标签：定位 -- 联网 安全 入侵 认证 应用层 访问控制

物联网应用层安全

• • • 学习目标
    • 应用层面临的威胁
    • 应用层安全关键技术
    • • 身份认证
      • 访问控制
      • 数据加密
      • 入侵检测
    • 应用层安全核心内容
    • • 数据安全
      • 隐私安全
      • 定位安全
      • 云计算安全
      • 物联网安全管理的要求

学习目标

• 了解物联网应用层面临的安全威胁
• 熟练掌握物联网应用层安全关键技术(身份认证、访问控制、数据加密、入侵检测)的基本内容
• 掌握应用层安全核心内容(数据安全、隐私安全、定位安全、云计算安全)
• 了解物联网安全管理的基本内容和安全管理体系

应用层面临的威胁

• 应用层数据被攻击
• 业务滥用
• 身份冒充
• 隐私威胁
• 抵赖和否认
• 重放攻击
• 信令拥塞
• 计算机病毒和蠕虫
• 网络钓鱼
• DoS/DDoS攻击

应用层安全关键技术

• 身份认证
• 访问控制
• 数据加密
• 入侵检测

身份认证

身份认证是指通过一定的手段，完成对用户身份的确认。身份认证的目的是验证消息的发送者是真的而非冒充的，包括信源和信宿，即确认当前所声称为某种身份的用户，确实是所声称的用户。

身份认证系统一般有10个方面的要求：

(1) 验证者正确识别合法被验证者的概率极大化；
(2) 不具可传递性(Transferability)，验证者B不可能重用被验证者A提供给他的信息来伪装被验证者A，而成功地骗取其他人的验证，从而得到信任；
(3)攻击者伪装被验证者欺骗验证者成功的概率要小到可忽略的程度；
(4) 计算有效性，即为实现身份证明所需的计算量要尽量小；
(5) 通信有效性，即为实现身份证明所需通信次数和数据量要尽量少；
(6) 秘密参数能安全存储；
(7) 交互识别，有些应用中要求双方能互相进行身份认证；
(8) 第三方的实时参与，如在线公钥检索服务；
(9) 第三方的可信赖性；
(10) 可证明安全性。

具体可通过三种基本方式或其组合来完成。即：

• （所知）用户所知道的某个秘密信息，如用户口令；
• （所有）用户所持有的某个秘密信息（硬件），即用户必须持有合法的物理介质（如身份证、智能卡、数字证书等）；
• （个人特征）用户所具有的某些生物特征，如笔迹、指纹、手指静脉纹、声音纹、脸型、DNA、视网膜、虹膜等。

几种实用化的身份认证方法：

（1）基于共享秘密的身份认证
（2）基于智能卡的身份认证
（3）基于数字证书的身份认证
（4）基于个人特征的身份认证

访问控制

访问控制的含义:是对用户合法使用资源的认证和控制。按用户身份及其所归属的某预设的定义组限制用户对某些信息项的访问，或限制对某些控制功能的使用(系统管理员控制用户对服务器、目录、文件等网络资源的访问)

访问控制包括三个要素：主体、客体和访问控制策略
访问控制的功能：①防止非法的主体进入受保护的网络资源；②允许合法用户访问受保护的网络资源；③防止合法的用户对受保护的网络资源进行非授权的访问
访问控制的目的:阻止非法用户进入系统和合法用户对系统资源的非法使用
访问控制的类型:自主访问控制（DAC)、强制访问控制（MAC）

访问控制策略：
①基于身份的访问控制
②基于规则的访问控制
③基于角色的访问控制
④基于属性的访问控制
⑤基于任务的访问控制
⑥基于对象的访问控制

数据加密

（1）对密码算法的要求

• 物联网感知节点自身的资源有限，需要设计轻量级的、足够强壮的对称加密算法以对传输数据进行加密保护，确保数据的机密性
• 此外，还需要设计高效的、适合感知节点使用环境的公开密钥密码算法和散列算法以进行身份认证和数字签名等，确保数据的完整性、可用性和可鉴别性
• 限于物联网本身所拥有资源的差异性特点，物联网安全所需要的密码算法需要兼顾高强度、复杂的密码算法和简单高效的轻量级算法，这两种算法在一定程序上要能够对接融合；同时还要符合我国国家密码管理部门的相关规范要求
  （2）对安全协议的要求
• 需要针对物联网的使用要求和特点设计专门的轻量级安全协议
• 加密协议用于实现节点的数据存储或节点之间数据传输的鉴别与保密
• 安全路由协议用于维护路由安全，确保网络健壮性
• 安全时间同步协议用于确保即使存在恶意节点攻击的情况下仍能获得高精度的时间同步
• 安全定位协议用于保护定位信息，检测出定位过程中的恶意节点和虚假信息，抵御各种针对定位操作的攻击，防止恶意节点干扰定位协议正常运行
• 安全数据融合协议用于确保数据融合过程的顺利进行和数据融合结果的机密性、完整性、可靠性
• 流认证协议用于实现基于源端认证的安全组播

入侵检测

• 入侵检测（Intrusion Detection）是指在网络中发现入侵行为及入侵企图，以便采取有效的措施来堵塞漏洞和修复系统的技术
• 入侵检测是对入侵行为的发现，并及时予以响应，是一种主动安全防护技术
• 作为防火墙技术的补充，入侵检测技术提供了对内部攻击、外部攻击和误操作的实时发现
• 入侵检测扩展了系统管理员的安全管理能力，包括安全审计、监视、攻击识别和响应能力

入侵检测的作用

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功的安全突破
• 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大

入侵检测被认为是继防火墙之后保护信息安全的第二道闸门，在不影响网络性能的情况下对网络进行监测，以防止和减轻对网络的安全威胁

入侵检测的基本方法：
（1）特征检测
（2）异常检测

入侵检测系统（Intrusion Detection System，IDS）是一种对网络活动进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备或系统

入侵检测系统的功能：
（1）监测并分析用户和系统的活动；
（2）核查系统配置和漏洞；
（3）评估系统关键资源和数据文件的完整性；
（4）识别已知的攻击行为；
（5）统计分析异常行为；
（6）操作系统日志管理，并识别违反安全策略的用户活动

一个入侵检测系统分为四个组件：

• 事件产生器（Event Generators）
• 事件分析器（Event Analyzers）
• 响应单元（Response Units）
• 事件数据库（Event Databases）
  入侵检测系统的工作步骤：
  （1）信息收集
  （2）数据分析
  （3）结果处理

应用层安全核心内容

• 数据安全
• 隐私安全
• 定位安全
• 云计算安全

数据安全

• “以数据为中心”是物联网的重要特点，数据是物联网的核心资源
• 物联网中的数据具有海量性、异构性和关联性等特点，且可以方便地进行转移
• 当数据涉及个人隐私、企业利益或国家安全时，数据安全问题就显得突出和重要，需要在数据共享和数据保护之间寻求一种平衡
• 一般意义上而言，数据安全涉及到数据的机密性、完整性、可用性、新鲜性及数据来源的真实性等特征的保障

从技术的层面分析，保障数据安全的方法主要有以下几种：
（1）访问控制
（2）数据加密
（3）物理层数据保护
（4）消息认证
（5）数据容灾

隐私安全

分为个人隐私和共同隐私

侵犯网络隐私权的主要技术手段有以下几种：
1）利用监控设备观察隐私
2）利用在线注册收集隐私信息
3）利用IP地址跟踪用户的位置或行踪
4）利用Cookies文件收集用户的隐私信息
5）利用特洛依木马病毒窃取隐私信息
6）利用嵌入式软件收集隐私信息
7）利用Web Beacons窃取隐私信息
8）利用篡改网页收集隐私信息

隐私保护技术分为：

• 基于数据加密的技术
• 基于限制发布的技术
• 基于数据失真的技术

定位安全

定位是指一个信息源点（如物联网传感器节点）确定自己的空间地理位置的操作
需要一个安全的定位机制来保证物联网中定位信息的准确与可靠。与位置隐私保护需要隐藏位置信息的目标相反，安全定位的目标在于揭示目标点的位置并确保定位结果的准确性

在测量或估算未知节点与信标节点间的位置关系时，可使用基于测距和无需测距两类方法。前者需要测量节点间点到点的距离或角度信息，常用的方法有TOA、TDOA、AOA和RSSI；后者无需测距，而是利用网络连通性等信息估算节点间的位置关系，常用的方法有质心算法、APIT算法、DV－Hop算法、Amorphous算法、MDS-MAP算法等

鲁棒性定位

• 定位攻击将导致定位结果出现重大偏差
• 现有的一些针对定位攻击的应对措施往往涉及传统安全技术，但传统安全技术并不能消除所有无线定位的威胁
• 一种具有容侵、容错特征的鲁棒性安全定位解决办法的策略是：利用网络节点分布冗余的特点来提供受到攻击或干扰的测量结果的稳定性，利用统计工具来取得定位技术的鲁棒性
• 鲁棒性定位最重要的思想就是“与坏孩子共舞”，借助于网络节点信息的冗余来实现对入侵或错误信息的容忍，即使在受到一定程度攻击的情况下也能保证定位结果的准确性，从而实现安全定位
• 应用广泛的三角测量定位方案

云计算安全

云计算的特征体现为虚拟化、分布式和动态可扩展

云计算的主要服务形式有三种
1） 软件即服务(Software as a Service，SaaS)
2）平台即服务(Platform as a Service ,PaaS)
3）基础设施服务(Infrastructure as a Service,IaaS)

云安全（Cloud Security）包含两方面含义：一是云自身的安全保护，称为云计算安全，二是使用云的形式提供信息安全服务。云安全的策略：把整个网络当作一个巨大的“杀毒软件”，参与者越多就越安全

云安全关键技术：
1）数据存储安全

• 同态加密

2）云应用安全

• IaaS 层安全
• PaaS层安全
• SaaS层安全

3）虚拟计算安全

4）可信的访问控制

物联网安全管理的要求

（1）明确安全管理目标
（2）能够提供有效的安全管理手段
（3）建立统一的安全管理策略
（4）实时监控与安全预警相结合
（5）强化信息技术对安全管理的有效支撑

物联网安全管理的内容：
明确物联网安全管理目标
评估物联网安全风险
建立安全基线
制定物联网安全管理措施及规范标准
建立物联网安全管理体系
评估物联网安全管理效能

物联网安全管理的对象：内容、行为、流量。

根据物联网的分层结构和安全威胁来源，对应的物联网安全管理框架可分为感知安全、网络安全、应用安全和安全管理四个方面，其中安全管理（涉及设备管理、拓扑管理、事件管理、策略管理和应急管理等）是基础，其余三个是安全管理支撑的目标

标签：定位,--,联网,安全,入侵,认证,应用层,访问控制
来源： https://blog.csdn.net/qq_43692072/article/details/118267676

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。