物聯(lián)網(wǎng)信息安全 課件 第7章 物聯(lián)網(wǎng)信息安全技術(shù)應(yīng)用

第七章物聯(lián)網(wǎng)安全技術(shù)應(yīng)用江蘇科技大學(xué)計算機學(xué)院目錄0301027.1.1物聯(lián)網(wǎng)面向主題的安全應(yīng)用7.1.2物聯(lián)網(wǎng)公共安全云計算平臺系統(tǒng)7.1物聯(lián)網(wǎng)系統(tǒng)安全設(shè)計

第一部分7.1.1物聯(lián)網(wǎng)面向主題的安全應(yīng)用PART01四個步驟：1）對物聯(lián)網(wǎng)的主題進行劃分2）分析主題的技術(shù)支持3）物聯(lián)網(wǎng)主題的安全性需求分析014）主題安全模型設(shè)計與實現(xiàn)對物聯(lián)網(wǎng)的主題進行劃分對物聯(lián)網(wǎng)的主題進行劃分將物聯(lián)網(wǎng)中各種物體設(shè)備進行連接的各種通信技術(shù)，將物聯(lián)網(wǎng)中物與物的信息傳遞提供技術(shù)支持。

在物聯(lián)網(wǎng)中每個物體設(shè)備都需要唯一的身份標識，如同人類的身份證一樣。通過射頻技術(shù)、無線網(wǎng)絡(luò)和全球定位等技術(shù)對連接到物聯(lián)網(wǎng)中的物體設(shè)備進行物理位置的確定和信息的動態(tài)跟蹤。在物聯(lián)網(wǎng)中各種物理設(shè)備間的信息傳遞都需要一定的傳輸路徑，主要指與物聯(lián)網(wǎng)相關(guān)的各種物理傳輸網(wǎng)絡(luò)。1）通信2）身份標識3）定位和跟蹤4）傳輸途徑對物聯(lián)網(wǎng)的主題進行劃分5）通信設(shè)備連接到物聯(lián)網(wǎng)中的各種物體設(shè)備，物體間可以通過物聯(lián)網(wǎng)進行通信，進行信息的傳遞和交互。6）感應(yīng)器在物聯(lián)網(wǎng)中，能夠隨時隨地獲得物體設(shè)備的信息且需要遍布于各個角落。7）執(zhí)行機構(gòu)在物聯(lián)網(wǎng)中發(fā)送的命令信息，最終的執(zhí)行體即為執(zhí)行機構(gòu)。8）存儲物聯(lián)網(wǎng)中進行信息的儲存。分析主題的技術(shù)支持1）通信通信主題主要包括無線傳輸和有線傳輸技術(shù)，其中無線傳輸技術(shù)在物聯(lián)網(wǎng)的體系結(jié)構(gòu)中將起到至關(guān)重要的作用，其涉及的技術(shù)主要包括WLAN、3G、UWB及藍牙技術(shù)。2）身份標識在物聯(lián)網(wǎng)中，任何物體都有唯一的身份標識，可用于身份標識的技術(shù)主要有一維條碼、二維條碼、射頻識別技術(shù)、生物特征和視頻錄像等相關(guān)技術(shù)。4）傳輸途徑物聯(lián)網(wǎng)的傳輸途徑既包括互聯(lián)網(wǎng)的主要傳輸網(wǎng)絡(luò)以太網(wǎng)，還包括傳感器網(wǎng)絡(luò)，以及其他與物聯(lián)網(wǎng)相連接的網(wǎng)絡(luò)。3）定位和跟蹤定位跟蹤是物聯(lián)網(wǎng)的功能之一，其主要技術(shù)支持包括傳感器網(wǎng)絡(luò)，以及其他與物聯(lián)網(wǎng)相連接的網(wǎng)絡(luò)。分析主題的技術(shù)支持物聯(lián)網(wǎng)中的各個物體涉及各個行業(yè)，因此執(zhí)行機構(gòu)對信號的接收、處理也千差萬別。通信設(shè)備感應(yīng)器執(zhí)行機構(gòu)070605感應(yīng)器用來識別物聯(lián)網(wǎng)中的各種物體，其主要的感應(yīng)屬性有音頻、視頻、溫度、位置、距離等。物聯(lián)網(wǎng)中實現(xiàn)了物與物間的直接連接，因此物聯(lián)網(wǎng)中的通信設(shè)備種類數(shù)目龐大，例如手機、傳感器、射頻設(shè)備、電腦、衛(wèi)星等。存儲主題主要記錄和保存物聯(lián)網(wǎng)中的各種信息，主要包括數(shù)據(jù)庫的儲存和分布式哈希表儲存。存儲08可鑒別性完整性物聯(lián)網(wǎng)主題的安全性需求分析不可否認性保密性可控性可用性可審計性ISO17799

基本屬性：物聯(lián)網(wǎng)主題的安全性需求分析A為高級要求C為初級要求B為中級要求安全級別123物聯(lián)網(wǎng)主題的安全性需求分析

通信：通信技術(shù)的特征，特別是無線傳輸?shù)奶匦詻Q定If通信卞題最易受到外界的安全威脅，例如竊聽、偽裝、流量分析、非授權(quán)訪問、信息篡改、否認、拒絕服務(wù)等。身份標識：物聯(lián)網(wǎng)中為了識別物體身份，對物體進行身份唯一標識，要求身份標識有很好的保密性，防止偽造、非法篡改等威脅。定位和跟蹤：物聯(lián)網(wǎng)中物體都有自己唯一的身份標識，可以根據(jù)物體的身份標識進行定位和跟蹤，為了防止非法用戶對物體進行非法跟蹤和定位，物聯(lián)網(wǎng)的定位和跟蹤的主題安全屬性要求需要較高的保密性和可用性。傳輸途徑:物聯(lián)網(wǎng)在傳輸途徑中容易被竊聽，因此在安全屬性要求中需要較高的完整性。1234主題的安全屬性要求。物聯(lián)網(wǎng)主題的安全性需求分析通信設(shè)備：物聯(lián)網(wǎng)中的通信設(shè)備都有相應(yīng)的軟件或者嵌入式系統(tǒng)的支持，因此很容易被非法篡改。感應(yīng)器：感應(yīng)器作為物聯(lián)網(wǎng)接收信號或刺激反應(yīng)的設(shè)各，需要很高的完整性。56主題的安全屬性要求。執(zhí)行機構(gòu)：物聯(lián)網(wǎng)中的執(zhí)行機構(gòu)涉及各個行業(yè)，因此其安個屬性要求主要沙友物聯(lián)網(wǎng)應(yīng)用層安個，如用戶和設(shè)備的身份認證、訪問權(quán)限控制等。儲存：物聯(lián)網(wǎng)中的信息儲存同互聯(lián)網(wǎng)一樣，面臨著信息泄露、篡改等威脅，因此在物聯(lián)網(wǎng)中的存儲需要較高的完整性、保密性要求。78主題安全模型設(shè)計與實現(xiàn)主題安全模型設(shè)計與實現(xiàn)模型的內(nèi)核

模型的核心部分就是以主題為中心的安全屬性標準和要求，主題的安全屬性需要依據(jù)土題自身的特點和需求進行研究設(shè)計。該部分是整個模型的關(guān)鍵所在，對主題的安全屬性設(shè)計應(yīng)遵從整體性、系統(tǒng)化的思想。模型的系統(tǒng)

物聯(lián)網(wǎng)體系構(gòu)架由感知層、網(wǎng)絡(luò)層和應(yīng)用層組成，在安全模型的設(shè)計中，這三個層既需要相互聯(lián)系又需要相互獨,i_。在物聯(lián)網(wǎng)的安個模犁設(shè)計中，將層與層間加上了防護層，目的是當(dāng)某一層出現(xiàn)安全威脅時，通過隔離層的隔離作用，防止將安全威脅蔓延到其他層次。另一方面，層與層間需要有協(xié)作的功能，作為一個有機整體，在某層出現(xiàn)問題時，需要其他層提供相應(yīng)的安全措施，使物聯(lián)網(wǎng)成為一個有機整體進行安全的防御。模型的防護層

物聯(lián)網(wǎng)的安全不但需要自身的安全策略，同時需要外界的防護，因此在物聯(lián)網(wǎng)的安全模型中將PDRR安全模型加入其中，使物聯(lián)網(wǎng)的安全成為一個流動的實體，其巾的預(yù)防、檢測、響應(yīng)、恢復(fù)四部分功能是相輔相成的模型的人為因素在一定程度}:起到了至關(guān)重要的作用，因此在面向主題的物聯(lián)網(wǎng)的女全模型中最外層是安全管理。圖7-3是模型的下維表示。主題安全模型設(shè)計與實現(xiàn)

第二部分7.1.2物聯(lián)網(wǎng)公共安全云計算平臺系統(tǒng)PART02物聯(lián)網(wǎng)公共安全平臺架構(gòu)數(shù)據(jù)支持層設(shè)計思路基于云計算的數(shù)據(jù)支持平臺體系架構(gòu)02物聯(lián)網(wǎng)公共安全平臺架構(gòu)感知層網(wǎng)絡(luò)層支撐層服務(wù)層應(yīng)用層物聯(lián)網(wǎng)公共安全平臺架構(gòu)

（1）（2）(3)(4)(5)對一于最前端公安人員關(guān)注的幣點領(lǐng)域和事物，通過各種感知設(shè)備，對道路、車輛、危險物品、重點人物、交通狀況等重點感知領(lǐng)域，進行實時管控，獲取有用數(shù)據(jù)。感知層

基于云計算、云存儲技術(shù)設(shè)計，實現(xiàn)分散資源的集中管理以及集中資源的分散服務(wù)，為感知設(shè)備的分建共享提供全面支撐服務(wù)。支撐層

主要用來承載用戶實際使用的各種業(yè)務(wù)軟件。應(yīng)用層

主要用于前方感知數(shù)據(jù)的傳輸，為了不重復(fù)建設(shè)，最大利用現(xiàn)有網(wǎng)絡(luò)條件，把通信方式進行整合。網(wǎng)絡(luò)層

基于擁有的豐富的數(shù)據(jù)資源和強大的計算能力(依托云計算平臺)，為構(gòu)建一個功能豐富的平臺提供了基礎(chǔ)。服務(wù)層物聯(lián)網(wǎng)公共安全平臺架構(gòu)(3)共享數(shù)據(jù)管理標準;(4)傳感資源投入和建設(shè)的效益評價標準;(5)新建設(shè)傳感資源和網(wǎng)絡(luò)的審批標準;(6)物聯(lián)網(wǎng)公共安全基礎(chǔ)設(shè)施建設(shè)標準。(2)數(shù)據(jù)共享交換的規(guī)范;(1)公共安全領(lǐng)域的傳感器資源編碼標準;

標準和安全體系

首先把由網(wǎng)絡(luò)層上傳的數(shù)據(jù)進行規(guī)格化處理，并按照定規(guī)則算法初步過濾一些無用信息，由云算數(shù)據(jù)中心對數(shù)據(jù)進行存儲和轉(zhuǎn)發(fā)。云的架構(gòu)1234

再由各個計算節(jié)點從對數(shù)據(jù)進行接入、編碼、整合以及交換。最后形成數(shù)據(jù)目錄，便于查詢和使用。

考慮數(shù)據(jù)安全問題，設(shè)計數(shù)據(jù)容災(zāi)中心進行應(yīng)急處理。

數(shù)據(jù)支撐層設(shè)計思路基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)信息接入標準化處理

信息共享信息存儲主要實現(xiàn)五大功能：

物聯(lián)網(wǎng)支撐平臺是各類前端感知信息通過傳輸網(wǎng)絡(luò)匯聚的平臺，該平臺實時處理前端感知設(shè)施傳入的視頻信息、數(shù)據(jù)信息以及由應(yīng)用服務(wù)平臺下達的對感知設(shè)施的控制指令。基礎(chǔ)管理基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)

基本平臺為云計算綜合應(yīng)用平臺的基礎(chǔ)模板，可以在此基礎(chǔ)上對平臺進行變動，以滿足不同用戶對該平臺的特殊要求?；谠朴嬎愕臄?shù)據(jù)支撐平臺體系架構(gòu)50%50%（1）應(yīng)用服務(wù)功能（2）數(shù)據(jù)存儲功能主要體現(xiàn)在海量數(shù)據(jù)的存儲和讀取。通過負載均衡接受大量的遠程應(yīng)用服務(wù)請求，通過應(yīng)用服務(wù)器響應(yīng)遠程或本地應(yīng)用服務(wù)請求。該系統(tǒng)的功能主要分為：基礎(chǔ)平臺已經(jīng)具有了云計算綜合應(yīng)用平臺的完備子系統(tǒng)，且具有較強的靈活性應(yīng)用服務(wù)器連接前端的負載均衡服務(wù)器及后端的光纖交換機，應(yīng)用服務(wù)器是應(yīng)用分系統(tǒng)中的關(guān)鍵部分，所有的應(yīng)用軟件都裝載在應(yīng)用服務(wù)器上，所有的應(yīng)用請求都在應(yīng)用服務(wù)器上進行處理。應(yīng)用服務(wù)器通過虛擬化可以虛擬出多個虛擬主機，在每個虛擬主機是上加載相關(guān)應(yīng)用。硬件設(shè)備負載均衡設(shè)備虛擬化集群數(shù)據(jù)庫集群基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)（1）應(yīng)用服務(wù)分系統(tǒng)基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)1并行文件系統(tǒng)2SAN虛擬存儲系統(tǒng)主要負責(zé)存儲非結(jié)構(gòu)化數(shù)據(jù)，在數(shù)據(jù)中心的網(wǎng)絡(luò)上建立一個非結(jié)構(gòu)化數(shù)據(jù)的存儲空間，為系統(tǒng)的非結(jié)構(gòu)化數(shù)據(jù)需求提供硬件及應(yīng)用系統(tǒng)支持的支撐平臺。主要負責(zé)存儲結(jié)構(gòu)化數(shù)據(jù)，在數(shù)據(jù)庫系統(tǒng)中建立一個結(jié)構(gòu)化數(shù)據(jù)的存儲空間，為數(shù)據(jù)庫系統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)需求提供硬件支撐平臺。（2）存儲分系統(tǒng)基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)存儲分系統(tǒng)基于云計算的數(shù)據(jù)支撐平臺體系架構(gòu)SAN虛擬存儲系統(tǒng)主要包括光纖交換機和存儲磁盤陣列。當(dāng)數(shù)據(jù)庫服務(wù)器有讀入任務(wù)時，數(shù)據(jù)庫服務(wù)器向SAN虛擬化存儲盤陣中的擰制盤陣發(fā)送寫入請求，控制盤陣接收到寫入請求，根據(jù)系統(tǒng)存儲策略做分析，確定數(shù)據(jù)塊存儲位置，數(shù)據(jù)庫服務(wù)器直接將數(shù)據(jù)寫入磁盤陣列。當(dāng)數(shù)據(jù)庫服務(wù)器有讀取任務(wù)時，數(shù)據(jù)庫服務(wù)器向SAN虛擬化存儲盤陣中的控制盤陣發(fā)送讀數(shù)據(jù)請求，控制盤陣接收到讀數(shù)據(jù)請求，查詢相關(guān)索引數(shù)據(jù)，確定數(shù)據(jù)的存儲位置，并將數(shù)據(jù)存儲位置發(fā)送給數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫服務(wù)器直接從磁盤陣列中讀取數(shù)據(jù)?；谠朴嬎愕臄?shù)據(jù)支撐平臺體系架構(gòu)將存儲設(shè)備所含的磁盤視為一整個存儲池，再分配給需要容量的前端服務(wù)器，所有存儲資源都能在虛擬層介接下統(tǒng)一運用。（1）海量數(shù)據(jù)融合能力存儲資源調(diào)節(jié)可分容量與性能分配兩大部分，依執(zhí)行任務(wù)的不同，前端服務(wù)器對容量與存儲性能的需要也不同，因此虛擬化產(chǎn)品必須具備彈性的容量與性能調(diào)整機制，以便適當(dāng)?shù)胤峙淙萘浚瑸?/p>