物聯(lián)網(wǎng)安全概論知識(shí)點(diǎn)

物聯(lián)網(wǎng)安全概論知識(shí)點(diǎn)物聯(lián)網(wǎng)安全概論知識(shí)點(diǎn)物聯(lián)網(wǎng)安全概論知識(shí)點(diǎn)xxx公司物聯(lián)網(wǎng)安全概論知識(shí)點(diǎn)文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度第一章物聯(lián)網(wǎng)的安全特征：1，感知網(wǎng)絡(luò)的信息采集、傳輸與信息安全問題。2，核心網(wǎng)絡(luò)的傳輸與信息安全問題。3，物聯(lián)網(wǎng)業(yè)務(wù)的安全問題。物聯(lián)網(wǎng)從功能上說具備哪幾個(gè)特征？1，全面感知能力，可以利用RFID、傳感器、二維條形碼等獲取被控/被測物體的信息。2，數(shù)據(jù)信息的可靠傳遞，可以通過各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的融合，將物體的信息實(shí)時(shí)準(zhǔn)確的傳遞出去。3，可以智能處理，利用現(xiàn)代控制技術(shù)提供智能計(jì)算方法，對(duì)大量數(shù)據(jù)和信息進(jìn)行分析和處理，對(duì)物體實(shí)施智能化的控制。4，可以根據(jù)各個(gè)行業(yè)，各種業(yè)務(wù)的具體特點(diǎn)形成各種單獨(dú)的業(yè)務(wù)應(yīng)用，或者整個(gè)行業(yè)及系統(tǒng)的建成應(yīng)用解決方案。物聯(lián)網(wǎng)結(jié)構(gòu)應(yīng)劃分為幾個(gè)層次？1，感知識(shí)別層2，網(wǎng)絡(luò)構(gòu)建層3，管理服務(wù)層4，綜合應(yīng)用層概要說明物聯(lián)網(wǎng)安全的邏輯層次物聯(lián)網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)主要考慮3個(gè)邏輯層，即底層是用來采集的感知識(shí)別層，中間層數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)構(gòu)建層，頂層則是包括管理服務(wù)層和綜合應(yīng)用層的應(yīng)用中間層物聯(lián)網(wǎng)面對(duì)的特殊安全為問題有哪些？1，物聯(lián)網(wǎng)機(jī)器和感知識(shí)別層節(jié)點(diǎn)的本地安全問題。2，感知網(wǎng)絡(luò)的傳輸與信息安全問題。3，核心網(wǎng)絡(luò)的傳輸與信息安全問題。4，物聯(lián)網(wǎng)業(yè)務(wù)的安全問題信息安全：是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不易受到偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠的運(yùn)行，信息服務(wù)不中斷。針對(duì)這些安全架構(gòu)，需要發(fā)展相關(guān)的密碼技術(shù)，包括訪問控制、匿名簽名、匿名認(rèn)證、密文驗(yàn)證（包括同態(tài)加密）、門限密碼、叛逆追蹤、數(shù)字水印和指紋技術(shù)。物聯(lián)網(wǎng)的信息安全問題將不僅僅是技術(shù)問題，還會(huì)涉及許多非技術(shù)因素。下述幾個(gè)方面的因素很難通過技術(shù)手段來實(shí)現(xiàn)：（1） 教育：讓用戶意識(shí)到信息安全的重要性和如何正確使用物聯(lián)網(wǎng)服務(wù)以減少機(jī)密信息的泄露機(jī)會(huì)；（2） 管理：嚴(yán)謹(jǐn)?shù)目茖W(xué)管理方法將使信息安全隱患降低到最小，特別應(yīng)注意信息安全管理；（3） 信息安全管理：找到信息系統(tǒng)安全方面最薄弱環(huán)節(jié)并進(jìn)行加強(qiáng)，以提高系統(tǒng)的整體安全程度，包括資源管理、物理安全管理和人力安全管理；（4） 口令管理：許多系統(tǒng)的安全隱患來自賬戶口令的管理；物聯(lián)網(wǎng)結(jié)構(gòu)與層次①感知識(shí)別層：涉及各種類型的傳感器、RFID標(biāo)簽、手持移動(dòng)設(shè)備、GPS終端、視頻攝像設(shè)備等；重點(diǎn)考慮數(shù)據(jù)隱私的保護(hù)；②網(wǎng)絡(luò)構(gòu)建層：涉及互聯(lián)網(wǎng)、無線傳感器網(wǎng)絡(luò)、近距離無線通信、3G/4G通信網(wǎng)絡(luò)、網(wǎng)絡(luò)中間件等；重點(diǎn)考慮網(wǎng)絡(luò)傳輸安；③管理服務(wù)層：涉及海量數(shù)據(jù)處理、非結(jié)構(gòu)化數(shù)據(jù)管理、云計(jì)算、網(wǎng)絡(luò)計(jì)算、高性能計(jì)算、語義網(wǎng)等；重點(diǎn)考慮信息安全；④綜合應(yīng)用層：涉及數(shù)據(jù)挖掘、數(shù)據(jù)分析、數(shù)據(jù)融合、決策支持等。重點(diǎn)考慮應(yīng)用系統(tǒng)安全；4管理服務(wù)層位于感知識(shí)別和網(wǎng)絡(luò)構(gòu)建層之上，綜合應(yīng)用層之下，人們通常把物聯(lián)網(wǎng)應(yīng)用冠以“智能”的名稱，如智能電網(wǎng)、智能交通、智能物流等，其中的智慧就來自這一層。5物聯(lián)網(wǎng)的安全技術(shù)分析我們在分析物聯(lián)網(wǎng)的安全性時(shí)，也相應(yīng)地將其分為三個(gè)邏輯層，即感知層，網(wǎng)絡(luò)構(gòu)建層和管理服務(wù)層。6物聯(lián)網(wǎng)面對(duì)的特殊安全問題物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問題。感知網(wǎng)絡(luò)的傳輸與信息安全問題。核心網(wǎng)絡(luò)的傳輸與信息安全問題。物聯(lián)網(wǎng)業(yè)務(wù)的安全問題。71.物聯(lián)網(wǎng)中的業(yè)務(wù)認(rèn)證機(jī)制傳統(tǒng)的認(rèn)證是區(qū)分不同層次的，網(wǎng)絡(luò)層的認(rèn)證就負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別，業(yè)務(wù)層的認(rèn)證就負(fù)責(zé)業(yè)務(wù)層的身份鑒別，兩者獨(dú)立存在。2.物聯(lián)網(wǎng)中的加密機(jī)制傳統(tǒng)的網(wǎng)絡(luò)層加密機(jī)制是逐跳加密，即信息在發(fā)送過程中，雖然在傳輸過程中是加密的，但是需要不斷地在每個(gè)經(jīng)過的節(jié)點(diǎn)上解密和加密，即存每個(gè)節(jié)點(diǎn)上都是明文的。而傳統(tǒng)的業(yè)務(wù)層加密機(jī)制則是端到端的，即信息只在發(fā)送端和接收端才是明文，而在傳輸?shù)倪^程和轉(zhuǎn)發(fā)節(jié)點(diǎn)上都是密文。第二章物聯(lián)網(wǎng)安全技術(shù)框架涉及的信息安全技術(shù)主要有數(shù)據(jù)加密，身份認(rèn)證，訪問控制和口令，數(shù)字證書，電子簽證機(jī)關(guān)和數(shù)字簽名等常用信息安全技術(shù)。2.對(duì)口令的攻擊包括：網(wǎng)絡(luò)數(shù)據(jù)流竊聽，認(rèn)證信息截?。胤?，字典攻擊，窮舉攻擊，窺探，社交工程，垃圾搜索。3.密碼機(jī)包含了兩種算法，一般加密即同時(shí)指加密與解密的技術(shù)。密碼機(jī)的具體運(yùn)作由兩部分決定：一個(gè)是算法，另一個(gè)是鑰匙。4.密鑰是一種參數(shù)，他是在明文轉(zhuǎn)換為密文或密文轉(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。5.密鑰技術(shù)提供的加密服務(wù)可以保證在開放式環(huán)境中網(wǎng)絡(luò)傳輸?shù)陌踩?.通常大量使用的兩種密鑰加密技術(shù)是私用密鑰（對(duì)稱機(jī)密）和公共密鑰（非對(duì)稱加密）。7.對(duì)稱密鑰的優(yōu)勢是加／解密速度快，適合于對(duì)大量數(shù)據(jù)進(jìn)行加密，當(dāng)密鑰管理困難。非對(duì)稱密鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢得多。8.數(shù)據(jù)加密利用密碼技術(shù)對(duì)信息進(jìn)行交換，實(shí)現(xiàn)信息隱蔽，從而保護(hù)信息。9.身份驗(yàn)證的方法可以分為共享密鑰的身份驗(yàn)證，基于生物學(xué)特征的身份驗(yàn)證，基于公開密鑰加密算法的身份驗(yàn)證。10.訪問控制的類型：自主訪問控制，強(qiáng)制訪問控制。1.數(shù)字證書（數(shù)字憑證）：是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。2.數(shù)字證書組成：一、證書持有人的姓名和地址等關(guān)鍵信息；二、證書持有人的公開秘鑰；三、證書序號(hào)和證書的有效期限；四、發(fā)證單位的數(shù)字簽名。3.電子簽證機(jī)關(guān)，是采用PKI公開秘鑰技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。4.電子簽證機(jī)關(guān)除了簽發(fā)證書之外，它的另一個(gè)作用是證書和秘鑰的管理。1.數(shù)字簽名是指通過一個(gè)單向函數(shù)對(duì)傳送的報(bào)文進(jìn)行處理得到的，是一個(gè)用以認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。數(shù)字簽名的作用就是為了鑒別文件或書信真?zhèn)?，簽名起到認(rèn)證、生效的作用。2.數(shù)字簽名的主要功能是保證信息傳輸?shù)耐暾浴l(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。3.數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接受者。4.數(shù)字簽名的使用：原因：（1）.鑒權(quán)（2）.完整性（3）.不可抵賴（4）.實(shí)現(xiàn)。物聯(lián)網(wǎng)中的加密機(jī)制：（1）在傳統(tǒng)IP網(wǎng)絡(luò)中：點(diǎn)到點(diǎn)加密和端到端加密；2.節(jié)點(diǎn)認(rèn)證機(jī)制是指通信的數(shù)據(jù)雙方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份，以及數(shù)據(jù)在傳送過程中是否遭到篡改。(PublicKeyInfrastructure）即公鑰基礎(chǔ)設(shè)備，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及必須的密鑰和證書管理體系?；A(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封和雙重?cái)?shù)字簽名等。實(shí)現(xiàn)統(tǒng)一密鑰管理系統(tǒng)采用的兩種方式：（1）以互聯(lián)網(wǎng)為中心的集中式管理方式。（2）以各自網(wǎng)絡(luò)為中心的分布式管理方式。3.基于對(duì)稱密鑰管理系統(tǒng)的分配方式上可分為:(1)基于密鑰分配中心方式。（2）預(yù)分配方式。（3）基于分組分簇方式。6.基于身份標(biāo)識(shí)加密算法的特征和優(yōu)勢：（1）他的公鑰可以是任何唯一的字符串。（2）由于公鑰是身份等標(biāo)識(shí)，基于身份標(biāo)識(shí)的加密算法解決了密鑰分配的問題。（3）基于身份標(biāo)識(shí)的加密算法具有比對(duì)稱加密更高的加密強(qiáng)度。加密算法的組成：系統(tǒng)參數(shù)建立、密鑰提取、加密和解密。數(shù)據(jù)處理與隱私1.物聯(lián)網(wǎng)應(yīng)用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權(quán)用戶使用，同時(shí)還要考慮到網(wǎng)絡(luò)的可靠、可信和安全。2.物聯(lián)網(wǎng)能否大規(guī)模地投入使用，很大程度上取決于能否保障用戶數(shù)據(jù)和隱私的安全。3.數(shù)據(jù)處理過程中涉及基于位置的服務(wù)與在信息處理過程中的隱私保護(hù)問題。4.基于位置的服務(wù)是物聯(lián)網(wǎng)提供的基本功能。定位技術(shù)目前主要有GPS定位、基于手機(jī)的定位和無線傳感器網(wǎng)絡(luò)定位等。無線傳感器網(wǎng)絡(luò)的定位主要是射頻識(shí)別、藍(lán)牙及ZigBee等。5.基于位置的服務(wù)中的隱私內(nèi)容涉及兩個(gè)方面，一個(gè)是位置隱私，一個(gè)是查詢隱私。查詢隱私就是數(shù)據(jù)處理過程中的隱私保護(hù)問題。6.目前的隱私保護(hù)方法主要有位置偽裝、時(shí)空匿名和空間加密等。 認(rèn)證指使用者采用某種方式來證明自己確實(shí)是自己宣稱的某人，網(wǎng)絡(luò)中的認(rèn)證主要包括身份認(rèn)證和信息認(rèn)證。2. 身份認(rèn)證可以使通信雙方確信對(duì)方的身份并交換會(huì)話密鑰；信息認(rèn)證主要是接收方希望能夠保證其接收的信息確實(shí)來自真正的發(fā)送方。身份驗(yàn)證的方法有很多，基本上可分為：基于共享密鑰的身份驗(yàn)證、基于生物學(xué)特征的身份驗(yàn)證和基于公開密鑰加密算法的身份驗(yàn)證。3. 無線傳感器網(wǎng)絡(luò)中的認(rèn)證技術(shù)主要包括（1） 基于輕量級(jí)公鑰的認(rèn)證技術(shù)（2） 基于預(yù)共享密鑰的認(rèn)證技術(shù)（3） 基于單向散列函數(shù)的認(rèn)證技術(shù)（4） 隨機(jī)密鑰預(yù)分布的認(rèn)證技術(shù)、利用輔助信息的認(rèn)證技術(shù)等。4. 訪問控制：按用戶身份及其所歸屬的某預(yù)設(shè)的定義組限制用戶對(duì)某些信息項(xiàng)的訪問，或限制對(duì)某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。訪問控制的類型：自主訪問控制（2）強(qiáng)制訪問控制6. 容侵就是指在網(wǎng)絡(luò)中存在惡意入侵的情況下，網(wǎng)絡(luò)仍然能夠正常運(yùn)行。現(xiàn)階段的無線傳感網(wǎng)絡(luò)的容侵技術(shù)主要集中于網(wǎng)絡(luò)的拓?fù)淙萸?、安全路由容侵以及?shù)據(jù)傳輸過程中的容侵機(jī)制。7. 無線傳感器網(wǎng)絡(luò)的另一個(gè)要求是網(wǎng)絡(luò)的容錯(cuò)性。容錯(cuò)性是指在故障存在的情況下系統(tǒng)不失效，仍然能夠正常工作的特性。無線傳感器網(wǎng)絡(luò)的容錯(cuò)性指的是當(dāng)部分節(jié)點(diǎn)或鏈路失效后，網(wǎng)絡(luò)能夠進(jìn)行傳輸數(shù)據(jù)的恢復(fù)或網(wǎng)絡(luò)結(jié)構(gòu)的自愈，從而盡可能的減小節(jié)點(diǎn)或鏈路失效對(duì)無線傳感器網(wǎng)絡(luò)功能的影響。目前相關(guān)領(lǐng)域的研究主要集中在三個(gè)方面：（1） 網(wǎng)絡(luò)拓?fù)渲械娜蒎e(cuò)（2） 網(wǎng)絡(luò)覆蓋中的容錯(cuò)（3） 數(shù)據(jù)檢測中的容錯(cuò)機(jī)制典型的無線傳感器網(wǎng)絡(luò)中的容侵框架包括三個(gè)部分：（1） 判定惡意節(jié)點(diǎn)（2） 發(fā)現(xiàn)惡意節(jié)點(diǎn)后啟動(dòng)容侵機(jī)制（3） 通過節(jié)點(diǎn)之間的協(xié)作，對(duì)惡意節(jié)點(diǎn)做出處理決定（排除或是恢復(fù)）物聯(lián)網(wǎng)的數(shù)據(jù)是一個(gè)雙向流動(dòng)的信息流，一是從感知端采集物理世界的各種信息，經(jīng)過數(shù)據(jù)的處理，存儲(chǔ)在網(wǎng)絡(luò)的數(shù)據(jù)庫中；而是根據(jù)用戶的需求進(jìn)行數(shù)據(jù)的挖掘，決策和控制，實(shí)現(xiàn)與物理世界中任何互聯(lián)物體的互動(dòng)。2.在傳統(tǒng)的無線傳感器網(wǎng)絡(luò)中由于側(cè)重對(duì)感知端的信息獲取，對(duì)決策控制的安全考慮不多，互聯(lián)網(wǎng)的應(yīng)用也是側(cè)重于信息的獲取與挖掘，較少應(yīng)用對(duì)第三方的控制3.物聯(lián)網(wǎng)中對(duì)物體的控制是重要組成部分由于傳感器網(wǎng)絡(luò)的資源局限性，使其安全問題的研究難度增大，因此傳感器網(wǎng)絡(luò)的安全研究將是物聯(lián)網(wǎng)安全的重要組成部分。2.目前在無線傳感器網(wǎng)絡(luò)安全方面，人們就密鑰管理，安全路由，認(rèn)證與訪問控制，數(shù)據(jù)隱私保護(hù)，入侵檢測與容錯(cuò)容侵以及安全決策與控制等方面進(jìn)行了相關(guān)研究，密鑰管理作為多個(gè)安全機(jī)制的基礎(chǔ)一直是研究的熱點(diǎn)，但并沒有找到理想的解決方案3.如何建立有效的多網(wǎng)融合的安全架構(gòu)，建立一個(gè)跨越多網(wǎng)的統(tǒng)一安全模型，形成有效的共同協(xié)調(diào)防御系統(tǒng)也是重要的研究方向之一。第三章密碼學(xué)基本概念1、密碼學(xué)是主要研究通信安全和保密的學(xué)科，它包括兩個(gè)分支：密碼編碼學(xué)和密碼分析學(xué)。2、密碼的基本思想是對(duì)機(jī)密信息進(jìn)行偽裝。3、使用密碼學(xué)可以達(dá)到一下目的：（1）保密性：防止用戶的標(biāo)識(shí)或數(shù)據(jù)被讀取。（2）數(shù)據(jù)完整性：防止數(shù)據(jù)被更改。（3）身份驗(yàn)證：確保數(shù)據(jù)發(fā)自特定的一方。1、現(xiàn)有的密碼體制類可以分為私鑰密碼（如DES密碼）和公鑰密碼（如公開密鑰密碼）。前者的加密過程和解密過程相同，所用的密鑰也相同；后者，每個(gè)用戶都有公開密鑰。2、密碼編碼學(xué)主要致力于信息加密、信息認(rèn)證、數(shù)字簽名和密鑰管理方面的研究。3、密碼分析學(xué)與密碼編碼學(xué)的方法不同，它不依賴數(shù)學(xué)邏輯的不變真理，必須憑經(jīng)驗(yàn)，依賴客觀世界察覺得到的事實(shí)。古典密碼學(xué)主要有兩大基本方法：（1）代替密碼：將明文的字符替換為密文中的另一種字符，接受者只要對(duì)密文做反向替換就可以恢復(fù)明文。（2）置換密碼（又稱易位密碼）：明文的字母保持相同，但順序被打亂了。1、根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：對(duì)稱加密算法（秘密密鑰加密）和非對(duì)稱加密算法（公開密鑰加密）。2、對(duì)稱加密系統(tǒng)是加密和解密均采用同一把密鑰，而且通信雙方都必須獲得這把密鑰，并保持密鑰的秘密。3、非對(duì)稱密鑰加密系統(tǒng)采用的加密密鑰（公鑰）和解密密鑰（私鑰）是不同的。1、對(duì)稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因?yàn)榧咏饷艿拿荑€相同，需要通信雙方必須選擇和保存他們共同的密鑰，各方必須信任對(duì)方不會(huì)將密鑰泄露出去，這樣就可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性和完整性。2、非對(duì)稱密鑰密碼體系（AsymmetricCryptography）也稱公開密鑰技術(shù)。該系統(tǒng)需要兩個(gè)密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。與對(duì)稱密鑰密碼體系相比，非對(duì)稱密鑰密碼體系最大的特點(diǎn)在于加密和解密使用不同的密鑰。3、對(duì)稱密碼系統(tǒng)的安全性依賴于一下兩個(gè)因素。（1）加密算法必須是足夠強(qiáng)的，僅僅基于密文本身去解密信息在實(shí)踐上是不可能的。（2）加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性，因此，沒有必要確保算法的秘密性，而需要保證密鑰的秘密性。4、對(duì)稱密碼體制的優(yōu)點(diǎn)是：對(duì)稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。該方法的缺點(diǎn)如下：（1）密鑰難以安全傳送。（2）密鑰量太大，難以進(jìn)行管理。（3）無法滿足互不相識(shí)的人進(jìn)行私人談話時(shí)的保密要求。（4）難以解決數(shù)字簽名驗(yàn)證的問題。5、非對(duì)稱密鑰體制的特點(diǎn)是：（1）密鑰分配簡單。（2）密鑰的保存量少。（3）可以滿足互不相識(shí)的人之間進(jìn)行私人談話時(shí)的保密性要求。（4）可以完成數(shù)字簽名和數(shù)字鑒別。現(xiàn)代加密算法1、對(duì)稱加密算法。常用的包括：（1）DES（2）3DES（3）AES。2、非對(duì)稱加密算法。常見的算法包括：1)RSA，支持變長密鑰的公共密鑰算法，需要加密的文件塊的長度也是可變的；2）DSA（數(shù)字簽名算法）；3）ECC（橢圓曲線密碼編碼學(xué)）；4）散列算法（hash算法）：也叫哈希算法，就是把任意長度的輸入（又叫做預(yù)映射）通過散列算法變換成固定長度的輸出，該輸出就是散列值；1、對(duì)稱與非對(duì)稱算法比較。不同：1）管理方面；2）安全方面；3）速度方面2、加密算法的選擇。對(duì)稱密碼技術(shù)1、密鑰的長度2、加密速度。對(duì)稱密鑰方法比非對(duì)稱密鑰方法快得多，因此加密大量文件時(shí)，對(duì)稱密鑰方法是首選機(jī)制。3、對(duì)稱密鑰密碼的類型。1）分組密碼；2）流密碼/序列密碼與分組密碼相比，序列密碼可以非?？焖儆行У剡\(yùn)作。序列密碼作用于由若干位組成的一些小型組，通常使用稱為密碼流的一個(gè)位序列作為密鑰對(duì)它們逐位應(yīng)用“異或”運(yùn)算。1、數(shù)據(jù)加密算法（DEA）的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是規(guī)范的描述。通常自動(dòng)取款機(jī)都使用DES。DES使用一個(gè)56位的密鑰以及附加的8位奇偶校驗(yàn)位產(chǎn)生最大的64位的分組。攻擊DES的主要形式被稱為蠻力的或徹底密鑰搜索，即重復(fù)嘗試各種密鑰直到有一個(gè)符合為止。4、一次性密碼本。具有被認(rèn)為是十分安全的優(yōu)點(diǎn)。5、高級(jí)加密標(biāo)準(zhǔn)（AES）。AES會(huì)替代DES作為新的安全標(biāo)準(zhǔn)。非對(duì)稱密碼系統(tǒng)也稱為公鑰密碼體系。公鑰密碼可用于加密和數(shù)字簽名。公鑰密碼系統(tǒng)體制采用一對(duì)秘鑰：公鑰和私鑰。公鑰密碼系統(tǒng)主要使用RSA公鑰密碼算法。公鑰密碼體制產(chǎn)生的主要原因：一是由于常規(guī)密鑰密碼體制的密鑰分配問題，二是由于對(duì)數(shù)字簽名的需求。公鑰密碼體制算法的特點(diǎn)：使用一個(gè)加密算法E和一個(gè)解密算法D，根據(jù)已選定的E和D，即使已知E的完整描述，也不可能推導(dǎo)出D。公鑰密碼系統(tǒng)可以用于3個(gè)方面：通信保密：將公鑰作為加密秘鑰，私鑰作為解密秘鑰，通信雙方不需要交換秘鑰就可以實(shí)現(xiàn)保密通信；數(shù)字簽名：將私鑰作為加密秘鑰，公鑰作為解密秘鑰，可實(shí)現(xiàn)由一個(gè)用戶對(duì)數(shù)據(jù)加密而使多個(gè)用戶解讀；公開密鑰算法的特點(diǎn)：1、發(fā)送者用加密秘鑰PK對(duì)明文X加密后，在接收者用解密秘鑰SK解密，即可恢復(fù)出明文，或?qū)憺镈SK（EPK（X））=X，解密密鑰是接受者專用的秘密密鑰，對(duì)其他人保密，加密和解密的運(yùn)算可以對(duì)調(diào)，即EPK（DSK（X））=X2、加密密鑰是公開的，但不能用來解密，即DPK（EPK（X））≠X3、在計(jì)算機(jī)上可以容易的產(chǎn)生成對(duì)的PK和SK4、從已知的PK實(shí)際上不可能推導(dǎo)出SK，即從PK到SK是計(jì)算機(jī)上不可能的5、加密和解密算法都是公開的數(shù)字簽名的特征：簽名是可信的、簽名不可偽造、簽名不可重用、簽名的文件是不可改變的、簽名是不可抵賴的設(shè)若甲有一份需保密的數(shù)字商業(yè)合同M發(fā)給乙簽署，請(qǐng)闡述保密和簽署的方法。（1）甲用乙的公鑰對(duì)合同加密，X=EPK乙(M),密文從甲發(fā)送到乙。（2）乙收到密文，并用自己的私鑰對(duì)其解密,M=DSK乙(X)=DSK乙(EPK乙(M))。（3）解密正確，經(jīng)閱讀，乙用自己的私鑰對(duì)合同進(jìn)行簽署，Y=DSK乙(M)。（4）乙用甲的公鑰對(duì)已經(jīng)簽署的合同進(jìn)行加密Z=EPK甲(Y)=EPK甲(DSK乙(M)),乙將密文發(fā)給甲（5）甲用自己的私鑰將已簽署合同解密,Y=ESK甲(Z)=ESK甲(EPK甲(Y))=ESK甲(EPK甲(DSK乙(M))=DSK乙(M),M=EPK乙(DSK乙(M))。（6）解密正確，確認(rèn)簽署。電子ID身份識(shí)別技術(shù)1電子ID的身份鑒別技術(shù)（1）通行字識(shí)別方式：最廣泛的一種身份識(shí)別方式（2）持證的方式：持證是一種個(gè)人持有物，用于啟動(dòng)電子設(shè)備電子ID身份識(shí)別主要有哪幾種方式？①用戶所知道的某個(gè)秘密信息，如用戶口令。②用戶所持有的某個(gè)秘密信息（硬件），即用戶必須持有合法的隨身攜帶的物理介質(zhì)，如磁卡、智能卡或用戶所申請(qǐng)領(lǐng)取的公鑰證書。③用戶所具有的某些生物特征，如指紋、聲音、DNA圖案和視網(wǎng)膜掃描等。物聯(lián)網(wǎng)密鑰管理機(jī)制1.密鑰泛指生產(chǎn)和生活中所應(yīng)用到的各種加密技術(shù)，能夠?qū)€(gè)人資料或企業(yè)機(jī)密進(jìn)行有效的監(jiān)管，密鑰管理就是指對(duì)密鑰進(jìn)行管理的行為。2.密鑰管理包括從密鑰的產(chǎn)生到密鑰的銷毀的各個(gè)方面。主要表現(xiàn)于管理體制，管理協(xié)議和密鑰的產(chǎn)生，分配，更換和注入等。3.密鑰管理流程密鑰生成，密鑰分發(fā)，驗(yàn)證密鑰，更新密鑰，密鑰存儲(chǔ)，備份密鑰，密鑰有效期，銷毀密鑰，密鑰管理7密鑰管理技術(shù)分為四類：對(duì)稱密鑰管理；公開密鑰管理/數(shù)字證書；密鑰相關(guān)的標(biāo)準(zhǔn)規(guī)范；數(shù)字簽名。9IBE加密算法一般由4部分組成：系統(tǒng)參數(shù)建立，密鑰提取，加密和解密。物聯(lián)網(wǎng)數(shù)據(jù)處理與隱私性1物聯(lián)網(wǎng)能否大規(guī)模推廣應(yīng)用，很大程度上取決于其是否能夠保障用戶數(shù)據(jù)和隱私的安全。第四章RFID安全與隱私概述無線射頻識(shí)別是一種遠(yuǎn)程存儲(chǔ)和獲取數(shù)據(jù)的方法，其中使用了一個(gè)稱為標(biāo)簽的小設(shè)備。RFID基本組成架構(gòu)1.系統(tǒng)的組成標(biāo)簽、閱讀器、后臺(tái)服務(wù)器RFID系統(tǒng)一般由3大部分構(gòu)成：標(biāo)簽、讀寫器以及后臺(tái)數(shù)據(jù)庫。依據(jù)標(biāo)簽的能量來源，可以將標(biāo)簽分為3大類：被動(dòng)式標(biāo)簽、半被動(dòng)式標(biāo)簽以及主動(dòng)式標(biāo)簽。3.標(biāo)簽與讀寫器之間的通信信道RFID的安全和攻擊模式1.信息及隱私泄露有兩個(gè)隱私問題：位置隱私、信息隱私。1.隱私信息泄露2.跟蹤的隱私威脅攻擊模式1.竊聽2.中間人攻擊3.欺騙、重放和克隆4.拒絕服務(wù)攻擊5.物理破解6.篡改信息病毒8.其他隱患RFID系統(tǒng)通信模型2.惡意跟蹤問題的層次劃分1.應(yīng)用層2.通信層3.物理層安全RFID系統(tǒng)的基本特征1.射頻識(shí)別系統(tǒng)防范范圍對(duì)單項(xiàng)攻擊的防范：1.為了復(fù)制/改變數(shù)據(jù)，未經(jīng)授權(quán)的讀出數(shù)據(jù)載體2.將外來的數(shù)據(jù)載體置入某個(gè)讀寫器的詢問范圍內(nèi)，企圖得到非授權(quán)出入建筑物或不付費(fèi)服務(wù)3.為了假冒真正的數(shù)據(jù)載體，竊聽無線電通信并重放數(shù)據(jù)2.安全RFID系統(tǒng)的基本特征a) 機(jī)密性b) 完整性c) 可用性d) 真實(shí)性e) 隱私性RFID技術(shù)中的隱私問題及保護(hù)措施RFID系統(tǒng)的應(yīng)用中主要面臨兩類隱私侵犯，分別是位置隱私和信息隱私位置隱私信息隱私隱私保護(hù)解決RFID技術(shù)隱私問題的措施1、首先要在制定RFID技術(shù)標(biāo)準(zhǔn)時(shí)就應(yīng)該考慮隱私保護(hù)問題2、在商業(yè)零售種RFID標(biāo)簽可以自由除去，可以通過讓顧客知道她所買的商品中有這樣的一個(gè)標(biāo)簽3、對(duì)識(shí)別權(quán)利進(jìn)行限制，以便只有通過生產(chǎn)商才能進(jìn)行閱讀和解碼產(chǎn)品電子代碼的密碼機(jī)制與安全協(xié)議基于RFID技術(shù)的EPC系統(tǒng)安全問題EPC系統(tǒng)安全問題主要有哪幾大類(1)標(biāo)簽本身的訪問缺陷(2)通信鏈路上的安全問題(3)移動(dòng)RFID安全1.標(biāo)簽本身的訪問缺陷2.通信鏈路上的安全問題主要有：(1)黑客非法截取通信數(shù)據(jù),(2)拒絕服務(wù)攻擊,(3)利用假冒標(biāo)簽向閱讀器發(fā)送數(shù)據(jù),(4)RFID閱讀器與后臺(tái)系統(tǒng)間的通信信息安全。3.移動(dòng)RFID安全EPCglobal系統(tǒng)安全分析1.EPCglobal系統(tǒng)的縱向安全和隱私威脅分析從下到上，可將EPCglobal整體系統(tǒng)劃分為3個(gè)安全域：標(biāo)簽和閱讀器構(gòu)成的無線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域、企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域、企業(yè)之間和企業(yè)與公共用戶之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。2.供應(yīng)鏈的橫向安全和隱私威脅分析一個(gè)較完整的供應(yīng)鏈及其面對(duì)的安全與隱私威脅包括供應(yīng)鏈內(nèi)、商品流通和供應(yīng)鏈外等3個(gè)區(qū)域，3.個(gè)人隱私威脅(1)行為威脅(2)關(guān)聯(lián)威脅(3)位置威脅(4)喜好威脅(5)星座(Constellation)威脅(6)事務(wù)威脅(7)面包屑(Breadcrumb)威脅實(shí)現(xiàn)RFID安全性機(jī)制與安全協(xié)議如何使用物理途徑來保護(hù)RFID標(biāo)簽的安全性?(1)靜電屏蔽(2)阻塞標(biāo)簽(bIockertag)(3)主動(dòng)干擾(activejamming)(4)改變閱讀器頻率(5)改變標(biāo)簽頻率(6)kill命令機(jī)制標(biāo)簽安全設(shè)置RFID電子標(biāo)簽的安全屬性RFID電子標(biāo)簽的安全屬性與標(biāo)簽分類直接相關(guān)。RFID電子標(biāo)簽在應(yīng)用中的安全設(shè)計(jì)存儲(chǔ)型RFID電子標(biāo)簽的應(yīng)用主要是通過快速讀取ID號(hào)來達(dá)到識(shí)別目的，主要應(yīng)用于動(dòng)物識(shí)別和跟蹤追溯方面。邏輯加密型的RFID電子標(biāo)簽內(nèi)部存儲(chǔ)區(qū)一般按塊分布。并有秘鑰控制位設(shè)置數(shù)據(jù)塊的安全屬性。第二代的RFID標(biāo)準(zhǔn)強(qiáng)化的安全功能根據(jù)第二代RFID標(biāo)準(zhǔn)規(guī)范，當(dāng)數(shù)據(jù)被寫入標(biāo)簽時(shí)，數(shù)據(jù)在經(jīng)過空中接口時(shí)被偽裝。EPC被動(dòng)標(biāo)簽一般只包括產(chǎn)品的識(shí)別信息。RFID系統(tǒng)面臨的攻擊手段、技術(shù)及其防范RFID系統(tǒng)面臨的攻擊手段RFID系統(tǒng)面臨的攻擊手段主要分為主動(dòng)攻擊和被動(dòng)攻擊兩類。1.主動(dòng)攻擊包括：對(duì)獲得的標(biāo)簽實(shí)體，通過物理手段在實(shí)驗(yàn)環(huán)境中去除芯片封裝，使用微探針獲取敏感信號(hào)，進(jìn)而進(jìn)行目標(biāo)標(biāo)簽重構(gòu)的復(fù)雜攻擊；通過軟件，利用微處理器的通用通信接口，通過掃描標(biāo)簽和影響讀寫器的探尋，尋求安全協(xié)議加密算法及其實(shí)現(xiàn)弱點(diǎn)，從而刪除或篡改標(biāo)簽內(nèi)容；通過干擾廣播、阻塞信道或其他手段，產(chǎn)生異常的應(yīng)用環(huán)境，使合法處理器產(chǎn)生故障，拒絕服務(wù)器攻擊等。2.被動(dòng)攻擊包括:采用竊聽技術(shù)，分析為處理器正常工作過程中產(chǎn)生的各種電磁特征，獲得RFID標(biāo)簽和閱讀器之間的通信數(shù)據(jù)。RFID芯片攻擊技術(shù)1.破壞性攻擊初期與芯片反向工程一致2.非破壞性攻擊針對(duì)于具有微處理器的產(chǎn)品，手段有軟件攻擊、竊聽技術(shù)和故障產(chǎn)生技術(shù)。非破壞性攻擊及其防范常見的攻擊手段有兩種即電流分析攻擊和故障攻擊。第五章知識(shí)點(diǎn)整理1：WSN：無線傳感器網(wǎng)絡(luò)。2：WSN與安全相關(guān)的特點(diǎn)主要有以下幾個(gè)：（1）：資源受限,通信環(huán)境惡劣（2）：部署區(qū)域的安全無法保證，節(jié)點(diǎn)易失效。（3）：網(wǎng)絡(luò)無基礎(chǔ)框架。（4）：部署前地理位置具有不確定性。3：無線傳感器網(wǎng)絡(luò)安全要求是基于傳感器節(jié)點(diǎn)和網(wǎng)絡(luò)自身?xiàng)l件的限制提出的。4：無線傳感器網(wǎng)絡(luò)的安全威脅：（1）：竊聽。（2）：哄騙（3）：模仿（4）：危及傳感器節(jié)點(diǎn)安全（5）：注入（6）：重放（7）：拒絕服務(wù)（DoS）（8）：HELLO擴(kuò)散法，陷阱區(qū)是無線傳感器網(wǎng)絡(luò)獨(dú)有的安全威脅。5：WSN（無線傳感網(wǎng)絡(luò)）的安全需求主要由以下幾個(gè)方面：（1）：機(jī)密性（2）：完整性（3）：健壯性（4）：真實(shí)性（5）：新鮮性（6）：可用性（7）訪問控制6：無線傳感器網(wǎng)絡(luò)中的兩種專用安全協(xié)議是安全網(wǎng)絡(luò)加密協(xié)議和基于時(shí)間的高效容忍丟包的流認(rèn)證協(xié)議8：物理層中安全的主要問題就是如何建立有效的數(shù)據(jù)加密機(jī)制1.傳感器網(wǎng)絡(luò)的基本安全技術(shù)包括基本安全框架、密鑰分配、安全路由和入侵檢測以及加密技術(shù)等。3.密鑰分配：傳感器網(wǎng)絡(luò)的密鑰分配主要傾向于采用隨機(jī)預(yù)分配模型的密鑰分配方案。4.安全路由增加網(wǎng)絡(luò)的安全性：①路由中加入容侵策略②用多徑路由選擇方法抵御選擇性轉(zhuǎn)發(fā)攻擊③在路由設(shè)計(jì)中加入廣播半徑限制抵御洪泛攻擊。④在路由設(shè)計(jì)中加入安全等級(jí)策略抵御蟲洞攻擊和陷洞攻擊。5.入侵檢測技術(shù)：按照參與檢測的節(jié)點(diǎn)是否主動(dòng)發(fā)送消息可分為：被動(dòng)監(jiān)聽檢測和主動(dòng)檢測。根據(jù)節(jié)點(diǎn)檢測的分布，被動(dòng)檢測可分為密集檢測和稀疏檢測。主動(dòng)檢測有4種方法：①路徑診斷的方法②鄰居檢測的方法③通過多個(gè)路徑發(fā)送ping包的方式以發(fā)現(xiàn)路徑上的關(guān)鍵點(diǎn)，從而部署攻擊檢測算法。④基于主動(dòng)提供信息的檢測。1.無線傳感器網(wǎng)絡(luò)安全技術(shù)：加密技術(shù)、完整性檢測技術(shù)、身份認(rèn)證技術(shù)、數(shù)字簽名2.密碼技術(shù)是網(wǎng)絡(luò)安全構(gòu)架十分重要的部分，而密鑰是密碼技術(shù)的核心內(nèi)容。3.密鑰確立和管理1、預(yù)先配置密鑰2、仲裁密鑰協(xié)議3、自動(dòng)加強(qiáng)的自治密鑰協(xié)議4、使用配置理論的密鑰管理4.數(shù)據(jù)融合安全1、數(shù)據(jù)集合：通過最小化多余數(shù)據(jù)的傳輸來增加帶寬使用和能量使用2、數(shù)據(jù)認(rèn)證：可以分為3類；a、單點(diǎn)傳送認(rèn)證b、全局廣播認(rèn)證C、局部廣播認(rèn)證ZigBee技術(shù)是一種近距離、大規(guī)模、自組織、低復(fù)雜度、低功耗、低速率和低成本的無線組網(wǎng)技術(shù)。ZigBee網(wǎng)絡(luò)中定義了兩種類型的設(shè)備：全功能設(shè)備、簡化功能設(shè)備ZigBee主要采用了3種組網(wǎng)方式：星型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、簇型網(wǎng)ZigBee技術(shù)我物理層和數(shù)據(jù)鏈路層協(xié)議主要采用標(biāo)準(zhǔn)，而網(wǎng)絡(luò)層和應(yīng)用層由ZigBee聯(lián)盟負(fù)責(zé)建立。物理層提供基本的無線通信；數(shù)據(jù)鏈路層提供設(shè)備之間通信的可靠性及單跳通信的鏈接；網(wǎng)絡(luò)層負(fù)責(zé)拓?fù)浣Y(jié)構(gòu)的建立和維護(hù)、命名和綁定服務(wù)；應(yīng)用層提供對(duì)ZDO和ZigBee應(yīng)用的服務(wù)。ZigBee技術(shù)在安全方面具體表現(xiàn)的特點(diǎn)：（1）提供了刷新功能（2）提供了數(shù)據(jù)包完整性檢查功能（3）提供了認(rèn)證功能（4）提供了加密功能ZigBee協(xié)議棧由物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層組成。ZigBee采用3種基本密鑰，分別是網(wǎng)絡(luò)密鑰、鏈接密鑰和主密鑰。ZigBee規(guī)范定義了3中類型的設(shè)備，分別是ZigBee協(xié)調(diào)器、ZigBee路由器和ZigBee終端設(shè)備。信任中心是網(wǎng)絡(luò)中分配安全密鑰的一種令人信任的設(shè)備，它允許加入網(wǎng)絡(luò)。并分配密鑰，因而確保設(shè)備之間端到端的安全性。信任中心提供3種功能：信任管理。任務(wù)是負(fù)責(zé)對(duì)加入網(wǎng)絡(luò)的設(shè)備驗(yàn)證。網(wǎng)絡(luò)管理。任務(wù)是負(fù)責(zé)獲取和分配網(wǎng)絡(luò)密鑰給設(shè)備。配置管理。任務(wù)是端到端設(shè)備的安全。為了滿足安全性需要，ZigBee標(biāo)準(zhǔn)提供不同的方法來確保安全，主要由以下4個(gè)方面：加密技術(shù)（2）鑒權(quán)技術(shù)（3）完整性保護(hù)（4）幀序更新第六章物聯(lián)網(wǎng)網(wǎng)絡(luò)層的安全主要分為兩類：（1）來自物聯(lián)網(wǎng)本身（主要包括網(wǎng)絡(luò)的開放性架構(gòu)、系統(tǒng)的接入和互連方式以及各類功能繁多的網(wǎng)絡(luò)設(shè)備和終端設(shè)備的能力等）安全隱患。（2）源于構(gòu)建和實(shí)現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡(luò)構(gòu)建層功能的相關(guān)技術(shù)（如云計(jì)算、網(wǎng)絡(luò)存儲(chǔ)和異構(gòu)網(wǎng)絡(luò)技術(shù)等）的安全弱電和協(xié)議缺陷。無線網(wǎng)絡(luò)的安全連接組成部分：鑒權(quán)、加密、數(shù)據(jù)的完整性。無線網(wǎng)絡(luò)的結(jié)構(gòu)無線局域網(wǎng)由無線網(wǎng)卡、無線接入點(diǎn)、計(jì)算機(jī)和有關(guān)設(shè)備組成。采用單元結(jié)構(gòu)，將整個(gè)系統(tǒng)分為多個(gè)單元，每個(gè)單元稱為一個(gè)基本服務(wù)組（BSS）。BSS的組成有以下3種方式：無中心的分布對(duì)等方式、有中心的集中控制方式以及這兩種方式混合方式。無線通信網(wǎng)絡(luò)中的不安全因素主要有以下幾個(gè)方面：無線竊聽、假冒攻擊、信息篡改、服務(wù)后抵賴、重傳攻擊。無線應(yīng)用協(xié)議應(yīng)用安全是一個(gè)開放式標(biāo)準(zhǔn)協(xié)議，利用它可以把網(wǎng)絡(luò)上的信息傳送到移動(dòng)電話或其他無線通信終端上。WAP協(xié)議包括以下幾層：（1）WirelessApplicationEnvironment（WAE）；（2）WirelessSessionLayer（WSL）；（3）WirelessTransportLayerSecurity（WTLS）；（4）WirelessTransportLayer（WTP）；WAP應(yīng)用面臨的安全威脅假冒、竊聽、非授權(quán)訪問、信息否認(rèn)、WAP應(yīng)用模型本身存在的安全漏洞帶來的安全問題系統(tǒng)包括WAP無線用戶、WAP網(wǎng)關(guān)、WAP內(nèi)容服務(wù)器。WAP網(wǎng)關(guān)起著協(xié)議的翻譯和轉(zhuǎn)換作用，是聯(lián)系無線通信網(wǎng)絡(luò)與萬維網(wǎng)的橋梁。網(wǎng)關(guān)與服務(wù)器之間通過HTTP進(jìn)行通信，WAP內(nèi)容服務(wù)器存儲(chǔ)著大量信息，供WAP無線用戶訪問、查詢和瀏覽。2.在傳輸層的安全保障上，WTLS和TSL協(xié)議起到了非常關(guān)鍵的作用。為了應(yīng)對(duì)這些安全漏洞，目前已經(jīng)提出的端到端的安全模型主要有哪幾種？專用WAP網(wǎng)關(guān)WAP隧道技術(shù)模型1.常見的無線網(wǎng)絡(luò)安全技術(shù)：（1）服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配（2）無線網(wǎng)卡物理地址（MAC）過濾（3）有線等效保密（WEP）（4）端口訪問控制技術(shù)（）和可擴(kuò)展認(rèn)證協(xié)議(EAP)（5）WPA（Wi-Fi保護(hù)訪問）技術(shù)（6）高級(jí)無線局域網(wǎng)安全標(biāo)準(zhǔn)——IEEE2.無線局域網(wǎng)面臨的危險(xiǎn)：（1）容易入侵（2）非法的AP（3）經(jīng)授權(quán)使用服務(wù)（4）服務(wù)和性能的限制（5）地址欺騙和會(huì)話攔截（6）流量分析和流量偵聽（7）高級(jí)入侵3.為了保證無線局域網(wǎng)的安全性，必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo)：（1）提供接入控制（2）確保連接的保密與完好（3）防止拒絕服務(wù)（DoS）攻擊地址過濾的好處和優(yōu)勢：（1）簡化了訪問控制（2）接受或拒絕預(yù)先設(shè)定的用戶（3）被過濾的MAC不能進(jìn)行訪問（4）提供了第2層的防護(hù)MAC地址過濾的缺點(diǎn)：當(dāng)AP和無線終端數(shù)量較多時(shí)，大大增加了管理負(fù)擔(dān)容易受到MAC地址偽裝攻擊WEP1）WEPIEEE標(biāo)準(zhǔn)規(guī)定了一種稱為有線等效保密（WEP）的可選加密方案，其目的是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。2）WEP的好處和優(yōu)勢WEP在傳輸上提供了一定的安全性和保密性，能夠阻止無線用戶有意或無意地查看到在AP和STA之間傳輸?shù)膬?nèi)容，優(yōu)點(diǎn)是：全部報(bào)文都使用校驗(yàn)和加密，提供了一些抵抗篡改的能力通過加密來維護(hù)一定的保密性，如果沒有密鑰，就難以對(duì)報(bào)文解密WEP非常容易實(shí)現(xiàn)WEP為WLAN應(yīng)用程序提供了非常基本的保護(hù)EAP用戶認(rèn)證是針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn)草案。基于端口的網(wǎng)絡(luò)訪問控制利用物理層特性對(duì)連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。草案為認(rèn)證方定義了兩種訪問控制端口，即受控端口和非受控端口。（IEEE）1）——新一代WLAN安全標(biāo)準(zhǔn)這種安全標(biāo)準(zhǔn)是為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證機(jī)能，定義RSN（RobustSecurityNetwork）的概念，并針對(duì)WEP加密機(jī)制的缺陷做了多方面改進(jìn)2)WPA——向IEEE過渡的中間標(biāo)準(zhǔn)Wi-Fi聯(lián)盟制定了WPA(Wi-FiProtectedAccess)標(biāo)準(zhǔn)。WPA是IEEE的一個(gè)子集，無線網(wǎng)絡(luò)主流技術(shù)安全解決方案有哪幾種？隱藏SSIDMAC地址過濾WEP加密AP隔離IEEE協(xié)議WPA、WPA2IEEE根據(jù)不同用戶的需求，采用不同的安全解決方案藍(lán)牙技術(shù)安全機(jī)制藍(lán)牙技術(shù)是一種新的無線通信技術(shù)，通信距離可達(dá)10m左右，采用跳頻擴(kuò)展技術(shù)（FHSS）。藍(lán)牙采用了數(shù)據(jù)加密和用戶鑒別措施，藍(lán)牙設(shè)備使用個(gè)人身份數(shù)字（PIN）和藍(lán)牙地址來分辨別的藍(lán)牙設(shè)備。藍(lán)牙的安全結(jié)構(gòu)藍(lán)牙安全管理器存儲(chǔ)著有關(guān)設(shè)備和服務(wù)的安全信息，安全管理器將決定是否接受數(shù)據(jù)、斷開連接或是否需要加密和身份認(rèn)證，它還初始化一個(gè)可信任的關(guān)系，以及從用戶那里得到一個(gè)PIN碼。藍(lán)牙的安全等級(jí)1.設(shè)備信任級(jí)別藍(lán)牙設(shè)備有兩種信任級(jí)別，即可信任和不可信任。2.藍(lán)牙的安全模式（3種）（1）安全模式1：現(xiàn)有的大多數(shù)基于藍(lán)牙的設(shè)備，不采用信息安全管理和不執(zhí)行安全保護(hù)及處理。（無安全模式）（2）安全模式2：藍(lán)牙設(shè)備采用信息安全管理并執(zhí)行安全保護(hù)及處理，這種安全機(jī)制建立在L2CAP和它之上的協(xié)議中。（服務(wù)級(jí)的安全模式）（3）安全模式3：藍(lán)牙設(shè)備采用信息安全管理并執(zhí)行安全保護(hù)及處理，這種安全機(jī)制建立在芯片和LMP(鏈接管理協(xié)議)中。（設(shè)備級(jí)的安全模式）3.服務(wù)的安全級(jí)別，藍(lán)牙服務(wù)的安全主要由哪幾方面來保證？

1）授權(quán)要求：在授權(quán)之后，訪問權(quán)限只自動(dòng)賦給可信任設(shè)備或不可信任設(shè)備。2）鑒別要求：在鏈接到一個(gè)應(yīng)用之道，遠(yuǎn)程設(shè)備必須被鑒別。3）加密要求：在訪問服務(wù)可能發(fā)生之前，鏈接必須切換到加密模式。藍(lán)牙的密鑰管理1．鏈路管理2．加密秘鑰3．PIN碼4.秘鑰的生成與初始化：1）生成初始化秘鑰。2）鑒權(quán)。3）生成鏈路秘鑰。4）交換鏈路秘鑰。5）兩個(gè)設(shè)備各自生成加密密鑰。藍(lán)牙的鑒權(quán)方案鑒權(quán)方案步驟：被鑒權(quán)的設(shè)備A向鑒權(quán)設(shè)備B發(fā)送一個(gè)隨機(jī)數(shù)供鑒權(quán)。利用E1鑒權(quán)函數(shù)。使用隨機(jī)數(shù)，鑒權(quán)設(shè)備B當(dāng)藍(lán)牙地址和當(dāng)前鏈路密鑰匹配得出響應(yīng)。鑒權(quán)設(shè)備B將響應(yīng)發(fā)往請(qǐng)求設(shè)備A，設(shè)備A而后判斷響應(yīng)是否匹配。藍(lán)牙的加密體系藍(lán)牙加密體系系統(tǒng)對(duì)每個(gè)數(shù)據(jù)包的凈荷進(jìn)行加密，由流密碼E0完成。藍(lán)牙的安全局限1.鑒權(quán)和加密鑒權(quán)和加密是基于雙方共享密鑰的前提的。2安全技術(shù)方案針對(duì)藍(lán)牙系統(tǒng)內(nèi)部只支持設(shè)備的鑒權(quán)，而不對(duì)用戶進(jìn)行鑒權(quán)。RAS算法可以有效地解決用戶的身份認(rèn)證和密鑰的確立問題。超寬帶物聯(lián)網(wǎng)信息安全策略超寬帶的應(yīng)用優(yōu)勢1.低成本2.傳輸效率高3.空間容量大4.低功耗超寬帶面臨的信息安全威脅1.拒絕服務(wù)攻擊：使節(jié)點(diǎn)無法對(duì)其他合法節(jié)點(diǎn)提供所需正常服務(wù)的攻擊。2.密鑰泄露3.假冒攻擊4路由攻擊超寬帶拒絕服務(wù)攻擊防御策略在UWB網(wǎng)絡(luò)中，拒絕服務(wù)攻擊主要有兩種類型：MAC層攻擊和網(wǎng)絡(luò)層攻擊。針對(duì)UWB網(wǎng)絡(luò)中基于數(shù)據(jù)報(bào)文的拒絕服務(wù)攻擊，可以采用路由路徑刪除措施來防止UWB洪泛拒絕服務(wù)攻擊。物聯(lián)網(wǎng)終端安全解決無線網(wǎng)絡(luò)安全的關(guān)鍵所在是利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以下三個(gè)方面的管理：終端的狀態(tài)、行為和事件根據(jù)攻擊層次的不同，針對(duì)嵌入式系統(tǒng)的惡意攻擊可劃分為軟件攻擊、電路系統(tǒng)攻擊以及基于芯片的物理攻擊3種類型。簡述嵌入式處理器的安全設(shè)計(jì)準(zhǔn)則限制總線上的數(shù)據(jù)傳輸保護(hù)數(shù)據(jù)信息的機(jī)密性確保程序加密空間的獨(dú)立性保護(hù)數(shù)據(jù)信息的完整性確保安全敏感信息的時(shí)效性隔離安全信息與正常的數(shù)據(jù)信息第七章網(wǎng)絡(luò)安全概述整體的網(wǎng)絡(luò)安全主要表現(xiàn)在：網(wǎng)絡(luò)物理安全，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全，網(wǎng)絡(luò)系統(tǒng)安全，應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。網(wǎng)絡(luò)安全威脅分析：網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。應(yīng)用系統(tǒng)安全與具體應(yīng)用有關(guān)，它涉及面廣。網(wǎng)絡(luò)管理的安全是網(wǎng)絡(luò)安全中最重要的方面。網(wǎng)絡(luò)安全技術(shù)手段物理措施：保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備，采取防輻射，防火以及安裝UPS等訪問控制：對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制數(shù)據(jù)加密：保障信息被人截獲后不能讀懂其含義其他措施：信息過濾，容錯(cuò)，數(shù)據(jù)鏡像，數(shù)據(jù)備份和審計(jì)等5.網(wǎng)絡(luò)安全的攻擊方式：中斷、截獲、篡改和偽造。防火墻技術(shù)防火墻基本概念：是由軟件和硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。防火墻的安全策略兩個(gè)基本準(zhǔn)則：一切未被允許的訪問就是禁止的。一切未被禁止的訪問就是允許的。防火墻的作用防火墻的功能：阻止和允許。連網(wǎng)監(jiān)控防火墻內(nèi)的網(wǎng)絡(luò)稱為可信賴的網(wǎng)絡(luò)，而將外部的因特網(wǎng)稱為不可信賴的網(wǎng)絡(luò)防火墻大致可劃分為3類：包過濾防火墻，代理服務(wù)器防火墻和狀態(tài)監(jiān)視器防火墻。防火墻的3種典型結(jié)構(gòu)：雙宿/多宿主機(jī)模式，屏蔽主機(jī)模式和屏蔽子網(wǎng)模式入侵檢測1、入侵檢測是對(duì)入侵行為的檢測。2、入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測和異常檢測兩種。3、異常檢測的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。4、入侵檢測系統(tǒng)（IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視。它是一種積極主動(dòng)的安全防護(hù)技術(shù)。5、不同于防火墻的是，IDS是一個(gè)監(jiān)聽設(shè)備。6、IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源；（2）盡可能靠近受保護(hù)資源。7、一個(gè)入侵檢測系統(tǒng)分為4組：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。8、入侵檢測系統(tǒng)的工作步驟：（1）信息收集；（2）信號(hào)分析。9、一般通過3種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中，前兩種方法用于實(shí)時(shí)的入侵檢測，而第3種方法則用于事后分析。身份驗(yàn)證1.身份驗(yàn)證是指通過一定的手段完成對(duì)用戶身份的確認(rèn)。2.身份驗(yàn)證的目的是確認(rèn)當(dāng)前所聲稱為某種身份的用戶確實(shí)是所聲稱的用戶。3.身份驗(yàn)證的方法:（1）基于共享密鑰的身份驗(yàn)證（2）基于生物學(xué)特征的身份驗(yàn)證（3）基于公開密鑰加密算法的身份驗(yàn)證4.訪問控制：按用戶身份及其所歸屬的某預(yù)設(shè)的定義組限制用戶對(duì)某些信息項(xiàng)的訪問，或限制其對(duì)某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄和文件等網(wǎng)絡(luò)資源的訪問。5.訪問控制的主要功能：1）防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。2）允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。3）防止合法用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。6動(dòng)態(tài)口令：是根據(jù)專門的算法生成一個(gè)不可預(yù)測的隨機(jī)數(shù)組合，每個(gè)密碼只能使用一次，目前被廣泛運(yùn)用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營商、電子政務(wù)和企業(yè)等應(yīng)用領(lǐng)域。7.動(dòng)態(tài)口令的主流終端：硬件令牌、短信密碼、手機(jī)令牌。安全協(xié)議特點(diǎn)：1、數(shù)據(jù)機(jī)密性 2、數(shù)據(jù)完整性 3、數(shù)據(jù)來源認(rèn)證 4、防重放優(yōu)點(diǎn)：支持IKE,可實(shí)現(xiàn)密鑰的自動(dòng)協(xié)商功能，減少了密鑰協(xié)商的開銷?？梢酝ㄟ^IKE建立和維護(hù)SA的服務(wù)，簡化了IPSec的使用和管理。所有使用IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPSec，而不必對(duì)這些應(yīng)用系統(tǒng)和服務(wù)本身做任何修改。對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，不僅靈活，而且有助于提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。協(xié)議組成： 網(wǎng)絡(luò)認(rèn)證協(xié)議AH（認(rèn)證頭）、ESP（封裝安全載荷）、IKE（因特網(wǎng)密鑰交換）、用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法。安全機(jī)制：認(rèn)證：通過驗(yàn)證機(jī)構(gòu)確保數(shù)據(jù)在傳遞過程中未被篡改加密：通過對(duì)數(shù)據(jù)進(jìn)行加密保證數(shù)據(jù)的機(jī)密性封裝模式與算法安全聯(lián)盟封裝模式：隧道模式傳輸模式認(rèn)證算法與加密算法：認(rèn)證算法：MD5、SHA-1加密算法：DES、3DES、AES協(xié)商模式：（建立SA）1手工方式2IKE自動(dòng)協(xié)商安全隧道加密卡IPSec虛擬隧道接口優(yōu)點(diǎn)：簡化配置、減少開銷、業(yè)務(wù)應(yīng)用更靈活因特網(wǎng)密鑰交換協(xié)議 IKE安全機(jī)制：數(shù)據(jù)認(rèn)證：包括身份認(rèn)證和身份保護(hù) 交換及密鑰分發(fā) 完善的前向安全性IPSec與IKE的關(guān)系：IKE是UDP之上的一個(gè)應(yīng)用層協(xié)議，是IPSec的信令協(xié)議IKE為IPSec協(xié)商建立SA，并把建立的參數(shù)及生成的密鑰交給IPSecIPS