物聯(lián)網中的信息安全技術：物聯(lián)網安全的保障

吳功宜編著智慧的物聯(lián)網

—感知中國與世界的技術.第10章

物聯(lián)網中的信息平安技術：物聯(lián)網平安的保障.本章的中心思想：我們在興奮地討論物聯(lián)網能夠給社會開展帶來很多好處的同時,不禁會有些許惆悵。因為我們知道，物聯(lián)網是運行在互聯(lián)網之上，它是互聯(lián)網功能的擴展。那么，我們也就成認了：物聯(lián)網將面臨更加復雜的信息平安局面。我們必須在研究物聯(lián)網應用的同時，從道德教育、技術保障與法制環(huán)境完善的三個角度出發(fā)，為物聯(lián)網的健康開展創(chuàng)造一個良好的環(huán)境。.本章主要內容物聯(lián)網平安中的六大關系近年來網絡平安形勢的演變共性化的網絡平安技術研究與開展無線自組網平安技術研究無線傳感器網絡平安技術研究RFID系統(tǒng)與平安技術的研究.10.1物聯(lián)網平安中的六大關系10.1.1物聯(lián)網平安與現(xiàn)實社會平安的關系網絡虛擬社會與現(xiàn)實社會的關系.10.1.2物聯(lián)網平安與計算機、計算機網絡平安的關系.10.1.3物聯(lián)網應用系統(tǒng)建設與平安系統(tǒng)建設的關系物聯(lián)網平安問題不應該簡單地認為是從事物聯(lián)網平安技術工程師的事，也是每位信息技術領域的工程師與管理人員共同面對的問題。在規(guī)劃一種物聯(lián)網應用系統(tǒng)時，除了要規(guī)劃出建設系統(tǒng)〔硬件、軟件、網絡、通信與維護〕所需的資金，還需要考慮一定比例的經費用于平安系統(tǒng)的建設。.10.1.4物聯(lián)網平安與密碼學的關系密碼學是研究網絡平安所必需的一個重要的工具與方法，但是物聯(lián)網平安研究所涉及的問題要廣泛得多。.10.1.5物聯(lián)網平安與國家信息平安戰(zhàn)略的關系如果我們將這個社會和國家的人與人、人與物、物與物都連接在物聯(lián)網中，那么物聯(lián)網的平安同樣要對國家平安產生深刻的影響網絡平安問題已成為信息化社會的一個焦點問題。每個國家只能立足于本國，研究網絡平安技術，培養(yǎng)專門人才，開展網絡平安產業(yè)，才能構筑本國的網絡與信息平安防范體系。.10.1.6物聯(lián)網平安與信息平安共性技術的關系從技術角度看，物聯(lián)網是建立在互聯(lián)網的根底之上，因此互聯(lián)網所能夠遇到的信息平安問題，在物聯(lián)網中都會存在，只可能在表現(xiàn)形式不一樣。.從應用的角度看，物聯(lián)網上傳輸?shù)氖谴罅可婕捌髽I(yè)經營的物流、生產、銷售、金融數(shù)據(jù)，以及有關社會運行的一些數(shù)據(jù)，保護這些有經濟價值和社會價值的數(shù)據(jù)平安要比保護互聯(lián)網上音樂、視頻、游戲數(shù)據(jù)重要得多，困難得多。.從物理傳輸技術的角度看，物聯(lián)網更多地依賴于無線通信技術，而無線通信技術很容易被干擾和竊聽，攻擊無線信道是比較容易的。保障物聯(lián)網無線通信平安也就更困難。.從構成物聯(lián)網的端系統(tǒng)的角度，無線傳感器網絡一旦轉向大規(guī)模民用，無線傳感器網絡的平安問題就會立即凸顯出了。物聯(lián)網中將大量使用RFID技術，已經有人在研究攻擊RFID標簽與標簽讀寫設備的方法。.物聯(lián)網的研究與應用剛剛開始，我們缺乏足夠的管理經驗，更談不上保護物聯(lián)網平安運行的法律法規(guī)。在研究技術及應用時，必須組織力量同步研究物聯(lián)網平安技術、物聯(lián)網應用中的道德與法律問題，以保證物聯(lián)網的健康開展。.物聯(lián)網與互聯(lián)網平安問題之間的關系.10.2近年來網絡平安形勢的演變10.2.1互聯(lián)網平安威脅開展總的趨勢受經濟利益驅動，網絡攻擊的動機已經從初期的惡作劇、顯示能力、尋求刺激，逐步向有組織犯罪方向開展，甚至是有組織的跨國經濟犯罪。網絡罪犯正逐步形成了黑色產業(yè)鏈，網絡攻擊日趨專業(yè)化和商業(yè)化。.網絡犯罪活動的范圍將隨著互聯(lián)網的普及，逐漸從經濟興旺國家與地區(qū)向一些開展中國家和地區(qū)開展。網絡攻擊開始出現(xiàn)超出傳統(tǒng)意義上的網絡犯罪的概念，正在逐漸演變成某些國家或利益集團的重要的政治、軍事工具，以及恐怖分子活開工具。.網絡平安威脅特點的演變.10.2.2近期網絡平安威脅的主要特點網絡攻擊從針對計算機逐步轉向終端用戶Web應用平臺的漏洞是網絡攻擊主要的對象與渠道地下交易體系呈現(xiàn)專業(yè)化與商業(yè)化的趨勢網絡病毒、垃圾郵件、網絡攻擊持續(xù)攀升，智能成為新的攻擊目標.10.3共性化的網絡平安技術研究與開展10.3.1網絡平安技術內容與分類.網絡平安技術研究的根本內容網絡平安體系結構的研究網絡平安威脅分析網絡平安模型網絡平安體系系統(tǒng)平安評估的標準和方法.網絡平安防護技術防火墻技術入侵檢測技術防攻擊技術防病毒技術平安審計計算機取證技術業(yè)務持續(xù)性技術.密碼應用技術對稱密碼體制與公鑰密碼體制密碼體系消息認證與數(shù)字簽名技術信息隱藏技術公鑰根底設施PKI技術.網絡平安應用技術IP平安VPN技術電子郵件平安Web平安網絡信息過濾技術.10.3.2網絡攻擊的分類.網絡平安威脅的層次主干網絡的威脅TCP/IP協(xié)議平安威脅網絡應用的威脅.效勞攻擊與非效勞攻擊的根本概念效勞攻擊是指對為網絡提供某種效勞的效勞器發(fā)起攻擊，造成該網絡的“拒絕效勞〞，使網絡工作不正常。特定的網絡效勞包括E-mail、Telnet、FTP、Web效勞等。.非效勞攻擊不針對某項具體應用效勞，而是針對網絡層及低層協(xié)議進行的。攻擊者可能使用各種方法對網絡通信設備〔例如路由器、交換機〕發(fā)起攻擊，使得網絡通信設備工作嚴重阻塞或癱瘓。.網絡攻擊手段的分類.10.3.3網絡平安防護技術研究防火墻的根本概念防火墻是在網絡之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。防火墻為內部網絡建立平安邊界。.入侵檢測技術的根本概念入侵檢測系統(tǒng)是對計算機和網絡資源的惡意使用行為進行識別的系統(tǒng)。目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內部用戶的非授權行為，并采取相應的防護手段。.平安審計的根本概念平安審計是對用戶使用網絡和計算機所有活動記錄分析、審查和發(fā)現(xiàn)問題的重要的手段。平安審計對于系統(tǒng)平安狀態(tài)的評價，分析攻擊源、攻擊類型與攻擊危害，收集網絡犯罪證據(jù)是至關重要的技術。.10.3.4網絡防病毒技術研究惡意傳播代碼是一種軟件程序，它能夠從一臺計算機傳播到另一臺計算機，從一個網絡傳播到一個網絡，目的是在網絡和系統(tǒng)管理員不知情的情況下，對系統(tǒng)進行成心地修改。惡意傳播代碼包括病毒、木馬、蠕蟲、腳本攻擊代碼，以及垃圾郵件、流氓軟件與惡意的互聯(lián)網代碼。網絡病毒問題的解決，只能從采用先進的防病毒技術與制定嚴格的用戶使用網絡的管理制度兩個方面入手。.10.3.5計算機取證的根本概念計算機取證屬于主動防御技術。針對網絡入侵與犯罪，計算機取證技術是一個對受侵犯的計算機與網絡設備與系統(tǒng)進行掃描與破解，對入侵的過程進行重構，完成有法律效力的電子證據(jù)的獲取、保存、分析、出示的全過程，是保護網絡系統(tǒng)的重要的技術手段。.10.3.6網絡業(yè)務持續(xù)性規(guī)劃技術研究網絡文件備份恢復屬于日常網絡與信息系統(tǒng)維護的范疇，而業(yè)務持續(xù)性規(guī)劃涉及對突發(fā)事件對網絡與信息系統(tǒng)影響的預防技術。業(yè)務持續(xù)性規(guī)劃技術的研究包括：規(guī)劃的方法學問題、風險分析方法、數(shù)據(jù)恢復規(guī)劃。.10.3.7密碼學及其應用技術的研究密碼技術是保證網絡與信息平安的根底與核心技術之一。密碼應用包括：加密與解密。密碼體系分為：對稱密碼體系與非對稱密碼體系。非對稱密碼體系又稱為公鑰密碼體系。.消息驗證與數(shù)字簽名的研究消息驗證與數(shù)字簽名是防止主動攻擊的重要技術。消息驗證與數(shù)字簽名在主要目的是：驗證信息的完整性，驗證消息發(fā)送者身份的真實性。利用數(shù)字簽名可以實現(xiàn)以下功能：保證信息傳輸過程中的完整性、對發(fā)送端身份的認證、防止交易中的抵賴發(fā)生。.身份認證技術的研究身份認證可以通過3種根本途徑之一或它們的組合來實現(xiàn)：所知：個人所掌握的密碼、口令等所有：個人的身份證、護照、信用卡、鑰匙等個人特征：人的指紋、聲紋、筆跡、手型、臉型、血型、視網膜、虹膜、DNA，以及個人動作方面的特征等.公鑰根底設施PKI的研究公鑰根底設施是利用公鑰加密和數(shù)字簽名技術建立的提供平安效勞的根底設施。使用戶能夠在多種應用環(huán)境之下方便地使用加密的數(shù)字簽名技術，保證網絡上數(shù)據(jù)的機密性、完整性與不可抵賴性。公鑰根底設施包括：認證中心〔CA〕、注冊認證中心〔RA〕，實現(xiàn)密鑰與證書的管理、密鑰的備份與恢復等功能。.信息隱藏技術的研究信息隱藏也稱為信息偽裝。它是利用人類感覺器官對數(shù)字信號的感覺冗余，將一些秘密信息以偽裝地方式隱藏在非秘密信息之中，到達在網絡環(huán)境中的隱蔽通信和隱蔽標識的目的。目前信息隱藏技術研究的內容大致可以分為：隱蔽信道、隱寫術、匿名通信與版權標志等4個方面。.10.3.8網絡平安應用技術研究IP平安VPN技術電子郵件平安Web平安.IP平安的研究IPSec協(xié)議的特征：IPSec可以向IPv4與IPv6提供互操作與基于密碼的平安性。IPSec提供的平安效勞包括：訪問控制、完整性、數(shù)據(jù)原始認證等。IPSec協(xié)議是一個協(xié)議包，由三個主要的協(xié)議及加密與認證算法組成。.VPN技術的研究VPN是在公用通信網絡的通信對端之間建立一條平安、穩(wěn)定的通信隧道，為用戶提供平安通信效勞。VPN通過隧道技術、密碼技術、密鑰管理技術、用戶和設備認證技術來保證平安通信效勞的，隧道技術是實現(xiàn)VPN功能的根本技術。.電子郵件平安技術的研究電子郵件存在的垃圾郵件、詐騙郵件、炸彈郵件、病毒郵件等問題，已經引起了人們高度的重視。要解決電子郵件的平安問題，有3種研究的途徑：端到端的平安電子郵件技術、傳輸層的平安電子郵件技術、郵件效勞器平安技術。.Web平安技術的研究Web平安威脅類型：對Web效勞器的平安威脅對Web瀏覽器的平安威脅對通信信道的平安威脅.從網絡體系結構的角度，Web平安技術的研究可以分別從網絡層協(xié)議、傳輸層協(xié)議和應用層協(xié)議著手。Web平安涉及操作系統(tǒng)、數(shù)據(jù)庫、防火墻、應用程序與其他多項平安技術，是一個系統(tǒng)的平安工程，不能簡單地從Web協(xié)議的角度去解決問題。只有綜合考慮各方面的因素，集成多種平安技術，才能夠切實保證Web系統(tǒng)的平安。.10.4無線自組網平安技術研究10.4.1無線自組網平安技術的根本概念無線自組網平安技術研究的根本內容.10.4.2無線自組網平安的脆弱性無線鏈路網絡拓撲動態(tài)變化結點的漫游特性.10.4.3無線自組網的平安威脅對路由的攻擊對數(shù)據(jù)傳輸?shù)墓魧π湃侮P系的攻擊假冒攻擊拒絕效勞攻擊.10.4.4無線自組網平安方案基于口令的認證協(xié)議多層次平安保護對策異步分布式密鑰管理模型分級混合網絡體系結構平安路由認證協(xié)議與密鑰管理入侵檢測.10.5無線傳感器網絡平安技術研究10.5.1無線傳感器網絡平安問題的特殊性無線傳感器網絡使用的是無線信道進行組網和數(shù)據(jù)傳輸，而無線信道是很容易受到干擾、竊聽和攻擊的，攻擊無線傳感器網絡的途徑比較多。作為執(zhí)行某一個特定任務的端網絡系統(tǒng)，無線傳感器網絡只擔負著傳感器結點所產生的數(shù)據(jù)的傳輸任務，而不會有其他網絡的數(shù)據(jù)要經過它傳輸。.無線傳感器結點所有的操作都依靠自身所帶的電池供電。傳感器結點的計算能力、存儲能力、通信能力受到結點自身所帶能源的限制。一個實際傳感器網絡的結點數(shù)可能少那么幾十個，多那么上千個。在這樣一個大規(guī)模網絡的設計中，還必須在單個結點的平安性與對整個網絡的平安影響之間進行權衡。.10.5.2無線傳感器網絡平安隱患的分類無線傳感器網絡在各層次可能受到攻擊的類型.10.5.3無線傳感器網絡平安技術研究的內容與進展無線傳感器網絡的平安是一個有挑戰(zhàn)性的課題，目前的研究工作還僅僅是開始，需要研究的問題還有很多，這也為研究人員提供了很大的開展空間。.10.6RFID系統(tǒng)與3G平安技術的研究10.6.1RFID系統(tǒng)的平安問題RFID在平安缺陷：RFID標識自身訪問的平安性問題通信信道的平安性問題RFID閱讀器的平安性問題RFID閱讀器的平安性問題.10.6.2的平安問題病毒攻擊可能的四種方式：以病毒短信的方式直接攻擊本身，使無法提供效勞。攻擊WAP效勞器，使WAP無法接收正常信息。攻擊和控制移動通信網絡與互聯(lián)網的網關，向發(fā)送垃圾信息。攻擊整個網絡。.2004年～2005年病毒開展的情況.