物联网导论-7-物联网信息安全

(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》桂小林1桂小林11物联网技术概论(第7章)(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》桂小林2推荐阅读(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》桂小林3课程内容物联网概论物联网体系结构传感器技术标识与定位技术物联网通信技术物联网数据处理物联网信息安全物联网的典型应用(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》桂小林4桂小林4(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》桂小林5第7部分物联网信息安全(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.1物联网的安全特征在物联网和云计算环境中，由于跨域使用资源、外包服务数据、远程检测和控制系统，使得数据安全和通信安全变得更加复杂，并呈现出跟以往不同的新特征，需要研发新的安全技术以支撑这样的开放网络应用环境。目前，物联网的体系结构被公认为有三个层次：感知层、网络层和应用层。针对物联网体系结构各个层次的独立安全问题，已经有许多一些信息安全解决方案措施。但需要说明的是，物联网作为一个应用整体，各个层次的独立安全措施简单相加并不能提供可靠的安全保障，而且物联网与几个逻辑层所对应的基础设施之间仍然存在许多本质的区别。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》物联网的安全特征1）已有的对传感网、互联网、移动网、安全多方计算、云计算等的一些安全解决方案在物联网环境中可以部分使用，但另外部分可能不再适用。首先，物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的；其次，物联网所联接的终端设备或器件的处理能力将有很大差异，它们之间可能需要相互作用；再次，物联网所处理的数据量将比现在的互联网和移动网都大得多。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》物联网的安全特征2）即使分别保证了感知控制层、数据传输层和智能处理层的安全，也不能保证物联网的安全。因为物联网是融合几个层次于一体的大系统，许多安全问题来源于系统整合；物联网的数据共享对安全性提出了更高的要求；物联网的应用将对安全提出了新要求，比如隐私保护不不是单一层次的安全需求，但却是物联网应用系统不可或缺的安全需求。鉴于以上原因，对物联网的发展需要重新规划并制定可持续发展的安全架构，使物联网在发展和应用过程中，其安全防护措施能够不断完善。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.2物联网的安全体系考虑到物联网安全的总体需求是物理安全、信息采集安全、信息传输安全和信息处理安全的综合，安全的最终目标是确保信息的机密性、完整性、真实性和网络的容错性。下面给出一种物联网三层安全体系架构。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.2物联网的安全体系1.感知层安全感知层安全包括感知设备物理安全和RFID安全以及传感器安全。在很多情况下，传感器节点之间的信息传递是敏感的，不应被未授权的第三方获取。因此，传感器网络应用需要安全的通信机制。任何安全通信机制都要密码机制提供点对点安全通信服务，而传感器网络中，密钥管理是非常重要的，它处理密钥从生成、存储、备份恢复、装入、验证、传递、保管、使用、分配、保护、更新、控制、丢失、吊销和销毁等多方面的内容，它涵盖了密钥的整个生命周期，是整个加密系统中最薄弱的环节，密钥的泄密将直接导致明文内容的泄密。因此感知层需要密钥管理来保障传感器的安全。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.2物联网的安全体系感知层的安全挑战⑴感知层的网络节点被恶意控制（安全性全部丢失）；⑵感知节点所感知的信息被非法获取（泄密）；⑶感知层的普通节点被恶意控制（密钥被控制着获得）；⑷感知层的普通节点被非法捕获（节点的密钥没有被捕获，因此没有被控制）；⑸感知层的结点（普通节点或关键节点）受来自网络DOS的攻击；⑹接入到物联网中的海量感知节点的标识、识别、认证和控制问题；(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.2物联网的安全体系感知层的安全服务1）保密性保密性是无线传感器网络军事应用中的重要目标。在民用系统中，除了部分隐私信息，其它很多探测（如温度探测）或警报信息（如火警警报）并不需要保密。2）完整性完整性是无线传感器网络安全最基本的需求和目标，虽然很多信息不需要保密，但是这些信息必须保证没有被篡改。3）鉴别和认证对无线传感器网络，组通信是经常使用的通信模式，例如，基站与传感器节点间的通信使用的就是组通信。对于组通信，源端认证是非常重要的安全需求和目标。4）可用性可用性是指安全协议高效可靠，不会给节点带来过多的负载从而导致节点过早消耗完有限的电能。可用性也是无线传感器网络安全的基本需求和目标。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.2物联网的安全体系感知层的安全服务5）容错性容错与安全有关，也可以称为是可用性的一个方面。当一部分节点失效或者出现安全问题时，必须保证整个无线传感器网路的正确和安全运行。6）不可否认性利用不可否认性，节点发送过的信息可以作为证据，证明节点是否具有恶意或者进行了不符合协议的操作。但是，由于传感器的计算能力很弱，不可否认性不能通过传统的非对称密钥的方式来完成。7）扩展性节点经常加入或失效会使网络的拓扑结构不断发生变化。传感器网络的可扩展性表现在传感器节点数量、网络覆盖区域、生命周期、感知精度等方面的可扩展性级别，安全保障机制必须提供支持可扩展性级别的安全机制和算法，来使传感器网络保持正常运行。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.3RFID的安全和隐私2008年8月，美国麻省理工学院的三名学生宣布成功破解了波士顿地铁资费卡。更严重的是，世界各地的公共交通系统都采用了几乎同样的智能卡技术，因此使用它们的破解方法可以“免费搭车游世界”。近几年来不时爆出这样的破解时间，相关技术人员或者通常意义下的“黑客”声称破解了一种或多种使用RFID技术的产品，并可以从中获取用户的隐私，或者伪造RFID标签。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.3RFID的安全和隐私（1）非法跟踪攻击者可以非接触地识别受害者身上的标签，掌握受害者的位置信息，从而给非法侵害行为或活动提供便利的目标及条件。跟踪是对位置隐私权的一种破坏。（2）窃取个人信息和物品信息当RFID用于个人身份标识时，攻击者可以从标签中读出唯一的电子编码，从而获得使用者的相关个人信息；当RFID用户物品标识时，抢劫者可以用阅读器确定哪些目标更值得他们下手。（3）扰乱RFID系统正常运行缺乏安全措施的电子标签十分脆弱，通过一些简单的技术，任何人都可以随意改变甚至破坏RFID标签上的有用信息，如篡改、重放、屏蔽（法拉第护罩）、失效（大功率发射机使标签感应出足够大的电流烧断天线）、Dos攻击等，这将破坏系统的正常通信，扰乱RFID系统的正常运行。（4）伪造或克隆RFID标签每一个RFID标签都有一个唯一的标识符，要伪造标签就必须修改标签的标识，该标识通常是被加锁保护的，RFID制造技术可能会被犯罪分子掌握。伪造标签比较困难，但在某些场合下，标签会被复制或克隆，它与信用卡被骗子拿去复制并允许卡在同一时刻在多个地方使用的问题类似。伪造或克隆的RFID标签会严重影响RFID在零售业和自动付费等领域的应用。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.3RFID的安全和隐私一般RFID有三类隐私威胁：①身份隐私威胁，即攻击者能够推导出参与通信的节点的身份；②位置隐私威胁，即攻击者能够知道一个通信实体的物理位置或粗略地估计出到该实体的相对距离，进而推断出该通信实体的隐私信息。③内容隐私威胁，即由于消息和位置已知，攻击者能够确定通信交换信息的意义。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.3.2RFID的安全与隐私保护机制与工作过程相关标签读写器计算机(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》7.3.2RFID的安全与隐私保护机制为了保护RFID系统的安全，需要建立相应的RFID安全机制，包括物理安全机制和逻辑安全机制以及两者的结合。1．物理安全机制常用的RFID标签通常是成本仅有10~20美分，在未来发展的目标为5美分左右。由于低成本标签并不支持高强度的安全性，人们提出了物理安全机制。使用物理安全机制保护标签的安全性主要包括：kill命令机制（killtag）、电磁屏蔽、主动干扰、阻塞标签（BlockTag）和可分离的标签等几种。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》1．物理安全机制①kill命令机制。kill命令机制是一种从物理上毁坏标签的方法。RFID标准设计模式中包含kill命令，执行kill命令后，标签所有的功能都丧失，从而使得标签不会响应攻击者的扫描行为，进而防止了对标签以及标签的携带者的跟踪。完全杀死标签可以完美的防止攻击者的扫描和跟踪，但是这种方法破坏了RFID标签的功能，无法让消费者继续享受到以RFID标签为基础的物联网的服务。另外，如果Kill命令的识别序列号（PIN）一旦泄露，则攻击者就可以使用这个PIN来杀死超市中的商品上的RFID标签，然后就可以将对应的商品带走而不会被觉察到。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》1．物理安全机制②电磁屏蔽。利用电磁屏蔽原理，把RFID标签置于由金属薄片制成的容器中，无线电信号将被屏蔽，从而是阅读器无法读取标签信息，标签也无法向阅读器发送信息。最常使用就是法拉第网罩。法拉第网罩可以有效屏蔽电磁波，这样无论是外部信号还是内部信号，都将无法穿越法拉第网罩。因此，如果把标签放在法拉第网罩内，则外部的阅读器所发出的查询信号就将无法到达RFID标签。把标签放入法拉第网罩内就可以阻止标签被扫描，从而阻止攻击者通过扫描RFID标签来获取用户的隐私数据。这种方法的缺点是在使用标签时又需要把标签从相应的法拉第网罩构造中取出，这样就失去了使用RFID标签的便利性。另外，如果要提供广泛的物联网服务，不能总是让标签置于屏蔽状态中，而需要在更多的时间内使得标签能够与阅读器处于自由通信的状态。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》1．物理安全机制③主动干扰。能主动发出无线电干扰信号的设备可以使附近RFID系统的阅读器无法正常工作，从而达到保护隐私的目的。这种方法的缺点在于其可能会产生非法干扰，从而使得在其附近其他的RFID系统无法正常工作；更严重的是可能会干扰到附近其他无线系统的正常工作。④阻塞标签。RSA公司制造的阻塞标签（BlockTag）是一种特殊的电子标签。这种标签可以通过特殊的标签碰撞算法阻止非授权的阅读器去读取那些阻止标签预定保护的标签。在需要的时候，阻止标签可以防止非法阅读器扫描和跟踪标签。而在特定的时候，则可以停止阻止状态，使得标签处于开放的可读状态。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》1．物理安全机制⑤可分离的标签。利用RFID标签物理结构上的特点，IBM推出了可分离的RFID标签。基本设计理念是使无源标签上的天线和芯片可以方便地拆分。这种可以分离的设计可以使消费者改变电子标签的天线长度从而极大的缩短标签的读取距离。如果用手持的阅读设备机会要紧贴标签才可以读取到信息，那么没有顾客本人的许可，阅读器设备不可能通过远程隐蔽获取信息。缩短天线后标签本身还是可以运行的，这样就方便了货物的售后服务和产品退货时的识别。但是可分离标签的制作成本还比较高，标签制造的可行性也有待进一步讨论。(推荐阅读清华大学出版社桂小林主编的《物联网技术导论》2．逻辑安全机制随着芯片技术的进步，比现有标签更智能并可多次读写的RFID标签将会被广泛地应用。这为解决RFID安全与隐私提供了更多的可能的方法。基于各种加密技术的逻辑方法被应用于RFID标签中，并越来越受到关注。下面选择几种典型方法介绍。(推荐阅读清华大学出版社桂小林主编的《物联网