1、物聯網技術與應用 配套電子課件主編:劉麗軍第7章 物聯網安全2022/7/11【本章知識要點】學習完本章后，應當掌握如下知識： （1）了解物聯網安全呈現的新特點。 （2）了解物聯網面臨的安全威脅。 （3）了解物聯網的安全機制。7.1 物聯網安全新特點 從物聯網的信息處理過程來看，感知信息經過采集、匯聚、融合、傳輸、決策與控制等過程，整個信息處理的過程體現了物聯網安全的特征與要求，也揭示了所面臨的安全問題。 一是感知網絡的信息采集、傳輸與信息安全問題。 二是核心網絡的傳輸與信息安全問題。 三是物聯網業務的安全問題。 7.1.1 物聯網安全特征7.1 物聯網安全新特點區別一： 已有的對傳感網(感知

2、層)、互聯網(傳輸層)、移動網(傳輸層)、云計算(處理層)等的一些安全解決方案在物聯網環境可能不再適用，因為： 物聯網所對應的傳感網的數量和終端物體的規模是單個傳感網所無法相比的； 物聯網所聯接的終端物體的處理能力有很大差異； 物聯網所處理的數據量比現在的互聯網和移動網都大得多。7.1.2 物聯網安全與傳統網絡安全的區別7.1 物聯網安全新特點區別二： 即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯網的安全，因為： 物聯網是融幾個層于一體的大系統，許多安全問題來源于系統整合； 物聯網的數據共享對安全性提出更高的要求； 物聯網的應用將對安全提出新要求，比如，隱私保護不屬于任一層的安全需

3、求，但卻是許多物聯網應用的安全需求。7.1.2 物聯網安全與傳統網絡安全的區別7.2 物聯網面臨的安全威脅 由于標簽成本的限制，普通的商品不可能采取很強的加密方式。標簽與閱讀器之間進行通訊的鏈路是無線的，無線信號本身是開放的，這就給非法用戶的干擾和偵聽帶來了便利。閱讀器與主機之間的通訊也可能受到非法用戶的攻擊。7.2.1 RFID安全7.2 物聯網面臨的安全威脅 1、信號干擾問題 RFID系統采用低頻、高頻、超高頻和微波等各種信號，主要頻率有125kHz、225 kHz和13.65 MHz、433 MHz、915 MHz、2.45GHz、5.8 GHz。各個頻帶的電磁波信號同時使用時，相鄰頻帶

4、之間的干擾很大。可能導致的錯誤有： (1)讀寫器與標簽通訊過程中的數據錯誤。 (2) 信號中途被截取，冒充RFID標簽，向讀寫器發送信息。 (3) 利用冒名頂替標簽來向閱讀器發送數據，從而使閱讀器處理的都是虛假的數據。7.2.1 RFID安全7.2 物聯網面臨的安全威脅 (4) 閱讀器發射特定電磁波破壞標簽內部數據。 (5) 由于受到成本的限制，很多標簽不可能采用很強的編程和加密機制，這樣非法用戶可以利用合法的閱讀器或者自購一個閱讀器直接與標簽進行通訊，從而導致標簽內部的數據極容易被竊取，并且那些可讀寫式標簽還將面臨數據被修改的風險。 (6) 在閱讀器與主機(或者應用程序)之間中間人(或者中間

5、件)通過直接或間接地修改配置文件，竊聽和干擾交換的數據。7.2.1 RFID安全7.2 物聯網面臨的安全威脅 2、和址認證守護物聯網的信息安全 和址認證技術(也稱合址認證)，是將密碼(編碼)和傳感器網絡地址(如SIM卡地址或號碼)聯合認證的技術。和址認證在存放處同時存放密碼和網絡地址數據，密碼和傳感器(網絡終端)由持有方持有使用，網絡地址由第三方網絡提供，該地址具有惟一性和非人為可控性；在認證時，持有方通過傳感器讀取物品上的密碼，并向存放處傳送，第三方網絡向存放處傳送傳感器的網絡地址，存放處同時比對密碼和網絡地址。單純持有密碼或特定的傳感器，均不能通過認證。 7.2.1 RFID安全7.2 物

6、聯網面臨的安全威脅 由于傳感器網絡自身的一些特性，使其在各個協議層都容易遭受到各種形式的攻擊。 （1）物理層的攻擊和防御 （2）鏈路層的攻擊和防御7.2.2 無線傳感網安全7.2 物聯網面臨的安全威脅（3）網絡層的攻擊和防御 虛假路由信息 選擇性地轉發 污水池攻擊 女巫攻擊 蠕蟲洞攻擊 泛洪攻擊7.2.2 無線傳感網安全7.2 物聯網面臨的安全威脅 由于無線傳感器網絡受到的安全威脅和移動Ad hoc(自組織無線網絡)不同，所以現有的網絡安全機制無法應用于本領域，需要開發專門協議。目前主要存在兩種思路： 一種思想是從維護路由安全的角度出發，尋找盡可能安全的路由以保證網絡的安全。 另一種思想是把著

7、重點放在安全協議方面。7.2.2 無線傳感網安全7.2 物聯網面臨的安全威脅 無線傳感器網絡中的兩種專用安全協議：安全網絡加密協議SNEP(Sensor Network Encryption Protocol)和基于時間的高效的容忍丟包的流認證協議TESLA。 7.2.2 無線傳感網安全7.2 物聯網面臨的安全威脅 目前，信息安全問題面臨著前所未有的挑戰，常見的安全威脅有： 第一，信息泄露。第二，破壞信息的完整性。第三，拒絕服務。第四，非法使用(非授權訪問)。第五，竊聽。第六，業務流分析。第七，假冒。第八，旁路控制。第九，授權侵犯。第十，特洛伊木馬。第十一，陷阱門。第十二，否認。第十三，重放。

8、第十四，計算機病毒。第十五，人員不慎。第十六，媒體廢棄。第十七，物理侵入。第十八，竊取。第十九，業務欺騙。7.2.3 物聯網信息安全7.2 物聯網面臨的安全威脅 1、無線網絡安全 (1)非法設備 (2) 結構不確定 (3) 網絡和設備漏洞 (4) 威脅和攻擊 (5) 暴露出有線網絡 (6) 應用沖突問題7.2.4 無線網絡、云計算與IPv6安全7.2 物聯網面臨的安全威脅 2、云計算安全 (1) 優先訪問權風險 (2) 管理權限風險 (3) 數據處所風險 (4) 數據隔離風險 (5) 數據恢復風險 (6) 調查支持風險 (7) 長期發展風險7.2.4 無線網絡、云計算與IPv6安全7.2 物聯

9、網面臨的安全威脅 3、IPv6安全 (1) 病毒和蠕蟲病毒仍然存在 (2) 衍生出新的攻擊方式 (3) Ipv4到IPv6過渡期間的風險 (4) 多數傳統攻擊不可避免7.2.4 無線網絡、云計算與IPv6安全7.3 物聯網安全機制 密鑰系統是安全的基礎，是實現信息隱私保護的手段之一。實現統一的密鑰管理系統可以采用兩種方式： 一是以互聯網為中心的集中式管理方式。 二是以各自網絡為中心的分布式管理方式。 7.3.1 密鑰管理機制7.3 物聯網安全機制 物聯網應用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改、不能被非授權用戶使用，同時，還要考慮到網絡的可靠、可信和安全。一

10、方面希望提供盡可能精確的位置服務，另一方面又希望個人的隱私得到保護。這就需要在技術上給以保證。目前的隱私保護方法主要有位置偽裝、時空匿名、空間加密等。 7.3.2 數據處理與隱私性7.3 物聯網安全機制 物聯網的路由要跨越多類網絡，有基于IP地址的互聯網路由協議、有基于標識的移動通信網和傳感網的路由算法，因此我們要至少解決兩個問題，一是多網融合的路由問題，二是傳感網的路由問題。 無線傳感器網絡路由協議常受到的攻擊主要有以下幾類：虛假路由信息攻擊、選擇性轉發攻擊、污水池攻擊、女巫攻擊、蟲洞攻擊、Hello洪泛攻擊、確認攻擊等。 7.3.3 安全路由協議7.3 物聯網安全機制7.3.3 安全路由協

11、議攻 擊 類 型解 決 方 法外部攻擊和鏈路層安全鏈路層加密和認證女巫攻擊身份驗證HELLO泛洪攻擊雙向鏈路認證蟲洞和污水池很難防御，必須在設計路由協議時考慮，如基于地理位置路由等選擇性轉發攻擊多徑路由技術認證廣播和泛洪廣播認證，如TESLA傳感器網絡攻擊與解決方法7.3 物聯網安全機制 認證指使用者采用某種方式來“證明”自己確實是自己宣稱的某人，網絡中的認證主要包括身份認證和消息認證。 訪問控制是對用戶合法使用資源的認證和控制，目前信息系統的訪問控制主要是基于角色的訪問控制機制(Role-Based Access Control，RBAC)及其擴展模型。 7.3.4 認證與訪問控制7.3 物聯網安全機制 容侵就是指在網絡中存在惡意入侵的情況下，網絡仍然能夠正常地運行。 無線傳感器網絡可用性