1、第4章 物联网感知层安全 本章主要内容本章主要内容概述概述WSNWSN安全安全RFIDRFID安全安全123学习导引知识单元与知识点WSN概述、WSN安全脆弱性、WSN安全威胁、WSN安全需求、WSN安全防御方法RFID工作原理、RFID安全脆弱性、RFID安全威胁、RFID安全需求、RFID安全防御方法能力点基于对以WSN安全和RFID安全为核心的物联网感知层安全概念的建立、对WSN和RFID安全基本内容的熟悉,形成知识应用能力基于对WSN安全脆弱性、WSN安全威胁、WSN安全需求、WSN安全防御方法,以及RFID工作原理、RFID安全脆弱性、RFID安全威胁、RFID安全需求、RFID安全
2、防御方法和RFID安全标准的把握,形成知识应用能力、问题分析能力基于交流与微思考,形成沟通表达能力和问题分析能力基于学习拓展与探究式研讨,形成知识应用能力、问题分析能力、终身学习能力基于复杂工程问题实践,形成问题分析能力、设计开发能力、工程研究与创新能力重难点重点:物联网感知层安全的基本含义;WSN安全需求与安全防御方法;RFID安全需求与安全防御方法难点:WSN安全脆弱性和安全威胁;RFID安全脆弱性和安全威胁学习要求掌握物联网感知层安全的基本含义掌握WSN安全需求和WSN安全防御方法掌握RFID安全需求和RFID安全防御方法了解WSN安全脆弱性、WSN安全威胁了解RFID工作原理、RFID
3、安全脆弱性、RFID安全威胁、RFID安全标准等问题导引 物联网感知层安全的基本含义是什么?物联网感知层安全的基本含义是什么?如何理解物联网感知层安全在整个物联网安全中的重要性?如何理解物联网感知层安全在整个物联网安全中的重要性?如何理解如何理解WSNWSN的安全脆弱性?的安全脆弱性?WSNWSN面临的安全威胁有哪些?面临的安全威胁有哪些?WSNWSN的安全需求是什么?的安全需求是什么?如何实现如何实现WSNWSN的安全?的安全?如何理解如何理解RFIDRFID的安全脆弱性?的安全脆弱性?RFIDRFID面临的安全威胁有哪些?面临的安全威胁有哪些?RFIDRFID的安全需求是什么?的安全需求是
4、什么?如何实现如何实现RFIDRFID的安全?的安全?4.1 概述p 感知层位于整个物联网体系结构的最底层,是物联网的核心和基础,其基本任务是全面感知外界信息,是整个物联网的信息源p 感知层主要涉及各种传感器及其所组成的无线传感器网络、无线射频识别、条形码、激光扫描、卫星定位等信息感知与采集技术,用以完成对目标对象或环境的信息感知p 由于物联网感知层节点数量众多、覆盖范围广泛、功能特点各异,并直接与物理环境或人相联接,往往分布于无人值守的区域,且所采集的信息可以基于网络实现远程传播p 信息作为一种资源,其内容都具有一定的价值或安全敏感性,物联网感知层的信息安全问题突出,且涉及面广、影响巨大,感
5、知层数据信息的安全保障是整个物联网信息安全的基础4.1 概述物联网感知层信息安全问题是物联网安全的核心内容物联网感知层面临的安全威胁主要表现为 感知层中节点自身故障(如节点被捕获、被控制、功能失效或服务中断、身份伪造等)节点间的链接关系不正常(如选择性转发、路由欺骗、集团式作弊等)感知层所采集原始数据的机密性、真实性、完整性或新鲜性等属性受到破坏(如数据被非法访问、虚假数据注入、数据被篡改、数据传输被延迟等)感知层中的“物”被错误地标识或被非授权地定位与跟踪等4.1 概述p 物联网感知层的安全目标主要体现为:(1)强调基于WSN的感知中的信任管理,确保所采集数据的真实和有效性(2)确保基于RF
6、ID的感知层中对象的隐私得到保护,包括“物”的标识与定位等p 因感知层节点资源有限、只能执行少量的计算和通信的突出特点,感知层能否抗DoS攻击是衡量物联网是否健康的重要指标p 感知层安全机制的建立离不开轻量级密码算法和轻量级安全认证协议的支持交流与微思考p 如何认识感知层安全对于物联网的意义?4.2 WSN安全4.2.1 WSN概述4.2.2 WSN安全脆弱性4.2.3 WSN安全威胁4.2.4 WSN安全需求4.2.5 WSN安全防御方法4.2.1 WSN概述无线传感器网络的这种组网模式、资源特点和分布方式决定了它容易受到信息安全攻击方面的困扰,且其解决思路和方法不能简单地套用传统的信息安全
7、方案4.2.2 WSN安全脆弱性(1)分布的开放性(2)网络的动态性(3)电源能量的有限性(4)计算能力的有限性(5)通信能力的有限性(6)存储空间的有限性(7)通信的开放性和不可靠性(8)技术不成熟及标准不统一性交流与微思考p 为什么说物联网感知层具有“易攻难守”的特点?你是否联想到了“弱国无外交”、“落后就要挨打”?如何规避风险?这给你的人生成长有何启迪?4.2.3 WSN安全威胁(1)针对节点的攻击)针对节点的攻击物理攻击与节点被捕获节点被控制节点受到拒绝服务(DoS)攻击假冒攻击或节点复制攻击大规模节点的有效管理问题4.2.3 WSN安全威胁(2)针对数据的攻击)针对数据的攻击非法访问
8、截取p 被动的消息截取p 流量分析篡改重放虚假数据注入数据的选择性转发4.2.3 WSN安全威胁(3)针对网络的攻击)针对网络的攻击干扰路由攻击路由欺骗攻击污水池(sinkhole)攻击虫洞(wormhole)攻击洪泛(flood)攻击集团式作弊(或合谋攻击)拒绝服务攻击黑洞攻击能量耗尽攻击方向误导攻击交流与微思考p 2016年8月巴西里约奥运会期间我国游泳运动员爆出“洪荒之力”的段子并迅速在网络上爆红,如果攻击者借用这种模式在短时间内集中大量出现某种流量并可能导致网络拥塞的现象,可以将其归为哪一种攻击形式?4.2.3 WSN安全威胁(4)针对特定协议的攻击)针对特定协议的攻击p来自于被攻陷节
9、点的复杂攻击可以针对网络的内部协议p 如针对路由协议的攻击p 针对数据融合协议的攻击p 针对定位协议的攻击p 针对时间同步协议的攻击等p在WSN中,这些安全威胁或挑战能引起快速的电池能量消耗,并有效地使WSN中的单个传感器节点甚至整个网络瘫痪,从而阻止或破坏其服务功能的实现交流与微思考p 物联网安全问题离不开安全脆弱性(自身)和安全威胁(外在)两个重要因素;俗话说“苍蝇不叮无缝的蛋”,安全脆弱性给攻击者有机可乘。试区分物联网中安全脆弱性和安全威胁的含义。4.2.4 WSN安全需求p 主要表现为物理上和逻辑上的安全需求两个方面。(1)物理安全需求p 无线传感器网络中的传感器节点往往分布于无人值守
10、、恶劣甚至敌对的开放环境中,节点容易被攻击者物理上捕获或控制p 物理安全需求主要表现为要保证无线传感器网络节点的物理安全 节点不容易被发现 不容易被敌方篡改和利用 允许敌方捕获节点而不至于对网络造成重大破坏或伤害4.2.4 WSN安全需求(2)逻辑安全需求逻辑安全需求可分为信息安全需求和通信安全需求。信息安全需求机密性完整性真实性可用性新鲜性鲁棒性访问控制通信安全需求涉及到传感器节点的被动抵御入侵的能力和主动反击入侵的能力4.2.5 WSN安全防御方法 WSN安全问题与解决思路4.2.5 WSN安全防御方法1、物理防护2、扩频与跳频3、信息加密4、阻止拒绝服务5、认证6、访问控制7、入侵检测8
11、、安全成簇9、安全数据融合10、容侵容错4.3 RFID安全4.3.1 RFID工作原理4.3.2 RFID安全脆弱性4.3.3 RFID安全威胁4.3.4 RFID安全需求4.3.5 RFID安全防御方法4.3.6 RFID空中接口安全标准4.3.1 RFID工作原理(1)阅读器)阅读器4.3.1 RFID工作原理(2)电子标签)电子标签电子标签(tag)是由IC芯片和无线通信天线组成的微型电路,每个标签都具有唯一的电子编码电子标签通常没有微处理器,仅由数千个逻辑门电路组成电子标签和阅读器之间的通信距离受到多个参数的影响,特别是通信频率,RFID目前主要使用两种通信频率:13.56MHz和8
12、60960MHz(通信距离更远;有时也用2.45GHz)根据标签获得能量的方式不同,标签分为:p 主动式标签由内置电池供电,并能主动向阅读器发送射频信号,通信距离可达1000m以上p 半被动式标签也有内置电池,但只对输入的传输信号进行响应,最大通信距离为100mp 被动式标签没有内置电池,它在接收到阅读器发出的电磁波信号后,将部分电磁能量转化为供自己工作的能量从而做出响应,最大通信距离为10m4.3.1 RFID工作原理(2)电子标签)电子标签标签类别被动式半被动式主动式电源无电池电池传输方式被动被动主动最大通信距离10m100m1000m4.3.1 RFID工作原理(3)后端数据库)后端数据
13、库p后端数据库是RFID面向应用的支撑软件,主要负责实现与企业或组织应用相关的数据管理功能p后端数据库能够将产品信息、跟踪日志、主要管理信息等和一个特定的标签联系起来p通常假设后端计算和存储能力强大,包含所有电子标签的信息,并能够与标签阅读器之间建立安全的连接4.3.2 RFID安全脆弱性(1)电子标签p容易被攻击者获取、分析、破坏,另一方面,不容易加载强大的安全机制p标签的安全性、有效性、完整性、可用性和真实性都难以保障,是RFID系统安全最薄弱的环节(2)阅读器p阅读器连接着电子标签和后台数据库系统,具有更大的攻击价值,如果设计不当,对阅读器的破解可能危及整个系统的安全p阅读器在接收到数据
14、后进行处理的过程中可能会受到类似计算机安全脆弱性的问题;有些阅读器(如ETC系统)工作在无人值守的场合,可能被盗取或伪造(3)空中接口p空中接口表现出通信链路的脆弱性p电子标签和阅读器间的无线通信具有开放性特点,限于成本和功耗,电子标签难以承受复杂的加密算法和认证协议,从而造成空中接口的安全脆弱性p攻击者可能对空中接口实施窃听、篡改、重放等攻击,也可以实施阻塞式频带干扰,引起拒绝服务4.3.3 RFID安全威胁应用角度:RFID系统面临的安全威胁基于应用的不同而有多种情形p对于零售业,贵重商品上的RFID标签可能被改写成便宜的价格p攻击者出于竞争或其他原因“杀死”标签,导致商店管理上出现混乱p
15、竞争对手在库房出入口秘密安装RFID阅读器来了解企业的物资流转及经营状况p伪造标签,使假货变真品p隐私泄露,如身份证、护照、会员卡、城市(或校园)一卡通等p财物被盗窃,如门禁卡、汽车钥匙等p金额被篡改、资金被划转等利益风险,如购物卡、预付费卡、公交卡、ETC卡、银行卡等4.3.3 RFID安全威胁技术角度:目前,RFID空中接口面临的主要威胁分为恶意搜集信息式威胁、伪装式威胁及拒绝服务威胁三大类p恶意搜集信息式威胁:窃听、嗅探、数据篡改、跟踪、物理攻击等p 特点:非法用户远距离监听阅读器与标签通信内容,获取其中的有用信息,进而导致标签内部重要数据泄漏或被篡改p伪装式威胁:欺骗、标签伪造与复制、
16、病毒(或恶意代码)攻击、重放等p 特点:通过“伪造”RFID 标签来欺骗阅读器,进而使得非法用户成为合法用户p拒绝服务威胁:未授权杀死标签、干扰或屏蔽标签等,也包括对标签实施破坏的物理攻击p 特点:是非法用户通过干扰、屏蔽或杀死标签等手段,阻碍标签与阅读器之间的通信,造成有用信息的丢失交流与微思考p 我国第二代居民身份证使用了RFID技术,分析其面临的安全威胁有哪些?并调研其采用了什么样的安全方案?4.3.4 RFID安全需求p RFID系统的安全需求强调“物联网标识或定位中的隐私保护”p 一个安全的无线射频识别系统一般应具备:机密性 完整性 可用性 真实性 隐私性 防跟踪能力 前向安全性 后
17、向安全性等4.3.5 RFID安全防御方法包括基于访问控制的方法、基于密码技术的方法及二者的结合。(1)基于访问控制的方法)基于访问控制的方法pkill命令机制(kill tag)p睡眠机制(sleep)p法拉弟笼(Faraday cage)p主动干扰(active jamming)p阻塞器标签(blocker tag)p可分离的标签4.3.5 RFID安全防御方法(2)基于密码技术的方法)基于密码技术的方法1)散列锁(hash-lock)协议4.3.5 RFID安全防御方法(2)基于密码技术的方法)基于密码技术的方法2)随机散列锁协议4.3.5 RFID安全防御方法(2)基于密码技术的方法)
18、基于密码技术的方法4)LCAP协议4.3.5 RFID安全防御方法(2)基于密码技术的方法)基于密码技术的方法5)临时ID(temporary change of ID)安全协议p这个解决方案是让顾客可以暂时更改标签IDp当标签处于公共状态时,存储在芯片ROM 里的ID 可以被阅读器读取p当顾客想要隐藏ID 信息时,可以在芯片的RAM 中输入一个临时IDp当RAM 中有临时ID 时,标签会利用这个临时ID 回复阅读器的询问p只有把RAM 重置,标签才显示它的真实IDp这个方法给顾客使用RFID 标签带来额外的负担。同时,临时ID 的更改也存在潜在的安全问题。4.3.5 RFID安全防御方法(2
19、)基于密码技术的方法)基于密码技术的方法6)重加密(re-encryption)安全通信协议p为了防止RFID 标签与阅读器之间的通信被非法监听,重加密方法通过公钥密码体制实现重加密(即对已加密的信息进行周期性再加密)。这样,由于标签和阅读器间传递的加密ID 信息变化很快,使得标签电子编码信息很难被盗取,非法跟踪也很难实现。p使用公钥加密的RFID安全机制非常少见,典型的有两个:Juels等人提出的用于欧元钞票上的Tag标识建议方案和Golle等人提出的实现RFID标签匿名功能的方案p重加密方法优点是对标签要求低,缺点是:需要较多的重加密阅读器,系统成本高;需要引入复杂的密钥管理机制;标签可写
20、且无认证,易受篡改攻击;阅读器易受重放和哄骗攻击。系统实用性不强。4.3.5 RFID安全防御方法(2)基于密码技术的方法)基于密码技术的方法7)Mifare One芯片方案6.2.3数据加密(3)对密钥管理的要求p密码算法的正常高效运行以有序的密钥管理为前提p物联网往往采用密钥预分配和密钥在线分发相结合的机制p物联网环境下的密钥使用量将非常巨大,且节点间的密钥关系将非常复杂,要重视密钥管理的本地化,避免传统的基于密钥分发中心的集中式密钥管理模式,降低密钥分发与管理的通信开销p由于存在不可靠的通信和节点容易被攻陷的特点,还要能及时撤销被截获、被冒领或者被攻陷节点的密钥p密钥的低成本及时更新也是
21、必要的6.2.3数据加密(3)对密钥管理的要求p密码算法的正常高效运行以有序的密钥管理为前提p物联网往往采用密钥预分配和密钥在线分发相结合的机制p物联网环境下的密钥使用量将非常巨大,且节点间的密钥关系将非常复杂,要重视密钥管理的本地化,避免传统的基于密钥分发中心的集中式密钥管理模式,降低密钥分发与管理的通信开销p由于存在不可靠的通信和节点容易被攻陷的特点,还要能及时撤销被截获、被冒领或者被攻陷节点的密钥p密钥的低成本及时更新也是必要的交流与微思考p“协议”与“算法”的区别是什么?4.3.6 RFID空中接口安全标准pISO/IEC 18000是目前世界上应用最具影响力的空中接口协议,包括-1、
22、-2、-3、-4、-6、-7共六个部分,覆盖低频(135 kHz)、高频(13.56 MHz)、超高频(433 MHz、860960 MHz)和微波(2.45 GHz)四个频段p其中 ISO/IEC 18000-2 和-3 分别针对低频和高频,通信原理采用电感耦合方式,读写距离较近,一般在 1 m 以下,这使得许多安全威胁如恶意搜集信息式威胁、拒绝服务威胁无法发挥作用,其安全需求不是很迫切,目前 ISO/IEC 18000-2 和-3 没有考虑安全机制pISO/IEC 18000-4 和-7 由于针对有源标签,标签的处理能力和内存容量相对较高,这允许协议中采用一些复杂的安全机制p相比之下,IS
23、O/IEC18000-6超高频段空中接口协议一方面由于无源标签的限制,无法采用复杂的安全机制,另一方面其读写距离较远(可达 10 m),面临的安全威胁很大。因此,ISO/IEC18000-6空中接口安全方面的需求最为迫切4.3.6 RFID空中接口安全标准(2)ISO/IEC 18000-6安全机制面临的挑战安全机制面临的挑战4.3.6 RFID空中接口安全标准(3)ISO/IEC 29167标准解析标准解析pISO/IEC 29167 是 ISO/IEC SC31/WG7制定和完善的空中接口安全标准,由六个部分组成,分别对应 ISO/IEC18000-1、-2、-3、-4、-6 和-7pIS
24、O/IEC 29167-1为 RFID 空中接口提供可选的信息安全和隐私保护功能,在标签中分别规定了 S-flag 和 U-flag。阅读器可以根据这两个标志位,判断标签是否支持具有安全和隐私保护功能的空中接口协议,进而选择合适的方式访问标签,保证标准具有良好的后向兼容性4.3.6 RFID空中接口安全标准(3)ISO/IEC 29167标准解析标准解析在空中接口的信息安全方面,ISO/IEC 29167-1引入三个命令来保证阅读器与标签间的可靠通信:p阅读器通过VerifyAuthentication 命令,能够鉴别与其通信的标签是否可信,防止非法用户通过未经授权的标签获取阅读器的敏感信息p
25、通过 EstablishSecureChannel 命令,能够建立安全的通信信道,保证通信过程中数据的完整性p通过 SecureChannelWrapper 命令,阅读器对其发出的所有命令进行加密处理,使得非法用户即使窃听到阅读器命令,也无法从中获取有用的信息pISO/IEC 29167-1中仅仅规定了以上三个命令的基本格式及功能,命令的具体内容则由ISO/IEC 29167-2-7 根据对应的空中接口协议进行规定p除了安全命令外,ISO/IEC 29167-1中提供了两种加密机制:AES 和口令保护,用于对阅读器命令及标签响应信息进行加密,并规定了SuiteNegotiation 命令,使得
26、阅读器能够根据实际情况,选择合适的加密机制。4.3.6 RFID空中接口安全标准(3)ISO/IEC 29167标准解析标准解析p在隐私保护方面,ISO/IEC 29167-1引入不可跟踪模式,并用 U-flag来进行标识,阅读器可以通过ToggleUntraceabilityMode 命令来设定标签中的U-flag标识符pISO/IEC 29167-1规定了三种方式来实现不可跟踪模式:标签不再响应任何阅读器命令 所有标签发送相同的响应信息 所有标签发送随机但不具有任何意义的信息pISO/IEC 29167-2-7 根据对应空中接口协议的特点选择合适的实现方式交流与微思考p 如何理解“RFID
27、安全标准”的意义及其重要性?4.3.6 RFID空中接口安全标准p我国在 RFID 空中接口信息安全方面的标准制定工作起步较早,国家“863”计划在2008 年设立了“超高频RFID 空中接口安全机制及其应用”科研专项,研究超高频 RFID 标签读写过程的数据安全关键技术难题,并制定有自主知识产权的RFID 空中接口协议安全传输方法国家标准草案p2012年11月,发布国家标准GB/T 28925-2012信息技术 射频识别 2.45GHz空中接口协议、GB/T 28926-2012信息技术 射频识别 2.45GHz空中接口符合性测试方法p2015年,我国制定的物联网安全关键技术射频识别空中接口安全协议(TRAIS)被国际标准采纳,并正式发布国际标准ISO/IEC 29167-16:2015p描述了一个基于ECC的加密套件,规范了用于RFID空中接口的ECDH密钥协议在安全通道建立中的应用和ECDSA在认证机制中的应用;该标准能够提供实体鉴别、保密通信、访问控制等空中接口安全服务,可抵抗RFID产品所面临的标签伪造、通信数据被窃听、篡改等安全威胁p这是中国物联网安全关键技术首次纳入国际标准,标志着我国正在深度参与全球产业核心技术活动See You Again!