物聯(lián)網(wǎng)中的信息安全技術(shù)：物聯(lián)網(wǎng)安全的保障

吳功宜編著智慧的物聯(lián)網(wǎng)

—感知中國與世界的技術(shù).第10章

物聯(lián)網(wǎng)中的信息平安技術(shù)：物聯(lián)網(wǎng)平安的保障.本章的中心思想：我們在興奮地討論物聯(lián)網(wǎng)能夠給社會開展帶來很多好處的同時,不禁會有些許惆悵。因為我們知道，物聯(lián)網(wǎng)是運行在互聯(lián)網(wǎng)之上，它是互聯(lián)網(wǎng)功能的擴展。那么，我們也就成認(rèn)了：物聯(lián)網(wǎng)將面臨更加復(fù)雜的信息平安局面。我們必須在研究物聯(lián)網(wǎng)應(yīng)用的同時，從道德教育、技術(shù)保障與法制環(huán)境完善的三個角度出發(fā)，為物聯(lián)網(wǎng)的健康開展創(chuàng)造一個良好的環(huán)境。.本章主要內(nèi)容物聯(lián)網(wǎng)平安中的六大關(guān)系近年來網(wǎng)絡(luò)平安形勢的演變共性化的網(wǎng)絡(luò)平安技術(shù)研究與開展無線自組網(wǎng)平安技術(shù)研究無線傳感器網(wǎng)絡(luò)平安技術(shù)研究RFID系統(tǒng)與平安技術(shù)的研究.10.1物聯(lián)網(wǎng)平安中的六大關(guān)系10.1.1物聯(lián)網(wǎng)平安與現(xiàn)實社會平安的關(guān)系網(wǎng)絡(luò)虛擬社會與現(xiàn)實社會的關(guān)系.10.1.2物聯(lián)網(wǎng)平安與計算機、計算機網(wǎng)絡(luò)平安的關(guān)系.10.1.3物聯(lián)網(wǎng)應(yīng)用系統(tǒng)建設(shè)與平安系統(tǒng)建設(shè)的關(guān)系物聯(lián)網(wǎng)平安問題不應(yīng)該簡單地認(rèn)為是從事物聯(lián)網(wǎng)平安技術(shù)工程師的事，也是每位信息技術(shù)領(lǐng)域的工程師與管理人員共同面對的問題。在規(guī)劃一種物聯(lián)網(wǎng)應(yīng)用系統(tǒng)時，除了要規(guī)劃出建設(shè)系統(tǒng)〔硬件、軟件、網(wǎng)絡(luò)、通信與維護〕所需的資金，還需要考慮一定比例的經(jīng)費用于平安系統(tǒng)的建設(shè)。.10.1.4物聯(lián)網(wǎng)平安與密碼學(xué)的關(guān)系密碼學(xué)是研究網(wǎng)絡(luò)平安所必需的一個重要的工具與方法，但是物聯(lián)網(wǎng)平安研究所涉及的問題要廣泛得多。.10.1.5物聯(lián)網(wǎng)平安與國家信息平安戰(zhàn)略的關(guān)系如果我們將這個社會和國家的人與人、人與物、物與物都連接在物聯(lián)網(wǎng)中，那么物聯(lián)網(wǎng)的平安同樣要對國家平安產(chǎn)生深刻的影響網(wǎng)絡(luò)平安問題已成為信息化社會的一個焦點問題。每個國家只能立足于本國，研究網(wǎng)絡(luò)平安技術(shù)，培養(yǎng)專門人才，開展網(wǎng)絡(luò)平安產(chǎn)業(yè)，才能構(gòu)筑本國的網(wǎng)絡(luò)與信息平安防范體系。.10.1.6物聯(lián)網(wǎng)平安與信息平安共性技術(shù)的關(guān)系從技術(shù)角度看，物聯(lián)網(wǎng)是建立在互聯(lián)網(wǎng)的根底之上，因此互聯(lián)網(wǎng)所能夠遇到的信息平安問題，在物聯(lián)網(wǎng)中都會存在，只可能在表現(xiàn)形式不一樣。.從應(yīng)用的角度看，物聯(lián)網(wǎng)上傳輸?shù)氖谴罅可婕捌髽I(yè)經(jīng)營的物流、生產(chǎn)、銷售、金融數(shù)據(jù)，以及有關(guān)社會運行的一些數(shù)據(jù)，保護這些有經(jīng)濟價值和社會價值的數(shù)據(jù)平安要比保護互聯(lián)網(wǎng)上音樂、視頻、游戲數(shù)據(jù)重要得多，困難得多。.從物理傳輸技術(shù)的角度看，物聯(lián)網(wǎng)更多地依賴于無線通信技術(shù)，而無線通信技術(shù)很容易被干擾和竊聽，攻擊無線信道是比較容易的。保障物聯(lián)網(wǎng)無線通信平安也就更困難。.從構(gòu)成物聯(lián)網(wǎng)的端系統(tǒng)的角度，無線傳感器網(wǎng)絡(luò)一旦轉(zhuǎn)向大規(guī)模民用，無線傳感器網(wǎng)絡(luò)的平安問題就會立即凸顯出了。物聯(lián)網(wǎng)中將大量使用RFID技術(shù)，已經(jīng)有人在研究攻擊RFID標(biāo)簽與標(biāo)簽讀寫設(shè)備的方法。.物聯(lián)網(wǎng)的研究與應(yīng)用剛剛開始，我們?nèi)狈ψ銐虻墓芾斫?jīng)驗，更談不上保護物聯(lián)網(wǎng)平安運行的法律法規(guī)。在研究技術(shù)及應(yīng)用時，必須組織力量同步研究物聯(lián)網(wǎng)平安技術(shù)、物聯(lián)網(wǎng)應(yīng)用中的道德與法律問題，以保證物聯(lián)網(wǎng)的健康開展。.物聯(lián)網(wǎng)與互聯(lián)網(wǎng)平安問題之間的關(guān)系.10.2近年來網(wǎng)絡(luò)平安形勢的演變10.2.1互聯(lián)網(wǎng)平安威脅開展總的趨勢受經(jīng)濟利益驅(qū)動，網(wǎng)絡(luò)攻擊的動機已經(jīng)從初期的惡作劇、顯示能力、尋求刺激，逐步向有組織犯罪方向開展，甚至是有組織的跨國經(jīng)濟犯罪。網(wǎng)絡(luò)罪犯正逐步形成了黑色產(chǎn)業(yè)鏈，網(wǎng)絡(luò)攻擊日趨專業(yè)化和商業(yè)化。.網(wǎng)絡(luò)犯罪活動的范圍將隨著互聯(lián)網(wǎng)的普及，逐漸從經(jīng)濟興旺國家與地區(qū)向一些開展中國家和地區(qū)開展。網(wǎng)絡(luò)攻擊開始出現(xiàn)超出傳統(tǒng)意義上的網(wǎng)絡(luò)犯罪的概念，正在逐漸演變成某些國家或利益集團的重要的政治、軍事工具，以及恐怖分子活開工具。.網(wǎng)絡(luò)平安威脅特點的演變.10.2.2近期網(wǎng)絡(luò)平安威脅的主要特點網(wǎng)絡(luò)攻擊從針對計算機逐步轉(zhuǎn)向終端用戶Web應(yīng)用平臺的漏洞是網(wǎng)絡(luò)攻擊主要的對象與渠道地下交易體系呈現(xiàn)專業(yè)化與商業(yè)化的趨勢網(wǎng)絡(luò)病毒、垃圾郵件、網(wǎng)絡(luò)攻擊持續(xù)攀升，智能成為新的攻擊目標(biāo).10.3共性化的網(wǎng)絡(luò)平安技術(shù)研究與開展10.3.1網(wǎng)絡(luò)平安技術(shù)內(nèi)容與分類.網(wǎng)絡(luò)平安技術(shù)研究的根本內(nèi)容網(wǎng)絡(luò)平安體系結(jié)構(gòu)的研究網(wǎng)絡(luò)平安威脅分析網(wǎng)絡(luò)平安模型網(wǎng)絡(luò)平安體系系統(tǒng)平安評估的標(biāo)準(zhǔn)和方法.網(wǎng)絡(luò)平安防護技術(shù)防火墻技術(shù)入侵檢測技術(shù)防攻擊技術(shù)防病毒技術(shù)平安審計計算機取證技術(shù)業(yè)務(wù)持續(xù)性技術(shù).密碼應(yīng)用技術(shù)對稱密碼體制與公鑰密碼體制密碼體系消息認(rèn)證與數(shù)字簽名技術(shù)信息隱藏技術(shù)公鑰根底設(shè)施PKI技術(shù).網(wǎng)絡(luò)平安應(yīng)用技術(shù)IP平安VPN技術(shù)電子郵件平安Web平安網(wǎng)絡(luò)信息過濾技術(shù).10.3.2網(wǎng)絡(luò)攻擊的分類.網(wǎng)絡(luò)平安威脅的層次主干網(wǎng)絡(luò)的威脅TCP/IP協(xié)議平安威脅網(wǎng)絡(luò)應(yīng)用的威脅.效勞攻擊與非效勞攻擊的根本概念效勞攻擊是指對為網(wǎng)絡(luò)提供某種效勞的效勞器發(fā)起攻擊，造成該網(wǎng)絡(luò)的“拒絕效勞〞，使網(wǎng)絡(luò)工作不正常。特定的網(wǎng)絡(luò)效勞包括E-mail、Telnet、FTP、Web效勞等。.非效勞攻擊不針對某項具體應(yīng)用效勞，而是針對網(wǎng)絡(luò)層及低層協(xié)議進(jìn)行的。攻擊者可能使用各種方法對網(wǎng)絡(luò)通信設(shè)備〔例如路由器、交換機〕發(fā)起攻擊，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。.網(wǎng)絡(luò)攻擊手段的分類.10.3.3網(wǎng)絡(luò)平安防護技術(shù)研究防火墻的根本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。防火墻為內(nèi)部網(wǎng)絡(luò)建立平安邊界。.入侵檢測技術(shù)的根本概念入侵檢測系統(tǒng)是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別的系統(tǒng)。目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并采取相應(yīng)的防護手段。.平安審計的根本概念平安審計是對用戶使用網(wǎng)絡(luò)和計算機所有活動記錄分析、審查和發(fā)現(xiàn)問題的重要的手段。平安審計對于系統(tǒng)平安狀態(tài)的評價，分析攻擊源、攻擊類型與攻擊危害，收集網(wǎng)絡(luò)犯罪證據(jù)是至關(guān)重要的技術(shù)。.10.3.4網(wǎng)絡(luò)防病毒技術(shù)研究惡意傳播代碼是一種軟件程序，它能夠從一臺計算機傳播到另一臺計算機，從一個網(wǎng)絡(luò)傳播到一個網(wǎng)絡(luò)，目的是在網(wǎng)絡(luò)和系統(tǒng)管理員不知情的情況下，對系統(tǒng)進(jìn)行成心地修改。惡意傳播代碼包括病毒、木馬、蠕蟲、腳本攻擊代碼，以及垃圾郵件、流氓軟件與惡意的互聯(lián)網(wǎng)代碼。網(wǎng)絡(luò)病毒問題的解決，只能從采用先進(jìn)的防病毒技術(shù)與制定嚴(yán)格的用戶使用網(wǎng)絡(luò)的管理制度兩個方面入手。.10.3.5計算機取證的根本概念計算機取證屬于主動防御技術(shù)。針對網(wǎng)絡(luò)入侵與犯罪，計算機取證技術(shù)是一個對受侵犯的計算機與網(wǎng)絡(luò)設(shè)備與系統(tǒng)進(jìn)行掃描與破解，對入侵的過程進(jìn)行重構(gòu)，完成有法律效力的電子證據(jù)的獲取、保存、分析、出示的全過程，是保護網(wǎng)絡(luò)系統(tǒng)的重要的技術(shù)手段。.10.3.6網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)研究網(wǎng)絡(luò)文件備份恢復(fù)屬于日常網(wǎng)絡(luò)與信息系統(tǒng)維護的范疇，而業(yè)務(wù)持續(xù)性規(guī)劃涉及對突發(fā)事件對網(wǎng)絡(luò)與信息系統(tǒng)影響的預(yù)防技術(shù)。業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)的研究包括：規(guī)劃的方法學(xué)問題、風(fēng)險分析方法、數(shù)據(jù)恢復(fù)規(guī)劃。.10.3.7密碼學(xué)及其應(yīng)用技術(shù)的研究密碼技術(shù)是保證網(wǎng)絡(luò)與信息平安的根底與核心技術(shù)之一。密碼應(yīng)用包括：加密與解密。密碼體系分為：對稱密碼體系與非對稱密碼體系。非對稱密碼體系又稱為公鑰密碼體系。.消息驗證與數(shù)字簽名的研究消息驗證與數(shù)字簽名是防止主動攻擊的重要技術(shù)。消息驗證與數(shù)字簽名在主要目的是：驗證信息的完整性，驗證消息發(fā)送者身份的真實性。利用數(shù)字簽名可以實現(xiàn)以下功能：保證信息傳輸過程中的完整性、對發(fā)送端身份的認(rèn)證、防止交易中的抵賴發(fā)生。.身份認(rèn)證技術(shù)的研究身份認(rèn)證可以通過3種根本途徑之一或它們的組合來實現(xiàn)：所知：個人所掌握的密碼、口令等所有：個人的身份證、護照、信用卡、鑰匙等個人特征：人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征等.公鑰根底設(shè)施PKI的研究公鑰根底設(shè)施是利用公鑰加密和數(shù)字簽名技術(shù)建立的提供平安效勞的根底設(shè)施。使用戶能夠在多種應(yīng)用環(huán)境之下方便地使用加密的數(shù)字簽名技術(shù)，保證網(wǎng)絡(luò)上數(shù)據(jù)的機密性、完整性與不可抵賴性。公鑰根底設(shè)施包括：認(rèn)證中心〔CA〕、注冊認(rèn)證中心〔RA〕，實現(xiàn)密鑰與證書的管理、密鑰的備份與恢復(fù)等功能。.信息隱藏技術(shù)的研究信息隱藏也稱為信息偽裝。它是利用人類感覺器官對數(shù)字信號的感覺冗余，將一些秘密信息以偽裝地方式隱藏在非秘密信息之中，到達(dá)在網(wǎng)絡(luò)環(huán)境中的隱蔽通信和隱蔽標(biāo)識的目的。目前信息隱藏技術(shù)研究的內(nèi)容大致可以分為：隱蔽信道、隱寫術(shù)、匿名通信與版權(quán)標(biāo)志等4個方面。.10.3.8網(wǎng)絡(luò)平安應(yīng)用技術(shù)研究IP平安VPN技術(shù)電子郵件平安Web平安.IP平安的研究IPSec協(xié)議的特征：IPSec可以向IPv4與IPv6提供互操作與基于密碼的平安性。IPSec提供的平安效勞包括：訪問控制、完整性、數(shù)據(jù)原始認(rèn)證等。IPSec協(xié)議是一個協(xié)議包，由三個主要的協(xié)議及加密與認(rèn)證算法組成。.VPN技術(shù)的研究VPN是在公用通信網(wǎng)絡(luò)的通信對端之間建立一條平安、穩(wěn)定的通信隧道，為用戶提供平安通信效勞。VPN通過隧道技術(shù)、密碼技術(shù)、密鑰管理技術(shù)、用戶和設(shè)備認(rèn)證技術(shù)來保證平安通信效勞的，隧道技術(shù)是實現(xiàn)VPN功能的根本技術(shù)。.電子郵件平安技術(shù)的研究電子郵件存在的垃圾郵件、詐騙郵件、炸彈郵件、病毒郵件等問題，已經(jīng)引起了人們高度的重視。要解決電子郵件的平安問題，有3種研究的途徑：端到端的平安電子郵件技術(shù)、傳輸層的平安電子郵件技術(shù)、郵件效勞器平安技術(shù)。.Web平安技術(shù)的研究Web平安威脅類型：對Web效勞器的平安威脅對Web瀏覽器的平安威脅對通信信道的平安威脅.從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度，Web平安技術(shù)的研究可以分別從網(wǎng)絡(luò)層協(xié)議、傳輸層協(xié)議和應(yīng)用層協(xié)議著手。Web平安涉及操作系統(tǒng)、數(shù)據(jù)庫、防火墻、應(yīng)用程序與其他多項平安技術(shù)，是一個系統(tǒng)的平安工程，不能簡單地從Web協(xié)議的角度去解決問題。只有綜合考慮各方面的因素，集成多種平安技術(shù)，才能夠切實保證Web系統(tǒng)的平安。.10.4無線自組網(wǎng)平安技術(shù)研究10.4.1無線自組網(wǎng)平安技術(shù)的根本概念無線自組網(wǎng)平安技術(shù)研究的根本內(nèi)容.10.4.2無線自組網(wǎng)平安的脆弱性無線鏈路網(wǎng)絡(luò)拓?fù)鋭討B(tài)變化結(jié)點的漫游特性.10.4.3無線自組網(wǎng)的平安威脅對路由的攻擊對數(shù)據(jù)傳輸?shù)墓魧π湃侮P(guān)系的攻擊假冒攻擊拒絕效勞攻擊.10.4.4無線自組網(wǎng)平安方案基于口令的認(rèn)證協(xié)議多層次平安保護對策異步分布式密鑰管理模型分級混合網(wǎng)絡(luò)體系結(jié)構(gòu)平安路由認(rèn)證協(xié)議與密鑰管理入侵檢測.10.5無線傳感器網(wǎng)絡(luò)平安技術(shù)研究10.5.1無線傳感器網(wǎng)絡(luò)平安問題的特殊性無線傳感器網(wǎng)絡(luò)使用的是無線信道進(jìn)行組網(wǎng)和數(shù)據(jù)傳輸，而無線信道是很容易受到干擾、竊聽和攻擊的，攻擊無線傳感器網(wǎng)絡(luò)的途徑比較多。作為執(zhí)行某一個特定任務(wù)的端網(wǎng)絡(luò)系統(tǒng)，無線傳感器網(wǎng)絡(luò)只擔(dān)負(fù)著傳感器結(jié)點所產(chǎn)生的數(shù)據(jù)的傳輸任務(wù)，而不會有其他網(wǎng)絡(luò)的數(shù)據(jù)要經(jīng)過它傳輸。.無線傳感器結(jié)點所有的操作都依靠自身所帶的電池供電。傳感器結(jié)點的計算能力、存儲能力、通信能力受到結(jié)點自身所帶能源的限制。一個實際傳感器網(wǎng)絡(luò)的結(jié)點數(shù)可能少那么幾十個，多那么上千個。在這樣一個大規(guī)模網(wǎng)絡(luò)的設(shè)計中，還必須在單個結(jié)點的平安性與對整個網(wǎng)絡(luò)的平安影響之間進(jìn)行權(quán)衡。.10.5.2無線傳感器網(wǎng)絡(luò)平安隱患的分類無線傳感器網(wǎng)絡(luò)在各層次可能受到攻擊的類型.10.5.3無線傳感器網(wǎng)絡(luò)平安技術(shù)研究的內(nèi)容與進(jìn)展無線傳感器網(wǎng)絡(luò)的平安是一個有挑戰(zhàn)性的課題，目前的研究工作還僅僅是開始，需要研究的問題還有很多，這也為研究人員提供了很大的開展空間。.10.6RFID系統(tǒng)與3G平安技術(shù)的研究10.6.1RFID系統(tǒng)的平安問題RFID在平安缺陷：RFID標(biāo)識自身訪問的平安性問題通信信道的平安性問題RFID閱讀器的平安性問題RFID閱讀器的平安性問題.10.6.2的平安問題病毒攻擊可能的四種方式：以病毒短信的方式直接攻擊本身，使無法提供效勞。攻擊WAP效勞器，使WAP無法接收正常信息。攻擊和控制移動通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的網(wǎng)關(guān)，向發(fā)送垃圾信息。攻擊整個網(wǎng)絡(luò)。.2004年～2005年病毒開展的情況.