物联网中的信息安全技术：物联网安全的保障.ppt

吴功宜编著 1 智慧的物联网 感知中国与世界的技术 第10章物联网中的信息安全技术 物联网安全的保障 2 本章的中心思想 我们在兴奋地讨论物联网能够给社会发展带来很多好处的同时 不禁会有些许惆怅 因为我们知道 物联网是运行在互联网之上 它是互联网功能的扩展 那么 我们也就承认了 物联网将面临更加复杂的信息安全局面 我们必须在研究物联网应用的同时 从道德教育 技术保障与法制环境完善的三个角度出发 为物联网的健康发展创造一个良好的环境 3 本章主要内容 物联网安全中的六大关系近年来网络安全形势的演变共性化的网络安全技术研究与发展无线自组网安全技术研究无线传感器网络安全技术研究RFID系统与手机安全技术的研究 4 10 1物联网安全中的六大关系 10 1 1物联网安全与现实社会安全的关系网络虚拟社会与现实社会的关系 5 10 1 2物联网安全与计算机 计算机网络安全的关系 6 10 1 3物联网应用系统建设与安全系统建设的关系 物联网安全问题不应该简单地认为是从事物联网安全技术工程师的事 也是每位信息技术领域的工程师与管理人员共同面对的问题 在规划一种物联网应用系统时 除了要规划出建设系统 硬件 软件 网络 通信与维护 所需的资金 还需要考虑一定比例的经费用于安全系统的建设 7 10 1 4物联网安全与密码学的关系 密码学是研究网络安全所必需的一个重要的工具与方法 但是物联网安全研究所涉及的问题要广泛得多 8 10 1 5物联网安全与国家信息安全战略的关系 如果我们将这个社会和国家的人与人 人与物 物与物都连接在物联网中 那么物联网的安全同样要对国家安全产生深刻的影响网络安全问题已成为信息化社会的一个焦点问题 每个国家只能立足于本国 研究网络安全技术 培养专门人才 发展网络安全产业 才能构筑本国的网络与信息安全防范体系 9 10 1 6物联网安全与信息安全共性技术的关系 从技术角度看 物联网是建立在互联网的基础之上 因此互联网所能够遇到的信息安全问题 在物联网中都会存在 只可能在表现形式不一样 10 从应用的角度看 物联网上传输的是大量涉及企业经营的物流 生产 销售 金融数据 以及有关社会运行的一些数据 保护这些有经济价值和社会价值的数据安全要比保护互联网上音乐 视频 游戏数据重要得多 困难得多 11 从物理传输技术的角度看 物联网更多地依赖于无线通信技术 而无线通信技术很容易被干扰和窃听 攻击无线信道是比较容易的 保障物联网无线通信安全也就更困难 12 从构成物联网的端系统的角度 无线传感器网络一旦转向大规模民用 无线传感器网络的安全问题就会立即凸显出了 物联网中将大量使用RFID技术 已经有人在研究攻击RFID标签与标签读写设备的方法 13 物联网的研究与应用刚刚开始 我们缺乏足够的管理经验 更谈不上保护物联网安全运行的法律法规 在研究技术及应用时 必须组织力量同步研究物联网安全技术 物联网应用中的道德与法律问题 以保证物联网的健康发展 14 物联网与互联网安全问题之间的关系 15 10 2近年来网络安全形势的演变 10 2 1互联网安全威胁发展总的趋势受经济利益驱动 网络攻击的动机已经从初期的恶作剧 显示能力 寻求刺激 逐步向有组织犯罪方向发展 甚至是有组织的跨国经济犯罪 网络罪犯正逐步形成了黑色产业链 网络攻击日趋专业化和商业化 16 网络犯罪活动的范围将随着互联网的普及 逐渐从经济发达国家与地区向一些发展中国家和地区发展 网络攻击开始出现超出传统意义上的网络犯罪的概念 正在逐渐演变成某些国家或利益集团的重要的政治 军事工具 以及恐怖分子活动工具 17 网络安全威胁特点的演变 18 10 2 2近期网络安全威胁的主要特点 网络攻击从针对计算机逐步转向终端用户Web应用平台的漏洞是网络攻击主要的对象与渠道地下交易体系呈现专业化与商业化的趋势网络病毒 垃圾邮件 网络攻击持续攀升 智能手机成为新的攻击目标 19 10 3共性化的网络安全技术研究与发展 10 3 1网络安全技术内容与分类 20 网络安全技术研究的基本内容 网络安全体系结构的研究网络安全威胁分析网络安全模型网络安全体系系统安全评估的标准和方法 21 网络安全防护技术防火墙技术入侵检测技术防攻击技术防病毒技术安全审计计算机取证技术业务持续性技术 22 密码应用技术对称密码体制与公钥密码体制密码体系消息认证与数字签名技术信息隐藏技术公钥基础设施PKI技术 23 网络安全应用技术IP安全VPN技术电子邮件安全Web安全网络信息过滤技术 24 10 3 2网络攻击的分类 25 网络安全威胁的层次 主干网络的威胁TCP IP协议安全威胁网络应用的威胁 26 服务攻击与非服务攻击的基本概念 服务攻击是指对为网络提供某种服务的服务器发起攻击 造成该网络的 拒绝服务 使网络工作不正常 特定的网络服务包括E mail Telnet FTP Web服务等 27 非服务攻击不针对某项具体应用服务 而是针对网络层及低层协议进行的 攻击者可能使用各种方法对网络通信设备 例如路由器 交换机 发起攻击 使得网络通信设备工作严重阻塞或瘫痪 28 网络攻击手段的分类 29 10 3 3网络安全防护技术研究 防火墙的基本概念防火墙是在网络之间执行控制策略的系统 它包括硬件和软件 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用 防止内部受到外部非法用户的攻击 防火墙为内部网络建立安全边界 30 入侵检测技术的基本概念入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统 目的是监测和发现可能存在的攻击行为 包括来自系统外部的入侵行为和来自内部用户的非授权行为 并采取相应的防护手段 31 安全审计的基本概念安全审计是对用户使用网络和计算机所有活动记录分析 审查和发现问题的重要的手段 安全审计对于系统安全状态的评价 分析攻击源 攻击类型与攻击危害 收集网络犯罪证据是至关重要的技术 32 10 3 4网络防病毒技术研究 恶意传播代码是一种软件程序 它能够从一台计算机传播到另一台计算机 从一个网络传播到一个网络 目的是在网络和系统管理员不知情的情况下 对系统进行故意地修改 恶意传播代码包括病毒 木马 蠕虫 脚本攻击代码 以及垃圾邮件 流氓软件与恶意的互联网代码 网络病毒问题的解决 只能从采用先进的防病毒技术与制定严格的用户使用网络的管理制度两个方面入手 33 10 3 5计算机取证的基本概念 计算机取证属于主动防御技术 针对网络入侵与犯罪 计算机取证技术是一个对受侵犯的计算机与网络设备与系统进行扫描与破解 对入侵的过程进行重构 完成有法律效力的电子证据的获取 保存 分析 出示的全过程 是保护网络系统的重要的技术手段 34 10 3 6网络业务持续性规划技术研究 网络文件备份恢复属于日常网络与信息系统维护的范畴 而业务持续性规划涉及对突发事件对网络与信息系统影响的预防技术 业务持续性规划技术的研究包括 规划的方法学问题 风险分析方法 数据恢复规划 35 10 3 7密码学及其应用技术的研究 密码技术是保证网络与信息安全的基础与核心技术之一 密码应用包括 加密与解密 密码体系分为 对称密码体系与非对称密码体系 非对称密码体系又称为公钥密码体系 36 消息验证与数字签名的研究消息验证与数字签名是防止主动攻击的重要技术 消息验证与数字签名在主要目的是 验证信息的完整性 验证消息发送者身份的真实性 利用数字签名可以实现以下功能 保证信息传输过程中的完整性 对发送端身份的认证 防止交易中的抵赖发生 37 身份认证技术的研究身份认证可以通过3种基本途径之一或它们的组合来实现 所知 个人所掌握的密码 口令等所有 个人的身份证 护照 信用卡 钥匙等个人特征 人的指纹 声纹 笔迹 手型 脸型 血型 视网膜 虹膜 DNA 以及个人动作方面的特征等 38 公钥基础设施PKI的研究公钥基础设施是利用公钥加密和数字签名技术建立的提供安全服务的基础设施 使用户能够在多种应用环境之下方便地使用加密的数字签名技术 保证网络上数据的机密性 完整性与不可抵赖性 公钥基础设施包括 认证中心 CA 注册认证中心 RA 实现密钥与证书的管理 密钥的备份与恢复等功能 39 信息隐藏技术的研究信息隐藏也称为信息伪装 它是利用人类感觉器官对数字信号的感觉冗余 将一些秘密信息以伪装地方式隐藏在非秘密信息之中 达到在网络环境中的隐蔽通信和隐蔽标识的目的 目前信息隐藏技术研究的内容大致可以分为 隐蔽信道 隐写术 匿名通信与版权标志等4个方面 40 10 3 8网络安全应用技术研究 IP安全VPN技术电子邮件安全Web安全 41 IP安全的研究IPSec协议的特征 IPSec可以向IPv4与IPv6提供互操作与基于密码的安全性 IPSec提供的安全服务包括 访问控制 完整性 数据原始认证等 IPSec协议是一个协议包 由三个主要的协议及加密与认证算法组成 42 VPN技术的研究 VPN是在公用通信网络的通信对端之间建立一条安全 稳定的通信隧道 为用户提供安全通信服务 VPN通过隧道技术 密码技术 密钥管理技术 用户和设备认证技术来保证安全通信服务的 隧道技术是实现VPN功能的基本技术 43 电子邮件安全技术的研究电子邮件存在的垃圾邮件 诈骗邮件 炸弹邮件 病毒邮件等问题 已经引起了人们高度的重视 要解决电子邮件的安全问题 有3种研究的途径 端到端的安全电子邮件技术 传输层的安全电子邮件技术 邮件服务器安全技术 44 Web安全技术的研究Web安全威胁类型 对Web服务器的安全威胁对Web浏览器的安全威胁对通信信道的安全威胁 45 从网络体系结构的角度 Web安全技术的研究可以分别从网络层协议 传输层协议和应用层协议着手 Web安全涉及操作系统 数据库 防火墙 应用程序与其他多项安全技术 是一个系统的安全工程 不能简单地从Web协议的角度去解决问题 只有综合考虑各方面的因素 集成多种安全技术 才能够切实保证Web系统的安全 46 10 4无线自组网安全技术研究 10 4 1无线自组网安全技术的基本概念无线自组网安全技术研究的基本内容 47 10 4 2无线自组网安全的脆弱性 无线链路网络拓扑动态变化结点的漫游特性 48 10 4 3无线自组网的安全威胁 对路由的攻击对数据传输的攻击对信任关系的攻击假冒攻击拒绝服务攻击 49 10 4 4无线自组网安全方案 基于口令的认证协议多层次安全保护对策异步分布式密钥管理模型分级混合网络体系结构安全路由认证协议与密钥管理入侵检测 50 10 5无线传感器网络安全技术研究 10 5 1无线传感器网络安全问题的特殊性无线传感器网络使用的是无线信道进行组网和数据传输 而无线信道是很容易受到干扰 窃听和攻击的 攻击无线传感器网络的途径比较多 作为执行某一个特定任务的端网络系统 无线传感器网络只担负着传感器结点所产生的数据的传输任务 而不会有其他网络的数据要经过它传输 51 无线传感器结点所有的操作都依靠自身所带的电池供电 传感器结点的计算能力 存储能力 通信能力受到结点自身所带能源的限制 一个实际传感器网络的结点数可能少则几十个 多则上千个 在这样一个大规模网络的设计中 还必须在单个结点的安全性与对整个网络的安全影响之间进行权衡 52 10 5 2无线传感器网络安全隐患的分类 无线传感器网络在各层次可能受到攻击的类型 53 10 5 3无线传感器网络安全技术研究的内容与进展 无线传感器网络的安全是一个有挑战性的课题 目前的研究工作还仅仅是开始 需要研究的问题还有很多 这也为研究人员提供了很大的发展空间 54 10 6RFID系统与3G手机安全技术的研究 10 6 1RFID系统的安全问题RFID在安全缺陷 RFID标识自身访问的安全性问题通信信道的安全性问题RFID阅读器的安全性问题RFID阅读器的安全性问题 55 10 6 2手机的安全问题 手机病毒攻击可能的四种方式 以病毒短信的方式直接攻击手机本身 使手机无法提供服务 攻击WAP服务器 使WAP手机无法接收正常信息 攻击和控制移动通信网络与互联网的网关 向手机发送垃圾信息 攻击整个网络 56 2004年 2005年手机病毒发展的情况 57 物联网环境中用手机作为最终用户访问的端系统设备会变得越来越多 因此研究针对手机和其他移动通信设备的安全技术就显得越来越重要了 58 本章小结 1 物联网是互联网功能的扩展 物联网将面临着更加复杂的信息安全问题 59 本章小结 2 了解物联网安全技术 先要搞清楚物联网安全与现实社会安全 物联网应用系统与安全系统 物联网安全与国家安全 物联网安全与密码学 以及物联网安全中共性与个性六大关系问题 60 本章小结 3 在研究和推广物联网应用的同时 必须从道德教育 技术保障与完善法制环境三个角度出发 为物联网的健康发展创造一个良好的环境 61