物聯(lián)網(wǎng)應(yīng)用技術(shù)概論（第2版）課件 第6章 物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)

第6章物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)物聯(lián)網(wǎng)應(yīng)用技術(shù)概論6.1本章的學(xué)習(xí)目標(biāo)1物聯(lián)網(wǎng)安全概述2物聯(lián)網(wǎng)分層安全體系3物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)4物聯(lián)網(wǎng)安全認(rèn)知實(shí)踐目錄CONTENTSPART016.2物聯(lián)網(wǎng)安全概述（1）物聯(lián)網(wǎng)安全的重要性6.2物聯(lián)網(wǎng)安全概述雖然物聯(lián)網(wǎng)發(fā)展速度日趨迅猛，但物聯(lián)網(wǎng)安全問(wèn)題也日益突出。黑客對(duì)物聯(lián)網(wǎng)攻擊的目標(biāo)或是通過(guò)直接控制物聯(lián)網(wǎng)設(shè)備達(dá)成，或是以物聯(lián)網(wǎng)設(shè)備為跳板攻擊其他設(shè)備或系統(tǒng)。時(shí)間地區(qū)公司或組織事件影響2022年3月德國(guó)Enercon近6000臺(tái)風(fēng)力發(fā)電機(jī)組失去遠(yuǎn)程控制服務(wù)此次歐洲衛(wèi)星通信受到大規(guī)模中斷，直接影響了中歐和東歐近6000臺(tái)裝機(jī)容量總計(jì)11GW的風(fēng)力發(fā)電機(jī)組的監(jiān)控和控制。2022年3月瑞士雀巢雀巢遭攻擊致10GB敏感資料外泄全球最大食品制造商雀巢（Nestlè）被披露了10GB的敏感數(shù)據(jù)，包括公司電子郵件、密碼和與商業(yè)客戶相關(guān)的數(shù)據(jù)，以懲罰其未停止在俄羅斯的業(yè)務(wù)。同時(shí)，匿名者黑客組織還呼吁全面抵制雀巢產(chǎn)品。2023年5月

ABB公司工業(yè)自動(dòng)化巨頭ABB遭遇勒索軟件攻擊BleepingComputer從多名員工處獲悉，勒索攻擊影響了公司的WindowsActiveDirectory，涉及數(shù)百臺(tái)設(shè)備。為此，ABB終止了與其客戶的VPN連接，以防止勒索軟件傳播到其他網(wǎng)絡(luò)。2023年5月

卡巴斯基暗網(wǎng)服務(wù)：DDoS攻擊、僵尸網(wǎng)絡(luò)和零日物聯(lián)網(wǎng)漏洞卡巴斯基數(shù)字足跡情報(bào)服務(wù)分析人員在各種暗網(wǎng)論壇上發(fā)現(xiàn)了700多條DDoS攻擊服務(wù)廣告。這些服務(wù)的成本取決于受害者方面的DDoS保護(hù)、驗(yàn)證碼和JavaScript驗(yàn)證等因素，從每天20美元到每月10,000美元不等。廣告提供的這些服務(wù)的平均價(jià)格為每天63.5美元或每年1350美元物聯(lián)網(wǎng)安全的重要性6.2物聯(lián)網(wǎng)安全概述安全事件的頻發(fā)，引起了業(yè)界對(duì)物聯(lián)網(wǎng)安全問(wèn)題的廣泛關(guān)注。致使針對(duì)物聯(lián)網(wǎng)安全的投入也逐漸增長(zhǎng)。（1）物聯(lián)網(wǎng)安全的重要性6.2物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全關(guān)系整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展，如果不能妥善解決物聯(lián)網(wǎng)安全問(wèn)題，將極大地阻礙物聯(lián)網(wǎng)技術(shù)的發(fā)展和物聯(lián)網(wǎng)應(yīng)用的推廣，甚至?xí)绊懙絿?guó)家安全。各國(guó)政府對(duì)物聯(lián)網(wǎng)安全都很重視:2019年5月中國(guó)頒布的《等級(jí)保護(hù)2.0》標(biāo)準(zhǔn)包括物聯(lián)網(wǎng)的安全擴(kuò)展要求，針對(duì)不同的安全等級(jí)給出不同的要求。物聯(lián)網(wǎng)安全擴(kuò)展針對(duì)感知層提出特殊安全要求，與安全通用要求一起構(gòu)成對(duì)物聯(lián)網(wǎng)的完整安全要求。美國(guó)安全國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)對(duì)物聯(lián)網(wǎng)安全也有專門的項(xiàng)目并發(fā)布了相關(guān)的指南。（2）物聯(lián)網(wǎng)的安全架構(gòu)6.2物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)場(chǎng)景對(duì)信息安全的要求和傳統(tǒng)的互聯(lián)網(wǎng)存在較大差別。在傳統(tǒng)場(chǎng)景下，首要考慮機(jī)密性，其次是完整性，最后是可用性。在物聯(lián)網(wǎng)環(huán)境下，優(yōu)先級(jí)發(fā)生了變化，可用性的重要性上升。從邏輯結(jié)構(gòu)來(lái)看，物聯(lián)網(wǎng)的核心分為感知層、網(wǎng)絡(luò)層、處理層和應(yīng)用層。（2）物聯(lián)網(wǎng)的安全架構(gòu)6.2物聯(lián)網(wǎng)安全概述無(wú)論是物聯(lián)網(wǎng)應(yīng)用的系統(tǒng)架構(gòu)還是物聯(lián)網(wǎng)邏輯架構(gòu)，本質(zhì)都是一種層次化的結(jié)構(gòu)，而每個(gè)層次都涉及到物聯(lián)網(wǎng)的安全問(wèn)題。（3）物聯(lián)網(wǎng)安全的特殊性6.2物聯(lián)網(wǎng)安全概述與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)安全的特殊性主要表現(xiàn)在以下幾個(gè)方面：分層模型電磁干擾資源受限網(wǎng)絡(luò)異構(gòu)（4）物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)6.2物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)作為一種多網(wǎng)融合的異構(gòu)網(wǎng)絡(luò)，其安全問(wèn)題涉及到各個(gè)網(wǎng)絡(luò)的不同層次。雖然移動(dòng)網(wǎng)和互聯(lián)網(wǎng)的安全研究時(shí)間較長(zhǎng)，但由于物聯(lián)網(wǎng)本身的特殊性，致使其安全問(wèn)題的研究難度較大，基本還處于起步階段。（4）物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)6.2物聯(lián)網(wǎng)安全概述物聯(lián)網(wǎng)安全主要的關(guān)鍵技術(shù)：芯片級(jí)安全技術(shù)內(nèi)存安全技術(shù)輕量級(jí)密碼技術(shù)認(rèn)證技術(shù)訪問(wèn)控制技術(shù)隱私保護(hù)技術(shù)入侵檢測(cè)技術(shù)病毒檢測(cè)技術(shù)安全路由技術(shù)……PART026.3物聯(lián)網(wǎng)分層安全體系按照物聯(lián)網(wǎng)分層安全體系的不同層次面臨各種安全威脅。6.3物聯(lián)網(wǎng)分層安全體系感知終端設(shè)備/網(wǎng)關(guān)設(shè)備因?yàn)樾枰M(jìn)行運(yùn)算，通常具備MCU或CPU，大多數(shù)采用了RTOS、Linux或Android等通用操作系統(tǒng)，但又因技術(shù)、成本、硬件性能等多種因素制約使得無(wú)法部署上安全能力，導(dǎo)致其攻擊面相對(duì)較多，成為物聯(lián)網(wǎng)端側(cè)最易受攻擊的目標(biāo)。。（1）感知層的安全問(wèn)題與安全機(jī)制節(jié)點(diǎn)俘獲仿冒篡改暴力破解節(jié)點(diǎn)克隆身份偽造路由攻擊拒絕服務(wù)隱私泄露……6.3物聯(lián)網(wǎng)分層安全體系（2）網(wǎng)絡(luò)層的安全問(wèn)題網(wǎng)絡(luò)層主要用于把感知層收集到的信息安全可靠地傳輸?shù)教幚韺印Ｒ虼司W(wǎng)絡(luò)層主要包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)、衛(wèi)星網(wǎng)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施。信息在傳輸?shù)倪^(guò)程中可能會(huì)經(jīng)過(guò)多個(gè)異構(gòu)網(wǎng)絡(luò)的交接。分布式拒絕服務(wù)攻擊中間人攻擊異構(gòu)網(wǎng)絡(luò)攻擊路由攻擊6.3物聯(lián)網(wǎng)分層安全體系（2）應(yīng)用層的安全問(wèn)題應(yīng)用層是結(jié)合具體用戶需求和業(yè)務(wù)模型，來(lái)構(gòu)建場(chǎng)景應(yīng)用。是綜合的或帶有個(gè)性特征的具體應(yīng)用業(yè)務(wù)。在應(yīng)用層，攻擊者可利用已知的漏洞（如緩沖區(qū)溢出、SQL注入、SCRF等）、錯(cuò)誤的配置或后門，獲得更高的權(quán)限，破壞應(yīng)用的安全性。仿冒篡改抵賴隱私泄露惡意代碼DoS提權(quán)社會(huì)工程非授權(quán)訪問(wèn)數(shù)據(jù)攻擊會(huì)話攻擊6.3物聯(lián)網(wǎng)分層安全體系PART036.4物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)（1）云計(jì)算面臨的安全風(fēng)險(xiǎn)云計(jì)算概念自提出以來(lái)一直面臨著不少嚴(yán)峻的安全問(wèn)題。如何構(gòu)建安全的云計(jì)算環(huán)境成為當(dāng)前計(jì)算機(jī)學(xué)科研究的熱點(diǎn)問(wèn)題之一。云計(jì)算面臨的安全風(fēng)險(xiǎn)主要體現(xiàn)在以下幾個(gè)方面：身份安全數(shù)據(jù)安全虛擬機(jī)安全網(wǎng)絡(luò)安全服務(wù)安全6.4物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)（2）WLAN面臨的安全風(fēng)險(xiǎn)無(wú)線局域網(wǎng)（WirelessLocalAreaNetwork,WLAN）由于傳輸介質(zhì)的開放性，因此與有線網(wǎng)絡(luò)相比，其脆弱性更為嚴(yán)重，面臨安全風(fēng)險(xiǎn)和安全問(wèn)題也更大。WLAN面臨的安全風(fēng)險(xiǎn)主要有：非法接入AP偽裝數(shù)據(jù)篡改報(bào)文重放拒絕服務(wù)6.4物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)（3）IPv6面臨的安全風(fēng)險(xiǎn)IPv6被稱為下一代網(wǎng)際協(xié)議，引入IPv6的一個(gè)重要的原因是它解決了IP地址匱乏的問(wèn)題。下一代互聯(lián)網(wǎng)的開放式接口增多，網(wǎng)絡(luò)應(yīng)用的規(guī)模和速度也大幅提高。對(duì)應(yīng)的安全性風(fēng)險(xiǎn)也隨之增大。IPv6協(xié)議中由于引入了許多新的協(xié)議，新協(xié)議的特征可能會(huì)被攻擊利用，完成對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊。在網(wǎng)絡(luò)管理方面，PKI管理在IPv6中是一個(gè)懸而未決的問(wèn)題。另外，像IPv4向IPv6過(guò)渡技術(shù)、IPv6組播技術(shù)、移動(dòng)IPv6技術(shù)仍然存在很多新的安全挑戰(zhàn)。6.4物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)（4）無(wú)線傳感器網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)在無(wú)線傳感網(wǎng)中，大多數(shù)傳感器節(jié)點(diǎn)在部署前，網(wǎng)絡(luò)拓?fù)涫菬o(wú)法預(yù)知的，同時(shí)部署后，整個(gè)網(wǎng)絡(luò)拓?fù)?、傳感?jié)點(diǎn)在網(wǎng)絡(luò)中的角色也是經(jīng)常變化的，與傳統(tǒng)的有線網(wǎng)和無(wú)線網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備事先進(jìn)行完全配置不同，無(wú)線傳感網(wǎng)中，對(duì)傳感器節(jié)點(diǎn)進(jìn)行預(yù)配置的范圍是有限的，很多網(wǎng)絡(luò)參數(shù)、密鑰等都是傳感節(jié)點(diǎn)在部署后進(jìn)行協(xié)商后形成的。因此，無(wú)線傳感器網(wǎng)絡(luò)容易遭受傳感節(jié)點(diǎn)的物理操縱、傳感信息的竊聽(tīng)、拒絕服務(wù)攻擊、私有信息的泄露等多種威脅和攻擊。6.4物聯(lián)網(wǎng)面臨的其他安全風(fēng)險(xiǎn)（5）基于RFID的物聯(lián)網(wǎng)應(yīng)用安全RFID（RadioFrequencyIdentification）技術(shù)是物聯(lián)網(wǎng)應(yīng)用中一個(gè)比較重要的通信技術(shù)。主要利用微波、低頻、高頻和超高頻的