07 物聯(lián)網(wǎng)安全技術(shù)

物聯(lián)網(wǎng)安全技術(shù)

物聯(lián)網(wǎng)安全性概述

物聯(lián)網(wǎng)身份識(shí)別技術(shù)及安全性分析

物聯(lián)網(wǎng)密鑰管理技術(shù)7.37.17.2 DES對(duì)稱(chēng)加密技術(shù)7.4

RSA公鑰加密技術(shù)

物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名

信息隱藏概述7.77.57.6物聯(lián)網(wǎng)安全主要包括以下三個(gè)層次：設(shè)備安全數(shù)據(jù)信息安全網(wǎng)絡(luò)安全7.1物聯(lián)網(wǎng)安全性概述1.

RFID射頻病毒7.1.1物聯(lián)網(wǎng)設(shè)備安全需求2.工業(yè)現(xiàn)場(chǎng)設(shè)備的安全性3.PLC系統(tǒng)的安全性PLC是目前設(shè)備級(jí)用的最為廣泛的系統(tǒng)，而且大多沒(méi)有任何安全措施，一旦遭到攻擊，一個(gè)國(guó)家的能源、電力、通信、交通和軍事系統(tǒng)將會(huì)癱瘓。其中，西門(mén)子在自動(dòng)化工業(yè)操控體系幾乎占有壟斷性地位，大多使用PLC系統(tǒng)。7.1.2物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全技術(shù)分析物聯(lián)網(wǎng)的安全技術(shù)分析：移動(dòng)網(wǎng)絡(luò)中的大部分機(jī)制仍然可以適用于物聯(lián)網(wǎng)并能夠提供一定的安全性，如認(rèn)證機(jī)制、加密機(jī)制等。1.物聯(lián)網(wǎng)中的業(yè)務(wù)認(rèn)證機(jī)制當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí),就可以充分利用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證。當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由第三方提供也無(wú)法從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得密鑰等安全參數(shù)時(shí),它就可以發(fā)起獨(dú)立的業(yè)務(wù)認(rèn)證而不用考慮網(wǎng)絡(luò)層的認(rèn)證。當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金融類(lèi)業(yè)務(wù)時(shí),一般業(yè)務(wù)提供者會(huì)不信任網(wǎng)絡(luò)層的安全級(jí)別,而使用更高級(jí)別的安全保護(hù),那么這個(gè)時(shí)候就需要做業(yè)務(wù)層的認(rèn)證。當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí),如氣溫采集業(yè)務(wù)等,業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已經(jīng)足夠,那么就不再需要業(yè)務(wù)層的認(rèn)證。2.物聯(lián)網(wǎng)中的加密機(jī)制對(duì)一些安全要求不是很高的業(yè)務(wù),在網(wǎng)絡(luò)能夠提供逐跳加密保護(hù)的前提下,業(yè)務(wù)層端到端的加密需求就顯得并不重要。對(duì)于高安全需求的業(yè)務(wù),端到端的加密仍然是其首選。由于不同物聯(lián)網(wǎng)業(yè)務(wù)對(duì)安全級(jí)別的要求不同,可以將業(yè)務(wù)層端到端安全作為可選項(xiàng)。7.2物聯(lián)網(wǎng)的身份識(shí)別技術(shù)及安全性分析1電子ID身份識(shí)別技術(shù)：1通行字識(shí)別2持證方式2個(gè)人特征的身份證明:1手寫(xiě)簽名技術(shù)2指紋識(shí)別技術(shù)3語(yǔ)音識(shí)別技術(shù)4視網(wǎng)膜圖樣識(shí)別技術(shù)5虹膜圖樣識(shí)別6臉型識(shí)別物聯(lián)網(wǎng)的身份識(shí)別技術(shù)7.2.1電子ID識(shí)別技術(shù)通行字識(shí)別持證一般由數(shù)字、字母、特殊字符、控制字符等組成的長(zhǎng)為5--8的字符串。通行字選擇規(guī)則為：易記，難于被別人猜中或發(fā)現(xiàn)，抗分析能力強(qiáng)，還需要考慮它的選擇方法、使用期、長(zhǎng)度、分配、存儲(chǔ)和管理等。持證一般使用一種嵌有磁條的塑料卡，磁條上記錄有用于機(jī)器識(shí)別的個(gè)人信息。這類(lèi)卡通常和個(gè)人識(shí)別號(hào)一起使用，這類(lèi)卡易于制造，而且磁條上記錄的數(shù)據(jù)也易于轉(zhuǎn)錄，因此要設(shè)法防止仿制。電子ID身份識(shí)別技術(shù)通行字是使時(shí)最廣泛的一種身份識(shí)別方式，比如中國(guó)古代調(diào)兵用的虎符和現(xiàn)代通信網(wǎng)的拔入?yún)f(xié)議等。其識(shí)別過(guò)程如圖所示通常被稱(chēng)為IC卡、智慧卡、聰明卡，是一種芯片卡，也稱(chēng)為CPU卡，由一個(gè)或多個(gè)集成電路芯片組成，并封裝成便于人們攜帶的卡片，在集成電路中具有微電腦CPU和存儲(chǔ)器。組成作用具有暫時(shí)或永久的數(shù)據(jù)存儲(chǔ)能力，其內(nèi)容可供外部讀取或供內(nèi)部處理和判斷之用，同時(shí)還具有邏輯處理功能，用于識(shí)別和響應(yīng)外部提供的信息和芯片本身判定路線和指令執(zhí)行的邏輯功能。智能卡一個(gè)安全的身份識(shí)別協(xié)議至少應(yīng)滿(mǎn)足以下兩個(gè)條件：識(shí)別者A能向驗(yàn)證者B證明他的確是A。在識(shí)別者A向驗(yàn)證者B證明他的身份后，驗(yàn)證者B沒(méi)有獲得任何有用的信息，B不能模仿A向第三方證明他是A。7.2.2二維碼技術(shù)及安全性分析1.

二維碼的編碼原理形態(tài)上是由多行短截的一維碼堆疊而成。以矩陣的形式組成，在矩陣相應(yīng)元素位置上用“點(diǎn)”表示二進(jìn)制“1”，用“空”表示二進(jìn)制“0”，由“點(diǎn)”和“空”的排列組成代碼。二維碼堆疊式/行排式二維碼矩陣式二維碼行排式二維碼，又稱(chēng)為堆積式二維碼或?qū)优攀蕉S碼，其編碼原理是建立在一維碼基礎(chǔ)之上，按需要堆積成二行或多行。它在編碼設(shè)計(jì)、校驗(yàn)原理、識(shí)讀方式等方面繼承了一維碼的一些特點(diǎn)，識(shí)讀設(shè)備與條碼印刷與一維碼技術(shù)兼容。有代表性的行排式二維碼有CODE49、CODE16K、PDF417等。短陣式二維碼，又稱(chēng)棋盤(pán)式二維碼，它是在一個(gè)矩形空間通過(guò)黑、白像素在矩陣中的不同分布進(jìn)行編碼。在矩陣相應(yīng)元素位置上，用點(diǎn)（方點(diǎn)、圓點(diǎn)或其他形狀）的出現(xiàn)表示二進(jìn)制“1”，點(diǎn)的不出現(xiàn)表示二進(jìn)制的“0”，點(diǎn)的排列組合確定了矩陣式二維碼所代表的意義。具有代表性的矩陣式二維碼有：CodeOne、MaxiCode、QRCode、DataMatrix等。國(guó)外二維碼國(guó)內(nèi)二維碼QRCodeLPCodePDF417碼GMCodeDataMatrixCMCodeMaxiCodeGM-UCode2.

二維碼的編碼安全性保密性。保密性指防止數(shù)據(jù)的未授權(quán)公開(kāi)，二維條碼通過(guò)編碼將有意義的數(shù)據(jù)變成一組無(wú)意義的條空組合，具有一定保密性，但比密碼差，只能應(yīng)用于低密級(jí)系統(tǒng)2)完整性。保證數(shù)據(jù)單元的完整性要求源實(shí)體計(jì)算一個(gè)附加的數(shù)據(jù)項(xiàng)，它是發(fā)送數(shù)據(jù)源的函數(shù)，并且依賴(lài)于原始數(shù)據(jù)單元的全部?jī)?nèi)容。校驗(yàn)和、循環(huán)冗余碼值和哈希值都滿(mǎn)足這一要求。3)可用性。采用二維條碼作為用戶(hù)身份標(biāo)識(shí)，避免未授權(quán)使用。自動(dòng)識(shí)別條碼，避免了用戶(hù)誤操作導(dǎo)致系統(tǒng)可用性降低。高可靠性識(shí)讀和恢復(fù)損失數(shù)據(jù)的能力降低了系統(tǒng)失敗可能性。4)不可否認(rèn)性。條碼本身不能提供不可否認(rèn)性服務(wù)。7.2.3個(gè)人特征的身份證明個(gè)人特征身份識(shí)別技術(shù)主要包括： 1）手寫(xiě)簽名識(shí)別技術(shù)； 2）指紋識(shí)別技術(shù)； 3）語(yǔ)音識(shí)別技術(shù)； 4）視網(wǎng)膜圖樣識(shí)別技術(shù) 5）虹膜圖樣識(shí)別技術(shù)； 6）臉型識(shí)別。7.3物聯(lián)網(wǎng)密鑰管理技術(shù)通過(guò)公開(kāi)密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱(chēng)密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單、安全，解決了對(duì)稱(chēng)密鑰體制模式中存在的管理、傳輸?shù)目煽啃詥?wèn)題和鑒別問(wèn)題。對(duì)稱(chēng)加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱(chēng)加密技術(shù)的雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換安全可靠，同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。7.3.1對(duì)稱(chēng)密鑰的管理對(duì)稱(chēng)密鑰的交換協(xié)議7.3.2非對(duì)稱(chēng)密鑰的管理非對(duì)稱(chēng)密鑰的管理主要在于密鑰的集中式管理。如何安全地將密鑰傳送給需要接收消息的人是對(duì)稱(chēng)密碼系統(tǒng)的一個(gè)難點(diǎn)，卻是公開(kāi)密鑰密碼系統(tǒng)的一個(gè)優(yōu)勢(shì)。公開(kāi)密鑰密碼系統(tǒng)的一個(gè)基本特征就是采用不同的密鑰進(jìn)行加密和解密。公開(kāi)密鑰可以自由分發(fā)而無(wú)須威脅私有密鑰的安全，但是私有密鑰一定要保管好。7.4DES對(duì)稱(chēng)加密技術(shù)7.4.1DES算法的歷史1977年得到美國(guó)政府的正式許可，是一種用56位密鑰來(lái)加密64位數(shù)據(jù)的方法美國(guó)國(guó)家標(biāo)準(zhǔn)局1973年開(kāi)始研究除國(guó)防部外的其他部門(mén)的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)1977年1月，美國(guó)政府頒布采納IBM公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES算法目前廣泛用在ATM、磁卡及智能卡（IC卡）、加油站、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用，以此來(lái)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的保密。7.4.2DES算法的安全性DES算法正式公開(kāi)發(fā)表以后，引起了一場(chǎng)激烈的爭(zhēng)論。1977年Diffie和Hellman提出了制造一個(gè)每秒能測(cè)試106個(gè)密鑰的大規(guī)模芯片，這種芯片的機(jī)器大約一天就可以搜索DES算法的整個(gè)密鑰空間，制造這樣的機(jī)器需要兩千萬(wàn)美元。1993年R.Session和M.Wiener給出了一個(gè)非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案，它基于并行的密鑰搜索芯片，此芯片每秒測(cè)試5×107個(gè)密鑰，當(dāng)時(shí)這種芯片的造價(jià)是10.5美元，5760個(gè)這樣的芯片組成的系統(tǒng)需要10萬(wàn)美元，這一系統(tǒng)平均1.5天即可找到密鑰，如果利用10個(gè)這樣的系統(tǒng)，費(fèi)用是100萬(wàn)美元，但搜索時(shí)間可以降到2.5小時(shí)。7.4.2DES算法的安全性DES的56位短密鑰面臨的另外一個(gè)嚴(yán)峻而現(xiàn)實(shí)的問(wèn)題是：國(guó)際互聯(lián)網(wǎng)Internet的超級(jí)計(jì)算能力。1997年1月28日，美國(guó)的RSA數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開(kāi)展了一項(xiàng)名為“密鑰挑戰(zhàn)”的競(jìng)賽，懸賞一萬(wàn)美元，破解一段用56位密鑰加密的DES密文。計(jì)劃公布后引起了網(wǎng)絡(luò)用戶(hù)的強(qiáng)烈響應(yīng)。一位名叫RockeVerser的程序員設(shè)計(jì)了一個(gè)可以通過(guò)互聯(lián)網(wǎng)分段運(yùn)行的密鑰窮舉搜索程序，組織實(shí)施了一個(gè)稱(chēng)為DESHALL的搜索行動(dòng)，成千上萬(wàn)的志愿者加入到計(jì)劃中，在計(jì)劃實(shí)施的第96天，即挑戰(zhàn)賽計(jì)劃公布的第140天，1997年6月17日晚上10點(diǎn)39分，美國(guó)鹽湖城Inetz公司的職員MichaelSanders成功地找到了密鑰，在計(jì)算機(jī)上顯示了明文：“Theunknownmessageis:Strongcryptographymakestheworldasaferplace”。7.4.3DES算法的原理Key為8個(gè)字節(jié)共64位，是DES算法的工作密鑰。Data也為8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)。Mode為DES的工作方式有兩種：加密或解密。DES算法的原理是：如Mode為加密，則用Key把數(shù)據(jù)Data進(jìn)行加密，生成Data的密碼形式（64位）作為DES的輸出結(jié)果；如Mode為解密，則用Key把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式（64位）作為DES的輸出結(jié)果。7.4.5DES算法的程序?qū)崿F(xiàn)案例名稱(chēng)：程序?qū)崿F(xiàn)DES算法程序名稱(chēng)：des.cpp#include"memory.h"#include"stdio.h"enum {ENCRYPT,DECRYPT};//ENCRYPT:加密,DECRYPT:解密voidDes_Run(charOut[8],charIn[8],boolType=ENCRYPT);//設(shè)置密鑰voidDes_SetKey(constcharKey[8]);staticvoidF_func(boolIn[32],constboolKi[48]);//f函數(shù)staticvoidS_func(boolOut[32],constboolIn[48]);//S盒代替//變換staticvoidTransform(bool*Out,bool*In,constchar*Table,intlen);staticvoidXor(bool*InA,constbool*InB,intlen);//異或staticvoidRotateL(bool*In,intlen,intloop);//循環(huán)左移//字節(jié)組轉(zhuǎn)換成位組staticvoidByteToBit(bool*Out,constchar*In,intbits);//位組轉(zhuǎn)換成字節(jié)組staticvoidBitToByte(char*Out,constbool*In,intbits);//置換IP表conststaticcharIP_Table[64]={ 58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4, 62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8, 57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3, 61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7};//逆置換IP-1表conststaticcharIPR_Table[64]={ 40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31, 38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29, 36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27, 34,2,42,10,50,18,58,26,33,1,41,9,49,17,57,25}; //E位選擇表staticconstcharE_Table[48]={ 32,1,2,3,4,5,4,5,6,7,8,9, 8,9,10,11,12,13,12,13,14,15,16,17, 16,17,18,19,20,21,20,21,22,23,24,25,7.5RSA公鑰加密技術(shù)7.5.1RSA算法的原理假設(shè)A寄信給B，他們知道對(duì)方的公鑰。A可用B的公鑰加密郵件寄出，B收到后用自己的私鑰解出A的原文，這樣就保證了郵件的安全性。RSA體制可以簡(jiǎn)單描述如下：1)生成兩個(gè)大素?cái)?shù)p和q；2)計(jì)算這兩個(gè)素?cái)?shù)的乘積n=p×q；3)計(jì)算小于n并且與n互質(zhì)的整數(shù)的個(gè)數(shù)，即歐拉函數(shù)φ(n)=(p-1)(q-1)；4)選擇一個(gè)隨機(jī)數(shù)e滿(mǎn)足1<e<φ(n)，并且e和φ(n)互質(zhì)，即gcd（e,φ(n)）=1。5)計(jì)算de=1modφ；6)保密d，p和q，公開(kāi)n和e。7.5.2RSA算法的安全性RSA算法的安全性依賴(lài)于大數(shù)分解，但是否等同于大數(shù)分解一直未能得到理論上的證明，因?yàn)闆](méi)有證明破解RSA算法就一定需要作大數(shù)分解。假設(shè)存在一種無(wú)須分解大數(shù)的算法，那它肯定可以修改成為大數(shù)分解算法。7.5.3RSA算法的速度由于進(jìn)行的都是大數(shù)計(jì)算，使得RSA算法最快的情況也比DES算法慢上數(shù)倍，無(wú)論是軟件還是硬件實(shí)現(xiàn)，速度一直是RSA算法的缺陷，一般來(lái)說(shuō)只用于少量數(shù)據(jù)加密。從提出到現(xiàn)在二十幾年，經(jīng)歷了各種攻擊的考驗(yàn)，被普遍認(rèn)為是最優(yōu)秀的公鑰方案之一。7.5.4RSA算法的程序?qū)崿F(xiàn)利用RSA算法對(duì)文件的加密和解密。算法根據(jù)設(shè)置自動(dòng)產(chǎn)生大素?cái)?shù)p和q，并根據(jù)p和q的值產(chǎn)生模（n）、公鑰（e）和密鑰(d)。利用VC++6.0實(shí)現(xiàn)核心算法產(chǎn)生密鑰對(duì)加密過(guò)程解密過(guò)程原文件和解密后的文件7.6物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名消息一致性也稱(chēng)消息鑒別。在網(wǎng)絡(luò)系統(tǒng)安全中要考慮兩個(gè)方面。一方面，用密碼保護(hù)傳送的信息使其不被破譯；另一方面，就是防止對(duì)手對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊，如偽造，篡改信息等。7.6.1消息一致性12消息一致性的主要兩個(gè)目的：消息鑒別安全服務(wù)采用Hash函數(shù)與數(shù)字簽名相結(jié)合的方法，在附加信息較短的情況下，保護(hù)了消息的完整性及發(fā)送方身份的真實(shí)性。若在不知道發(fā)方私鑰的情況下，任何第三方想達(dá)到篡改信息的目的，必須找到具有與給定消息相同Hash值的另一消息，而Hash函數(shù)的碰撞概率極小，實(shí)際上很難做到這一點(diǎn)。消息鑒別7.6.2數(shù)字簽名數(shù)字簽名必須保障：接收者能夠核實(shí)發(fā)送者對(duì)文檔的簽名；發(fā)送者事后不能否認(rèn)對(duì)文檔的簽名；不能偽造對(duì)文檔的簽名。

數(shù)字簽名通常是基于公鑰算法體制的，可以用RSA或者DSA，前者既可以用作加密又可以進(jìn)行簽名，后者只能用于簽名。數(shù)字簽名過(guò)程數(shù)字信封完整的數(shù)據(jù)加密和身份認(rèn)證過(guò)程DSA數(shù)字簽名是首先計(jì)算被簽名文件的SHA-1值，該碼經(jīng)過(guò)DSA私有密鑰和DSA加密算法加密后，形成數(shù)字簽名，然后再附加到原文件之后，合并為可以向外發(fā)送的傳輸文件。DSA數(shù)字簽名鑒別過(guò)程7.7信息隱藏概述7.7.1信息隱藏的歷史公元前440年出現(xiàn)了用頭發(fā)掩蓋信息的方法，將消息寫(xiě)在頭皮上，等到頭發(fā)長(zhǎng)出來(lái)后消息被遮蓋，這樣消息可以在各個(gè)部落中傳遞。17世紀(jì)出現(xiàn)了，采用無(wú)形的墨水在特定字母上制作非常小的斑點(diǎn)來(lái)實(shí)現(xiàn)信息隱藏。1860年出現(xiàn)了微縮膠片，可以利用信鴿來(lái)傳遞膠片或者將膠片粘貼在無(wú)關(guān)緊要的雜志等文字材料中的句號(hào)或逗號(hào)上。用化學(xué)方法可以實(shí)現(xiàn)比較高級(jí)的隱寫(xiě)術(shù)，用筆蘸淀粉水在白紙上寫(xiě)字，然后噴上碘水，則淀粉和碘起化學(xué)反應(yīng)后顯出棕色字體，開(kāi)發(fā)更加先進(jìn)的墨水和顯影劑。7.7.2信息隱藏的研究?jī)?nèi)容信息隱藏的主要研究分支包括：隱寫(xiě)術(shù)－偽裝式保密通信數(shù)字水?。瓟?shù)字產(chǎn)品版權(quán)保護(hù)隱蔽信道－計(jì)算機(jī)系統(tǒng)中的一些通道信息分存－可視密碼7.7.3信息隱藏基本原理1.

無(wú)密鑰信息隱藏定義：對(duì)一個(gè)五元組Σ=〈C，M，C’，D，E〉