为您推荐:
精华内容
最热下载
问答
  • 4星
    206.18MB goodxianping 2021-08-05 14:32:15
  • 5星
    11.07MB weixin_44573410 2021-03-12 21:36:09
  • 5星
    357KB qq_45430571 2021-07-30 11:23:12
  • 5星
    3.91MB lj_70596 2021-01-09 11:03:39
  • 5星
    723.01MB qq_17695025 2021-06-20 18:16:21
  • 5星
    9MB weixin_44573410 2021-01-31 15:14:30
  • 5星
    372.38MB goodxianping 2021-07-19 11:06:26
  • 5星
    3.69MB goodxianping 2021-05-18 12:54:39
  • 物联网概念是基于“互联网概念”上的,这一概念早在2000年就已经被美国提出,起初叫传感器,它的定义为,利用信息传感设备,如射频识别、红外感应器等设备,在约定协议中通过物联网域名把物品进行...

    物联网概念是基于“互联网概念”上的,这一概念早在2000年就已经被美国提出,起初叫传感器,它的定义为,利用信息传感设备,如射频识别、红外感应器等设备,在约定协议中通过物联网域名把物品进行连接和信息交换、通信。以达到对智能对象的识别、定位、管理和监控。物联网的出现不仅是信息化产业的一场全球性革命,也为我们的生活带来了巨大的变化。它在影响着技术产业发展和创新的同时,在全球范围内得到了广泛的重视。同时,随着物联网的技术手段的发展,信息安全问题也逐渐凸显出来。

    物联网的安全问题

    1、物联网安全问题———感知节点问题

    物联网应用方面有许多人类无法取代的优势,其中能够在高温、低温等一些恶劣环境中代替人类工作是物联网的优势之一。因此感知节点就会安装在一些无人监管的环境当中。对感知节点进行破坏甚至是更换感知节点相应的配件,对于一些攻击者来说是十分容易的事。

    2、物联网安全问题———标签问题

    一些攻击者会窃取射频识别标签的实体,通过专业手法将标签内部的实体芯片拆除以达到获取信息的目的。同时由于阅读器读取标签中信息是通过无线射频信号,无线射频信号不能区分阅读器的合法性,还穿透力十分强大,可直接穿过建筑进行传播。这就造成了自身频率与攻击者发出的频率吻合,攻击者就可以在标签所有者不知情的情况下对标签进行读取,而标签所有者的一些重要信息,如:个人身份认证、密码等信息都包含在标签中。且标签的嵌入对象被随身携带,攻击者就可以随时掌握携带者的地理位置。

    3、物联网的安全问题———通信安全

    物联网的感知节点容易遭到破坏,物联网使用的无线信道为开放信道,这是造成传输过程中无线信号被窃听和破坏的根本原因。物联网处于无线网络和传感网络的工作环境中时,攻击者可以将恶意程序通过若干个入口实施入侵。

    物联网的安全问题及对策

    1、创建物联网安全网络架构

    目前为止物联网的发展仍在初级阶段,技术手段还未十分完善,各个节点在网络层使用协议并没有完整统一,一些地区甚至使用的协议的还是地域性协议。同时也是因为各节点间的协议还没有统一,这就给攻击者带来了很多机会,给物联网安全带来隐患。所以,提高物联网的安全性,最重要的一点就是统一网络层的协议。

    2、物联网节点的本地安全

    物联网感知节点容易遭到攻击者的破坏、复制等问题,需从以下两个方面进行解决。一是在资金充足的前提下,可以通过互联网远程终端管理平台对感知节点进行管理和监控。并对某些关键节点可以通过设置多余节点,来保证关键节点遭到破坏网络系统还能进行自我修复。二是感知节点为何容易遭到物理破坏?由于传感器网络的特性所导致,传感器网络的安全性能可以通过其它技术改帮助改善。

    3、保障物联网的传输安全

    传输安全是物联网安全很重要的一个方面。如何提高传输安全,可以通过建立秘钥管理制度,来帮助提高物联网信息安全。其中包括:建立临时秘钥和建立共享秘钥。根据不同的情况选取符合情况的秘钥。同时,对于临时秘钥和共享秘钥,还需要全面提高机密算法和秘钥的管理制度。

    4、加强物联网制度的保障

    通过建立制度保障来防止泄密情况的发生。制约和规范作为制度保障的两个不同方面。制定严格的规范制度从程序和应用方面减少物联网在运转过程中不利因素发生。制约则是指通过保护物联网的安全性能,从而降低物联网来自外部的威胁。物联网作为一种新兴事物,我们每一个人都应该自觉遵守其中的管理制度,同时国家也应该完善物联网的安全管理制度,从立法的角度保护物联网的运行。

    在日常生活中,物联网所扮演的角色逐渐变得更加重要,生产生活活动都与物联网息息相关。物联网的安全不仅涉及到个人隐私问题,还涉及到财产安全问题。一旦发生信息泄露,各种重要的信息就会被不法分子所掌握,所以物联网安全问题应该被更加重视。完善物联网系统和功能。通过国家立法维护物联网市场活动的正常运行,日常监管,以防止不法分子窃取重要情报,危害国家安全,为人民的财产安全带来损害。

    互联互通社区


    互联互通社区专注于IT互联网交流与学习,关注公众号:互联互通社区,每日获取最新报告并附带专题内容辅助学习。方案打造与宣讲、架构设计与执行、技术攻坚与培训、数据中台等技术咨询与服务合作请+微信:hulianhutongshequ

    展开全文
    kymdidicom 2021-01-07 00:00:00
  • 物联网安全:基于机器学习、人工智能和区块链技术的挑战和解决方案背景介绍物联网IoT基础设施物联网协议IoT 应用物联网面临的攻击三种技术下的物联网安全调研区块链机器学习人工智能物联网当前的挑战 背景介绍 ...

    背景介绍

    物联网(IoT)是过去十年在各种应用中使用最快的技术之一。智能设备通过无线或有线连接,用于通信、处理、计算和监控不同的实时场景。这些东西是异构(种类繁多,生产厂家不一而性能差距非常大)的,内存低,处理能力差。物联网系统的实施伴随着安全和隐私方面的挑战,因为基于传统的现有安全协议不适合物联网设备。
    本文将说明物联网的主要的安全问题CIA(机密、完整性、可用性)和分层问题题。然后,调查了多种用于解决物联网安全问题的机器学习(ML)、人工智能(AI)和区块链三种主要技术。并在最后说明三项技术的局限性。

    物联网

    物联网(IoT)是在互联网上共享信息的智能万物构建的联网。智能设备用于部署在不同的环境中来捕获信息,并触发一些事件。物联网的应用包括智慧城市、智能家居、智能交通系统、农业、医院、供应链系统、地震检测、智能电网系统等。
    在这里插入图片描述
    据思科估计,到2020年底,联网设备数量将达到500亿。随着物联网设备的增长,它正迅速跨越世界人口总数。物联网设备产生的数据是巨大的。在传统物联网中,架构分为物理、网络和应用层三种类型。在物理层,设备被嵌入某种技术,通过这种技术,它们可以感知环境,也可以通过有线或无线连接到其他设备。就像智能家居系统一样,冰箱可以在水果柜清空时自动向注册零售商下订单,并将通知发送给家庭用户。智能医院患者的相似性可以在紧急情况下通过传感器和相应的计算设备进行监测。由于传感器属于低端设备,计算能力较低,且具有异构特性。物联网的实现伴随着许多挑战。
    标准化、互操作性、数据存储、处理、信任管理、身份、机密性、完整性、可用性、安全性和私密性等属性均属于物联网现有的挑战。物联网在不同的实时应用中具有很大的应用潜力。它集传感器、智能设备、射频识别(RFID)和互联网于一体,构建智能系统。Goldman Sachs估计到2020年,280亿个智能设备将连接到一个不同的网络。在过去十年中,物联网的发展融合了从传感器到云计算以及雾/边缘计算的一切。物联网具有不同类型的网络,如分布式、普适性、网格和车联网。像传感器部署在危急病人的身体来监测,监测气体泄漏智能厨房,农业领域、智能停车场、智能交通、跟踪货物详细信息在供应链系统中使用传感器的车辆。传感器是通过有线或无线跨异构网络连接的资源受限设备。物联网网络具有不同的安全性和私密性,容易受到攻击。

    IoT基础设施

    在这里插入图片描述
    物联网分为物理层、网络层和应用层。最近工业发展的很多东西都嵌入了智能的东西(IIoT)。物联网基础设施不仅包括传感器,还集成了一些新兴技术。物联网应用是基于物联网云或物联网雾云。为了高效的物联网应用,需要解决数据隐私、D2D通信,实时监控和物联网试验台等安全问题。物联网的架构可以是集中式、分布式、分散式结构。在物联网应用中,实时处理和计算是最具挑战性的问题之一。云计算提供了更多的存储空间,保证了数据的安全性。但近年来,大多数实时监控物联网应用都要求在网络边缘进行处理和计算。从而可以迅速采取行动,如监测严重病人的健康状况,火灾检测。当使用雾设备在网络边缘进行处理和计算时,由于它们的设备是轻量级设备,传统的安全措施并不适用,因此更容易受到攻击者的攻击。在分析数据时,最近使用了一种类似机器学习的技术,使物联网系统在决策时更加智能和独立。将不同的智能设备连接起来,使用一些标准协议来创建一个应用程序。物联网基础设施存在安全问题,需要解决这一问题,以建立终端用户之间的信任,并使系统防篡改。物联网系统中的数据互操作性使用智能算法工作。

    物联网协议

    物联网的基本架构是一个四层网络。每一层都包含如下所示的一些标准协议
    在这里插入图片描述
    依次展开讲解:

    • MQTT: MQTT为MQ遥测传输。它是一种简单易用的发布/订阅消息传递协议,专为受限设备和低带宽、高延迟或不可靠的网络设计。设计原则是尽量减少对网络带宽和设备资源的要求,同时努力确保可靠性和某种程度的交付保证。这些原则也使该协议成为新兴的低端连接设备“机器对机器”(M2 M)或“物联网”世界的理想协议。

    • CoAP:约束应用协议(Constrained Application Protocol, CoAP),在RFC 7252中定义,是针对受限设备的专用Internet应用协议。它允许那些被称为“节点”的受限设备使用类似的协议与更广泛的网络进行通信互联网。CoAP被设计用于同一网络上的设备。

    • REST: REST代表状态转移成员。REST是一种基于web标准并使用HTTP协议的架构。它围绕着资源展开,其中每个元素都是资源,并且通过特定接口使用标准HTTP方法访问资源。Roy Fielding在2000年引入了REST。REST服务器提供对REST体系结构中的资源的访问,REST用户访问和修改资源。在这里,URIs /全局id对每个资产进行分类。REST使用各种表示来描述资源,如文本、JSON、XML

    • AMQP: 用于在应用程序或组织之间传输业务消息的开放标准是高级消息队列协议(AMQP)。它连接系统,为业务流程提供所需的信息,并可靠地转发实现其目标的指令。

    • TCP: 老熟人,传输控制协议(TCP)是一种面向连接的通信协议,它提供了在网络中计算机设备之间交换消息的工具。

    • UDP: 老熟人,传输层协议是用户数据报协议(UDP)。UDP是互联网协议套件的一部分,称为UDP/ IP。与TCP一样,该协议也不稳定且无连接

    • DCCP:DCCP提供了一种访问拥塞控制机制的方法,而不必在应用层实现它们。它允许传输控制协议(TCP)中的基于流的半导体,但不提供可靠的按订单交付。与流控制一样,在DCCP中不可能在多个流之间进行顺序传输传输协议(SCTP)。DCCP链路既需要网络确认,也需要数据流量。鸣谢通知发送者他们的数据包已经到达,以及他们是否被贴上了明确的Conges通知

    • SCTP: 流控制传输协议(SCTP)是一种计算机网络通信协议,在传输层操作,与流行的TCP和UDP协议具有类似的作用。它在rfc4960中由IETF定义。SCTP合并了UDP和TCP的一些特性:它像UDP一样是面向消息的,并确保像TCP一样安全、顺序拥塞控制的消息传输。与其他协议不同的是,它提供了多归属和冗余路径,以提高弹性和可靠性

    • RSVP:资源预留协议(RSVP)是一个传输层[1]协议,旨在使用分布式基础设施模型在网络上预留资源。RSVP在IPv4或IPv6上工作,并为接收方发起的多播或单播数据流设置资源预留。它不从应用程序传输数据,但类似于控制协议,如ICMP (Internet control Message protocol)或IGMP (Internet Group Management protocol)。请参阅rfc2205。

    • QUIC:QUIC是一种通用网络层协议,最初由谷歌的Jim Roskind设计,于2012年引入并部署,2013年作为一个扩展实验公开宣布,并由IETF定义。同时还是一个Internet-Draft,超过一半的Chrome浏览器连接到谷歌的服务器使用QUIC。大多数其他网络浏览器不遵循协议

    • CLNS: 无连接模式网络服务(CLNS)或简单的无连接网络服务是OSI的网络层数据报服务,在数据传输之前不需要建立电路,并且独立于任何其他消息将消息路由到它们的目的地。CLNS不是Internet服务,但提供了类似于OSI网络环境中Internet协议(IP)和用户数据报协议(UDP)提供的特性。

    • DDP: 分布式数据协议(DDP)是一种客户-服务器协议,设计用于查询和更新服务器端数据库,并在客户端之间同步更新。它使用发布-订阅的消息传递模式。流星JavaScript应用程序开发使用。

    • ICMP: 无连接模式网络服务(CLNS)或简单的无连接网络服务是OSI的网络层数据报服务,它不允许在数据传输之前建立电路,并独立于任何其他消息将消息路由到它们的目的地。因此,它是一种最好的努力,而不是“可靠的”交付服务。CLNS不是Internet服务,但提供与OSI网络环境中的Internet协议(IP)和用户数据报协议(UDP)类似的功能。

    • DSI: 数字串行接口(DSI)是一种用于调节建筑物照明(最初是电子镇流器)的协议。它是基于曼彻斯特编码8位协议,1200波特率,1开始位,8数据位(昏暗值),4停止位,是更先进的数字可寻址照明接口(DALI)协议的基础。该技术使用单个字节(0-255或0x00-0xFF)来通信照明级别。DSI是第一次使用数字通信来控制照明,也是DALI的前身。

    • ISDN: 综合业务数字网(ISDN)是一套通信标准,用于在公共交换电话网的传统电路上同时进行语音、视频、数据和其他网络业务的数字传输。综合业务数字网的主要特点是将语音和数据集成在同一条线路上,增加了传统电话系统所没有的功能。在物联网设备的应急模式下,ISDN设施是有用的。
      在这里插入图片描述

    • Application: 物联网应用在许多领域都得到了发展。许多开源平台的开发,比如Azure物联网套件、IBM Watson、Amazon Web Services (AWS)、Oracle IoT、Kaa、Bevywise用于工业物联网平台、IoTIFY用于构建可扩展物联网应用的云平台。大部分开源平台都启用了人工智能和ML技术,对信息进行智能处理和计算。能够读取、处理和计算事物的智能设备的制造,使物联网成为一个新兴领域。物联网的应用领域很多,如图2所示。在这八个不同的应用领域中,物联网已经对提升和提高系统的效率产生了影响。

    IoT 应用

    在这里插入图片描述

    1. Smart Home:物联网使传统家庭系统成为智能家庭系统。冰箱、智能电视、安全摄像头、气体传感器、温度传感器、灯光系统都可以感知家庭环境,通过有线或无线连接互联网。即使是冰箱也可以向注册的零售店下订单,并通知用户。由于智能事物的发展,生活水平变得更加舒适。一个基于物联网技术的智能家居系统通过使用物联网和Fog计算等技术,家庭监控可以远程完成,处理也可以立即完成。设备认证对于防止对物联网网络的不必要访问至关重要。
      在这里插入图片描述

    2. Smart Hospital: 由于利用传感器和雾/边缘计算,物联网患者实时监测的发展成为可能。在医疗保健系统中,隐私是主要问题之一,因此需要开发适当的安全和隐私协议来保证系统的安全。
      在这里插入图片描述

    3. Smart City: 不断发展的城市有很多问题,如交通管理,垃圾管理,垃圾管理,环境管理。城市需要一个监测和控制问题存在的解决方案。利用物联网和相关技术,可以开发一个智慧城市,以提高城市的生活水平,维护公民的安全和隐私问题。
      在这里插入图片描述

    4. Smart transportation: 近年来,交通是城市的主要问题之一。智能交通系统是时代的需要。通过物联网,车辆可以从路边单元收集信息并进行处理,以获得有关旅程路径、时间和交通细节的详细信息。一些研究工作利用物联网解决了智能交通问题。如利用内置的移动传感器和机器学习来检测路面状况
      在这里插入图片描述

    5. Smart grid: 智能电网是物联网的应用领域之一,其中电网系统可以通过物联网实现自动化。可以实时监控用户之间的发电和配电情况。在智能电网系统中使用物联网技术可以提高效率、经济和分布。

    6. Supply chain system:物联网智能设备一旦用于供应链管理系统,可以从根本上改变传统的运输系统监控方式。通过使用物联网技术,可以很容易地定位材料、它们的当前状况、包装细节,而且很容易跟踪货物在供应链中的移动情况。它能保持良好的需求-供应,易于监控物料的运动,实时跟踪,高效存储,节能高效配送

    7. Smart retails :零售部门还使用物联网服务和人工智能来提高生产率,改善商店运营,并实时决策管理库存系统。

    8. Agriculture: 农业是物联网最有前景的应用领域之一。在智能农业系统中,通过部署传感器来监测土壤质量、水管理、作物生长状况等,通过减少时间和成本提高耕作效率。在实时情况下,用户可以从远程位置监视所有细节。农业领域存在一些安全问题,如移动性、基础设施和收集数据的安全处理

    物联网面临的攻击

    网络攻击类型
    Jamming attack干扰攻击是DoS攻击的一个子集,攻击者试图影响通信信道
    Dos attackDos攻击是物联网应用中常见的攻击之一。大多数物联网设备都是低端设备,容易受到攻击。攻击者通过设备连接或基础设施获取数据流。DoS (Denial of service)攻击,是一种针对应用中存在的节点的海量网络数据包,实时导致业务中断
    Intrusion detection system(IDS)入侵检测系统(IDS)是攻击者控制网络流量的过程。IDS攻击分为误用检测、异常检测、基于主机的IDS和基于网络的IDS。
    Malicious node attack由于智能设备的异构特性,在分布式物联网网络中可能会发生恶意节点攻击。识别网络中的天才节点或假节点是一个具有挑战性的问题。在[Detection of multiple-mix-attack malicious nodes using perceptron-based trust in IoT networks]论文中,作者提出了感知和k -均值来建立节点间的信任,并检测恶意节点。
    Power analysis attack这种攻击主要是为了获得节点的计算能力,使基本的密码算法无法执行。在物联网网络中,还需要维护隐私,以在节点之间建立信任。
    Man-in-the-middle attack中间人攻击(MIMD),攻击者在不安全的信道中传递或更改消息
    DDOS attack分布式Dos攻击是指服务器不可达,使得网络中的智能节点无法得到它想要得到的服务的过程
    Side channel security是一种利用计算机不经意间释放出的信息信号(如功耗,电磁辐射,电脑硬件运行声)来进行破译的攻击模式
    Wormhole attack虫洞攻击发生在6LoWPAN层,攻击者在连接的两个节点之间建立隧道
    Internal attack一般指拥有合法身份的节点在内部环境下的恶意行为
    Access Control Attack访问控制攻击通常绕过或绕过访问控制方法来窃取数据或用户凭据。通过收集后者,对手可以以授权用户的身份登录并访问其资源,从而安全地破坏访问控制
    Sybil attack同一个用户拥有不同身份,可以通过不同身份进行一些不公平操作
    Buffer overflow attacks缓冲区溢出攻击是在内存空间不足的内存块中编写程序的过程。A物联网网络中,当节点在设备中执行不同的程序进行处理或计算时,攻击者可以捕获这些程序并进行内存溢出攻击。
    Impersonation attacks模仿攻击是一个假节点,其行为就像网络中的一个天才节点,并试图从其他节点获取信息。在智能设备是异构和低端设备的物联网应用中,这是最具挑战性的问题之一。模拟攻击通常涉及似乎来自可信来源的电子邮件。有时,电子邮件攻击可能以看起来像是来自首席执行官、首席财务官或其他高层管理人员的消息开始——这些骗局也被称为捕鲸电子邮件攻击。假冒攻击还可能涉及似乎来自可信同事、第三方供应商或其他知名互联网品牌的消息。该消息可能要求收件人发起向银行账户或供应商的转账,但后来证明是欺诈的,或者它可能要求收件人发送信息
    Active attack主动攻击是指试图对系统进行未经授权的更改
    Router attack路由器攻击是指有人利用路由器软件和身份验证过程中的漏洞或不一致
    Spoofing attack在信息安全,特别是网络安全的背景下,欺骗攻击是指一个人或程序通过伪造数据成功地识别为另一个人,从而获得非法优势的情况。

    三种技术下的物联网安全调研

    区块链

    在这里插入图片描述
    区块链技术是一个分散/分布的网络,其中每个人都以某种方式连接到其他人。消息在区块链网络中广播。基于区块链技术的分布式体系结构如图7所示,物联网的应用程序。一个块由许多有效的事务及其相关属性组成。智能合约是用于实现网络业务逻辑的自执行程序。区块链网络采用不同的共识算法来满足节点之间的共识。Satapathy等人提出了一个安全的互联网框架,基于分布式区块链系统的应用程序。
    区块链是研究人员最近致力于解决物联网应用安全问题的最有前途的技术。

    相关论文:

    论文核心内容
    Blockchain for IoT security and privacy: The case study of a smart home本文提出了一种基于分布式区块链的模型。提出的系统一个矿工被用来控制智能家庭内部的通信和外部源。该框架对基本安全目标是安全的。
    On blockchain and its integration with IoT. challenges and opportunities作者评估了在物联网设备上使用区块链节点的可行性
    Blockchain technology: a survey on applications and security privacy challenge作者提出了一种基于分布式账本的区块链(DL-BC)技术,以解决物联网中的安全和隐私问题,如欺骗、虚假认证。
    Blockchain technology for security issues and challenges in IoT提出分布式智能,执行实例决策,减少向云的不必要数据传输,解决物联网范式中的各种安全挑战。
    Towards security on internet of things: applications and challenges in technology作者提出了一种基于区块链的受损固件检测和自修复方法,可部署在物联网环境中进行安全数据集共享。
    Blockchain-based secure time protection scheme in IoT作者提出了一种基于区块链的安全方案来解决物联网中的时间公告问题。
    Security attacks in named data networking of things and a blockchain solution提出了物联网命名数据网络(NDN)架构和区块链解决方案,以应对安全攻击
    Towards decentralized IoT security enhancement: blockchain approach&&A novel approach to solve security and privacy issues for IoT applications using blockchain作者提出了一种基于区块链的高级安全管理方案物联网设备
    Blockchain technologies for IoT作者探讨了在物联网应用中集成区块链技术的主要好处和设计挑战。
    On the activity privacy of blockchain for IoT作者提出了设备分类方法,将机器学习算法应用于存储在区块链网络中的数据,从而有助于通过检测未经授权的设备来提高物联网环境的安全性。
    Trust management in decentralized IoT access control system作者提出了一个信任管理框架,用于提供安全可靠的访问控制,并检测和删除去中心化物联网系统中的恶意和受损节点
    Spb: a secure private blockchain-based solution for distributed energy trading作者提出了一种基于区块链的安全私有框架(SPB),利用该框架,能源生产者之间可以就能源价格进行谈判,并以分布式方式进行能源交易,以实现智能电网物联网应用
    Productchain: scalable blockchain framework to support provenance in supply chains作者提出了一个基于许可区块链的框架来寻找供应链产品的来源
    Trustchain: trust management in blockchain and IoT supported supply chains作者提出了一个三层信任管理框架——TrustChain,该框架基于区块链联盟来跟踪供应链参与者之间的互动,并根据这些互动动态地分配信任和信誉评分。
    Speedychain: a framework for decoupling data from blockchain for smart cities作者提出了一个高尚的基于区块链的框架,为智能车辆提供一个私人和安全的通信模型,这样它们就可以信任它们接收到的数据是由可信节点生成的。
    Blockchain-based system for secure outsourcing of bilinear pairings作者提出了一个受许可的区块链架构来处理基于配对的密码协议中最昂贵的计算,即双线性配对(SOBP)的安全外包。
    Towards secure industrial IoT: blockchain system with credit-based consensus mechanism作者在区块链中提出了一种基于信用的物联网设备工作证明(PoW)机制,可以保证系统安全和交易效率。
    Perspectives on emerging directions in using IoT devices in blockchain applications作者调查了一些正在使用区块链实现的有前途的应用程序,并概述了克服众多挑战的解决方案。
    PUF-derived IoT identities in a zero-knowledge protocol for blockchain提出了一种针对物联网设备的防伪方法,利用存储芯片的特性来派生与区块链相结合的密码秘密,以对设备身份进行可信和可靠的验证
    Blockchain based searchable encryption for electronic health record sharing提出了一种基于区块链的可搜索加密电子健康记录(ehr)共享方案,使用智能合约执行可靠和机密的搜索。
    Blockchain based privacy-preserving software updates with proof-of-delivery for internet of things作者提出了一种基于区块链的隐私保护软件更新协议,在不损害相关用户隐私的情况下,通过激励机制执行安全可靠的更新。
    Best: blockchain-based secure energy trading in SDN-enabled intelligent transportation system作者提出了一种基于区块链的能源交易方案,利用能源币在智能交通系统(ITS)中进行安全的能源交易

    机器学习

    在这里插入图片描述
    机器学习是一种智能执行计算的技术。模型需要使用不同的学习方法进行设计和测试。图3和图4描述了机器学习功能和与物联网应用集成的基本原理。物联网的应用有很多。一些应用需求是应该在实际事件发生之前做出决定。例如,预测厨房或任何工业区域的火灾,并发出警报以防止火灾。如果机器学习技术被用于物联网的应用程序。此外,它需要解决物联网系统中存在的安全问题,以使系统防篡改。
    在这里插入图片描述
    使用机器学习技术处理和计算庞大的数据收集需要一个高效的框架。如在智能电网应用机器学习时相关的安全问题、物联网应用中的入侵检测。机器学习技术分为有监督和无监督两种。物联网应用产生海量信息。在数据计算完成之前,数据需要经过验证过程,以避免任何恶意数据或冗余数据。

    相关论文整理:

    论文核心内容
    Framework for Mobile Internet of Things Security Monitoring Based on Big Data Processing and Machine Learning作者提出了一个使用大数据处理和ML来监控移动物联网安全的框架
    Application of big data and machine learning in smart grid, and associated security concerns: a reviewML方法在智能电网生成的大数据上的应用,提取有用信息,检测和保护数据免受网络安全威胁
    Network intrusion detection for IoT security based on learning techniques基于ML算法的物联网环境下网络入侵检测系统(NIDS)综述。
    A supervised intrusion detection system for smart home IoT devices作者提出了一个三层入侵检测系统(IDS),利用ML的监督学习方法来区分恶意或良性的网络活动,并检测基于网络的网络攻击,如DoS、MITM/Spoofing、Replay和Reconnaissance,还可以检测对物联网网络的多级攻击。
    hysical-layer authentication based on extreme learning machine提出了一种基于极限学习机(ELM)的物理层认证方案改进欺骗检测精度的二维测量空间。
    Machine learning-based malicious application detection of android提出了一种基于ml的恶意应用检测工具,利用朴素贝叶斯、J48决策树作为分类器模型,实时检测Android设备中的恶意应用。
    Securing the internet of things in the age of machine learning and software-defined networking使用ML和软件定义的网络实现了自主和自适应的检测机制(SDN)的物联网安全框架,以处理物联网系统的不稳定行为和异构问题。
    Machine learning for internet of things data analysis: a survey介绍了不同的ML方法,可应用于基于智能城市等物联网系统环境中生成的数据,以提取更高级别的信息。
    Swarm intelligence-based algorithms within IoT-based systems: a review提出了一种可靠、可扩展、鲁棒的基于集群智能(SI)的物联网系统,以克服物联网系统的动态和异构行为问题。
    Deep learning with dense random neural network for detecting attacks against IoT-connected home environments作者通过分析物联网网关的流量交换,提出了一种基于密集随机神经网络(RNN)的深度学习技术。用于在线检测网络攻击,如TCP SYN攻击,即各种DoS (deny -of-service)攻击。
    Semi-supervised learning based distributed attack detection framework for IoT提出了一种基于分布式雾的鲁棒实时攻击检测框架物联网依赖于雾计算范式和新提出的基于elm的方法半监督模糊c均值(ESFCM)。极限学习机(ELM)算法具有较好的泛化性能和较快的检测速度,半监督模糊c均值法处理物联网中的标记数据问题
    A darknet traffic analysis for IoT malwares using association rule learning提出了一种新的暗网分析方法,利用关联规则学习的方法,利用大量的暗网报文,找出特定的扫描攻击即TCP SYN报文的流量模式。
    Machine learning based trust computational model for IoT services提出了一种新的可量化智能信任评估模型算法,以克服潜在的歧视问题。使用ML的支持向量机模型,数据分析是对诸如位置、兴趣和活动等微妙信息进行的。这个过程为可能的参与者生成准确和固有的信任值。它根据与物联网环境相对应的几个信任特性,帮助确定传入的交互是否值得信任
    IoT-based healthcare monitoring system for war soldiers using machine learning作者提出了一种实时监测健康参数的系统,用于探测附近的炸弹和预测战区环境。使用各种传感器收集数据,像LoRaWAN和ZigBee这样的网络基础设施将这些数据传输到云和K-Means聚类机器学习算法分析数据。
    Deep learning and software-defined networks: towards secure IoT architecture提出了一种基于深度学习(DL)的入侵检测系统安全框架-基于SDN的物联网的受限玻尔兹曼机器(RBM)。
    A machine learning based robust prediction model for real-life mobile phone data作者提出了一种基于规则的机器学习分类技术,即在无噪声质量数据集上的决策树,用于真实手机用户数据的稳健预测模型。利用朴素贝叶斯分类器和拉普拉斯估计器去除数据中的噪声实例,提高模型的预测精度。
    Machine learning based network vulnerability analysis of industrial internet of things提出了一种基于ml的异常检测系统,该系统可以检测工业领域的后门、命令注入和结构化查询语言注入等网络攻击物联网设备
    Attack and anomaly detection in IoT sensors in IoT sites using machine learning approaches作者比较了各种ML模型的性能,如Logistic回归(LR)、支持向量机(SVM)、决策树(DT)、随机森林(RF)和人工神经、用于预测攻击,如DoS,数据类型探测,恶意控制,恶意操作,扫描,间谍和错误的设置,和异常物联网系统准确。
    Groundwork for neural network-based specific emitter identification authentication for IoT介绍了基于神经网络的特定辐射源识别的初步工作(SEI)在物联网设备上使用原始的同相和正交(IQ)流,并使用协议进行安全保护物联网网络通过提供额外的安全和信任层。

    人工智能

    在这里插入图片描述

    具有传感和行动能力的智能设备的创新,使物联网系统的可用性得到广泛应用。由于连接到网络的设备数量巨大,产生了大量的数据。在物联网环境中处理和执行计算是一项具有挑战性的任务。因此,人工智能和其他一些新兴技术一起成为解决物联网安全问题的救星。如图5所示,物联网和人工智能可以结合起来提高系统的分析,提高运行效率,提高准确率。人工智能可以帮助物联网海量、非结构化、异构数据的实时计算,使系统具有现实性。比如大余弦估计(LMCE)技术来检测物联网环境中的对手和恶意软件检测工作在物联网系统中使用。
    在这里插入图片描述
    上图展示了物联网和人工智能与一些基本功能的集成。
    人工智能和物联网的结合已经完成了一些工作,研究人员指出,人工智能可以成为推动物联网系统在决策和计算方面改进的驱动力。在智能交通和智能天气预报等应用中,预测是必不可少的。人工智能提供了一些安全问题,如恶意软件检测、隐私保护和授权。

    相关论文整理:

    论文
    Artificial intelligence in internet of things
    Robust pervasive detection for Adversarial samples of artificial intelligence in IoT environments
    On artificial intelligent malware tolerant networking for IoT
    BlockIoTIntelligence: a blockchain-enabled intelligent IoT architecture with artificial intelligence
    A master attack methodology for an ai-based automated attack planner for smart cities
    Edge and fog computing enabled ai for IoT-an overview

    物联网当前的挑战

    最近,物联网(IoT)不仅是业界关注的焦点,也是研究界关注的焦点。物联网设备的生产数量已经超过了世界人口总量。这些智能设备连接到不同的应用程序,以便从环境中捕获信息。物联网设备是资源受限设备,容易受到攻击。安全和隐私问题对于物联网应用非常重要。

    1. 随着海量物联网设备的接入,系统吞吐量和共识算法问题依然存在。
    2. 在解决安全协议时,需要考虑物联网的可扩展性问题。
    3. 安全计算和处理是需要解决的其他领域。
    4. 为了满足设备的资源约束,安全协议的设计应遵循轻量化原则。
    展开全文
    Chahot 2021-11-03 08:46:02
  • 物联网网络层分为核心网和接入网。 • 核心网是物联网数据传输的主要载体,是物联网网络层的骨干和核心。 • 接入网则是骨干网络到用户终端之间的通信网络。 无线近距离接入网(如无线局域网、ZigBee、蓝牙) ...

    5.1 概述
    • 物联网网络层分为核心网和接入网。
    • 核心网是物联网数据传输的主要载体,是物联网网络层的骨干和核心。
    • 接入网则是骨干网络到用户终端之间的通信网络。
    无线近距离接入网(如无线局域网、ZigBee、蓝牙)
    无线远距离接入网(如4G移动通信)
    其他有线接入方式(如PSTN、ADSL、宽带、有线电视、现场总线)
    5.1.2 网络层安全需求
    (1)业务数据在承载网络中的传输安全
    (2)承载网络的安全防护
    (3)终端及异构网络的鉴权认证
    (4)异构网络下终端的安全接入
    (5)物联网应用网络统一协议栈需求
    (6)大规模终端分布式安全管控
    5.1.3 网络层安全机制
    (1)构建物联网与互联网、移动通信网络等相融合的网络安全体系结构
    (2)建设物联网网络安全统一防护平台
    (3)提高物联网系统各应用层次之间的安全应用与保障措施
    (4)建立全面的物联网网络安全接入与应用访问控制机制
    5.2 核心网安全
    核心网面临的安全威胁:
    (1)核心网要接收来自海量、集群方式存在的物联网节点的传输信息,很容易导致网络拥塞,极易受到DDoS攻击,这是物联网网络层最常见的攻击手段
    (2)网络层存在不同架构的网络互联互通问题,核心网将面临异构网络跨网认证等安全问题。涉及密钥和认证机制的一致性和兼容性,能抵抗DoS攻击、中间人攻击、异步攻击、合谋攻击等
    (3)物联网中一些节点不固定,与邻近节点的通信关系会发生改变,很难为节点建立信任关系,面临着虚拟节点、虚假路由等攻击
    5.2.2 IPSec安全协议与VPN
    • 物联网的核心网以TCP/IP协议为基础
    • 在TCP/IP协议中,网络层协议IP提供了互连跨越多个网络终端系统(即跨网互联)的能力,IP是实现整个网际互联的核心,在该层加入安全机制是保证整个网络安全通信的重要手段
    • IP层的安全机制称为IPSec,包括了三个功能域:鉴别、机密性和密钥管理
    ○ 鉴别机制保证收到的分组确实是由分组首部的源站地址字段声明的实体传输过来的,该机制还能保证分组在传输过程中没有被篡改
    ○ 机密性机制使得通信节点可以对报文加密
    ○ 密钥管理机制主要完成密钥的安全交换
    IPSec(IP Security)是IETF于1998年11月公布的IP安全标准,目标是为IPv4和IPv6提供透明的安全服务。
    IPSec通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族,用于保证数据的机密性、来源可靠性、无连接的完整性并提供抗重播服务。
    • IPSec的优点
    ○ 由于IPSec位于传输层(TCP、UDP)之下,因此对于应用是透明的。所以当在防火墙、路由器或用户终端系统上实现IPSec时,并不会对应用程序带来任何的改变
    ○ IPSec可以对个人用户提供安全性。这对于不在本地的工作者(如出差),或者对于一个组织内部,为敏感的应用建立只有少数人才能使用的虚拟子网是必要的
    ○ IPSec为穿越局域网边界的通信量提供安全保障,但对于局域网内部的通信,它不会带来任何与安全有关的处理负荷
    ○ IPSec对终端用户是透明的
    • IPSec的组成
    ○ Authentication Header(AH,验证报头)协议
    定义了认证的应用方法,提供数据源认证和完整性保证
    ○ Encapsulating Security Payload(ESP,封装安全有效负载)协议
    定义了加密和可选认证的应用方法,提供可靠性保证
    ○ Internet Key Exchange(IKE,密钥的交换标准)协议
    用于密钥交换
    • IPSec的工作模式
    ○ 传输模式
    传送模式用来保护上层协议,用于两个主机之间端对端的通信
    ○ 隧道模式
    也称通道模式,是用来保护整个IP数据报,通常在SA的一端或是两端都是安全网关时使用
    • 安全关联(Security Association,SA)
    为了正确封装和提取IPsec的数据包,有必要采取一套专门的方案,将安全服务、密钥等与要保护的通信数据联系在一起,这样的构建方案称为安全关联。
    SA是发送者和接收者两个IPsec系统之间的一个单向逻辑连接,若要在一个对等系统间进行源和目的的双向安全通信,则需要两个SA。
    安全关联SA通过一个三元组(安全参数索引SPI、目的IP地址和安全协议AH或ESP)来唯一标识。
    • 抗重播服务
    IPSec协议通过数据包使用一个序列号和一个滑动的接收窗口实现抗重播服务
    每个IPSec头内,都包含了一个独一无二、且单调递增的序列号
    接收窗口的大小可为大于32的任何值,但推荐为64。从性能考虑,窗口大小最好是最终实施IPSec的那台计算机的字长度的整数倍
    • ESP协议
    ESP的作用是提供机密性保护、有限的流机密性保护、无连接的完整性保护、数据源认证和抗重放攻击等安全服务
    ESP支持传输模式和隧道模式
    ESP可以单独使用,也可以和AH结合使用。一般ESP不对整个数据包加密,而是只加密IP包的有效载荷部分,不包括IP头。但在端对端的隧道通信中,ESP需要对整个数据包加密
    • AH协议
    AH协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务
    与ESP协议相比,AH不提供对通信数据的加密服务,但能比ESP提供更加广的数据验证服务
    • IKE协议
    IKE协议是IPSec目前正式确定的密钥交换协议
    IKE是一种混合型协议,由ISAKMP、Oakley和SKEME组成,沿用了ISAKMP的基础,Oakley的模式以及SKEME的共享和密钥更新技术
    使用了两个交换阶段,阶段一用于建立IKE SA,阶段二利用已建立的IKE SA为IPsec协商具体的一个或多个安全关联,即建立IPsec SA
    IKE允许四种认证方法,分别是基于数字签名的认证、基于公钥加密的认证、基于修订的公钥加密的认证和基于预共享密钥的认证
    • VPN(Virtual Private Network,虚拟专用网络)是一种确保远程网络之间能够安全通信的技术。
    ○ VPN主要有三个应用领域:远程接入网、内联网和外联网
    ○ VPN的基本功能
    加密数据
    信息验证和身份识别
    访问控制
    地址管理
    密钥管理
    多协议支持
    • VPN采用的安全技术
    ○ 隧道技术
    § 点到点隧道协议(PPTP)
    § 第二层隧道协议(L2TP)
    ○ 加解密技术
    ○ 密钥管理技术
    ○ 使用者与设备身份认证技术
    ○ 访问控制技术
    5.2.3 6LoWPAN安全
    为了让IPv6协议在IEEE 802.15.4协议之上工作,实现 MAC 层和网络层之间的无缝连接,提出一个网络适配层-6LoWPAN((IPv6 over low-power wireless personal area network),用来完成包头压缩、分片、重组和网状路由转发等
    1)MAC层安全
    必须提供终端节点和数据汇聚点间的安全保证。在MAC层可以引入访问控制、 MAC帧加密与解密、帧完整性验证、身份认证等安全机制,提供点到点的安全通信
    2)适配层安全
    可能存在的安全问题:分片与重组攻击,报头压缩攻击(如错误的压缩、拒绝服务攻击),轻量级组播安全和Mesh路由安全等。目前针对6LoWPAN适配层安全的研究还较少
    分片与重组可能出现IP包碎片攻击,进而可能引起DoS攻击和重播攻击。应对IP包碎片攻击的一种方法是:在6LoWPAN适配层增加时间戳(Timestamp)和现时(Nonce)选项来保证收到的数据包是最新的
    3)网络层安全
    在网络层采用高级加密标准(AES)和 CTR 模式加密及 CBC-MAC验证等对称加密算法对大容量数据进行加密
    4)应用层安全
    应用层的安全主要集中在为整个6LoWPAN 网络提供安全支持, 即密钥建立、密钥传输和密钥管理等;而且应用层要能够控制下层安全服务的某些参数
    5.2.4 SSL/TLS
    • 安全套接字层协议(Secure Socket Layer,SSL)被设计成使用TCP在传输层提供一种可靠的端到端的安全服务,是一种用于基于会话的加密和认证的Internet协议,它在客户和服务器之间提供一个安全的管道
    • SSL工作在传输层和应用层之间,与应用层协议无关,应用层数据(HTTP、FTP、TELNET等)可以透明地置于SSL之上
    • SSL不是单个的协议,而是两层协议
    • SSL记录协议为不同的更高层协议提供基本的安全服务。3个高层协议(SSL握手协议、SSL修改密文规程协议、SSL告警协议)用于管理SSL交换(一共4个协议)
    • SSL记录协议
    SSL记录协议为每一个SSL连接提供以下两种服务
    机密性(Confidentiality): SSL记录协议会协助双方产生一把共有的密钥,利用这把密钥来对SSL所传送的数据做传统式加密。
    消息完整性(Message Integrity): SSL记录协议会协助双方产生另一把共有的密钥,利用这把密钥来计算出消息认证码。
    • TLS协议
    提供保密性和数据完整性
    该协议由两层组成
    § TLS 记录协议
    § TLS 握手协议
    5.2.5 防火墙
    • 防火墙是设置在不同网络(典型地,可信任的企业内部网络和不可信的因特网)间的一系列安全部件的组合
    • 这组部件具有性质:(1) 双向通信必须通过防火墙;(2) 防火墙本身不会影响信息的流通;(3) 只允许本身安全策略授权的通信信息通过。
    • 防火墙是一种访问控制机制,用于确定哪些内部服务对外开放,以及允许哪些外部服务对内部开放。
    • 防火墙是不同网络或网络安全域之间信息的唯一出入口
    • 防火墙提供四种控制服务:
    ○ 服务控制:确定可以访问的因特网服务的类型,包括入站的和出站的。这是因为防火墙可以基于IP地址和TCP端口号对通信量进行过滤
    ○ 方向控制:确定特定的服务请求被允许流动的方向,即特定服务的方向流控制
    ○ 用户控制:内部用户、外部用户所需的某种形式的认证机制。根据用户试图访问的服务来控制对服务的访问。典型地用户控制防火墙以内的用户(本地用户)
    ○ 行为控制:对特定服务的使用方式进行控制。如防火墙可以过滤电子邮件来消除垃圾邮件
    • 防火墙有3种主要类型;不同类型的防火墙工作于网络的不同层次,以工作于网络层的分组过滤器和工作于应用层的应用级网关为常见
    (1)分组(或包)过滤器
    优点:价格低,对应用透明和高的处理速度
    缺点:正确建立分组过滤规则是一件困难的事(分组过滤配置较复杂);无用户使用记录,不利于分析攻击行为;攻击相对容易实施
    (2)应用级网关(也叫代理服务器)
    优点:一般认为比分组过滤器更安全,因为它只对少数几个支持的应用进行检查,从外面只看到代理服务器,而看不到任何内部资源,而且代理服务器只允许被代理的服务通过
    缺点:网关处于两个串接用户的中间点,必须在两个方向上检查和转发所有通信量,对每个连接都需要有额外的处理负载,使访问速度变慢;需要针对每一个特定的Internet服务安装相应的代理服务器软件,这会带来兼容性问题
    (3)电路级网关
    优点:基于TCP连接代理各种高层会话,具有隐藏内部网络信息的能力,透明性高
    缺点:像电路交换,其对会话建立后所传输的具体内容不作进一步分析,存在一定安全隐患
    • 防火墙的局限性:
    (1)防火墙不能对绕过它的攻击进行保护(越窗而不逾门)
    (2)防火墙不能对内部的威胁提供支持(“家贼难防”)
    (3)防火墙不能对病毒感染的程序或文件的传输提供保护(不对报文内容进行检查)
    (4) 防火墙机制难以应用于物联网感知层(物联网感知层网络边界模糊性)
    • 在物联网网络层, 异构网络 的信息交换将成为网络层安全性的脆弱点。
    5.3 泛在接入安全
    泛在接入网安全包括远距离无线接入安全、近距离无线接入安全
    5.3.1 远距离无线接入安全
    • (1)移动通信系统面临的安全威胁
    1)对敏感数据的非授权访问(违反机密性)。包括:窃听、伪装、流量分析、浏览、泄漏和推论
    2)对敏感数据的非授权操作(违反完整性)。包括消息被入侵者故意篡改、插入、删除或重放
    3)滥用网络服务(导致拒绝服务或可用性降低)。包括干涉、资源耗尽、优先权的误用和服务的滥用
    4)否认。用户或网络拒绝承认已执行过的行为或动作。
    5)非授权接入服务。包括入侵者伪装成合法用户或网络实体来访问服务;用户或网络实体能滥用它们的访问权限来获得非授权的访问
    • (2)移动通信系统的安全特性要求
    1)提供用户身份机密性
    2)实体认证
    3)数据传输机密性
    4)数据完整性
    5)安全的能见度和可配置性
    • (3)移动通信系统的安全架构
    网络接入安全
    网络域安全
    用户域安全
    应用域安全
    安全服务的可视性和可配置性
    • (4)认证与密钥协商(AKA)
    5.3.2 近距离无线接入安全
    • 1、无线局域网安全
    ○ 无线局域网可用的安全技术:
    (1)物理地址(MAC)过滤
    (2)服务区标识符(SSID)匹配
    (3)有线对等保密(WEP)
    (4)WAPI安全机制
    (5)IEEE 802.1X EAP认证机制
    (6)IEEE 802.11i安全机制
    (7)IEEE 802.16d安全机制
    • 2、无线个域网安全
    ○ WPAN是以个人为中心的无线个人区域网,实际上是一个小范围、低功率、低速率、低价格的电缆替代技术
    ○ 无线个域网目前包括的主流技术有蓝牙、ZigBee、超宽带(UWB)等
    ○ 蓝牙的网络安全模式
    蓝牙规定了三种网络安全模式:非安全模式、业务层安全模式和链路层模式
    ○ 蓝牙的密钥管理
    蓝牙安全体系中主要用到3种密钥:PIN码、链路密钥和加密密钥
    ○ ZigBee安全服务的内容
    ·访问控制
    ·数据加密
    ·数据完整性
    ·序列抗重播保护
    ○ ZigBee安全服务 的模式
    不安全模式
    ACL模式
    安全模式
    ○ UWB面临的信息安全威胁,
    ·拒绝服务攻击,UWB网络中拒绝服务攻击类型:MAC层攻击和网络层攻击
    ·秘钥泄露
    ·假冒攻击
    ·路由攻击
    5.4 异构网络安全
    5.4.3异构网络的安全机制

    ○ 异构网络的路由安全
    ○ 异构网络的接入认证机制
    ○ 异构网络的入侵检测机制
    ○ 异构网络的节点信息传输安全
    5.5 路由安全
    (1)哄骗、篡改或重放路由信息
    (2)选择性转发(selective forwarding)
    (3)污水池(sinkhole)攻击
    (4)女巫(sybil)攻击
    (5)虫洞(wormhole)攻击
    (6) Hello洪泛攻击
    (7)应答欺骗
    • (1)针对外部攻击的防御对策
    • (2)针对内部攻击的防御对策

    展开全文
    Tekapo_s 2021-07-31 16:59:27
  • 物联网安全基础 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3LeqGGUu-1623402732012)(E:\Markdown图片库\大三下学期\image-20210611102032809.png)] 安全性攻击 攻击:实体透过不同的...

    物联网概述

    物联网体系结构

    • 应用层
    • 网络层
    • 感知层

    物联网的本质属性

    • 融合性
    • 泛在性
    • 创新性

    物联网的基本特征

    • 全面感知
    • 无缝互联
    • 可靠传递
    • 智能处理
    • 协同互动

    物联网安全基础

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3LeqGGUu-1623402732012)(E:\Markdown图片库\大三下学期\image-20210611102032809.png)]

    安全性攻击

    • 攻击:实体透过不同的手段或渠道,对另一实体或目标实施的任何非授权行为,其后果是导致对行为对象的伤害或破坏
    • 安全:指事物没有受到伤害或破坏,没有危险、危害或损失的自然状态
    • 安全性攻击:是对事物正常(或自然)状态的一种威胁或破坏

    安全性攻击的分类

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fpy08S7L-1623402732014)(E:\Markdown图片库\大三下学期\image-20210611102248536.png)]

    物联网面临的安全问题

    信息安全的基本属性包括

    • 机密性
    • 完整性
    • 可用性
    • 可认证性
    • 不可否认性

    物联网面临的新威胁

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NjZgMY5j-1623402732015)(E:\Markdown图片库\大三下学期\image-20210611103233357.png)]

    物联网安全概念

    物联网安全包括

    • 物理安全:对传感器的干扰、屏蔽、信号截获等
    • 运行安全:存在于传感器、信息传输系统和信息处理系统等物联网组成要素中,影响其正常运行
    • 数据安全:要求物联网中的信息不会被窃取、篡改、伪造、抵赖等

    物联网安全、互联网安全、信息安全之间的关系

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-69nuxeeA-1623402732017)(E:\Markdown图片库\大三下学期\image-20210611103504227.png)]

    物联网安全的特点

    • 广泛性
    • 复杂性
    • 非对称性
    • 轻量级

    物联网安全需求

    感知层安全

    • 节点本身的安全需求

    • 所采集信息的安全需求

    网络层安全

    • 大批量接入认证需求
    • 避免网络拥塞和拒绝服务攻击的需求
    • 高效的密钥管理需求

    应用层安全

    • 身份认证、消息认证、访问控制、数据的机密性与用户隐私保护、数字签名、数字水印、入侵检测、容错容侵等

    物联网安全现状与发展趋势

    发展趋势

    (1)融合创新

    (2)跨学科综合

    (3)智能化集成

    (4)新技术涌现

    (5)安全标准体系的建立和安全技术模块化

    物联网安全的密码理论

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fcnYlVDt-1623402732018)(E:\Markdown图片库\大三下学期\image-20210611104746301.png)]

    1. 密码学基础

    1.1

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GiS5M69f-1623402732020)(E:\Markdown图片库\大三下学期\image-20210611105421546.png)]

    1.2 密码系统的分类

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YyioOyff-1623402732020)(E:\Markdown图片库\大三下学期\image-20210611111011319.png)]

    1.3 分组密码的操作模式

    1. 电子密码本模式(ECB)

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YBhZFNnx-1623402732021)(E:\Markdown图片库\大三下学期\image-20210611105900719.png)]

    缺点:对于长报文不安全,分组加密不能隐藏数据格式,明文分组与密文分组是一一对应的关系,因此,如果明文中存在多个相同的明文分组,则这些明文分组最终都将被转换为相同的密文分组。这样一来,只要观察一下密文,就可以知道明文存在怎样的重复组合,并可以以此为线索来破译密码,因此ECB模式是存在一定风险的。

    2. 密码分组链接模式(CBC)

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZXS2M9GL-1623402732022)(E:\Markdown图片库\大三下学期\image-20210611110055838.png)]

    3. 计数器模式(CTR)

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m2t4EVDf-1623402732022)(E:\Markdown图片库\大三下学期\image-20210611110145093.png)]

    4. 输出反馈模式(OFB)

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-76YUfnqy-1623402732023)(E:\Markdown图片库\大三下学期\image-20210611110337535.png)]

    5. 密码反馈模式(CFB)

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B3wqCo6G-1623402732023)(E:\Markdown图片库\大三下学期\image-20210611110506415.png)]

    2. 对称密码体制与算法

    • 代表算法:AES、DES、SM4、ZUC(祖冲之序列密码算法)

    • 优点

    加密、解密处理速度快,具有很高的数据吞吐率,硬件加密实现可达到每秒几百兆字节,软件也可以达到兆字节每秒的吞吐率。密钥相对较短。

    • 缺点

    ①密钥是保密通信安全的关键,如何才能把密钥安全地送到收信方,是对称密码算法的突出问题。对称密码算法的密钥分发过程十分复杂,所花代价高。

    ②多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化

    ③通信双方必须统一密钥,如果发信方与收信方素不相识,就无法向对方发送秘密信息

    ④存在数字签名困难问题

    2.1 AES算法

    • 分组长度:128位
    • 支持秘钥长度:128、192、256

    3. 非对称密码体制与算法

    • 代表算法:RSA、ECC、SM2
    • 优点

    ①网络中的每一个用户只需要保存自己的私有密钥,则N个用户仅需产生N对密钥,密钥少,便于管理;而且一个私钥/公钥对可以在一段相当长的时间内(甚至数年)保持不变

    ②密钥分配简单,不需要秘密的通道和复杂的协议来传送密钥。公开密钥可基于公开的渠道(如密钥分发中心)分发给其他用户,而私有密钥则由用户自己保管

    ③可以实现数字签名

    • 缺点

    与对称密码体制相比,非对称密码体制的加密、解密处理速度较慢,同等安全强度下非对称密码体制的密钥位数要求多一些

    3.1 RSA算法

    该算法的数学基础是初等数论中的欧拉定理,其安全性建立在大整数因子分解的困难性之上

    4. 杂凑算法与消息认证

    • 代表算法:SHA-1、SM3

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EerHsuha-1623402732024)(E:\Markdown图片库\大三下学期\image-20210611115705824.png)]

    5. 数字签名

    6. 密钥管理

    7. 量子密码学概述

    感知层安全

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZV0jl8AQ-1623402732025)(E:\Markdown图片库\大三下学期\image-20210611141847415.png)]

    1. 概述

    感知层位于整个物联网体系结构的最底层,是物联网的核心和基础,其基本任务是全面感知外界信息,是整个物联网的信息源,物联网感知层信息安全问题是物联网安全的核心内容

    2. WSN安全

    2.1 WSN概述

    2.2 WSN安全脆弱性

    (1)分布的开放性

    (2)网络的动态性

    (3)电源能量的有限性

    (4)计算能力的有限性

    (5)通信能力的有限性

    (6)存储空间的有限性

    (7)通信的开放性和不可靠性

    (8)技术不成熟及标准不统一性

    2.3 WSN安全威胁

    2.3.1 针对节点的攻击

    ①物理攻击与节点被捕获

    ②节点被控制

    ③节点受到拒绝服务(DoS)攻击

    ④假冒攻击或节点复制攻击

    ⑤大规模节点的有效管理问题

    2.3.2 针对数据的攻击

    ①非法访问

    ②截取

    ③篡改

    ④重放

    ⑤虚假数据注入

    ⑥数据的选择性转发

    2.3.3 针对网络的攻击

    ①干扰

    ②路由攻击

    ③集团式作弊(或合谋攻击)

    ④拒绝服务攻击

    2.3.4 针对特定协议的攻击

    对路由协议的攻击

    对数据融合协议的攻击

    对定位协议的攻击

    对时间同步协议的攻击等

    2.4 WSN安全需求

    物理安全

    • 节点不容易被发现

    • 不容易被敌方篡改和利用

    • 允许敌方捕获节点而不至于对网络造成重大破坏或伤害

    信息安全

    • 机密性
    • 完整性
    • 真实性
    • 可用性
    • 新鲜性
    • 鲁棒性
    • 访问控制

    通信安全

    涉及到传感器节点的被动抵御入侵的能力和主动反击入侵的能力

    2.5 WSN安全防御方法

    1、物理防护

    2、扩频与跳频

    3、信息加密

    4、阻止拒绝服务

    5、认证

    6、访问控制

    7、入侵检测

    8、安全成簇

    9、安全数据融合

    10、容侵容错

    3. RFID安全

    3.1 RFID概述

    3.2 RFID安全脆弱性

    3.3 RFID安全威胁

    3.4 RFID安全需求

    RFID系统的安全需求强调“物联网标识或定位中的隐私保护

    3.5 RFID安全防御方法

    3.5.1 基于访问控制的方法

    • kill命令机制(kill tag)

    • 睡眠机制(sleep)

    • 法拉弟笼(Faraday cage)

    • 主动干扰(active jamming)

    • 阻塞器标签(blocker tag)

    • 可分离的标签

    3.5.2 基于密码技术的方法

    • 散列锁(hash-lock)协议
    • 随机散列锁协议
    • 供应链RFID协议
    • LCAP协议
    • 临时ID(temporary change of ID)安全协议
    • 重加密(re-encryption)安全通信协议
    • Mifare One芯片方案

    网络层安全

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qSqkkPAe-1623402732026)(E:\Markdown图片库\大三下学期\image-20210611152240135.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kXZhogRT-1623402732027)(E:\Markdown图片库\大三下学期\image-20210611152253762.png)]

    1. 概述

    • 物联网网络层分为核心网接入网
    • 在物联网网络层,异构网络的信息交换将成为网络层安全性的脆弱点

    1.1 网络层的安全需求

    (1)业务数据在承载网络中的传输安全

    (2)承载网络的安全防护

    (3)终端及异构网络的鉴权认证

    (4)异构网络下终端的安全接入

    (5)物联网应用网络统一协议栈需求

    (6)大规模终端分布式安全管控

    1.2 网络层安全机制

    (1)构建物联网与互联网、移动通信网络等相融合的网络安全体系结构

    (2)建设物联网网络安全统一防护平台

    (3)提高物联网系统各应用层次之间的安全应用与保障措施

    (4)建立全面的物联网网络安全接入与应用访问控制机制

    2. 核心网安全

    2.1 核心网面临的安全威胁

    (1)核心网要接收来自海量、集群方式存在的物联网节点的传输信息,很容易导致网络拥塞,极易受到DDoS攻击,这是物联网网络层最常见的攻击手段

    (2)网络层存在不同架构的网络互联互通问题,核心网将面临异构网络跨网认证等安全问题。涉及密钥和认证机制的一致性和兼容性,能抵抗DoS攻击、中间人攻击、异步攻击、合谋攻击等

    (3)物联网中一些节点不固定,与邻近节点的通信关系会发生改变,很难为节点建立信任关系,面临着虚拟节点、虚假路由等攻击

    2.2 IPSec

    • IP层的安全机制称为IPSec,包括了三个功能域:鉴别机密性密钥管理

    • 鉴别机制保证收到的分组确实是由分组首部的源站地址字段声明的实体传输过来的,该机制还能保证分组在传输过程中没有被篡改

    • 机密性机制使得通信节点可以对报文加密

    • 密钥管理机制主要完成密钥的安全交换

    • 两种协议:AH协议、ESP协议

    • 两种协议模式:传输模式、隧道模式

    2.2.2 IPSec的优点

    • 由于IPSec位于传输层(TCP、UDP)之下,因此对于应用是透明的。所以当在防火墙、路由器或用户终端系统上实现IPSec时,并不会对应用程序带来任何的改变

    • IPSec可以对个人用户提供安全性。这对于不在本地的工作者(如出差),或者对于一个组织内部,为敏感的应用建立只有少数人才能使用的虚拟子网是必要的

    • IPSec为穿越局域网边界的通信量提供安全保障,但对于局域网内部的通信,它不会带来任何与安全有关的处理负荷

    • IPSec对终端用户是透明的

    2.3 VPN

    2.3.1 基本功能

    • 加密数据
    • 信息验证和身份识别
    • 访问控制
    • 地址管理
    • 密钥管理
    • 多协议支持

    2.3.2 安全技术

    • 隧道技术

      (1)点到点隧道协议(PPTP)

      (2)第二层隧道协议(L2TP)

    • 加解密技术

    • 密钥管理技术

    • 身份认证技术

    • 访问控制技术

    2.4 SSL协议

    2.4.1 提供的服务

    • 认证用户和服务器,确保数据发送到正确的客户机和服务器
    • 加密数据以防止数据中途被窃取
    • 维护数据的完整性,确保数据在传输过程中不被改变

    2.4.2 组成

    • SSL记录协议
    • SSL握手协议
    • SSL修改密文规程协议
    • SSL告警协议

    SSL记录协议为不同的更高层协议提供基本的安全服务。3个高层协议(SSL握手协议、SSL修改密文规程协议、SSL告警协议)用于管理SSL交换

    2.5 防火墙

    2.5.1 防火墙提供四种控制服务:

    • 服务控制:确定可以访问的因特网服务的类型,包括入站的和出站的。这是因为防火墙可以基于IP地址和TCP端口号对通信量进行过滤

    • 方向控制:确定特定的服务请求被允许流动的方向,即特定服务的方向流控制

    • 用户控制:内部用户、外部用户所需的某种形式的认证机制。根据用户试图访问的服务来控制对服务的访问。典型地用户控制防火墙以内的用户(本地用户)

    • 行为控制:对特定服务的使用方式进行控制。如防火墙可以过滤电子邮件来消除垃圾邮件

    2.5.2 防火墙的层次分类

    • 分组过滤器
    • 应用级网关
    • 电路级网关

    2.5.3 防火墙的局限性

    (1)防火墙不能对绕过它的攻击进行保护(越窗而不逾门)

    (2)防火墙不能对内部的威胁提供支持(“家贼难防”)

    (3)防火墙不能对病毒感染的程序或文件的传输提供保护(不对报文内容进行检查)

    (4) 防火墙机制难以应用于物联网感知层(物联网感知层网络边界模糊性)

    3. 泛在接入安全

    3.1 远距离无线接入安全

    3.1.1 移动通信系统面临的安全威胁

    • 对敏感数据的非授权访问(违反机密性)。包括:窃听、伪装、流量分析、浏览、泄漏和推论
    • 对敏感数据的非授权操作(违反完整性)。包括消息被入侵者故意篡改、插入、删除或重放
    • 滥用网络服务(导致拒绝服务或可用性降低)。包括干涉、资源耗尽、优先权的误用和服务的滥用
    • 否认。用户或网络拒绝承认已执行过的行为或动作。
    • 非授权接入服务。包括入侵者伪装成合法用户或网络实体来访问服务;用户或网络实体能滥用它们的访问权限来获得非授权的访问

    3.2 近距离无线接入安全

    3.2.1 无线局域网安全

    1. 安全技术

    (1)物理地址(MAC)过滤

    (2)服务区标识符(SSID)匹配

    (3)有线对等保密(WEP)

    (4)WAPI安全机制

    (5)IEEE 802.1X EAP认证机制

    (6)IEEE 802.11i安全机制

    (7)IEEE 802.16d安全机制

    3.2.2 无线个域网安全

    1. 主流技术
    • 蓝牙
      1. 网络安全模式:非安全模式、业务层安全模式、链路层模式
      2. 蓝牙的链路层安全是通过匹配鉴权加密完成的,密钥的建立是通过双向的链接来实现的
    • ZigBee
      1. 安全服务模式:不安全模式、ACL模式、安全模式
      2. 优点:功耗低、数据传输可靠、网络容量大、兼容性好
    • 超宽带(UWB)
      1. 优点:低成本、传输速率高、空间容量大、低功耗
      2. 面临的信息安全威胁:拒绝服务攻击、密钥泄露、假冒攻击、路由攻击

    4. 异构网络安全

    4.1 异构网络的安全机制

    • 异构网络的路由安全
    • 异构网络的接入认证机制
    • 异构网络的入侵检测机制
    • 异构网络的节点信息传输安全

    5. 路由安全

    5.1 路由面临的安全威胁

    (1)哄骗、篡改或重放路由信息

    (2)选择性转发(selective forwarding)

    (3)污水池(sinkhole)攻击

    (4)女巫(sybil)攻击

    (5)虫洞(wormhole)攻击

    (6) Hello洪泛攻击

    .16d安全机制

    3.2.2 无线个域网安全

    1. 主流技术
    • 蓝牙
      1. 网络安全模式:非安全模式、业务层安全模式、链路层模式
      2. 蓝牙的链路层安全是通过匹配鉴权加密完成的,密钥的建立是通过双向的链接来实现的
    • ZigBee
      1. 安全服务模式:不安全模式、ACL模式、安全模式
      2. 优点:功耗低、数据传输可靠、网络容量大、兼容性好
    • 超宽带(UWB)
      1. 优点:低成本、传输速率高、空间容量大、低功耗
      2. 面临的信息安全威胁:拒绝服务攻击、密钥泄露、假冒攻击、路由攻击

    4. 异构网络安全

    4.1 异构网络的安全机制

    • 异构网络的路由安全
    • 异构网络的接入认证机制
    • 异构网络的入侵检测机制
    • 异构网络的节点信息传输安全

    5. 路由安全

    5.1 路由面临的安全威胁

    (1)哄骗、篡改或重放路由信息

    (2)选择性转发(selective forwarding)

    (3)污水池(sinkhole)攻击

    (4)女巫(sybil)攻击

    (5)虫洞(wormhole)攻击

    (6) Hello洪泛攻击

    (7)应答欺骗

    展开全文
    weixin_44895050 2021-06-11 17:12:20
  • Tekapo_s 2021-07-30 09:47:15
  • weixin_30456235 2021-06-17 01:12:37
  • qq_43922013 2021-01-17 23:41:46
  • renxm 2021-09-29 09:18:46
  • qq_44657899 2021-05-08 14:50:13
  • pengpengjy 2021-04-22 14:21:39
  • oldmao_2001 2021-04-04 20:47:31
  • travis_cloud 2021-07-30 12:59:33
  • rtthreadiotos 2021-10-29 14:06:46
  • Winds_Up 2021-07-12 15:59:05
  • qq_43692072 2021-06-25 21:32:09
  • weixin_43977912 2021-04-20 20:34:30
  • weixin_35732273 2021-05-26 03:49:49
  • GUA8122HOU 2021-01-04 11:44:25
  • qq_39701860 2021-01-11 16:12:11
  • sgentle 2021-04-25 22:22:23
  • qq_43380549 2021-10-16 00:59:43
  • qq_43380549 2021-04-28 00:23:12
  • weixin_49369227 2021-10-20 11:05:04
  • qq_43692072 2021-06-27 10:06:06
  • Chahot 2021-11-18 13:21:57
  • mahuahu 2021-03-24 14:46:35
  • qq_44575789 2021-06-21 12:30:29
  • qq_43692072 2021-06-25 19:57:11
  • weixin_42100211 2021-10-21 11:01:01

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 25,418
精华内容 10,167
关键字:

物联网安全算法