《物联网安全技术》PPT课件.ppt

魏旻 第十二章物联网安全技术 物联网的安全与隐私保护问题直接关系到物联网服务能否得到真正的实际推广应用 物联网安全问题已成为热点 在本章中分析了物联网安全特征和面临的安全威胁 讨论了物联网安全的体系架构 物联网安全管理和一些安全关键技术 如密钥管理 安全路由 隐私保护 认证与访问控制等 同时 也探讨了基于IPv6的物联网的安全问题 以及安全管理 PAGE1 PAGE02 12 1物联网的安全概述 12 1 1物联网安全特征 轻量级 大众化 非对称 复杂性 PAGE03 12 1 2物联网安全威胁分析 感知层安全威胁 感知层普遍的安全威胁是某些普通节点被攻击者控制之后 其与关键节点交互的所有信息都将被攻击者获取 攻击者的目的除了窃听信息外 还可能通过其控制的感知节点发出错误信息 从而影响系统的正常运行 网络层很可能面临非授权节点非法接入的问题 互联网或者下一代网络将是物联网网络层的核心载体 互联网遇到的各种攻击仍然存在 网络层安全威胁 应用层安全威胁 云计算等新兴技术的使用会给攻击者提供截取 篡改数据的机会 同时会利用软件系统的漏洞 缺陷 井对密钥进行破解 达到非法访问数据库系统的目的 造成重大损失 PAGE04 12 1 3物联网安全体系结构 PAGE05 感知层安全主要分为设备物理安全和信息安全两类 网络层安全主要包括网络安全防护 核心网安全 移动通信接入安全和无线接入安全等 应用层安全除了传统的应用安全之外 还需要加强处理安全 数据安全和云安全 因此应用层需要一个强大而统一的安全管理平台 物联网安全架构 PAGE06 12 2物联网的安全关键技术 12 2 1密钥管理机制 无线传感器网络密钥管理系统安全 密钥生成或更新算法的安全性 前向私密性 后向私密性和可扩展性 抗同谋攻击 源端认证性和新鲜性 PAGE07 密匙管理系统可分为基于对称密钥系统的方法和基于非对称密钥系统的方法 基于对称密钥的管理系统 从分配方式上也可分为三类 基于密钥分配中心方式 预分配方式和基于分组分簇方式 非对称密钥系统典型算法为基于身份标识的加密算法 IBE 12 2 2数据处理与隐私性 采用匿名技术 主要包括基于代理服务器 路由和洋葱路由的匿名技术 采用署名技术 主要是P3P技术即隐私偏好平台 隐私保护技术的主要方式 PAGE08 12 2 3安全路由 无线传感器网络路由协议常受到的攻击主要有以下几类 虚假路由信息攻击 选择性转发攻击 污水池攻击 女巫攻击 虫洞攻击 Hello洪泛攻击 确认攻击等 PAGE09 12 2 4认证与访问控制 网络中的认证主要包括身份认证和消息认证 在物联网中 业务应用与网络通信紧紧地绑在一起 认证有其特殊性 PAGE10 基于属性的访问控制 ABAC 是近几年研究的热点 ABAC方法的问题是对较少的属性来说 加密解密的效率较高 目前有两个发展方向 基于密钥策略和基于密文策略 访问控制是对用户合法使用资源的认证和控制 目前信息系统的访问控制主要是基于角色的访问控制机制 RBAC 及其扩展模型 RBAC的缺陷 12 2 5恶意代码防御 PAGE11 恶意代码防御可采用基于现有网络中的恶意代码防御机制 并结合分层防御的思想 从而加强物联网中的恶意代码防御能力 1 分层防御的思想 即在传感器网络层或M2M终端部署入侵检测机制检测异常流量及恶意代码 以便从源头控制恶意代码的复制和传播 2 传感器网关可作为防御机制中的第二层控制节点 负责恶意代码 异常流量的简单分析和上报处理 3 核心网为恶意代码防御服务器作为恶意代码防御机制的第三层防御控制节点 负责恶意代码的分析 处理 12 2 6入侵检测与容侵容错技术 分布式入侵检测通过设置自治Agent 代理人 入侵检测Agent IDA 通信服务Agent TSA 和状态检查Agent SDA 来实现对网络数据的入侵检测 容侵就是指在网络中存在恶意入侵的情况下 网络仍然能够正常地运行 现阶段物联网的容侵容错技术主要体现为无线传感器网络的容侵容错技术 12 2 7基于IPv6物联网的安全技术 无线传感器网络在引入IPv6协议以后 给传感网带来了新的安全问题 IPv6网络层数据传输安全问题及需求分析 PAGE12 IPv6路由安全问题及需求分析 RPL路由协议中 Rank的主要功能是创建最优的网络拓扑 避免环路和管理控制开销 攻击节点可以通过篡改自己的Rank值在攻击者附近构建一个sinkhole 吸引周围节点向其发送数据 互联互通系统安全问题及需求分析 PAGE13 具体来讲 安全管理包括设备管理 拓扑管理 事件管理 策略管理和应急管理 PAGE14 12 3物联网的安全管理 PAGE15 密钥管理 访问控制 访问控制列表 安全管理信息库 节点身份鉴别 IPv6传感网的安全管理 网关安全管理使用IPv6传感网接口和Internet用户接口对传感网数据和Internet用户访问信息进行处理 其功能结构如下图所示 PAGE16 安全管理者由管理信息库 核心处理模块和安全算法模块构成 管理信息库完成数据存储功能 PAGE17 核心处理模块传感网接口和用户接口分别处理IPv6传感网和转发用户信息 安全算法模块集成标准IPSecSAD库 轻量级IPSec采用的轻量级密码算法和AES加解密等安全算法 Thankyou PAGE18