物联网安全技术,物联网安全架构,感知 物体信息,传输 数据信息,信息 处理分析,智能 控制物体,物联网安全架构,传感器,传感器,物联网安全层次模型,物联网安全架构,物联网安全层次模型,安全问题,物理安全,信息采集安全,传输安全,信息处理安全,确保信息的保密性、完整性、真实性和网络的容错性。,影响因素 分层解决(有局限性) 针对整个系统进行规划,物联网安全架构,物联网安全层次模型,信息安全的基本属性,可用性,可靠性,完整性,保密性,不可抵赖性,物联网安全架构,物联网安全架构,物联网安全架构,物联网逻辑流程,在物联网应用中，多种类型的感知信息会被同时采集、处理，综合利用，甚至不同感知信息的结果会影响其他控制调节行为。 在应用端信息融合处理后可能会面临多种不同的应用。,感知层 获取信息,传输层 传输信息,处理层 处理信息,应用层 使用信息,物联网安全架构,感知层安全,感知层的架构特点 感知单元功能受限，特别是无线传感器元件 多个感知单元组成局部传感器网络 感知层的安全威胁 感知层的网关节点被恶意控制(安全性全部丢失) 感知层的普通节点被恶意控制(攻击方控制密钥) 感知层的普通节点被捕获(未控制密钥，节点未被控制) 感知层的节点受到来自网络的Dos攻击 接入到物联网的超大量传感节点的标识、识别、认证和控制问题,威胁程度,严重,轻微,物联网安全架构,感知层的安全需求,机密性,密钥协商,节点认证,信誉评估,安全路由,感知层安全,物联网安全架构,感知层安全架构,机密性,认证性,密钥协商,入侵检测,影响因素 安全需求与能量受限之间的矛盾(措施越完善，安全性越好，能耗越高) 根据不同需求使用不同量级的密码(传感器间可用轻量级密码),感知层安全,通话时建立临时密码,对称或非对称密码,安全路由,物联网安全架构,传输层安全,传输层的架构特点 通常使用互联网、移动网或专业网(国家电网)等传输 通信过程可能会跨网传输 传输层的安全威胁 假冒攻击、中间人攻击(可发生在所有类型网络) Dos攻击、DDos攻击(传感网、互联网) 跨异构网络的攻击(互联网、移动网等互联情况) 垃圾数据传播(增加网络负担，造成时延),威胁程度,严重,轻微,物联网安全架构,传输层的安全需求 传输层安全性的脆弱点主要体现在异构网络的信息交换环节，在网络认证方面，易受到各种恶意攻击。,数据 机密性,数据 完整性,数据流机密性 不同网络层面传输数据流时保持不泄露。,DDoS攻击的检测和预防,传输层安全,物联网安全架构,传输层安全,传输层安全机制 端对端机密性：认证机制、密钥协商机制、机密性算法选取机制和密钥管理机制 节点到节点机密性：认证、密钥协商，功耗以及效率 传输层安全构架 建立节点认证机制；建立数据机密性、完整性机制；根据需求建立数据流保密性机制；建立DDoS攻击检测和预防机制 移动网中AKA机制的基于IMSI的兼容性或一致性、跨域/网络认证 相应密码技术：密钥管理、端对端加密和点对点加密、密码算法和协议等 建立广播、组播通信的机密性、认证性和完整性机制,物联网安全架构,处理层安全,处理层的架构特点 数据的智能辨识与处理 终端(很多时候是在移动终端)上的数据操作 处理层的安全威胁 智能vs低能(智能是攻击和病毒的平台) 自动vs失控 便捷vs灾难(灾难的预防、控制与恢复) 超大量终端的海量数据的识别和处理 非法人为干预(内部攻击) 设备(尤其是移动设备)丢失,威胁程度,严重,轻微,物联网安全架构,处理层的安全需求 处理层容纳海量信息，处理平台为分布式的 高度的智能化、自动化,尽量减少高智能自动化处理系统带来的不确定性,人为恶意行为有检测和预防，发生时尽量减少损失,降低由设备丢失造成的危害,处理层安全,物联网安全架构,处理层安全,处理层安全构架 高强度数据机密性和完整服务 入侵检测和病毒检测 可靠的高智能处理手段 可靠的密钥管理机制，包括PKI和对称密钥相结合的机制 可靠的认证机制和密钥管理方案 密文查询、数据挖掘、安全多方计算、安全云计算等 恶意指令分析和预防、访问控制和灾难恢复机制 保密日志跟踪和行为分析、恶意行为模型的建立 移动设备识别、定位和追踪机制 移动设备文件的可备份和恢复,物联网安全架构,应用层安全,应用层的架构特点 不同的应用环境对安全有不同的需求 应用层的安全威胁 用户隐私信息 (位置信息，医疗咨询等)泄露 不同访问权限对同一数据库内容进行筛选 销毁计算机数据 计算计算机取证 处理信息泄露与追踪问题 电子产品及软件的知识产权被侵犯,威胁程度,严重,轻微,物联网安全架构,应用层的安全需求 不同的应用需求对共享数据分配不同的访问权限 不同的访问权限对同一数据可能产生不同的结果,以安全方式 处理信息,用户隐私保护的 需求,信息管理方面的一些非技术性问题,应用层安全,物联网安全架构,应用层安全,应用层安全构架 有效的数据库访问控制和内容筛选机制 不同场景的隐私信息保护技术 安全的数据销毁技术 有效的数据取证技术 叛逆追踪和其他信息泄露追踪机制 安全的电子产品和软件的知识产权保护技术,物联网安全架构,物联网安全架构,物联网从架构到安全需求尚在不断发展探索中,物联网产品的安全架构需尽早建立,安全架构要允许安全机制的可扩展性,安全服务的可扩展性,物联网面临的安全威胁严重且在不断进化,安全等级的可扩展性,无线传感器网络安全问题,WSN影响安全机制的特点,节点能量受限,节点存储受限,通信的不可靠性,通信的高延迟,安全需求多样,网络无人值守,感知数据量大,WSN的部署方式、路由方式、拓扑情况、节点工作模式以及节点数量都是在制定安全机制时必须考虑的重要因素,无线传感器网络安全问题,WSN的安全需求,数据机密性,数据完整性,数据新鲜性,自组织,时间同步,数据认证,非法路由,流量分析攻击,数据受损,节点丢失,重放攻击,路由关系未知,网络动态拓扑,节点授权认证,消息确认码,无线传感器网络安全问题,WSN的安全威胁,保密与认证攻击 窃听 报文重放攻击 报文欺骗,拒绝服务攻击 目标停止工作 能量耗尽 内存溢出,针对完整性的 隐秘攻击 破坏节点 注入虚假报文,无线传感器网络安全问题,WSN物理层攻击,拥塞攻击 节点传输发生拥塞，时延增大，影响网络实时性 网络无法传输数据，信道阻塞，网络瘫痪 接收无效数据，节点能量耗尽，网络寿命缩短 防御手段：跳频、改变占空比,物理破坏 对被俘节点进行分析修改，干扰网络功能 停止被俘节点工作，破坏网络拓扑，甚至瘫痪网络 防御手段：节点伪装、抗篡改硬件、物理损害感知,无线传感器网络安全问题,WSN数据链路层攻击,碰撞攻击 接收节点无法正常接收，导致报文丢弃 防御手段：制定相对应的MAC协议，纠错码机制,耗尽攻击 持续通信使节点能量耗尽 防御手段：限制网络发送速度，在MAC协议中制定限制策略,非公平攻击 恶意使用优先级，占据信道，其他节点无法通信，报文传送不公平 防御手段：采用短小帧格式，弱化优先级差异,无线传感器网络安全问题,WSN网络层攻击,虚假路由攻击 伪造、修改或重放路由信息，破坏数据传输 防御手段：多径路由；发送冗余信息,选择性转发攻击 选择性丢弃有价值的数据包 防御手段：发现并提出破坏节点,糟洞攻击 形成路由糟洞，数据均按路由流入糟洞而非正常传输 防御手段：利用协议检测路由可靠性，判断路由质量,无线传感器网络安全问题,WSN网络层攻击,女巫攻击 恶意节点违法地以多个身份出现 降低分布式存储、分散和多径路由的拓扑结构保持的容错能力 防御手段：对称密钥管理技术,虫洞攻击 两个恶意节点建立一跳私有信道，吸引周围节点发送数据 防御手段：发现并清除恶意节点,无线传感器网络安全问题,WSN网络层攻击,HELLO攻击 恶意节点利用大功率广播HELLO报文，迷惑其他节点 收到报文的节点将数据 发送给恶意节点 防御手段：通过路由协议规避攻击,ACK攻击 也叫做确认欺骗，利用CSMA机制里面的ACK报文 使其他节点通过错误的路由发送信息，造成数据丢失 防御手段：节点间通信建立密钥制度,无线传感器网络安全问题,WSN传输层攻击,洪泛攻击 攻击者发送大量虚假连接到某一节点 造成该节点内存溢出，不能正常工作 防御手段：建立节点间挑战应答机制；入侵检测机制,失步攻击 攻击者向节点发送重放的虚假信息 导致节点重传丢失的数据帧，缩短节点生命周期 防御手段：对节点间信令进行监控,无线传感器网络安全问题,加密技术,对称密钥加密算法 收发双发使用相同的密钥对明文进行加密与解密,非对称式密钥加密算法 收发双发使用不同的密钥对明文进行加密与解密,无线传感器网络安全问题,密钥管理性能评价指标,可扩展性 满足拓扑需求 计算、存储、通信开销在可承受范围内,有效性 存储复杂度 计算复杂度 通信复杂度,抗毁性 抵御节点受损的能力 受损后，密钥被暴露的概率,连接性 保持足够高的密钥连接概率 无需考虑较远的节点,无线传感器网络安全问题,密钥管理解决方案,基于密钥分配中心方式 基于密钥服务器(KDC)提供整个网络的安全性 初始化阶段主密钥不会发生泄露,基于预分配方式 预先在节点上存储一定量的密钥或计算密钥的素材 无第三方，安全性高,基于分组、分簇实现方式 分组或分簇实现可减少节点上的密钥存储量 单点失效将影响组/簇的密钥健康,无线传感器网络安全问题,安全路由,TRANS协议 隔离恶意节点，建立信任路由 每个节点为其邻居节点预置信任值(特定参数)，汇聚节点记录信任值信息 汇聚节点将信息发送给可信任的邻居节点，邻居转发给可信任的邻居 如某一节点的信任值低于信任阈值时，其邻居不会向其转发信息,无线传感器网络安全问题,安全路由,INSENS协议 基站广播路由请求包 每个节点单播一个包含临近节点拓扑信息的路由回馈信息包 基站验证收到的拓扑信息，然后单播路由表到每个传感器节点,无线传感器网络安全问题,入侵检测,主动保护网络免受攻击 对网络或系统关键点收集信息并对其进行分析发现各种攻击企图、攻击行为或攻击结果 保证网络资源的机密性、完整性和可用性 降低攻击造成的危害，取证或者进行反入侵,误用检测分析 根据已有的入侵或攻击特征建立特征库 将网络信息与特征库对比,异常检测分析 建立正常的“活动模型” 将节点或网络活动与活动模型对比，分析出异常行为,RFID系统安全问题,安全风险 RFID技术设计和应用的目的是降低成本，提高效率 RFID标签价格低廉，设备简单，系统较少使用安全措施,RFID自身脆弱性 成本限制 非法阅读器或自制设备获取/修改信息 系统发生故障,RFID易受外部攻击 无线信道安全机制弱 第三方进行非授权访问,隐私风险 无安全机制的标签会泄露信息 信息非法收集 对物品非法跟踪,外部风险 射频干扰 计算机网络攻击,RFID系统安全问题,安全需求 对于不同的RFID技术系统有不同的安全需求 商品RFID标签；电子票证；RFID供应链系统,机密性 阅读器与标签间通信无保护 易致隐私泄露,完整性 保证数据未被篡改和替换 消息认证机制,可用性 服务可被授权用户正常使用 防止恶意攻击,真实性 保证数据真实 电子标签身份认证机制,隐私性 保护用户/使用者合法信息 位置保密,RFID系统安全问题,安全机制,电磁屏蔽,Kill命令机制 物理上毁坏标签 牺牲RFID标签再次使用性能,主动干扰 主动发出无线电信号 使附近阅读器失效,阻塞器标签 标签返回阻塞信息替代隐私信息 可选择性替代,可分离的标签 天线和芯片可拆分 缩短读取距离,物理方法,RFID系统安全问题,安全机制,散列锁定 使用metaID代替标签的真实ID 标签封锁，拒绝显示电子编码信息 接收到正确密钥时，标签解锁,临时ID 标签公开状态下，存储在ROM里的ID可被阅读 隐藏ID信息时，RAM中输入临时ID替代真实ID RAM重置，恢复显示真实ID,重加密 反复对标签名进行加密 读写器读取标签名，对其进行周期性加密，再写回标签中,逻辑方法,