1、第五章第五章 接入安全接入安全第五章第五章 接入安全接入安全基本要求理解物联网接入安全相关的基本概念理解物联网接入安全相关的基本概念归纳物联网接入安全涉及的安全问题归纳物联网接入安全涉及的安全问题了解物联网接入安全控制技术的不同方法了解物联网接入安全控制技术的不同方法研究物联网接入安全的相关案例研究物联网接入安全的相关案例5.1 物联网的接入安全物联网的接入安全随着物联网的快速发展,大量的智能终端和传感器系统的网络与外部的通信愈加频繁,给物联网系统的内部安全造成严重的安全威胁。网络接入安全计算正是在这种需求下产生的,它能保证访问网络资源的所有设备得到有效的安全控制,从而消除各种安全威胁对网络资
2、源的影响。它使网络中的所有接入层设备成为安全加强点,而终端设备必须达到一定的安全策略和策略条件才可以接入网络,这样可以有效地帮助用户发现、预防和消除安全威胁。依据物联网中各个层次接入物联网方式的不同,物联网接入安全分为节点接入安全、网络接入安全和用户接入安全。5.1.1 物联网的接入安全物联网的接入安全u节点接入安全节点接入安全主要考虑物联网感知节点的接入安全。对于物联网感知层的多种技术,下面将选择无线传感技术进行介绍。要实现各种感知节点的接入,需要无线传感网通过某种方式与互联网相连,使得外部网络中的设备可对传感区域进行控制与管理。目前IPv4正在向IPv6过渡,使用IPv6不仅能满足物联网的
3、地址需求,还能满足物联网对节点移动性、节点冗余、基于流的服务质量保障的需求和对通信两端的信息和通信过程进行加密的安全需求。因此,IPv6很有希望成为物联网应用的基础网络安全技术。5.1.1节点接入安全节点接入安全 基于基于IPv6的无线接入的无线接入当前基于IPv6的无线接入技术,主要有以下两种方式:代理接入方式直接接入方式代理接入方式定义:定义:代理接入方式是指将协调节点通过基站(基站是一台计代理接入方式是指将协调节点通过基站(基站是一台计算机)接入到互联网算机)接入到互联网。5.1.1 物联网的接入安全物联网的接入安全5.1.1节点接入安全节点接入安全 代理接入方式代理接入方式代理接入方式
4、优点:安全性较好。优点:安全性较好。利用利用PCPC作为基站,减少了协调节点软硬件的复杂度作为基站,减少了协调节点软硬件的复杂度及能耗。及能耗。可在代理主机上部署认证和授权等安全技术,且能保可在代理主机上部署认证和授权等安全技术,且能保证传感器数据的完整性。证传感器数据的完整性。缺点缺点:PCPC作为基站,其代价、体积与能耗都较大,不便于作为基站,其代价、体积与能耗都较大,不便于布置。布置。在恶劣环境中不能正常工作。在恶劣环境中不能正常工作。5.1.1 节点接入安全节点接入安全 代理接入方式代理接入方式代理接入方式代理接入方式将节点通过基站(基站是一台计算机)接入互联网。在代理接入方式中,传感
5、器不能直接与外部用户通信,要经过代理主机对接收的数据进行中转。传感器网络把采集到的数据传给协调节点,再通过基站把数据通互联网发送到数据处理中心,同时有一个数据库服务器用来缓存数据。用户可通过互联网向基站发送命令,或者访问数据中心。直接接入方式定义:定义:直接接入方式是指通过协调节点直接连接互联网与传感网络,协调节点可通过无线通信模块与传感网络节点进行无线通信,也可利用低功耗、小体积的嵌入式Web服务器接入互联网,实现传感网与互联网的隔离。5.1.1 物联网的接入安全物联网的接入安全直接介入方式类型:直接介入方式类型:全IP方式重叠方式5.1 节点接入安全节点接入安全 直接接入方式直接接入方式直
6、接接入方式直接接入方式是指通过协调节点直接连接互联网与传感直接接入方式是指通过协调节点直接连接互联网与传感网络。网络。协调节点可通过无线通信模块与传感网络节点进行无线协调节点可通过无线通信模块与传感网络节点进行无线通信,也可利用低功耗、小体积的嵌入式通信,也可利用低功耗、小体积的嵌入式WebWeb服务器接入服务器接入互联网,实现传感网与互联网的隔离。互联网,实现传感网与互联网的隔离。这样,传感网就可采用更加适合其特点的这样,传感网就可采用更加适合其特点的MACMAC协议、路由协议、路由协议以及拓扑控制等协议,已达到网络能量有效性、网协议以及拓扑控制等协议,已达到网络能量有效性、网络规模扩展性等
7、目标。络规模扩展性等目标。5.1 节点接入安全节点接入安全 直接接入方式直接接入方式直接接入方式主要有以下几种:全全IPIP方式:直接在无线传感网所有感知节点中使用方式:直接在无线传感网所有感知节点中使用TCP/IPTCP/IP协议栈,使无线传感网与协议栈,使无线传感网与IPv6IPv6网络之间通过统一网络之间通过统一的网络层协议实现互联。的网络层协议实现互联。重叠方式:在重叠方式:在IPv6IPv6网络与传感网之间通过协议承载方式网络与传感网之间通过协议承载方式来实现互联。来实现互联。应用网关方式:通过在网关应用层进行协议转换来实现应用网关方式:通过在网关应用层进行协议转换来实现无线传感网与
8、无线传感网与IPv6IPv6网络的互联。网络的互联。介入安全需求 基于多种技术融合的终端接入认证技术。基于多层防护的接入认证体系。接入认证技术标准化、规范化。5.1.2 网络接入安全网络接入安全新型网络接入控制技术 NAC重叠方式 NAP TNC UAC 满足多往融合的安全介入网关安全接入设计功能 网络可以把协议转换,同时可以实现移动通信网络和互联网之间的信息转换。接入网关可以提供基础的管理服务,对终端设备提供身份认证、访问控制等安全管理服务。通过统一的安全接入网关,将各种网络进行互连整合,借助安全接入网关平台迅速开展物联网业务的安全应用。5.1.2 网络接入安全网络接入安全用户接入安全主要考
9、虑移动用户利用各种智能移动感知设备(如智能手机、PDA等)通过无线的方式安全接入物联网络。用户接入安全涉及到多个方面,首先要对用户的身份的合法性进行确认,这就需要身份认证技术,然后在确定用户身份合法的基础上给用户分配相应的权限,限制用户访问系统资源的行为和权限,保证用户安全的使用系统资源,同时在网络内部还需要考虑节点、用户的信任管理问题 5.1.3 用户用户接入安全接入安全5.2 信任管理信任管理 物物联网是一个多网并存的异构融合网络。这些网络包括互联网是一个多网并存的异构融合网络。这些网络包括互联网、传感网、移动网络和一些专用联网、传感网、移动网络和一些专用网络。网络。物联网使这些网络物联网
10、使这些网络环境发生了很大的变化,遇到了前所未有的安全挑战,传统的环境发生了很大的变化,遇到了前所未有的安全挑战,传统的基于密码体系的安全机制不能很好地解决某些环境下的安全问基于密码体系的安全机制不能很好地解决某些环境下的安全问题题,如,如在无线传感器网络中,传统的基于密码体系的安全机制在无线传感器网络中,传统的基于密码体系的安全机制主要用于抵抗外部攻击,无法有效地解决由于节点俘获而发生主要用于抵抗外部攻击,无法有效地解决由于节点俘获而发生的内部攻击的内部攻击。且。且由于传感器网络节点能力有限,无法采用基于由于传感器网络节点能力有限,无法采用基于对称密码算法的安全措施,当节点被俘获时很容易发生秘
11、密信对称密码算法的安全措施,当节点被俘获时很容易发生秘密信息泄露,如果无法及时识别被俘获节点,则整个网络将被控制息泄露,如果无法及时识别被俘获节点,则整个网络将被控制。又如互联网环境是一个开放的、公共可访问的和高度动态的。又如互联网环境是一个开放的、公共可访问的和高度动态的分布式网络环境,传统针对封闭、相对静态环境的安全技术和分布式网络环境,传统针对封闭、相对静态环境的安全技术和手段,尤其是安全授权机制,如访问控制列表、一些传统的公手段,尤其是安全授权机制,如访问控制列表、一些传统的公钥证书体系等,就不再适用于解决钥证书体系等,就不再适用于解决WebWeb安全问题安全问题。5.2 信任管理信任
12、管理 为了解决为了解决物联网网络环境带来的新的安全物联网网络环境带来的新的安全问题问题,19961996年年M.BlazeM.Blaze等人首次提出使用等人首次提出使用“信任管理(信任管理(trust trust managementmanagement)”的概念,其思想是承认开放系统中安全信的概念,其思想是承认开放系统中安全信息的不完整性,系统的安全决策需要依靠可信的第三方提息的不完整性,系统的安全决策需要依靠可信的第三方提供附加的安全信息供附加的安全信息。信任信任管理的意义在于提供了一个适合开放、分布和动管理的意义在于提供了一个适合开放、分布和动态特性网络环境的安全决策框架。而且信任管理将
13、传统安态特性网络环境的安全决策框架。而且信任管理将传统安全研究中,尤其是安全授权机制研究中隐含的信任概念抽全研究中,尤其是安全授权机制研究中隐含的信任概念抽取出来,并以此为中心加以研究,为解决互联网、传感网取出来,并以此为中心加以研究,为解决互联网、传感网等网络环境中新的应用形式的安全问题提供了新的思路等网络环境中新的应用形式的安全问题提供了新的思路。信任管理模型 描述和表达安全策略和安全凭证。设计策略一致性证明验证算法。划分信任管理引擎和应用系统之间的职能。5.2 信任管理信任管理5-4 信任管理模型设计信任管理引擎需要:信任定义 5.2.1 信任机制概述信任机制概述 信任是一个多学科的概念
14、,描述了在特定的情境下,一个个体(信任是一个多学科的概念,描述了在特定的情境下,一个个体(A)在)在可能产生不利后果的情况下(包括风险因素),愿意相信另一个个体可能产生不利后果的情况下(包括风险因素),愿意相信另一个个体(B)具有某种能力或能够完成某项任务的主观信念,或该个体()具有某种能力或能够完成某项任务的主观信念,或该个体(A)根据自己的经验或同时参考其他个体(根据自己的经验或同时参考其他个体(C、D等)推荐信息而得出的被等)推荐信息而得出的被信任方(信任方(B)的可信赖程度)的可信赖程度。对于信任的定义目前还没有形成一个准确而同一的定义,通常都是不对于信任的定义目前还没有形成一个准确而
15、同一的定义,通常都是不同学者根据其所处的背景、视角和所面临的系统环境给出不同的定义。同学者根据其所处的背景、视角和所面临的系统环境给出不同的定义。但是,基于信任的应用必须对信任给出清晰且合适的概念,否则将不但是,基于信任的应用必须对信任给出清晰且合适的概念,否则将不可能产生一个正确且稳健的系统可能产生一个正确且稳健的系统。信任定义 5.2.1 信任机制概述信任机制概述 Luhmann于于1979年从社会学的角度描述信任,将其定义为减少社会复年从社会学的角度描述信任,将其定义为减少社会复杂性的方法。这种社会复杂性由具有不同理解力和目的的个体的交互杂性的方法。这种社会复杂性由具有不同理解力和目的的
16、个体的交互引起。该定义由于其社会学的本质更适合信誉的系统。引起。该定义由于其社会学的本质更适合信誉的系统。1990年计算机科学家年计算机科学家Gambetta将信任将信任定义为一个个体评估另一个个体定义为一个个体评估另一个个体或集体将执行某一特定行为的特定主观可能性等级,评估发生在个体或集体将执行某一特定行为的特定主观可能性等级,评估发生在个体能够观察到该特定行为之前(或该特定行为独立于个体能够观察到该能够观察到该特定行为之前(或该特定行为独立于个体能够观察到该行为的能力)且该特定行为为会影响评估者自身的行为。行为的能力)且该特定行为为会影响评估者自身的行为。最近的关于信任的概念是最近的关于信
17、任的概念是Grandison和和Sloman提出的,他们将信任定义提出的,他们将信任定义为对某一个体在特定的情况下,独立、安全且可靠的完成任务的能力为对某一个体在特定的情况下,独立、安全且可靠的完成任务的能力的坚固信念的坚固信念。信任的性质 5.2.1 信任机制概述信任机制概述 主观性主观性 动态性动态性 信任的实体复杂性信任的实体复杂性 可度量性可度量性 传递性传递性 非对称性非对称性 时间衰减性时间衰减性 多样性多样性信任的分类 5.2.1 信任机制概述信任机制概述 基于身份的信任基于身份的信任 基于行为的信任:直接信任和间接信任基于行为的信任:直接信任和间接信任采用的策略 基于身份的信任
18、采用静态验证机制决定是否给一个实体授基于身份的信任采用静态验证机制决定是否给一个实体授权,常用的技术有认证、授权、加密、数据隐藏、数字签权,常用的技术有认证、授权、加密、数据隐藏、数字签名、公钥证书及访问控制名、公钥证书及访问控制。基于行为的信任通过实体的行为历史记录和当前行为特征基于行为的信任通过实体的行为历史记录和当前行为特征来动态判断实体的可信任度。来动态判断实体的可信任度。离散表示方法 5.2.2 信任信任的表示方式的表示方式 离散表示方法可以使用两个值离散表示方法可以使用两个值1和和-1 分别表示信任和不信任,这就分别表示信任和不信任,这就构成了最简单的信任表示。也可以用多个离散值表
19、示信任的状况。构成了最简单的信任表示。也可以用多个离散值表示信任的状况。例如可把例如可把信任状况分为四个等级:信任状况分为四个等级:vt,t,ut,vut,分别表示非常可,分别表示非常可信,可信,不可信,非常不可信,具体含义如表信,可信,不可信,非常不可信,具体含义如表5-1信任等级信任等级含义含义vtvt非常可信,服务质量非常好且总是响应及时t t可信,服务质量尚可,偶有响应迟缓或小错误发生utut不可信,服务质量较差,总是出现错误vutvut非常不可信,拒绝服务或提供的服务总是恶意的表5-1 信任等级及其含义概率表示方法 5.2.2 信任信任的表示方式的表示方式 在概率信任模型中,主体间的
20、信任度可用概率值来表示。主体在概率信任模型中,主体间的信任度可用概率值来表示。主体 i 对主体对主体 j的信任度定义为的信任度定义为 ai,j 0,1,ai,j的值的值越大表示主体越大表示主体 i对主体对主体 j 的信任越高,的信任越高,0表示完全不信任,而表示完全不信任,而1表示完全信任。概率信任值表示方法一方面表表示完全信任。概率信任值表示方法一方面表示了主体间的信任度,另一方面表示了主体之间不信任的程度。示了主体间的信任度,另一方面表示了主体之间不信任的程度。例如,例如,ai,j=0.7表示主体表示主体i对主体对主体j的信任度为的信任度为0.7,不信任度为,不信任度为0.3。主体。主体之
21、间的信任概率可以理解为主体之间是否选择对方为交易对象的概率,之间的信任概率可以理解为主体之间是否选择对方为交易对象的概率,信任概率低并不表示没有主体与之交易信任概率低并不表示没有主体与之交易。信念表示方法 5.2.2 信任信任的表示方式的表示方式 信念理论和概率论类似,差别在于所有可能出现结果的概率之和不一信念理论和概率论类似,差别在于所有可能出现结果的概率之和不一定等于定等于1。信念理论保留了概率论中隐含的不确定性。因为基于信念。信念理论保留了概率论中隐含的不确定性。因为基于信念模型的信任系统在信任度的推理方法上类似于概率论的信任度推理方模型的信任系统在信任度的推理方法上类似于概率论的信任度
22、推理方法。法。例如,例如,设设opinion表示信任度,把表示信任度,把opinion定义为一个四元组定义为一个四元组b,d,u,a。b,d,u,分别表示信任、怀疑、不确定。分别表示信任、怀疑、不确定。b,d,u0,1且且b+d+u=1。主体。主体的可信任度为的可信任度为b+au,a是一个系数,表示信任度中不确定所占的比例是一个系数,表示信任度中不确定所占的比例。模糊表示方法 5.2.2 信任信任的表示方式的表示方式 信任本身就是一个模糊的概念,所以有学者用模糊理论来研究主体的信任本身就是一个模糊的概念,所以有学者用模糊理论来研究主体的可信度。隶属度可以看成是主体隶属于可信任集合的程度。模糊化
23、评可信度。隶属度可以看成是主体隶属于可信任集合的程度。模糊化评价数据以后,信任系统利用模糊规则等模糊数据,推测主体的可信度。价数据以后,信任系统利用模糊规则等模糊数据,推测主体的可信度。例如,可以使用模糊子集合例如,可以使用模糊子集合T1,T2,T3,T4,T5,T6分别定义具有不同程度的分别定义具有不同程度的信任集合,具体代表的信任集合的含义如表信任集合,具体代表的信任集合的含义如表5-2所示所示。模糊集模糊集含义含义T T1 1不信任T T2 2不太信任T T3 3信任T T4 4很信任T T5 5特别信任T T6 6完全信任表5-2 6种不同信任模糊集合灰色表示方法 5.2.2 信任信任
24、的表示方式的表示方式 灰色模型和模糊模型都可以描述不确定信息,但灰色系统相对灰色模型和模糊模型都可以描述不确定信息,但灰色系统相对于模糊系统来说,可用于解决统计数据少、于模糊系统来说,可用于解决统计数据少、信息不完全系统的信息不完全系统的建模与分析建模与分析。例如例如,假定假定聚类实体集聚类实体集D=d1,d2,d3,灰类集,灰类集G=g1,g2,g3,g1,g2,g3分别依次表示信任度高、一般、低。主体间的评价用一个分别依次表示信任度高、一般、低。主体间的评价用一个灰数表示,这些评价经过灰色推理以后,就得到一个聚类实体灰数表示,这些评价经过灰色推理以后,就得到一个聚类实体关于灰类集的聚类向量
25、。如关于灰类集的聚类向量。如(0.324,0.233,0.800),根据聚类分析,根据聚类分析认为实体属于灰类认为实体属于灰类 g3,表示其可信度低。,表示其可信度低。云模型表示方法 5.2.2 信任信任的表示方式的表示方式 云模型是李德毅院士于云模型是李德毅院士于1995年在模糊集理论中隶属函数的基础上提出年在模糊集理论中隶属函数的基础上提出的,通常被用来描述不确定性的概念。云模型可以看做是模糊模型的的,通常被用来描述不确定性的概念。云模型可以看做是模糊模型的泛化,云由许多云滴组成。主体间的信任关系用信任云描述。信任云泛化,云由许多云滴组成。主体间的信任关系用信任云描述。信任云是一个三元组(
26、是一个三元组(Ex,En,Hx),其中),其中Ex描述主体间的信任度,描述主体间的信任度,En是信是信任度得熵,描述信任度的不确定性,任度得熵,描述信任度的不确定性,Hx是信任度的超商,描述是信任度的超商,描述En的的不确定性。信任云能够描述信任的不确定性和模糊性。不确定性。信任云能够描述信任的不确定性和模糊性。例如例如,用一维正态云模型描述信任关系。设主体,用一维正态云模型描述信任关系。设主体A对主体对主体B的信任关的信任关系记为系记为tcAB=nc(Ex,En,He),0Ex1,0En1,0He1。信任度 5.2.3 信任的计算信任的计算信任度是信任的定量表示,信任度可以根据历史交互经验推
27、理得到,信任度是信任的定量表示,信任度可以根据历史交互经验推理得到,它反映的是主体对客体的能力、诚实度、可靠度的认识,对目标实体它反映的是主体对客体的能力、诚实度、可靠度的认识,对目标实体未来行为的判断未来行为的判断。信任度分为直接信任度,反馈信任度和总体信任度信任度分为直接信任度,反馈信任度和总体信任度目前,信任模型在获取总体信任度时大多采用直接信任度与反馈信任目前,信任模型在获取总体信任度时大多采用直接信任度与反馈信任度加权平均的方式进行聚合计算。度加权平均的方式进行聚合计算。初次之外,常见的还有加权平均法、贝叶斯方法、模糊推理方法及灰初次之外,常见的还有加权平均法、贝叶斯方法、模糊推理方
28、法及灰色推理方法色推理方法加权平均法 5.2.2 信任信任的表示方式的表示方式 在目前大多数信任机制采用该方法,该方法借鉴了社会网络中人之间在目前大多数信任机制采用该方法,该方法借鉴了社会网络中人之间的信任评价方法,期计算方法如下:的信任评价方法,期计算方法如下:其中,其中,Ti,j表示主体表示主体i对主体对主体j的信任值,的信任值,Rd是根据主体是根据主体i与主体与主体j之间的直之间的直接交易记录计算出的直接信任值,接交易记录计算出的直接信任值,Rr是主体是主体i根据其他主体的推荐信息根据其他主体的推荐信息计算出间接信任值,计算出间接信任值,Ri是交易带来的风险值,是交易带来的风险值,、分别
29、表示不同的分别表示不同的系数。系数。极大似然法 5.2.2 信任信任的表示方式的表示方式 极大似然估计方法极大似然估计方法(MLE)是一种基于概率的信任推理方法,主要适用是一种基于概率的信任推理方法,主要适用于概率模型和信念模型于概率模型和信念模型.在信任的概率分布是已知而概率分布的参数在信任的概率分布是已知而概率分布的参数是未知的情况下,是未知的情况下,MLE根据得到的交易结果推测这些未知的参数,推根据得到的交易结果推测这些未知的参数,推测出的参数使得出现这些结果的可能性最大。如信任概率分布为测出的参数使得出现这些结果的可能性最大。如信任概率分布为p(x),主体主体i可信度为可信度为ti,主
30、体,主体i诚实推荐的概率等于其可信度,与主体诚实推荐的概率等于其可信度,与主体j的交的交易结果为易结果为xi,j,主体,主体i的邻居节点记为的邻居节点记为n(i),则,则MLE推测方法为求解下推测方法为求解下式的最大值式的最大值。贝叶斯法 5.2.2 信任信任的表示方式的表示方式 贝叶斯方法是一种基于结果的后验概率估计,适用于概率模型和信念贝叶斯方法是一种基于结果的后验概率估计,适用于概率模型和信念模型。它首先为待推测的参数指定先验概率分布,然后根据交易结果,模型。它首先为待推测的参数指定先验概率分布,然后根据交易结果,利用贝叶斯规则推测参数的后验概率利用贝叶斯规则推测参数的后验概率.根据对交
31、易评价可能出现的结果根据对交易评价可能出现的结果个数不同,为待推测参数指定先验概率分布为个数不同,为待推测参数指定先验概率分布为Beta分布或分布或Dirichlet分分布,其中布,其中Beta分布仅适合于二元评价结果的情况,是分布仅适合于二元评价结果的情况,是 Dirichlet 分布的分布的一种特殊形式。一种特殊形式。基于基于 Dirichlet分布的推理方法适合于多元评价结果的情况分布的推理方法适合于多元评价结果的情况。模糊推理法 5.2.2 信任信任的表示方式的表示方式 模糊推理方法主要适用于模糊信任模型。图模糊推理方法主要适用于模糊信任模型。图5-5是模糊推理的一个通用是模糊推理的一
32、个通用框架,模糊推理分为框架,模糊推理分为3个过程,即模糊化、模糊推理以及反模糊化。个过程,即模糊化、模糊推理以及反模糊化。灰色系统法 5.2.2 信任信任的表示方式的表示方式 灰色系统理论是我国学者邓聚龙首先提出来的用于研究参数不完备系灰色系统理论是我国学者邓聚龙首先提出来的用于研究参数不完备系统的控制与决策问题的理论,并在许多行业得到广泛应用。基于灰色统的控制与决策问题的理论,并在许多行业得到广泛应用。基于灰色系统系统理论的推理过程如图系统系统理论的推理过程如图5-6所示所示。证据理论法 5.2.2 信任信任的表示方式的表示方式 D-S证据理论的全称是证据理论的全称是Dempster-Sh
33、afer证据理论,是由证据理论,是由Dempster在在1967年首先提出的,后在年首先提出的,后在1976年经年经Shafer改进,成为一种成熟,完备改进,成为一种成熟,完备的不精确推理理论。的不精确推理理论。Bin Yu将该理论用于分布式任管理模型,田春岐将该理论用于分布式任管理模型,田春岐在在Bin Yu 的基础上将的基础上将D-S 证据理论用在了证据理论用在了P2P网络信任模型上网络信任模型上。Beth信任评估模型 5.2.2 信任评估信任评估 在在Beth信任度评估模型中,经验被定义为对某个实体完成某项任务的信任度评估模型中,经验被定义为对某个实体完成某项任务的情况记录,对应于任务的
34、成败,经验被分为肯定经验和否定经验。若情况记录,对应于任务的成败,经验被分为肯定经验和否定经验。若实体任务成功则对其的肯定经验记数增加,若实体任务失败则否定经实体任务成功则对其的肯定经验记数增加,若实体任务失败则否定经验记数增加验记数增加。Beth采用公式(采用公式(5-10)描述直接信任度与肯定经验记录的关系)描述直接信任度与肯定经验记录的关系推荐信任度与经验记录的关系采用公式(推荐信任度与经验记录的关系采用公式(5-11)描述)描述Beth信任评估模型 5.2.2 信任评估信任评估 在在Beth信任评估模型中,经验可通过推荐获得,而对于同一个信任关信任评估模型中,经验可通过推荐获得,而对于
35、同一个信任关系,多个不同的经验推荐者可能形成多条不同的推荐路径。假设系,多个不同的经验推荐者可能形成多条不同的推荐路径。假设A对对B的推荐信任度为的推荐信任度为 V1,B对对C的直接信任度为的直接信任度为 V2,B对对D的推荐信任度的推荐信任度为为 V3,则,则A对对C的直接信任度推导公式表述为的直接信任度推导公式表述为:A对对D的推荐信任度可简单表示为的推荐信任度可简单表示为V1.V3。推荐信任度综合计算公式为推荐信任度综合计算公式为:直接信任度综合计算公式表述为直接信任度综合计算公式表述为:Jsang信任度评估模型 5.2.2 信任评估信任评估 Jsang 等人引入了事实空间(等人引入了事
36、实空间(evidence space)和观念空间()和观念空间(opinion space)的概念来描述和度量信任关系,并提供了一套主观逻辑运算子)的概念来描述和度量信任关系,并提供了一套主观逻辑运算子用于信任度的推导和综合计算用于信任度的推导和综合计算。Jsang 信任度评估模型提供了一套主观逻辑算子,用于信任度之间的信任度评估模型提供了一套主观逻辑算子,用于信任度之间的运算。其主要的算子有合并、合意和推荐运算。其主要的算子有合并、合意和推荐(recommendation)。其中合。其中合并用于不同信任内容的信任度综合计算。合意根据参与运算的观念并用于不同信任内容的信任度综合计算。合意根据参
37、与运算的观念(信任度)之间的关系分为独立观念间的合意、(信任度)之间的关系分为独立观念间的合意、依赖观念间的合意和依赖观念间的合意和部分依赖观念间的合意部分依赖观念间的合意 3类。所谓观念依赖是指观念是否部分或全部类。所谓观念依赖是指观念是否部分或全部由观察相同的事件所形成。合意主要用于对多个相同信任内容的信任由观察相同的事件所形成。合意主要用于对多个相同信任内容的信任度综合计算度综合计算.推荐主要用于信任度的推导计算。推荐主要用于信任度的推导计算。基本概念 5.3 身份认证身份认证 身份认证是指用户身份的确认技术,它是物联网信息安全的第一道防身份认证是指用户身份的确认技术,它是物联网信息安全
38、的第一道防线,也是最重要的一道防线。身份认证可以实现物联网终端用户安全线,也是最重要的一道防线。身份认证可以实现物联网终端用户安全接入到物联网中,合理的使用各种资源。身份认证要求参与安全通信接入到物联网中,合理的使用各种资源。身份认证要求参与安全通信的双方在进行安全通信前,必须互相鉴别对方的身份。在物联网应用的双方在进行安全通信前,必须互相鉴别对方的身份。在物联网应用系统,身份认证技术要能够密切结合物联网信息传送的业务流程,阻系统,身份认证技术要能够密切结合物联网信息传送的业务流程,阻止对重要资源的非法访问止对重要资源的非法访问。传统身份认证技术 5.3.1 身份身份认证认证 基于用户所拥有的
39、标识身份的持有物的身份认证:持有物如身份证、基于用户所拥有的标识身份的持有物的身份认证:持有物如身份证、智能卡、钥匙、银行卡(储蓄卡和信用卡)、驾驶证、护照等,这种智能卡、钥匙、银行卡(储蓄卡和信用卡)、驾驶证、护照等,这种身份认证方式称之为基于标识物(身份认证方式称之为基于标识物(Token)的身份认证)的身份认证。基于用户所拥有的特定知识的身份认证:特定知识可以是密码、用户基于用户所拥有的特定知识的身份认证:特定知识可以是密码、用户名、卡号、暗语等。名、卡号、暗语等。基本认证技术双方认证双方认证。可信第三方认证。可信第三方认证。基于PKI/WPKI轻量级认证 5.3.1 身份认证身份认证
40、基于基于PKI/WPKI轻量级认证技术研究包括:轻量级认证技术研究包括:物联网安全认证体系物联网安全认证体系。重点研究在物联网应用系统中,如何基于重点研究在物联网应用系统中,如何基于PKI/WPKI系统实现终端设备和网络之间的双向认证,研究保证系统实现终端设备和网络之间的双向认证,研究保证PKI/WPKI能够向终端设备安全发放设备证书的方式。能够向终端设备安全发放设备证书的方式。终端身份安全存储终端身份安全存储。重点研究终端身份信息在终端设备中的安全存储重点研究终端身份信息在终端设备中的安全存储方式以及终端身份信息的保护。重点关注在重点设备遗失情况下,终方式以及终端身份信息的保护。重点关注在重
41、点设备遗失情况下,终端设备的身份信息、密钥、安全参数等关键信息不能被读取和破解,端设备的身份信息、密钥、安全参数等关键信息不能被读取和破解,从而保证整个网络系统的安全。从而保证整个网络系统的安全。基于PKI/WPKI轻量级认证 5.3.1 身份认证身份认证 基于基于PKI/WPKI轻量级认证技术研究包括:轻量级认证技术研究包括:(3)身份认证协议)身份认证协议研究并设计终端设备与物联网承载网络之间的双向认证协议。终端设备与互联网研究并设计终端设备与物联网承载网络之间的双向认证协议。终端设备与互联网和移动网络等核心网之间的认证分别采用和移动网络等核心网之间的认证分别采用PKI或或WPKI颁发的证
42、书进行认证,对于颁发的证书进行认证,对于异构网络之间在进行通信之前也需要进行双向认证。从而保证只有持有信任的异构网络之间在进行通信之前也需要进行双向认证。从而保证只有持有信任的CA机构颁发的合法证书的终端设备才能接入持有合法证书的物联网系统机构颁发的合法证书的终端设备才能接入持有合法证书的物联网系统。(4)分布式身份认证技术)分布式身份认证技术物联网应用业务的特点是接入设备多,分布地域广,在网络系统上建立身份认证物联网应用业务的特点是接入设备多,分布地域广,在网络系统上建立身份认证时,如果采用集中式的方式在响应速度方面不能达到要求,就会给网络的建设带时,如果采用集中式的方式在响应速度方面不能达
43、到要求,就会给网络的建设带来一定的影响,因此需要建立分布式的轻量级鉴别认证系统。研究分布式终端身来一定的影响,因此需要建立分布式的轻量级鉴别认证系统。研究分布式终端身份认证技术、系统部署方法、身份信息在分布式轻量级鉴别认证系统中的安全、份认证技术、系统部署方法、身份信息在分布式轻量级鉴别认证系统中的安全、可靠性传输可靠性传输。新型身份认证 5.3.1 身份认证身份认证 一般基于以下一个或几个因素:静态口令、用户所拥有的东西(如令一般基于以下一个或几个因素:静态口令、用户所拥有的东西(如令牌、智能卡等)、用户所具有的生物特征(如指纹、虹膜、动态签名牌、智能卡等)、用户所具有的生物特征(如指纹、虹
44、膜、动态签名等)。在对身份认证安全性要求较高的情况下,通常会选择以上因素等)。在对身份认证安全性要求较高的情况下,通常会选择以上因素中的两种从而构成中的两种从而构成“双因素认证双因素认证”。非对称密钥认证非对称加密算法的认证要求认证双方的个人秘密信息(如口令)不用非对称加密算法的认证要求认证双方的个人秘密信息(如口令)不用在网络上传送,减少了认证的风险。这种认证方式通过请求认证者和在网络上传送,减少了认证的风险。这种认证方式通过请求认证者和认证者之间对一个随机数作数字签名与验证数字签名的方法来实现。认证者之间对一个随机数作数字签名与验证数字签名的方法来实现。口令认证协议 5.3.2 用户口令用
45、户口令 口令认证协议(口令认证协议(PAP)是一种简单的明文验证方式。网络接入服务器)是一种简单的明文验证方式。网络接入服务器(Network Access Server,NAS)要求提供用户名和口令,)要求提供用户名和口令,PAP以明文以明文方式返回用户信息。方式返回用户信息。一次性口令机制利用散列函数产生一次性口令的思想,即用户每次同服务器连接过程利用散列函数产生一次性口令的思想,即用户每次同服务器连接过程中使用的口令在网上传输时都是加密的密文,而且这些密文在每次连中使用的口令在网上传输时都是加密的密文,而且这些密文在每次连接时都是不同的,也就是说口令明文是一次有效的。接时都是不同的,也就
46、是说口令明文是一次有效的。基于智能卡的身份认证 5.3.3 介质介质 基于介质(如基于介质(如USB key,手机等),手机等)以其具有的安全可靠、便于携带、以其具有的安全可靠、便于携带、使用方便等诸多优点,正在被越来越多的用户所认识和使用使用方便等诸多优点,正在被越来越多的用户所认识和使用。基于智能手机的身份认证当前,智能手机非常普及,给身份认证带来了新的机遇。当前,智能手机非常普及,给身份认证带来了新的机遇。智能手机是一个相对安全的环境智能手机是一个相对安全的环境。智能手机比智能手机比USB Key,Token更容易携带更容易携带基于智能卡的身份认证机制要求用户在认证时持有智能卡(智能卡中
47、基于智能卡的身份认证机制要求用户在认证时持有智能卡(智能卡中存有秘密信息,可以是用户密码的加密文件或者是随机数),只有持存有秘密信息,可以是用户密码的加密文件或者是随机数),只有持卡人才能被认证。卡人才能被认证。指纹识别 5.3.4 生物特征生物特征 指纹图像增强指纹图像增强。特征提取特征提取指纹分类指纹分类指纹匹配指纹匹配虹膜识别虹膜图像获取虹膜图像获取图像预处理图像预处理虹膜特征提取虹膜特征提取匹配与识别。匹配与识别。步态识别 5.3.5 行为行为 步态识别作为一种新兴的生物特征识别技术,它旨在根据人们走路的步态识别作为一种新兴的生物特征识别技术,它旨在根据人们走路的姿势进行身份识别。步态
48、特征是在远距离情况下唯一可提取的生物特姿势进行身份识别。步态特征是在远距离情况下唯一可提取的生物特征,早期的医学研究证明了步态具有唯一性,因此可以通过对步态的征,早期的医学研究证明了步态具有唯一性,因此可以通过对步态的分析来进行人的身份识别。它与其他的生物特征识别方法(如指纹、分析来进行人的身份识别。它与其他的生物特征识别方法(如指纹、虹膜、人脸等)相比有其独特的特点:虹膜、人脸等)相比有其独特的特点:远距离性远距离性侵犯性侵犯性难于隐藏和伪装难于隐藏和伪装便于采集便于采集访问控制系统 5.4 访问控制访问控制 访问控制是对用户合法使用资源的认证和控制。访问控制是对用户合法使用资源的认证和控制
49、。认证认证 认证就是证实用户的身份。认证必须和标识符共同其作用认证就是证实用户的身份。认证必须和标识符共同其作用。授权授权 系统正确认证用户之后,根据不同的用户标识分配给不同的使用资源系统正确认证用户之后,根据不同的用户标识分配给不同的使用资源。文件保护文件保护 对文件提供附加保护,对文件提供附加保护,使使非授权用户不可读。非授权用户不可读。审计审计 记录用户的行动,以说明安全方案的有效性记录用户的行动,以说明安全方案的有效性。访问控制功能访问控制的关键要素 5.4.1 访问控制访问控制系统系统 主体主体。是可以在信息客体间流动的一种实体。通常指的是访问用户,是可以在信息客体间流动的一种实体。
50、通常指的是访问用户,但是但是进程进程或设备也可以成为主体。或设备也可以成为主体。客体客体。是一种信息实体,或者是从其他主体或客体接收信息的载体。是一种信息实体,或者是从其他主体或客体接收信息的载体。客体不受他们所依存系统的限制,可以是记录、数据块、存储页、存客体不受他们所依存系统的限制,可以是记录、数据块、存储页、存储段、文件、目录、目录树、邮箱、信息、程序等,也可以是位、字储段、文件、目录、目录树、邮箱、信息、程序等,也可以是位、字节、字、域、处理器、通信线路、时钟、网络节点等。节、字、域、处理器、通信线路、时钟、网络节点等。控制策略控制策略。是主体对客体的操作行为集和约束条件集。即控制策略
