密碼學(xué)及安全應(yīng)用10全解課件

1、第10章 物聯(lián)網(wǎng)的安全 目錄10.1 物聯(lián)網(wǎng)的組成和工作原理10.2 RFID系統(tǒng)的安全10.3 無線傳感器網(wǎng)絡(luò)的安全物聯(lián)網(wǎng)的定義物聯(lián)網(wǎng)就是通過射頻識別（RFID）、紅外感應(yīng)器、全球定位系統(tǒng)（GPS）、激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，以有線或無線的方式把任何物品與互聯(lián)網(wǎng)連接起來，以計算、存儲等處理方式構(gòu)成所關(guān)心事物靜態(tài)與動態(tài)的信息的知識網(wǎng)絡(luò)，用以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。 物聯(lián)網(wǎng)實質(zhì)是RFID技術(shù)與無線傳感器網(wǎng)絡(luò)的結(jié)合應(yīng)用。 物聯(lián)網(wǎng)的組成RFID感應(yīng)器傳感器網(wǎng)關(guān)接入網(wǎng)關(guān)RFID標(biāo)簽傳感器節(jié)點智能終端M2M無線接入互聯(lián)網(wǎng)移動通信網(wǎng)異構(gòu)網(wǎng)融合下一代承載網(wǎng)遠(yuǎn)程控制物聯(lián)

2、網(wǎng)應(yīng)用支撐平臺云計算平臺信息共享與交互平臺專家系統(tǒng)平臺行業(yè)服務(wù)與支撐平臺物流監(jiān)控智能交通遠(yuǎn)程醫(yī)療環(huán)境監(jiān)控智能家居感知層網(wǎng)絡(luò)層應(yīng)用層互聯(lián)互通互聯(lián)互通物聯(lián)網(wǎng)的組成感知層感知層是物聯(lián)網(wǎng)的皮膚和五官，主要功能是信息感知和采集、短距離無線通信技術(shù)是感知層涉及的主要技術(shù)。網(wǎng)絡(luò)層網(wǎng)絡(luò)層是物聯(lián)網(wǎng)的神經(jīng)中樞和大腦用于傳遞信息和處理信息。應(yīng)用層應(yīng)用層是物聯(lián)網(wǎng)的“社會分工”，是物聯(lián)網(wǎng)與行業(yè)專業(yè)技術(shù)的深度融合，結(jié)合行業(yè)需求實現(xiàn)行業(yè)智能化。 物聯(lián)網(wǎng)的三個要素第一個要素是在信息感知方面，全面信息采集是實現(xiàn)物聯(lián)網(wǎng)的基礎(chǔ)。這是感知層需要完成的要素。第二個要素就是傳送網(wǎng)。無所不在、泛在化的無線通信網(wǎng)絡(luò)是實現(xiàn)物聯(lián)網(wǎng)的重要設(shè)施。第

3、三個要素就是信息處理。其中最重要的就是如何低成本的處理海量信息，因此云計算常常被用在物聯(lián)網(wǎng)信息處理領(lǐng)域。無線應(yīng)用通信協(xié)議(WAP) WAP設(shè)計目標(biāo)能通過手機(jī)等無線終端方便安全地訪問Internet上的信息資源能獨立運行于各種無線網(wǎng)絡(luò)之上而不必考慮這些無線網(wǎng)絡(luò)之間的差異 WAP協(xié)議設(shè)計原則（1）操作能力。（2）伸縮性。能夠根據(jù)用戶的需求對移動網(wǎng)絡(luò)的服務(wù)進(jìn)行定制。（3）效率。提供適合于移動網(wǎng)絡(luò)特點的服務(wù)質(zhì)量（QoS）保證。（4）可靠性。提供一致的和可靠的服務(wù)應(yīng)用平臺。（5）安全性。即使在不具有保護(hù)能力的移動網(wǎng)絡(luò)和設(shè)備上，仍能通過WAP提供的服務(wù)來保護(hù)用戶數(shù)據(jù)的完整性。 WWW和WAP協(xié)議特點的比較

4、 WWWWAP數(shù)據(jù)傳輸文本格式數(shù)據(jù)二進(jìn)制數(shù)據(jù)（高度壓縮）網(wǎng)頁格式HTMLWML腳本語言JavaScript等WMLScript對中低帶寬的優(yōu)化無有對信號不連續(xù)問題的處理無有WAP的應(yīng)用模型和結(jié)構(gòu)WAP網(wǎng)關(guān)Web服務(wù)器移動終端Internet無線網(wǎng)絡(luò)WAP應(yīng)用基本工作流程 用戶使用移動終端將編碼后的HTTP請求通過移動信息網(wǎng)絡(luò)發(fā)送給WAP網(wǎng)關(guān)。 WAP網(wǎng)關(guān)接收到請求，將其解碼并轉(zhuǎn)換為標(biāo)準(zhǔn)的HTTP請求提交給內(nèi)容服務(wù)器。 內(nèi)容服務(wù)器將響應(yīng)信息返回給WAP網(wǎng)關(guān)。 WAP網(wǎng)關(guān)再將響應(yīng)信息解碼并返回給用戶 WAP的體系結(jié)構(gòu) 無線應(yīng)用環(huán)境（WAE）無線會話協(xié)議（WSP）無線事務(wù)協(xié)議（WTP）無線傳輸層安全

5、（WTLS）無線數(shù)據(jù)報協(xié)議（WDP）無線承載網(wǎng)絡(luò)：GSM、CDMA等其他服務(wù)和應(yīng)用HTMLHTTPSSL/TLSTCP/IPUDP/IP應(yīng)用層會話層事務(wù)層安全層傳輸層網(wǎng)絡(luò)層OSIWAPInternet10.1.3移動網(wǎng)絡(luò)技術(shù)1. 移動IP技術(shù)解決節(jié)點移動（即IP地址變化）而導(dǎo)致通信中斷的問題 2. IEEE 802.11標(biāo)準(zhǔn)無線局域網(wǎng)標(biāo)準(zhǔn) 3. 藍(lán)牙技術(shù)采用分散式網(wǎng)絡(luò)結(jié)構(gòu)以及跳頻技術(shù)，支持點對點及點對多點通信 目錄10.1移動電子商務(wù)的實現(xiàn)技術(shù)10.2移動電子商務(wù)面臨的安全威脅10.3移動電子商務(wù)的安全需求10.4移動電子商務(wù)安全技術(shù)移動電子商務(wù)面臨的安全威脅 無線網(wǎng)絡(luò)面臨的安全威脅 移動終端

6、面臨的安全威脅 無線網(wǎng)絡(luò)面臨的安全威脅1. 竊聽2. 冒充3. 拒絕服務(wù)攻擊4. 訪問控制面臨的威脅 重放攻擊6 無線網(wǎng)絡(luò)標(biāo)準(zhǔn)的缺陷移動終端面臨的安全威脅 2. 終端弱加密能力3. 病毒和黑客威脅1. 終端被盜用移動商務(wù)管理面臨的安全威脅 3. 移動信息安全管理的標(biāo)準(zhǔn)化問題4. 口令攻擊與協(xié)議安全2 SP提供商的安全管理問題移動電子商務(wù)的安全需求1. 雙向身份認(rèn)證2. 密鑰協(xié)商與雙向密鑰控制3. 雙向密鑰確認(rèn)4. 能夠檢測到DoS攻擊和重放攻擊5. 較高的容錯能力和較低的資源消耗7. 經(jīng)濟(jì)性10.1移動電子商務(wù)的實現(xiàn)技術(shù)10.2移動電子商務(wù)面臨的安全威脅10.3移動電子商務(wù)的安全需求10.4移

7、動電子商務(wù)安全技術(shù)目錄10.4.1 無線公鑰基礎(chǔ)設(shè)施(WPKI)WPKI: 傳統(tǒng)的PKI技術(shù)應(yīng)用于無線網(wǎng)絡(luò)環(huán)境的優(yōu)化擴(kuò)展 特點：引入新的壓縮證書格式（WTLS證書），減少證書數(shù)據(jù)量；引入橢圓曲線密碼算法，減少密鑰長度；引入證書URL，移動終端可只存儲證書的URL WPKI的體系結(jié)構(gòu) 移動終端WAP網(wǎng)關(guān)內(nèi)容服務(wù)器PKI PortalCA證書數(shù)據(jù)庫無線網(wǎng)絡(luò)有線網(wǎng)絡(luò)取代RAWPKI的工作過程 PKI Portal(RA)CA中心WAP網(wǎng)關(guān)電子商務(wù)服務(wù)器使用SSL建立安全會話終端用戶申請證書RA驗證證書請求并轉(zhuǎn)發(fā)給CA CA簽發(fā)證書 服務(wù)器獲得證書和證書撤銷信息目錄服務(wù)器注冊過程通信過程WPKI的工作

8、過程 終端用戶通過移動終端向PKI Portal遞交證書申請請求； PKI Portal對用戶的申請進(jìn)行審查，審查合格則將申請轉(zhuǎn)發(fā)給CA。 CA為用戶生成一對公私鑰并制作證書，將證書交給PKI Portal； CA同時將證書存儲到目錄服務(wù)器，供有線網(wǎng)絡(luò)服務(wù)器查詢證書 PKI Portal保存用戶的證書，針對每一份證書產(chǎn)生一個證書URL，將該URL發(fā)送給移動終端。 內(nèi)容服務(wù)器（比如移動電子商務(wù)服務(wù)器）從PKI目錄服務(wù)器中下載證書及證書撤銷信息備用； 移動終端和WAP網(wǎng)關(guān)利用CA頒發(fā)的證書建立安全WTLS連接； WAP網(wǎng)關(guān)與內(nèi)容服務(wù)器進(jìn)行安全的SSL/TLS連接； 移動終端和內(nèi)容服務(wù)器實現(xiàn)安全信息

9、傳送。 WPKI與PKI的技術(shù)對比 WPKIPKI應(yīng)用環(huán)境無線網(wǎng)絡(luò)有線網(wǎng)絡(luò)證書WTLS證書/X.509證書X.509證書密碼算法ECC橢圓曲線密碼算法RSA安全連接協(xié)議WTLSSSL/TLS證書撤銷短時證書CRL、OCSP等協(xié)議本地證書保存證書URL證書CA交叉認(rèn)證不支持支持彈性CA不支持支持10.4.2 WPKI與PKI的技術(shù)對比1. 證書格式優(yōu)化本地證書保存方式優(yōu)化 3. 證書撤銷方式優(yōu)化4. 公鑰加密算法優(yōu)化5. WPKI協(xié)議優(yōu)化6. 證書管理不同10.4.3 WTLS協(xié)議WTLS協(xié)議功能:實現(xiàn) WAP的安全策略1. WAP的安全會話模式WAP網(wǎng)關(guān)與Web服務(wù)器之間通過SSL進(jìn)行安全通信

10、，確保了保密性、完整性和對服務(wù)器的認(rèn)證。WAP網(wǎng)關(guān)和移動終端之間的安全通信使用WTLS協(xié)議。 WAP的業(yè)務(wù)流程 WAP網(wǎng)關(guān)Web服務(wù)器已解碼的響應(yīng)編碼解碼器請求響應(yīng)（內(nèi)容）已編碼的請求2. WTLS協(xié)議與SSL的區(qū)別底層協(xié)議不同：TLS工作在TCP之上，WTLS是工作在WDP之上，需要處理丟包、重復(fù)和亂序等問題，而TLS中這些問題由TCP來處理； 無線承載延遲較大：WTLS需要在保證安全的情況下盡可能地減小通信雙方的協(xié)議交互； 無線承載帶寬較低：協(xié)議開銷必須最小化； 終端能力受限：保證可靠性的同時盡可能選擇計算量和內(nèi)存需求量小的算法 WTLS和SSL的比較 特征SSLWTLS支持?jǐn)?shù)字證書類型X

11、.509格式證書X.509格式證書、證書URL、WTLS格式證書、X.968(draft)格式證書是否必須進(jìn)行身份認(rèn)證是，至少單向身份認(rèn)證否，支持匿名模式握手協(xié)議DH-DSS、DH-RSA、RSADH anon、RSA anon、ECDH anon、RSA、ECDH-ECDSA證書是否包含序列號要求包含不要求包含對稱加密算法RC4、DES、3DES、IDEARC5、DES、3DES、IDEA報警信息校驗和無有是否支持UDP服務(wù)不支持支持WTLS的應(yīng)用分類 Classl：服務(wù)器和客戶端不需要相互認(rèn)證。這稱為匿名加密模式，這種方式可以建立安全通信的通道，但沒有對通信雙方的身份進(jìn)行認(rèn)證。 Class

12、2：服務(wù)器被客戶端認(rèn)證，但客戶端不被服務(wù)器端認(rèn)證。等級2支持服務(wù)器證書，也就是客戶端可通過服務(wù)器證書驗證服務(wù)器的身份。 Class3：服務(wù)器和客戶端相互都進(jìn)行認(rèn)證。等級3支持客戶端證書，也就是客戶端和服務(wù)器可通過對方的證書相互進(jìn)行身份認(rèn)證。 WTLS三類認(rèn)證級別 M：必備O：可選-：不需要特征Class1Class2Class3公鑰交換MMM加密OMMMACOOM客戶端認(rèn)證OOO服務(wù)器端認(rèn)證-OO壓縮MMM共享密鑰握手MMM智能卡接口-OOWTLS握手協(xié)議流程 Client HelloCertificate*Server Key Exchange*Certificate Request*Ser

13、ver HelloServer Hello DoneCertificate*Client Key Exchange*Certificate Verify*Change CipherSpecFinishedChange CipherSpecFinished服務(wù)器端客戶端WTLS握手協(xié)議的一個實例 客戶端發(fā)起連接請求，提供加密算法、認(rèn)證算法以及壓縮算法候選列表，并提供安全性需求、客戶隨機(jī)數(shù)等數(shù)字化信息到服務(wù)器。 服務(wù)器通過選擇適合自己的算法信息并發(fā)送服務(wù)器隨機(jī)數(shù)，接著發(fā)送服務(wù)器證書到客戶端，此時，WPKI證書以證書鏈的形式存在。 服務(wù)器發(fā)送獲取客戶證書的請求。 客戶端利用存儲在WIM卡中的CA中心公鑰驗證證書鏈，以檢驗服務(wù)器證書的有效性。 客戶端發(fā)送自己的證書URL到服務(wù)器。服務(wù)器向證書中心申請客戶證書進(jìn)行驗證。 客戶端生成預(yù)主密鑰并用服務(wù)器端公鑰加密后傳送到服務(wù)器。通知服務(wù)器應(yīng)該采用協(xié)商好的會話密鑰，并發(fā)送結(jié)束握手報文以結(jié)束整個流程。 10.4.4 無線網(wǎng)絡(luò)的物理安全技術(shù)1. 跳頻技術(shù)2. SSID訪問控制3