物联网安全知识点

 四层模型中的平台层+应用层即三层模型中的应用层。

一、概论

1、物联网安全的定义

物联网安全指物联网中硬件、软件和系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，物联网系统可以连续可靠正常的运行，物联网服务不中断。

2、物联网安全目标

• 保密性：避免非法用户读取保密数据。
• 完整性：校验数据是否被修改。
• 可用性：确保感知网络的服务任何时候都可以提供给合法用户。
• 数据鉴别：避免节点被注入虚假信息。
• 设备鉴别：避免非法设备接入物联网。

3、物联网环境中的攻击技术

• 物理攻击：攻击篡改物理组件。
• 窃听：实时数据流分析和重放攻击的前提。
• 非法访问：未授权实体获得物联网系统或设备的访问权限。
• 重放攻击：恶意冒充另外一个合法实体。攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。
• Dos（拒绝服务）攻击：通过某种方法耗尽网络设备、链路或服务器资源，使其不能正常提供服务。
• 恶意代码攻击：未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，通过存储介质和网络进行传播，从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。

4、物联网面临的安全挑战

• 互联网的脆弱性。
• 复杂的网络环境。
• 无线信道的开放性。
• 物联网终端的局限性。
• 无线网络攻击升级。
• 经济利益诱惑。
• 国家和社会的安全。

---

 二、物联网安全体系结构

1、感知层

① 工作原理

 数据采集和数据短距离输送：使用感知设备采集外部物理世界的数据，通过工业现场总线、红外、WiFi、蓝牙等短距离有线或无线传输技术进行协同工作或者传输数据到网关设备。

② 安全缺陷

物联网中的这些设备大多是部署在无人监控的地点完成任务，攻击者比较容易接触到这些设备，对这些设备或其承载的传感器进行破坏，通过破译传感器通信协议对他们进行非法操控。
节点数目众多、终端种类多样、结构各异、节点的安全性能较低。

③ 安全策略

• 保障感知层内部的通信安全即节点间的数据机密性保护传输，防止非法窃听、非法节点接入，建立认证机制及密钥管理机制。
• 重要传感网络需要对可能被敌手控制的节点行为进行评估，降低入侵后的危害，建立信息评估机制。
• 传感网内部需要不同的安全路由技术。
• 应构建和完善我国信息安全的监管体系

④ 两大关键技术

• 射频技术（RFID，Radio Frequency Identification）
• 无线传感器网络（Wireless Sensor Network，WSN）

 RFID

系统组成

• 标签：携带目标识别数据，是 RFID 系统真正的数据载体，由耦合元件以及微电子芯片组成。
• 阅读器：用于读或读/写标签数据的装置，由射频模块(发送器和接收器)、控制单元、与标签连接的藕合单元组成。
• 后台数据库：后台服务器,包含数据库处理系统，存储和管理标签相关信息。

出现安全隐患的原因

• 根本原因：RFID 当初的应用设计是完全开放的。
• 重要原因：对标签加解密需要消耗过多的处理器能力，会使标签增加额外的成本。优秀的标签工具未能嵌入到标签的硬件中。

主动攻击

• 获得的射频标签实体，通过物理手段在实验室环境中去除芯片封装，使用微探针获取敏感信号，进行射频标签重构的复杂攻击。
• 通过软件，利用微处理器的通用接口，扫描射频标签和响应读写器的探寻，寻求安全协议和加密算法存在的漏洞，删除射频标签内容或篡改可重写射频标签内容。
• 干扰广播、阻塞信道或其他手段，构建异常的应用环境，使合法处理器发生故障， 进行拒绝服务攻击等。

被动攻击

• 采用窃听技术，分析微处理器正常工作过程中产生的各种电磁特征，获得射频标签和读写器之间或其他 RFID 通信设备之间的通信数据。
• 通过读写器等窃听设备，跟踪商品流通动态。

 WSN

系统组成

传感器节点由传感器模块、处理器模块、无线通信模块、 能量供应模块四部分组成。

外部攻击

攻击者未被授权的加入传感器网络中的攻击方式。传感器网络的通信采用无线信道，一个被动攻击者在网络的无线频率范围内窃听信道上传送的数据，获取隐私或者机密信息。

内部攻击

节点被俘获是 WSN 所面临的一个最大的安全威胁。若网络中的一个节点一旦被敌手俘获，攻击者可利用这个叛逆节点发起内部攻击。

独有的安全威胁

• HELLO 扩散法：是一种 DoS, 利用 WSN 路由协议的缺陷，允许攻击者使用强信号和强处理能量让节点误认为网络有一个新的基站。
• 陷阱区：攻击者能够让周围的节点改变数据传输路线，去通过一个被捕获的节点或是一个陷阱。

安全威胁

物理层攻击	信号干扰和窃听攻击；篡改和物理破坏攻击；仿冒节点攻击。
链路层安全威胁	链路层碰撞攻击；资源消耗攻击；非公平竞争。
网络层的安全威胁	虚假路由攻击；选择性地转发；Sinkhole 槽洞攻击；DoS 拒绝服 务 攻 击；Sybil 女 巫 攻 击；Wormholes 虫洞攻击；HELLO  洪泛攻击；确认欺骗；被动窃听。
传输层攻击	洪泛攻击；重放攻击。

防护手段

物理层	无线干扰攻击	单频点的无线干扰攻击：宽频和跳频的方法。
		全频长期持续无线干扰攻击：转换通信模式。
		有限时间内的持续干扰攻击：传感器节点在被攻击的时候，降低自身工作的占空比， 定期检测攻击是否存在，感知到攻击终止后，恢复到正常的工作状态。
		间歇性无线干扰攻击：传感器节点利用攻击间歇进行数据转发。
	物理篡改攻击	增加物理损害感知机制（使节点能根据外部环境的变化、收发数据包的情况、敏感 信号的变化，判断是否遭受物理侵犯）。
		对敏感信息进行加密存储。
		对节点进行物理伪装和隐藏。
	仿冒节点攻击	节点认证
链路层	链路层碰撞攻击	纠错编码。
		信道监听和重传机制。
	资源消耗攻击	限制网络发送速度，节点自动抛弃多余数据请求，降低网络效率。
		在协议实现时制定一些策略，对过度频繁的请求不予理睬，或限制同一个数据 包的重传次数等。
	非公平竞争	短包策略，不使用过长的数据包，缩短每包占用信道的时间。
		不采用优先级策略或者弱化优先级差异，可采用时分复用或者竞争的方式进行 数据传输。
网络层	外部攻击的防御	WSN网络层的外部被动窃听攻击，用加密报文头部或假名变换等方法隐藏关键节点的位置 和身份，用延时、填充等匿名变换技术实现信息收发的逻辑隔离，增大攻击者的逻辑推理难度。
		WSN网络层的大部分外部主动攻击，用链路层加密和认证机制来防御。
		虫洞和HELLO洪泛攻击方式不对数据包内部做任何改动。单纯应用密码学知识不能完全抵 御这类破坏。
	内部攻击的防御	身份认证（含邻居）抵御女巫攻击和Hello泛洪攻击。
		基站为每个节点设置邻接点数限制抵御Hello泛洪攻击。
		地理路由协议和安全定位技术抵御虫洞和污水池攻击。
		冗余多径、多跳确认及基于信任管理机制的测评方法抵御选择性转发攻击。
传输层	洪泛攻击	限制连接数量、客户端谜题的方法进行抵御。客户成功回答服务器的若干问 题后再建立连接，其缺点：合法节点进行更多的计算、通讯和消耗更多的能量。
		入侵检测机制。基站限制这些泛洪攻击报文的发送。如规定在一定时间内， 节点发包数量不能超过某个阈值。
	重放攻击	对数据包赋予时效性来抵御重放攻击，加密的数据包里添加时间戳或通过报文 鉴别码MAC对所有报文进行鉴别，发现并防止攻击者通过伪造报文来破坏同步机制。

2、传输层

① 工作原理

信息传递和处理。

② 安全缺陷

恶意程序在无线网络环境和传感网络环境中有无穷多的入口。如 (D)DoS、假冒攻击等。

③ 安全策略

• IPSec（IPSecurity）
• 防火墙
• 隧道服务
• 数字签名和数字证书
• 身份识别和访问控制

3、应用层

① 工作原理

数据处理和分析，做出正确的控制和决策，实现智能化的管理、应用和服务。

② 安全缺陷

漏洞会影响到的范围很大，包括系统本身及其支撑软件、网络客户和服务软件、网络路由器和安全防火墙等。

③ 安全策略

• 服务安全：外部服务安全、传输级安全、消息级安全、数据级安全和身份管理几个方面的策略。
• 中间件安全：数据传输、身份认证和授权管理方面的策略。
• 数据安全：数据加密、数据保护和数据备份方面的策略。
• 云安全：访问控制与认证策略。

三、物联网安全技术方法

IoT安全技术分类

应用环境安全技术

可信终端、身份认证、访问控制、安全审计等。

网络环境安全技术

无线网安全、虚拟专用网、传输安全、安全路由、防火墙、安全域策略、安全审计等。

信息安全防御关键技术

攻击检测、内容分析、病毒防治、访问控制、应急反应、战略预警等。

信息安全基础核心技术

密码技术、高速密码芯片、PKI公钥基础设施、信息系统平台安全等。

1、密钥管理机制

要求：

• 密钥生成或更新算法的安全性。
• 前向私密性：对中途退出传感器网络或被俘获的恶意节点，无法参加与报文解密或者生成有效的可认证的报文。
• 后向私密性和可扩展性：新加入传感器网络的合法节点可利用新分发或者周期性更新的密钥参与网络的正常通信；保障网络可扩展，允许大量新节点的加入。
• 抗同谋攻击：若干节点被俘获后, 其所掌握的密钥信息可能会造成网络局部范围的泄密, 不应对整个网络的运行造成破坏性或损毁性的后果。
• 源端认证性和新鲜性。

2、数据处理与隐私性

① 数据处理

数据经过信息感知、获取、汇聚、融合、传输、存储、挖掘、决策和控制等处理流程，末端的感知网络几乎要涉及上述信息处理的全过程。

② 隐私保护

数据处理过程中涉及到基于位置的服务与在信息处理过程中的隐私保护问题。

3、安全路由协议

物联网的路由要跨越多类网络，有基于IP地址的互联网路由协议、基于标识的移动通信网和传感网的路由算法，解决两个问题：多网融合的路由问题；传感网的路由问题。

4、认证与访问控制

① 认证技术

• 基于轻量级公钥算法的认证技术。
• 基于预共享密钥的认证技术。
• 基于单向散列函数的认证方法。

② 访问控制

对用户合法使用资源的认证和控制，基于角色的访问控制机制（RBAC）及其扩展模型。基于属性的访问控制（ABAC）。

5、入侵检测与容侵技术

① 容侵

在网络中存在恶意入侵的情况下，网络仍能正常地运行。

② 容错性

在故障存在的情况下系统不失效，仍能工作的特性。

③ WSN的容错性

部分节点或链路失效时，网络能进行传输数据的恢复或网络结构自愈， 减小节点或链路失效对WSN功能的影响。

四、影响物联网安全的非技术方法

教育、管理、信息安全管理、口令管理

五、物联网安全管理

1、概念

物联网安全管理是指导和控制组织的关于物联网安全风险的相互协调动，关于IoT安全风险的指导和控制活动常包括制定物联网安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。

2、建设思路

1. 物联网安全管理体系策划与准备。
2. 确定物联网安全管理体系适用范围。
3. 现状调查与风险评估。
4. 建立物联网安全管理框架。
5. 物联网安全管理体系文件编写。
6. 物联网安全管理体系的运行和改进。
7. 物联网安全管理体系审核。

3、风险管理

① 安全风险

在IoT系统当前的安全措施配置情况下，在特定时间窗口中威胁发起者利用相关脆弱性成功实施攻击，非法获取特定IoT资产上特定的访问权限，造成IoT资产上特定对象安全失效的潜在频率和危害性后果。

② 风险管理六阶段

1. 风险管理准备阶段。包括风险管理计划声明和物联网系统描述两个过程。
2. 物联网安全风险因素识别阶段。包括关键物联网资产识别、脆弱性识别、威胁识别、已有安全措施识别四个过程。
3. 物联网安全风险分析与评估阶段。包括基于利用图的风险事件过程建模，风险事件频率计算，风险事件损失计算三个过程。
4. 物联网系统安全保障分析阶段。在物联网系统安全风险管理方法中，可采用动态信息安全保障体系PDRR(Protect，Detect，Response，Recovery)  模型，对被评估物联网系统的安全保障体系进行分析。
5. 物联网系统安全决策阶段。这一阶段视对物联网安全风险的评估结果而定。
6. 物联网安全风险动态监控阶段。

六、加密和验证

1、对称密码

速度非常快，需要在一个受限组内共享密钥并维护其保密性。加密大量文本时，对称密钥是首选机制。

流密码

实现简单、便于硬件实施、加解密处理速度快、没有或只有有限的错误传播。只要用于军事外交等机密部门。

分组密码

分组密码将明文消息编码表示后的数字序列，划分成长度为n的组，每组分 别在密钥的控制下变换成等长的密文数字序列。若明文流被分割成等长串，  各串用相同的加密算法和相同的密钥进行加密，是分组密码。

① DES

特点

• 分组加密算法：以64位为分组。64位明文输入，64位密文输出。
• 对称算法：加密和解密使用同一秘钥。
• 有效秘钥长度：为56位密钥通常表示为64位数。
• DES 算法是两种加密技术的组合：混乱和扩散，先替代后置换。
• 易于实现：DES 算法只使用了标准的算术和逻辑运算。

优点

效率高，算法简单，系统开销小，适合加密大量数据。

缺点

需要以安全方式进行秘钥交换 秘钥管理复杂。

② AES

③ IDEA

特点

IDEA 使用长度为128bit 的密钥，数据块大小为64bit。

2、非对称密码

易于实现，使用灵活，密钥较少。

① RSA

② ECC

3、数字签名和数字证书

4、认证技术

① 认证

对主客体身份进行确认的过程。

② 认证机制

通讯的接收方能够确认数据发送方的真实身份，以及数据在传输过程中是否遭到篡改。