目翻译

描述&#xff1a; Farmer John has built a new long barn, with N (2 < N < 100,000) stalls.&#xff08;John农民已经新建了一个长畜棚带有N&#xff08;2<N<100000&#xff09;个牛棚&#xff09; The stalls are located along a straight line at positions…
暂无图片
编程学习 ·

剖析组建PMO的6个大坑︱PMO深度实践

随着事业环境因素的不断纷繁演进&#xff0c;项目时代正在悄悄来临。设立项目经理转岗、要求PMP等项目管理证书已是基操&#xff0c;越来越多的组织开始组建PMO团队&#xff0c;大有曾经公司纷纷建造中台的气质&#xff08;当然两者的本质并不相同&#xff0c;只是说明这个趋势…
暂无图片
编程学习 ·

Flowable入门系列文章118 - 进程实例 07

1、获取流程实例的变量 GET运行时/进程实例/ {processInstanceId} /变量/ {变量名} 表1.获取流程实例的变量 - URL参数 参数需要值描述processInstanceId是串将流程实例的id添加到变量中。变量名是串要获取的变量的名称。 表2.获取流程实例的变量 - 响应代码 响应码描述200指…
暂无图片
编程学习 ·

微信每天自动给女[男]朋友发早安和土味情话

微信通知&#xff0c;每天给女朋友发早安、情话、诗句、天气信息等~ 前言 之前逛GitHub的时候发现了一个自动签到的小工具&#xff0c;b站、掘金等都可以&#xff0c;我看了下源码发现也是很简洁&#xff0c;也尝试用了一下&#xff0c;配置也都很简单&#xff0c;主要是他有一…
暂无图片
编程学习 ·

C语言二分查找详解

二分查找是一种知名度很高的查找算法&#xff0c;在对有序数列进行查找时效率远高于传统的顺序查找。 下面这张动图对比了二者的效率差距。 二分查找的基本思想就是通过把目标数和当前数列的中间数进行比较&#xff0c;从而确定目标数是在中间数的左边还是右边&#xff0c;将查…
暂无图片
编程学习 ·

项目经理,你有什么优势吗?

大侠被一个问题问住了&#xff1a;你和别人比&#xff0c;你的优势是什么呢? 大侠听到这个问题后&#xff0c;脱口而出道&#xff1a;“项目管理能力和经验啊。” 听者抬头看了一下大侠&#xff0c;显然听者对大侠的这个回答不是很满意&#xff0c;但也没有继续追问。 大侠回家…
暂无图片
编程学习 ·

nginx的负载均衡和故障转移

#注&#xff1a;proxy_temp_path和proxy_cache_path指定的路径必须在同一分区 proxy_temp_path /data0/proxy_temp_dir; #设置Web缓存区名称为cache_one&#xff0c;内存缓存空间大小为200MB&#xff0c;1天没有被访问的内容自动清除&#xff0c;硬盘缓存空间大小为30GB。 pro…
暂无图片
编程学习 ·

业务逻辑漏洞

身份认证安全 绕过身份认证的几种方法 暴力破解 测试方法∶在没有验证码限制或者一次验证码可以多次使用的地方&#xff0c;可以分为以下几种情况︰ (1)爆破用户名。当输入的用户名不存在时&#xff0c;会显示请输入正确用户名&#xff0c;或者用户名不存在 (2)已知用户名。…