1、物联网其它安全风险主要内容2物联网安全中的六大关系物联网安全中的六大关系近年来网络安全形势的演变近年来网络安全形势的演变共性化的网络安全技术研究与发展共性化的网络安全技术研究与发展无线自组网安全技术研究无线自组网安全技术研究无线传感器网络安全技术研究无线传感器网络安全技术研究RFIDRFID系统与手机安全技术的研究系统与手机安全技术的研究10.1 物联网安全中的六大关系310.1.1 10.1.1 物联网安全与现实社会安全的关系物联网安全与现实社会安全的关系网络虚拟社会与现实社会的关系网络虚拟社会与现实社会的关系10.1.2 物联网安全与计算机、计算机网络安全的关系410.1.3 物联网应用系
2、统建设与安全系统建设的关系5物联网安全问题不应该简单地认为是从事物联网安物联网安全问题不应该简单地认为是从事物联网安全技术工程师的事,也是每位信息技术领域的工程全技术工程师的事,也是每位信息技术领域的工程师与管理人员共同面对的问题。师与管理人员共同面对的问题。在规划一种物联网应用系统时,除了要规划出建设在规划一种物联网应用系统时,除了要规划出建设系统(硬件、软件、网络、通信与维护)所需的资系统(硬件、软件、网络、通信与维护)所需的资金,还需要考虑一定比例的经费用于安全系统的建金,还需要考虑一定比例的经费用于安全系统的建设。设。10.1.4 物联网安全与密码学的关系6密码学是研究网络安全所密码学
3、是研究网络安全所必需的一个重要的工具与必需的一个重要的工具与方法,但是物联网安全研方法,但是物联网安全研究所涉及的问题要广泛得究所涉及的问题要广泛得多。多。10.1.5 物联网安全与国家信息安全战略的关系7如果我们将这个社会和国家的人与人、人与物、物如果我们将这个社会和国家的人与人、人与物、物与物都连接在物联网中,那么物联网的安全同样要与物都连接在物联网中,那么物联网的安全同样要对国家安全产生深刻的影响对国家安全产生深刻的影响网络安全问题已成为信息化社会的一个焦点问题。网络安全问题已成为信息化社会的一个焦点问题。每个国家只能立足于本国,研究网络安全技术,培每个国家只能立足于本国,研究网络安全技
4、术,培养专门人才,发展网络安全产业,才能构筑本国的养专门人才,发展网络安全产业,才能构筑本国的网络与信息安全防范体系。网络与信息安全防范体系。10.1.6 物联网安全与信息安全共性技术的关系8从技术角度看,物联网是建立在从技术角度看,物联网是建立在互联网的基础之上,因此互联网互联网的基础之上,因此互联网所能够遇到的信息安全问题,在所能够遇到的信息安全问题,在物联网中都会存在,只可能在表物联网中都会存在,只可能在表现形式不一样。现形式不一样。9从应用的角度看,物联网上传输从应用的角度看,物联网上传输的是大量涉及企业经营的物流、的是大量涉及企业经营的物流、生产、销售、金融数据,以及有生产、销售、金
5、融数据,以及有关社会运行的一些数据,保护这关社会运行的一些数据,保护这些有经济价值和社会价值的数据些有经济价值和社会价值的数据安全要比保护互联网上音乐、视安全要比保护互联网上音乐、视频、游戏数据重要得多,困难得频、游戏数据重要得多,困难得多。多。10从物理传输技术的角度看,物联从物理传输技术的角度看,物联网更多地依赖于无线通信技术,网更多地依赖于无线通信技术,而无线通信技术很容易被干扰和而无线通信技术很容易被干扰和窃听,攻击无线信道是比较容易窃听,攻击无线信道是比较容易的。的。保障物联网无线通信安全也就更保障物联网无线通信安全也就更困难。困难。11从构成物联网的端系统的角度,从构成物联网的端系
6、统的角度,无线传感器网络一旦转向大规模无线传感器网络一旦转向大规模民用,无线传感器网络的安全问民用,无线传感器网络的安全问题就会立即凸显出了。题就会立即凸显出了。物联网中将大量使用物联网中将大量使用RFIDRFID技术,技术,已经有人已经有人在在研究攻击研究攻击RFIDRFID标签与标签与标签读写设备标签读写设备的的方法。方法。12物联网的研究与应用刚刚开始,物联网的研究与应用刚刚开始,我们缺乏足够的管理经验,更谈我们缺乏足够的管理经验,更谈不上保护物联网安全运行的法律不上保护物联网安全运行的法律法规。法规。在在研究技术及应用时,研究技术及应用时,必须必须组织组织力量同步研究物联网安全技术、力
7、量同步研究物联网安全技术、物联网应用中的道德与法律问题,物联网应用中的道德与法律问题,以以保证物联网的健康发展。保证物联网的健康发展。13物联网与互联网安全问题之间的关系物联网与互联网安全问题之间的关系10.2 近年来网络安全形势的演变1410.2.1 10.2.1 互联网安全威胁发展总的趋势互联网安全威胁发展总的趋势受经济利益驱动,网络攻击的动机已受经济利益驱动,网络攻击的动机已经从初期的恶作剧、显示能力、寻求经从初期的恶作剧、显示能力、寻求刺激,逐步向有组织犯罪方向发展,刺激,逐步向有组织犯罪方向发展,甚至是有组织的跨国经济犯罪。甚至是有组织的跨国经济犯罪。网络罪犯正逐步形成了黑色产业链,
8、网络罪犯正逐步形成了黑色产业链,网络攻击日趋专业化和商业化。网络攻击日趋专业化和商业化。15网络犯罪活动的范围将随着互联网网络犯罪活动的范围将随着互联网的普及,逐渐从经济发达国家与地的普及,逐渐从经济发达国家与地区向一些发展中国家和地区发展。区向一些发展中国家和地区发展。网络攻击开始出现超出传统意义上网络攻击开始出现超出传统意义上的网络犯罪的概念,正在逐渐演变的网络犯罪的概念,正在逐渐演变成某些国家或利益集团的重要的政成某些国家或利益集团的重要的政治、军事工具,以及恐怖分子活动治、军事工具,以及恐怖分子活动工具。工具。16网络安全威胁特点的演变网络安全威胁特点的演变10.2.2 近期网络安全威
9、胁的主要特点17网络攻击从针对计算机逐步转向终端网络攻击从针对计算机逐步转向终端用户用户WebWeb应用平台的漏洞是网络攻击主要应用平台的漏洞是网络攻击主要的对象与渠道的对象与渠道地下交易体系呈现专业化与商业化的地下交易体系呈现专业化与商业化的趋势趋势网络病毒、垃圾邮件、网络攻击持续网络病毒、垃圾邮件、网络攻击持续攀升,智能手机成为新的攻击目标攀升,智能手机成为新的攻击目标10.3 共性化的网络安全技术研究与发展1810.3.1 10.3.1 网络安全技术内容与分类网络安全技术内容与分类网络安全技术研究的基本内容19网络安全体系结构的研究网络安全体系结构的研究网络安全威胁分析网络安全威胁分析网
10、络安全模型网络安全模型网络安全体系网络安全体系系统安全评估的标准和方法系统安全评估的标准和方法20网络安全防护技术网络安全防护技术防火墙技术防火墙技术入侵检测技术入侵检测技术防攻击技术防攻击技术防病毒技术防病毒技术安全审计安全审计计算机取证技术计算机取证技术业务持续性技术业务持续性技术21密码应用技术密码应用技术对称密码体制与公钥密码体制密对称密码体制与公钥密码体制密码体系码体系消息认证与数字签名技术消息认证与数字签名技术信息隐藏技术信息隐藏技术公钥基础设施公钥基础设施PKIPKI技术技术22网络安全应用网络安全应用技术技术IPIP安全安全VPNVPN技术技术电子邮件安全电子邮件安全WebWe
11、b安全安全网络信息过滤技术网络信息过滤技术10.3.2 网络攻击的分类23网络安全威胁的层次24主干网络的威胁主干网络的威胁TCP/IPTCP/IP协议安全威胁协议安全威胁网络应用的威胁网络应用的威胁服务攻击与非服务攻击的基本概念25服务攻击是指对为网络提供某种服务攻击是指对为网络提供某种服务的服务器发起攻击,造成该服务的服务器发起攻击,造成该网络的网络的“拒绝服务拒绝服务”,使网络工,使网络工作不正常。特定的网络服务包括作不正常。特定的网络服务包括E-mailE-mail、TelnetTelnet、FTPFTP、WebWeb服务服务等。等。26非服务攻击不针对某项具体应用非服务攻击不针对某项
12、具体应用服务,而是针对网络层及低层协服务,而是针对网络层及低层协议进行的。攻击者可能使用各种议进行的。攻击者可能使用各种方法对网络通信设备(例如路由方法对网络通信设备(例如路由器、交换机)发起攻击,使得网器、交换机)发起攻击,使得网络通信设备工作严重阻塞或瘫痪。络通信设备工作严重阻塞或瘫痪。27网网络络攻攻击击手手段段的的分分类类10.3.3 网络安全防护技术研究28防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行控制策略防火墙是在网络之间执行控制策略的系统,它包括硬件和软件。的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络设置防火墙的目的是保护内部网络资源不被外部非授权用户使用
13、,防资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。止内部受到外部非法用户的攻击。防火墙为内部网络建立安全边界。防火墙为内部网络建立安全边界。29入侵检测技术的基本概念入侵检测技术的基本概念入侵检测系统是对计算机和网络资源入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。的恶意使用行为进行识别的系统。目的是监测和发现可能存在的攻击行目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并采取来自内部用户的非授权行为,并采取相应的防护手段。相应的防护手段。30安全审计的基本概安全审计的基本概念念安全审计是
14、对用户使用网络和计算安全审计是对用户使用网络和计算机所有活动记录分析、审查和发现机所有活动记录分析、审查和发现问题的重要的手段。问题的重要的手段。安全审计对于系统安全状态的评价,安全审计对于系统安全状态的评价,分析攻击源、攻击类型与攻击危害,分析攻击源、攻击类型与攻击危害,收集网络犯罪证据是至关重要的技收集网络犯罪证据是至关重要的技术。术。10.3.4 网络防病毒技术研究31恶意传播代码是一种软件程序,它能够从一台恶意传播代码是一种软件程序,它能够从一台计算机传播到另一台计算机,从一个网络传播计算机传播到另一台计算机,从一个网络传播到一个网络,目的是在网络和系统管理员不知到一个网络,目的是在网
15、络和系统管理员不知情的情况下,对系统进行故意地修改。情的情况下,对系统进行故意地修改。恶意传播代码包括病毒、木马、蠕虫、脚本攻恶意传播代码包括病毒、木马、蠕虫、脚本攻击代码,以及垃圾邮件、流氓软件与恶意的互击代码,以及垃圾邮件、流氓软件与恶意的互联网代码。联网代码。网络病毒问题的解决,只能从采用先进的防病网络病毒问题的解决,只能从采用先进的防病毒技术与制定严格的用户使用网络的管理制度毒技术与制定严格的用户使用网络的管理制度两个方面入手。两个方面入手。10.3.5 计算机取证的基本概念32计算机取证属于主动防御技术计算机取证属于主动防御技术。针对网络入侵与犯罪,计算机取证针对网络入侵与犯罪,计算
16、机取证技术是一个对受侵犯的计算机与网技术是一个对受侵犯的计算机与网络设备与系统进行扫描与破解,对络设备与系统进行扫描与破解,对入侵的过程进行重构,完成有法律入侵的过程进行重构,完成有法律效力的电子证据的获取、保存、分效力的电子证据的获取、保存、分析、出示的全过程,是保护网络系析、出示的全过程,是保护网络系统的重要的技术手段。统的重要的技术手段。10.3.6 网络业务持续性规划技术研究33网络文件备份恢复属于日常网络与网络文件备份恢复属于日常网络与信息系统维护的范畴,而业务持续信息系统维护的范畴,而业务持续性规划涉及对突发事件对网络与信性规划涉及对突发事件对网络与信息系统影响的预防技术。息系统影
17、响的预防技术。业务持续性规划技术的研究包括:业务持续性规划技术的研究包括:规划的方法学问题、风险分析方法、规划的方法学问题、风险分析方法、数据恢复规划。数据恢复规划。10.3.7 密码学及其应用技术的研究34密码技术是保证网络与信息安全密码技术是保证网络与信息安全的基础与核心技术之一。的基础与核心技术之一。密码密码应用包括:加密应用包括:加密与与解解密。密。密码体系分为:对称密码体系与密码体系分为:对称密码体系与非对称密码体系。非对称密码体系。非对称密码体系又称为公钥密码非对称密码体系又称为公钥密码体系。体系。35消息验证与数字签名的研究消息验证与数字签名的研究消息验证与数字签名是防止主动攻击
18、消息验证与数字签名是防止主动攻击的重要技术。消息验证与数字签名在的重要技术。消息验证与数字签名在主要目的是:验证信息的完整性,验主要目的是:验证信息的完整性,验证消息发送者身份的真实性。证消息发送者身份的真实性。利用数字签名可以实现以下功能:保利用数字签名可以实现以下功能:保证信息传输过程中的完整性、对发送证信息传输过程中的完整性、对发送端身份的认证、防止交易中的抵赖发端身份的认证、防止交易中的抵赖发生。生。36身份认证技术的研究身份认证技术的研究身份认证可以通过身份认证可以通过3 3种基本途径之一或它们种基本途径之一或它们的组合来实现的组合来实现:所知所知:个人所掌握的密码、口令等:个人所掌
19、握的密码、口令等所有所有:个人的身份证、护照、信用卡、钥匙等:个人的身份证、护照、信用卡、钥匙等个人特征个人特征:人的指纹、声纹、笔迹、手型、脸型、:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、血型、视网膜、虹膜、DNADNA,以及个人动作方面的,以及个人动作方面的特征等特征等37公钥基础设施公钥基础设施PKIPKI的研究的研究公钥基础设施是利用公钥加密和数字签名技术建立公钥基础设施是利用公钥加密和数字签名技术建立的提供安全服务的基础设施。的提供安全服务的基础设施。使用户能够在多种应用环境之下方便地使用加密的使用户能够在多种应用环境之下方便地使用加密的数字签名技术,保证网络上数据的机
20、密性、完整性数字签名技术,保证网络上数据的机密性、完整性与不可抵赖性。与不可抵赖性。公钥基础设施包括:认证中心(公钥基础设施包括:认证中心(CACA)、注册认证中)、注册认证中心(心(RARA),实现,实现密钥与证书的管理、密钥的备份与密钥与证书的管理、密钥的备份与恢复恢复等功能等功能。38信息隐藏技术的研究信息隐藏技术的研究信息隐藏也称为信息伪装。信息隐藏也称为信息伪装。它是利用人类感觉器官对数字信号的感觉冗余,将它是利用人类感觉器官对数字信号的感觉冗余,将一些秘密信息以伪装地方式隐藏在非秘密信息之中,一些秘密信息以伪装地方式隐藏在非秘密信息之中,达到在网络环境中的隐蔽通信和隐蔽标识的目的。
21、达到在网络环境中的隐蔽通信和隐蔽标识的目的。目前信息隐藏技术研究的内容大致可以分为:隐蔽目前信息隐藏技术研究的内容大致可以分为:隐蔽信道、隐写术、匿名通信与版权标志等信道、隐写术、匿名通信与版权标志等4 4个方面。个方面。10.3.8 网络安全应用技术研究39IPIP安全安全VPNVPN技术技术电子邮件安全电子邮件安全WebWeb安全安全40IPIP安全的研究安全的研究IPSecIPSec协议的协议的特征特征:IPSecIPSec可以向可以向IPv4IPv4与与IPv6IPv6提供互操作提供互操作与基于密码的安全性。与基于密码的安全性。IPSecIPSec提供的安全服务包括提供的安全服务包括:
22、访问控访问控制、完整性、数据原始认证等。制、完整性、数据原始认证等。IPSecIPSec协议是一个协议包,由三个主协议是一个协议包,由三个主要的协议及加密与认证算法组成要的协议及加密与认证算法组成。VPN技术的研究41VPNVPN是在公用通信网络的通信对端之是在公用通信网络的通信对端之间建立一条安全、稳定的通信隧道,间建立一条安全、稳定的通信隧道,为用户提供安全通信服务。为用户提供安全通信服务。VPNVPN通过隧道技术、密码技术、密钥通过隧道技术、密码技术、密钥管理技术、用户和设备认证技术来管理技术、用户和设备认证技术来保证安全通信服务的,隧道技术是保证安全通信服务的,隧道技术是实现实现VPN
23、VPN功能的基本技术。功能的基本技术。42电子邮件安全技术的研究电子邮件安全技术的研究电子邮件存在的垃圾邮件、诈骗邮电子邮件存在的垃圾邮件、诈骗邮件、炸弹邮件、病毒邮件等问题件、炸弹邮件、病毒邮件等问题,已经已经引起了人们高度的重视。引起了人们高度的重视。要解决电子邮件的安全问题,有要解决电子邮件的安全问题,有3 3种种研究的途径:端到端的安全电子邮研究的途径:端到端的安全电子邮件技术、传输层的安全电子邮件技件技术、传输层的安全电子邮件技术、邮件服务器安全技术。术、邮件服务器安全技术。43WebWeb安全技术的研究安全技术的研究WebWeb安全威胁安全威胁类型类型:对对WebWeb服务器的安全
24、威胁服务器的安全威胁对对WebWeb浏览器的安全威胁浏览器的安全威胁对通信信道的安全威胁对通信信道的安全威胁44从网络体系结构的角度,从网络体系结构的角度,WebWeb安全技术的研究可以安全技术的研究可以分别从网络层协议、传输层协议和应用层协议着手。分别从网络层协议、传输层协议和应用层协议着手。WebWeb安全涉及操作系统、数据库、防火墙、应用程安全涉及操作系统、数据库、防火墙、应用程序与其他多项安全技术,是一个系统的安全工程,序与其他多项安全技术,是一个系统的安全工程,不能简单地从不能简单地从WebWeb协议的角度去解决问题。只协议的角度去解决问题。只有有综综合考虑各方面的因素,集成多种安全
25、技术,才能够合考虑各方面的因素,集成多种安全技术,才能够切实保证切实保证WebWeb系统的安全。系统的安全。10.4 无线自组网安全技术研究4510.4.1 10.4.1 无线自组网安全技术的基本概念无线自组网安全技术的基本概念无线自组网安全技术研究的无线自组网安全技术研究的基本内容基本内容10.4.2 无线自组网安全的脆弱性46无线链路无线链路网络拓扑动态变化网络拓扑动态变化结点的漫游特性结点的漫游特性10.4.3 无线自组网的安全威胁47对路由的攻击对路由的攻击对数据传输的攻击对数据传输的攻击对信任关系的攻击对信任关系的攻击假冒攻击假冒攻击拒绝服务攻击拒绝服务攻击10.4.4 无线自组网安
26、全方案48基于口令的认证协议基于口令的认证协议多层次安全保护对策多层次安全保护对策异步分布式密钥管理模型异步分布式密钥管理模型分级混合网络体系结构分级混合网络体系结构安全路由安全路由认证协议与密钥管理认证协议与密钥管理入侵检测入侵检测10.5 无线传感器网络安全技术研究4910.5.1 10.5.1 无线传感器网络安全问题的特殊性无线传感器网络安全问题的特殊性无线传感器网络使用的是无线信道进行组网和数据无线传感器网络使用的是无线信道进行组网和数据传输,而无线信道是很容易受到干扰、窃听和攻击传输,而无线信道是很容易受到干扰、窃听和攻击的,攻击无线传感器网络的途径比较多。的,攻击无线传感器网络的途
27、径比较多。作为执行某一个特定任务的端网络系统,无线传感作为执行某一个特定任务的端网络系统,无线传感器网络只担负着传感器结点所产生的数据的传输任器网络只担负着传感器结点所产生的数据的传输任务,而不会有其他网络的数据要经过它传输。务,而不会有其他网络的数据要经过它传输。50无线传感器结点所有的操作都依靠自身所带的电池无线传感器结点所有的操作都依靠自身所带的电池供电。供电。传感器结点的计算能力、存储能力、通信能力受到传感器结点的计算能力、存储能力、通信能力受到结点自身所带能源的限制。结点自身所带能源的限制。一个实际传感器网络的结点数可能少则几十个,多一个实际传感器网络的结点数可能少则几十个,多则上千
28、个。则上千个。在这样一个大规模网络的设计中,还必须在单个结在这样一个大规模网络的设计中,还必须在单个结点的安全性与对整个网络的安全影响之间进行权衡。点的安全性与对整个网络的安全影响之间进行权衡。10.5.2 无线传感器网络安全隐患的分类51无线传感器网络在各层次可能受到攻击的类型无线传感器网络在各层次可能受到攻击的类型10.5.3 无线传感器网络安全技术研究的内容与进展52无线传感器网络的安全是一个无线传感器网络的安全是一个有挑战性的课题,目前的研究有挑战性的课题,目前的研究工作还仅仅是开始,需要研究工作还仅仅是开始,需要研究的问题还有很多,这也为研究的问题还有很多,这也为研究人员提供了很大的
29、发展空间。人员提供了很大的发展空间。10.6 RFID系统与3G手机安全技术的研究5310.6.1 RFID10.6.1 RFID系统的安全问题系统的安全问题 RFIDRFID在安全缺陷在安全缺陷:RFIDRFID标识自身访问的安全性问题标识自身访问的安全性问题通信信道的安全性问题通信信道的安全性问题RFIDRFID阅读器的安全性问题阅读器的安全性问题RFIDRFID阅读阅读器的安全性问题器的安全性问题10.6.2 手机的安全问题54手机病毒攻击可能手机病毒攻击可能的的四种方式四种方式:以病毒短信的方式直接攻击手机本以病毒短信的方式直接攻击手机本身,使手机无法提供服务。身,使手机无法提供服务。
30、攻击攻击WAPWAP服务器,使服务器,使WAPWAP手机无法接手机无法接收正常信息。收正常信息。攻击和控制移动通信网络与互联网攻击和控制移动通信网络与互联网的网关,向手机发送垃圾信息。的网关,向手机发送垃圾信息。攻击整个网络。攻击整个网络。5520042004年年20052005年手机病毒发展的情况年手机病毒发展的情况56物联网环境中用手机作为最终物联网环境中用手机作为最终用户访问的端系统设备会变得用户访问的端系统设备会变得越来越多,因此研究针对手机越来越多,因此研究针对手机和其他移动通信设备的安全技和其他移动通信设备的安全技术就显得越来越重要了。术就显得越来越重要了。小结(1)57物联网是互
31、联网功能的物联网是互联网功能的扩展,物联网将面临着扩展,物联网将面临着更加复杂的信息安全问更加复杂的信息安全问题。题。小结(2)58了解物联网安全技术,先要搞了解物联网安全技术,先要搞清楚物联网安全与现实社会安清楚物联网安全与现实社会安全、物联网应用系统与安全系全、物联网应用系统与安全系统、物联网安全与国家安全、统、物联网安全与国家安全、物联网安全与密码学,以及物物联网安全与密码学,以及物联网安全中共性与个性六大关联网安全中共性与个性六大关系问题。系问题。本章小结(3)59在研究和推广物联网应在研究和推广物联网应用的同时,必须从道德用的同时,必须从道德教育、技术保障与完善教育、技术保障与完善法制环境三个角度出发,法制环境三个角度出发,为物联网的健康发展创为物联网的健康发展创造一个良好的环境。造一个良好的环境。