2023年物聯(lián)網(wǎng)信息安全知識點

第一章１.1物聯(lián)網(wǎng)的安全特性:１,感知網(wǎng)絡的信息采集、傳輸與信息安全問題。2，核心網(wǎng)絡的傳輸與信息安全問題。3，物聯(lián)網(wǎng)業(yè)務的安全問題。1．2物聯(lián)網(wǎng)從功能上說具有哪幾個特性？１,全面感知能力,可以運用RFID、傳感器、二維條形碼等獲取被控／被測物體的信息。2,數(shù)據(jù)信息的可靠傳遞，可以通過各種電信網(wǎng)絡與互聯(lián)網(wǎng)的融合，將物體的信息實時準確的傳遞出去。3,可以智能解決,運用現(xiàn)代控制技術提供智能計算方法,對大量數(shù)據(jù)和信息進行分析和解決,對物體實行智能化的控制。4，可以根據(jù)各個行業(yè),各種業(yè)務的具體特點形成各種單獨的業(yè)務應用,或者整個行業(yè)及系統(tǒng)的建成應用解決方案。1．3物聯(lián)網(wǎng)結(jié)構(gòu)應劃分為幾個層次？1,感知辨認層2,網(wǎng)絡構(gòu)建層3，管理服務層4，綜合應用層1.4概要說明物聯(lián)網(wǎng)安全的邏輯層次物聯(lián)網(wǎng)網(wǎng)絡體系結(jié)構(gòu)重要考慮3個邏輯層,即底層是用來采集的感知辨認層，中間層數(shù)據(jù)傳輸?shù)木W(wǎng)絡構(gòu)建層,頂層則是涉及管理服務層和綜合應用層的應用中間層+1．5物聯(lián)網(wǎng)面對的特殊安全為問題有哪些?1，物聯(lián)網(wǎng)機器和感知辨認層節(jié)點的本地安全問題。２,感知網(wǎng)絡的傳輸與信息安全問題。３,核心網(wǎng)絡的傳輸與信息安全問題。4，物聯(lián)網(wǎng)業(yè)務的安全問題。信息安全:是指信息網(wǎng)絡的硬件軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不易受到偶爾的或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠的運營，信息服務不中斷。（上課時老師讓抄下來的)1.8物聯(lián)網(wǎng)的信息安全問題將不僅僅是技術問題，還會涉及許多非技術因素。下述幾個方面的因素很難通過技術手段來實現(xiàn):（1）?教育:讓用戶意識到信息安全的重要性和如何對的使用物聯(lián)網(wǎng)服務以減少機密信息的泄露機會;(2) 管理:嚴謹?shù)目茖W管理方法將使信息安全隱患減少到最小，特別應注意信息安全管理；(３) 信息安全管理：找到信息系統(tǒng)安全面最薄弱環(huán)節(jié)并進行加強，以提高系統(tǒng)的整體安全限度，涉及資源管理、物理安全管理和人力安全管理;（4） 口令管理：許多系統(tǒng)的安全隱患來自賬戶口令的管理；物聯(lián)網(wǎng)結(jié)構(gòu)與層次①感知辨認層:涉及各種類型的傳感器、RFＩD標簽、手持移動設備、ＧPS終端、視頻攝像設備等;重點考慮數(shù)據(jù)隱私的保護;②網(wǎng)絡構(gòu)建層：涉及互聯(lián)網(wǎng)、無線傳感器網(wǎng)絡、近距離無線通信、3Ｇ/4G通信網(wǎng)絡、網(wǎng)絡中間件等；重點考慮網(wǎng)絡傳輸安；③管理服務層：涉及海量數(shù)據(jù)解決、非結(jié)構(gòu)化數(shù)據(jù)管理、云計算、網(wǎng)絡計算、高性能計算、語義網(wǎng)等；重點考慮信息安全;④綜合應用層:涉及數(shù)據(jù)挖掘、數(shù)據(jù)分析、數(shù)據(jù)融合、決策支持等。重點考慮應用系統(tǒng)安全;4管理服務層位于感知辨認和網(wǎng)絡構(gòu)建層之上,綜合應用層之下，人們通常把物聯(lián)網(wǎng)應用冠以“智能”的名稱,如智能電網(wǎng)、智能交通、智能物流等,其中的智慧就來自這一層。5物聯(lián)網(wǎng)的安全技術分析我們在分析物聯(lián)網(wǎng)的安全性時,也相應地將其分為三個邏輯層,即感知層,網(wǎng)絡構(gòu)建層和管理服務層。6物聯(lián)網(wǎng)面對的特殊安全問題物聯(lián)網(wǎng)機器/感知節(jié)點的本地安全問題。感知網(wǎng)絡的傳輸與信息安全問題。核心網(wǎng)絡的傳輸與信息安全問題。物聯(lián)網(wǎng)業(yè)務的安全問題。７1.物聯(lián)網(wǎng)中的業(yè)務認證機制傳統(tǒng)的認證是區(qū)分不同層次的，網(wǎng)絡層的認證就負責網(wǎng)絡層的身份鑒別,業(yè)務層的認證就負責業(yè)務層的身份鑒別,兩者獨立存在。2.物聯(lián)網(wǎng)中的加密機制傳統(tǒng)的網(wǎng)絡層加密機制是逐跳加密，即信息在發(fā)送過程中，雖然在傳輸過程中是加密的，但是需要不斷地在每個通過的節(jié)點上解密和加密，即存每個節(jié)點上都是明文的。而傳統(tǒng)的業(yè)務層加密機制則是端到端的,即信息只在發(fā)送端和接受端才是明文,而在傳輸?shù)倪^程和轉(zhuǎn)發(fā)節(jié)點上都是密文。第二章物聯(lián)網(wǎng)安全技術框架2.1.1－2.1.3１．涉及的信息安全技術重要有數(shù)據(jù)加密,身份認證，訪問控制和口令，數(shù)字證書，電子簽證機關和數(shù)字署名等常用信息安全技術。2.對口令的襲擊涉及：網(wǎng)絡數(shù)據(jù)流竊聽,認證信息截?。胤?，字典襲擊，窮舉襲擊，窺探,社交工程，垃圾搜索。３.密碼機包含了兩種算法，一般加密即同時指加密與解密的技術。密碼機的具體運作由兩部分決定：一個是算法，另一個是鑰匙。4.密鑰是一種參數(shù)，他是在明文轉(zhuǎn)換為密文或密文轉(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。5.密鑰技術提供的加密服務可以保證在開放式環(huán)境中網(wǎng)絡傳輸?shù)陌踩?.通常大量使用的兩種密鑰加密技術是私用密鑰(對稱機密）和公共密鑰(非對稱加密)。7．對稱密鑰的優(yōu)勢是加/解密速度快，適合于對大量數(shù)據(jù)進行加密，當密鑰管理困難。非對稱密鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。8.數(shù)據(jù)加密運用密碼技術對信息進行互換,實現(xiàn)信息隱蔽，從而保護信息。9.身份驗證的方法可以分為共享密鑰的身份驗證，基于生物學特性的身份驗證，基于公開密鑰加密算法的身份驗證。１0.訪問控制的類型：自主訪問控制,強制訪問控制。2.1.４１.數(shù)字證書（數(shù)字憑證）:是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問權(quán)限。2.數(shù)字證書組成:一、證書持有人的姓名和地址等關鍵信息；二、證書持有人的公開秘鑰；三、證書序號和證書的有效期限;四、發(fā)證單位的數(shù)字署名。3.電子簽證機關,是采用PKＩ公開秘鑰技術,專門提供網(wǎng)絡身份認證服務,負責簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機構(gòu)。4.電子簽證機關除了簽發(fā)證書之外,它的另一個作用是證書和秘鑰的管理。２.1.51.數(shù)字署名是指通過一個單向函數(shù)對傳送的報文進行解決得到的，是一個用以認證報文來源并核算報文是否發(fā)生變化的一個字母數(shù)字串。數(shù)字署名的作用就是為了鑒別文獻或書信真?zhèn)?，署名起到認證、生效的作用。２.數(shù)字署名的重要功能是保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證、防止交易中的抵賴發(fā)生。3.數(shù)字署名技術是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接受者。4.數(shù)字署名的使用：因素:（1）．鑒權(quán)(2）.完整性(3）．不可抵賴（4）.實現(xiàn)。2.2.1１.物聯(lián)網(wǎng)中的加密機制：（１)在傳統(tǒng)IP網(wǎng)絡中：點到點加密和端到端加密；２．節(jié)點認證機制是指通信的數(shù)據(jù)雙方可以確認數(shù)據(jù)發(fā)送方的真實身份，以及數(shù)據(jù)在傳送過程中是否遭到篡改。3.PKＩ（PuｂlｉｃKｅyInｆrasｔructuｒe）即公鑰基礎設備,是一種遵循既定標準的密鑰管理平臺,可認為所有網(wǎng)絡應用提供加密和數(shù)字署名等密碼服務及必須的密鑰和證書管理體系。4．PＫＩ基礎技術涉及加密、數(shù)字署名、數(shù)據(jù)完整性機制、數(shù)字信封和雙重數(shù)字署名等。2．2．21.實現(xiàn)統(tǒng)一密鑰管理系統(tǒng)采用的兩種方式:（１）以互聯(lián)網(wǎng)為中心的集中式管理方式。（2）以各自網(wǎng)絡為中心的分布式管理方式。2.基于對稱密鑰管理系統(tǒng)沖分派方式上可分為:(1）基于密鑰分派中心方式。(２）預分派方式。（３)基于分組分簇方式。３．基于身份標記加密算法的特性和優(yōu)勢：（１）他的公鑰可以是任何唯一的字符串。（2）由于公鑰是身份等標記,所以，基于身份標記的加密算法解決了密鑰分派的問題。(3)基于身份標記的加密算法具有比對稱加密更高的加密強度。４.IBE加密算法的組成:系統(tǒng)參數(shù)建立、密鑰提取、加密和解密。2．2.3數(shù)據(jù)解決與隱私1．物聯(lián)網(wǎng)應用不僅面臨信息采集的安全性,也要考慮到信息傳送的私密性，規(guī)定信息不能被篡改和非授權(quán)用戶使用，同時還要考慮到網(wǎng)絡的可靠、可信和安全。2.物聯(lián)網(wǎng)能否大規(guī)模地投入使用，很大限度上取決于能否保障用戶數(shù)據(jù)和隱私的安全。3.數(shù)據(jù)解決過程中涉及基于位置的服務與在信息解決過程中的隱私保護問題。４．基于位置的服務是物聯(lián)網(wǎng)提供的基本功能。定位技術目前重要有ＧPS定位、基于手機的定位和無線傳感器網(wǎng)絡定位等。無線傳感器網(wǎng)絡的定位重要是射頻辨認、藍牙及ＺigBｅe等。5.基于位置的服務中的隱私內(nèi)容涉及兩個方面,一個是位置隱私,一個是查詢隱私。查詢隱私就是數(shù)據(jù)解決過程中的隱私保護問題。６.目前的隱私保護方法重要有位置偽裝、時空匿名和空間加密等。２.2.5-2.2.６１. 認證指使用者采用某種方式來證明自己的確是自己宣稱的某人,網(wǎng)絡中的認證重要涉及身份認證和信息認證。2.?身份認證可以使通信雙方確信對方的身份并互換會話密鑰；信息認證重要是接受方希望可以保證其接受的信息的確來自真正的發(fā)送方。身份驗證的方法有很多，基本上可分為：基于共享密鑰的身份驗證、基于生物學特性的身份驗證和基于公開密鑰加密算法的身份驗證。3.?無線傳感器網(wǎng)絡中的認證技術重要涉及（1）?基于輕量級公鑰的認證技術(2） 基于預共享密鑰的認證技術(3) 基于單向散列函數(shù)的認證技術(4）?隨機密鑰預分布的認證技術、運用輔助信息的認證技術等。4.?訪問控制:按用戶身份及其所歸屬的某預設的定義組限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文獻等網(wǎng)絡資源的訪問。訪問控制的類型：自主訪問控制（2)強制訪問控制６. 容侵就是指在網(wǎng)絡中存在惡意入侵的情況下,網(wǎng)絡仍然可以正常運營?，F(xiàn)階段的無線傳感網(wǎng)絡的容侵技術重要集中于網(wǎng)絡的拓撲容侵、安全路由容侵以及數(shù)據(jù)傳輸過程中的容侵機制。７. 無線傳感器網(wǎng)絡的另一個規(guī)定是網(wǎng)絡的容錯性。容錯性是指在故障存在的情況下系統(tǒng)不失效,仍然可以正常工作的特性。無線傳感器網(wǎng)絡的容錯性指的是當部分節(jié)點或鏈路失效后,網(wǎng)絡可以進行傳輸數(shù)據(jù)的恢復或網(wǎng)絡結(jié)構(gòu)的自愈，從而盡也許的減小節(jié)點或鏈路失效對無線傳感器網(wǎng)絡功能的影響。目前相關領域的研究重要集中在三個方面：（1）?網(wǎng)絡拓撲中的容錯（2) 網(wǎng)絡覆蓋中的容錯（３）?數(shù)據(jù)檢測中的容錯機制典型的無線傳感器網(wǎng)絡中的容侵框架涉及三個部分:(1)?鑒定惡意節(jié)點(2)?發(fā)現(xiàn)惡意節(jié)點后啟動容侵機制（３)?通過節(jié)點之間的協(xié)作，對惡意節(jié)點做出解決決定(排除或是恢復)2．２.7１.物聯(lián)網(wǎng)的數(shù)據(jù)是一個雙向流動的信息流,一是從感知端采集物理世界的各種信息,通過數(shù)據(jù)的解決,存儲在網(wǎng)絡的數(shù)據(jù)庫中;而是根據(jù)用戶的需求進行數(shù)據(jù)的挖掘,決策和控制,實現(xiàn)與物理世界中任何互聯(lián)物體的互動。2．在傳統(tǒng)的無線傳感器網(wǎng)絡中由于側(cè)重對感知端的信息獲取,對決策控制的安全考慮不多,互聯(lián)網(wǎng)的應用也是側(cè)重于信息的獲取與挖掘,較少應用對第三方的控制3.物聯(lián)網(wǎng)中對物體的控制是重要組成部分2．2．8１．由于傳感器網(wǎng)絡的資源局限性,使其安全問題的研究難度增大，因此傳感器網(wǎng)絡的安全研究將是物聯(lián)網(wǎng)安全的重要組成部分。２.目前在無線傳感器網(wǎng)絡安全面,人們就密鑰管理，安全路由，認證與訪問控制,數(shù)據(jù)隱私保護,入侵檢測與容錯容侵以及安全決策與控制等方面進行了相關研究，密鑰管理作為多個安全機制的基礎一直是研究的熱點，但并沒有找到抱負的解決方案3.如何建立有效的多網(wǎng)融合的安全架構(gòu),建立一個跨越多網(wǎng)的統(tǒng)一安全模型，形成有效的共同協(xié)調(diào)防御系統(tǒng)也是重要的研究方向之一。第三章3.1密碼學基本概念3.１.1１、密碼學是重要研究通信安全和保密的學科,它涉及兩個分支：密碼編碼學和密碼分析學。2、密碼的基本思想是對機密信息進行偽裝。３、使用密碼學可以達成一下目的:(1）保密性：防止用戶的標記或數(shù)據(jù)被讀取。（2)數(shù)據(jù)完整性:防止數(shù)據(jù)被更改。（3）身份驗證:保證數(shù)據(jù)發(fā)自特定的一方。3．1.21、現(xiàn)有的密碼體制類型繁多，各不相同。但是它們都可以分為私鑰密碼（如DＥS密碼）和公鑰密碼（如公開密鑰密碼)。前者的加密過程和解密過程相同,并且所用的密鑰也相同；后者，每個用戶都有公開密鑰。２、密碼編碼學重要致力于信息加密、信息認證、數(shù)字署名和密鑰管理方面的研究。3、密碼分析學與密碼編碼學的方法不同,它不依賴數(shù)學邏輯的不變真理,必須憑經(jīng)驗,依賴客觀世界察覺得到的事實。３.1.３古典密碼學重要有兩大基本方法：（1）代替密碼：將明文的字符替換為密文中的另一種字符,接受者只要對密文做反向替換就可以恢復明文。(2)置換密碼（又稱易位密碼):明文的字母保持相同，但順序被打亂了。3.1.４1、根據(jù)密鑰類型不同將現(xiàn)代密碼技術分為兩類：對稱加密算法(秘密密鑰加密)和非對稱加密算法(公開密鑰加密)。2、對稱加密系統(tǒng)是加密和解密均采用同一把密鑰,并且通信雙方都必須獲得這把密鑰,并保持密鑰的秘密。3、非對稱密鑰加密系統(tǒng)采用的加密密鑰(公鑰)和解密密鑰(私鑰)是不同的。3．1．51、對稱密碼體制是一種傳統(tǒng)密碼體制,也稱為私鑰密碼體制。在對稱加密系統(tǒng)中，加密和解密采用相同的密鑰。由于加解密的密鑰相同，需要通信雙方必須選擇和保存他們共同的密鑰，各方必須信任對方不會將密鑰泄露出去,這樣就可以實現(xiàn)數(shù)據(jù)的機密性和完整性。2、非對稱密鑰密碼體系(AsyｍｍetｒiｃCryptogrａphｙ）也稱公開密鑰技術。該系統(tǒng)需要兩個密鑰:公開密鑰（ｐublickeｙ）和私有密鑰（pｒivａｔekey)。與對稱密鑰密碼體系相比,非對稱密鑰密碼體系最大的特點在于加密和解密使用不同的密鑰。３、對稱密碼系統(tǒng)的安全性依賴于一下兩個因素。（１）加密算法必須是足夠強的,僅僅基于密文自身去解密信息在實踐上是不也許的。（2)加密方法的安全性依賴于密鑰的秘密性,而不是算法的秘密性,因此，沒有必要保證算法的秘密性，而需要保證密鑰的秘密性。4、對稱密碼體制的優(yōu)點是：對稱加密算法使用起來簡樸快捷，密鑰較短，且破譯困難。該方法的缺陷如下:(1）密鑰難以安全傳送。（2)密鑰量太大，難以進行管理。（３)無法滿足互不相識的人進行私人談話時的保密規(guī)定。(4）難以解決數(shù)字署名驗證的問題。５、非對稱密鑰體制的特點是:(1)密鑰分派簡樸。（２）密鑰的保存量少。(3)可以滿足互不相識的人之間進行私人談話時的保密性規(guī)定。(4）可以完畢數(shù)字署名和數(shù)字鑒別。3.2現(xiàn)代加密算法３．2．１1、對稱加密算法。常用的涉及:(1）ＤＥS：數(shù)據(jù)加密標準，速度較快，合用于加密大量數(shù)據(jù)的場合;（２)3DES：是基于ＤES的變體,對一塊數(shù)據(jù)用3個不同的密鑰進行３次加密,強度更高；（3)AES：高級加密標準，是下一代的加密算法標準,速度快，安全級別高。2、非對稱加密算法。常見的算法涉及:1)RSA，支持變長密鑰的公共密鑰算法，需要加密的文獻塊的長度也是可變的;2)DSA（數(shù)字署名算法）；3)ＥCC(橢圓曲線密碼編碼學);4)散列算法(ｈａsh算法):也叫哈希算法,就是把任意長度的輸入（又叫做預映射)通過散列算法變換成固定長度的輸出,該輸出就是散列值;3.2.２１、對稱與非對稱算法比較。不同:１)管理方面；2）安全面;3）速度方面2、加密算法的選擇。密鑰越長,運營的速度越慢，應當根據(jù)實際需要的安全級別來選擇。ＲSA建議采用１024位的數(shù)字,ECC建議采用160位，AＥS采用128位即可。3.3對稱密碼技術3．3.1１、密鑰的長度２、加密速度。對稱密鑰方法比非對稱密鑰方法快得多,因此加密大量文獻時，對稱密鑰方法是首選機制。3、對稱密鑰密碼的類型。1）分組密碼;２）流密碼／序列密碼3.3．２分組密碼將定長的明文塊轉(zhuǎn)換成等長的密文，這一過程在密鑰的控制之下。使用逆向變換和同一密鑰來實現(xiàn)解密。3.3.３與分組密碼相比，序列密碼可以非常快速有效地運作。序列密碼作用于由若干位組成的一些小型組，通常使用稱為密碼流的一個位序列作為密鑰對它們逐位應用“異或”運算。３.３．41、數(shù)據(jù)加密算法(ＤEA）的數(shù)據(jù)加密標準(DES）是規(guī)范的描述。通常自動取款機都使用ＤＥＳ。DＥS使用一個５6位的密鑰以及附加的8位奇偶校驗位產(chǎn)生最大的６４位的分組。襲擊DＥS的重要形式被稱為蠻力的或徹底密鑰搜索，即反復嘗試各種密鑰直到有一個符合為止。２、國際數(shù)據(jù)加密算法(IDＥA)3、高級加密標準(AEＳ）。預計AES會替代DES作為新的安全標準。3.4非對稱密碼系統(tǒng)也稱為公鑰密碼體系。公鑰密碼可用于加密和數(shù)字署名。公鑰密碼系統(tǒng)體制采用一對秘鑰:公鑰和私鑰。公鑰密碼系統(tǒng)重要使用ＲSＡ公鑰密碼算法。公鑰密碼體制產(chǎn)生的重要因素：一是由于常規(guī)密鑰密碼體制的密鑰分派問題,二是由于對數(shù)字署名的需求。公鑰密碼體制算法的特點：使用一個加密算法E和一個解密算法D,他們彼此完全不同，根據(jù)已選定的E和D,即使已知E的完整描述,也不也許推導出D。公鑰密碼系統(tǒng)基于陷門單向函數(shù)的概念。公鑰密碼系統(tǒng)可以用于3個方面:通信保密:將公鑰作為加密秘鑰,私鑰作為解密秘鑰，通信雙方不需要互換秘鑰就可以實現(xiàn)保密通信;數(shù)字署名:將私鑰作為加密秘鑰,公鑰作為解密秘鑰，可實現(xiàn)由一個用戶對數(shù)據(jù)加密而使多個用戶解讀；秘鑰互換:通信雙方互換會話秘鑰，以加密通信雙方后續(xù)連接所傳輸?shù)男畔?，每次邏輯連接使用一把新的會話秘鑰，用完就丟棄。公開密鑰算法的特點:１、發(fā)送者用加密秘鑰ＰK對明文X加密后,在接受者用解密秘鑰SK解密,即可恢復出明文，或?qū)憺镈ＳＫ(EＰK（Ｘ））=Ｘ，解密密鑰是接受者專用的秘密密鑰,對其別人保密，加密和解密的運算可以對調(diào)，即EＰK(DSK(X）)=X2、加密密鑰是公開的,但不能用來解密，即DPK(ＥPK(X)）≠X3、在計算機上可以容易的產(chǎn)生成對的PＫ和SK4、從已知的PK事實上不也許推導出SK,即從PK到SK是計算機上不也許的5、加密和解密算法都是公開的RSA加密算法中,若用整數(shù)X表達明文，整數(shù)Y表達密文(X和Y均小于n）,則加密和解密運算為：加密:Y=Xｅｍodn解密:X=Ydmoｄn掌握RSA密鑰體制中每個參數(shù)的計算,詳見教材P５８RSA秘鑰體制的特點：1、密鑰配發(fā)十分方便，用戶的公開密鑰可以像電話本那樣公開，使用方便,每個用戶只需持有一對密鑰即可實現(xiàn)與網(wǎng)絡中任何一個用戶的保密通信；2、RSＡ加密原理基于單向函數(shù)，非法接受者運用公開密鑰不也許在有限時間內(nèi)推算出秘密密鑰;3、RＳＡ在用戶確認和實現(xiàn)數(shù)字署名方面優(yōu)于現(xiàn)有的其他加密機制。數(shù)字署名的特性:署名是可信的、署名不可偽造、署名不可重用、署名的文獻是不可改變的、署名是不可抵賴的。4.設若甲公司有一份需保密的數(shù)字商業(yè)協(xié)議W發(fā)給乙公司簽署，請闡述保密和簽署的方法。(注：保密和簽署過程中將相應的加密和簽署運算公式寫出來）(１)甲用乙的公鑰對協(xié)議加密，X=ＥPK乙(Ｗ)，密文從甲發(fā)送到乙。（2）乙收到密文,并用自己的私鑰對其解密，M=DＳK乙(W)=DSK乙(ＥPＫ乙(Ｗ）)。（3)解密對的，經(jīng)閱讀,乙用自己的私鑰對協(xié)議進行簽署,Y=DSK乙（W)。（4)乙用甲的公鑰對已經(jīng)簽署的協(xié)議進行加密Ｚ=EPK甲(Y)=EPK甲(ＤSK乙(W))，乙將密文發(fā)給甲。(5）甲用自己的私鑰將已簽署協(xié)議解密,Y=ESK甲(Ｚ)=ESＫ甲（EＰK甲（Ｙ))＝ＥSK甲（EPK甲(DSK乙(W)）=DＳK乙(Ｗ），M＝EPＫ乙(DSK乙（Ｗ）)。（6)解密對的，確認簽署。3.6.1電子ID身份辨認技術1電子ID的身份鑒別技術(1)通行字辨認方式：最廣泛的一種身份辨認方式(2)持證的方式:持證是一種個人持有物，用于啟動電子設備電子ID身份辨認重要有哪幾種方式?①用戶所知道的某個秘密信息，如用戶口令。②用戶所持有的某個秘密信息（硬件），即用戶必須持有合法的隨身攜帶的物理介質(zhì),如磁卡、智能卡或用戶所申請領取的公鑰證書。③用戶所具有的某些生物特性，如指紋、聲音、DNA圖案和視網(wǎng)膜掃描等。3．7物聯(lián)網(wǎng)密鑰管理機制１.密鑰一般泛指生產(chǎn)和生活中所應用到的各種加密技術,可以對個人資料或公司機密進行有效的監(jiān)管，密鑰管理就是指對密鑰進行管理的行為。2.密鑰管理涉及從密鑰的產(chǎn)生到密鑰的銷毀的各個方面。重要表現(xiàn)于管理體制,管理協(xié)議和密鑰的產(chǎn)生,分派,更換和注入等。３.密鑰管理流程密鑰生成,密鑰分發(fā)，驗證密鑰，更新密鑰，密鑰存儲,備份密鑰,密鑰有效期，銷毀密鑰,密鑰管理４.密鑰管理技術分為四類：對稱密鑰管理;公開密鑰管理/數(shù)字證書；密鑰相關的標準規(guī)范；數(shù)字署名。５．IBＥ加密算法一般由4部分組成:系統(tǒng)參數(shù)建立，密鑰提取，加密和解密。3.8物聯(lián)網(wǎng)數(shù)據(jù)解決與隱私性１物聯(lián)網(wǎng)能否大規(guī)模推廣應用，很大限度上取決于其是否可以保障用戶數(shù)據(jù)和隱私的安全。2基于位置的服務面臨嚴峻的隱私保護問題。第四章4.1RＦIＤ安全與隱私概述無線射頻辨認是一種遠程存儲和獲取數(shù)據(jù)的方法，其中使用了一個稱為標簽的小設備。4.1.１RFID基本組成架構(gòu)1．系統(tǒng)的組成ＲFＩＤ系統(tǒng)一般由３大部分構(gòu)成：標簽、讀寫器以及后臺數(shù)據(jù)庫。依據(jù)標簽的能量來源,可以將標簽分為3大類:被動式標簽、半被動式標簽以及積極式標簽。2.工作原理閱讀器與標簽之間通過無線信號建立雙方通信的通道,閱讀器通過天線發(fā)出電磁信號,電磁信號攜帶了閱讀器向便簽的查詢指令。3.標簽與讀寫器之間的通信信道４.１.2ＲＦIＤ的安全和襲擊模式１.信息及隱私泄露隱私問題:1．隱私信息泄露2.跟蹤2.RFID的隱私威脅3．RFID襲擊模式1.竊聽2.中間人襲擊3.欺騙、重放和克隆4.拒絕服務襲擊5.物理破解6.篡改信息７.RFIＤ病毒8.其他隱患4.1.3RFIＤ系統(tǒng)通信模型惡意跟蹤問題的層次劃分1.應用層２．通信層3.物理層4.1．４安全RFIＤ系統(tǒng)的基本特性1.射頻辨認系統(tǒng)防范范圍對單項襲擊的防范：1．為了復制／改變數(shù)據(jù),未經(jīng)授權(quán)的讀出數(shù)據(jù)載體2.將外來的數(shù)據(jù)載體置入某個讀寫器的詢問范圍內(nèi),企圖得到非授權(quán)出入建筑物或不付費服務3．為了假冒真正的數(shù)據(jù)載體,竊聽無線電通信并重放數(shù)據(jù)２．安全RＦIＤ系統(tǒng)的基本特性ａ） 機密性b)?完整性c) 可用性d) 真實性ｅ)?隱私性4.2RFID技術中的隱私問題及保護措施ＲＦID系統(tǒng)的應用中重要面臨兩類隱私侵犯，分別是位置隱私和信息隱私4.2.1位置隱私４．2.2信息隱私4．2.3隱私保護解決ＲＦID技術隱私問題的措施1、一方面要在制定ＲFＩD技術標準時就應當考慮隱私保護問題２、在商業(yè)零售種RFＩD標簽可以自由除去,可以通過讓顧客知道她所買的商品中有這樣的一個標簽３、對辨認權(quán)利進行限制,以便只有通過生產(chǎn)商才干進行閱讀和解碼4.3產(chǎn)品電子代碼的密碼機制與安全協(xié)議４．３.1基于RFＩD技術的EPＣ系統(tǒng)安全問題EPＣ系統(tǒng)安全問題重要有哪幾大類?(１）標簽自身的訪問缺陷(2)通信鏈路上的安全問題(3)移動RFID安全１．標簽自身的訪問缺陷2.通信鏈路上的安全問題重要有：(1）黑客非法截取通信數(shù)據(jù),(2）拒絕服務襲擊,(3)運用假冒標簽向閱讀器發(fā)送數(shù)據(jù)，(4)RFIＤ閱讀器與后臺系統(tǒng)間的通信信息安全。3.移動RＦID安全4．3.2EＰCgｌoｂal系統(tǒng)安全分析１．EPCglobal系統(tǒng)的縱向安全和隱私威脅分析從下到上，可將EPＣｇloｂａl整體系統(tǒng)劃分為3個安全域:標簽和閱讀器構(gòu)成的無線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域、公司內(nèi)部系統(tǒng)構(gòu)成的安全域、公司之間和公司與公共用戶之間供數(shù)據(jù)互換和查詢網(wǎng)絡構(gòu)成的安全區(qū)域。２.供應鏈的橫向安全和隱私威脅分析一個較完整的供應鏈及其面對的安全與隱私威脅涉及供應鏈內(nèi)、商品流通和供應鏈外等３個區(qū)域，3.個人隱私威脅(1)行為威脅(２)關聯(lián)威脅（３)位置威脅(4)喜好威脅(5)星座(Coｎstｅllation)威脅（６)事務威脅(7)面包屑（Breadcｒumb）威脅4．3．3實現(xiàn)ＲFIＤ安全性機制與安全協(xié)議如何使用物理途徑來保護RＦID標簽的安全性?(1)靜電屏蔽（2)阻塞標簽（bIocｋertａg)(3)積極干擾（activeｊaｍming)（4）改變閱讀器頻率(5)改變標簽頻率（６)ｋilｌ命令機制4．４RFIＤ標簽安全設立4.4.1RFID電子標簽的安全屬性ＲFＩＤ電子標簽的安全屬性與標簽分類直接相關。4.4．2RFIＤ電子標簽在應用中的安全設計存儲型RＦIＤ電子標簽的應用重要是通過快速讀?。蒁號來達成辨認目的,重要應用于動物辨認和跟蹤追溯方面。邏輯加密型的ＲFID電子標簽內(nèi)部存儲區(qū)一般按塊分布。并有秘鑰控制位設立數(shù)據(jù)塊的安全屬性。4.4．３第二代的RＦIＤ標準強化的安全功能根據(jù)第二代RFＩＤ標準規(guī)范,當數(shù)據(jù)被寫入標簽時，數(shù)據(jù)在通過空中接口時被偽裝。ＥPＣ被動標簽一般只涉及產(chǎn)品的辨認信息。4．5RFID系統(tǒng)面臨的襲擊手段、技術及其防范4.5.1RFＩＤ系統(tǒng)面臨的襲擊手段RFＩD系統(tǒng)面臨的襲擊手段重要分為積極襲擊和被動襲擊兩類。１.積極襲擊涉及：對獲得的標簽實體,通過物理手段在實驗環(huán)境中去除芯片封裝,使用微探針獲取敏感信號，進而進行目的標簽重構(gòu)的復雜襲擊；通過軟件,運用微解決器的通用通信接口,通過掃描標簽和影響讀寫器的探尋，尋求安全協(xié)議加密算法及其實現(xiàn)弱點，從而刪除或篡改標簽內(nèi)容；通過干擾廣播、阻塞信道或其他手段,產(chǎn)生異常的應用環(huán)境，使合法解決器產(chǎn)生故障，拒絕服務器襲擊等。2．被動襲擊涉及:采用竊聽技術,分析為解決器正常工作過程中產(chǎn)生的各種電磁特性，獲得RFＩD標簽和閱讀器之間的通信數(shù)據(jù)。4.５．２ＲFID芯片襲擊技術1.破壞性襲擊初期與芯片反向工程一致2.非破壞性襲擊針對于具有微解決器的產(chǎn)品，手段有軟件襲擊、竊聽技術和故障產(chǎn)生技術。４.5.3破壞性襲擊級防范1版圖重構(gòu)2存儲器讀出技術4．５．4非破壞性襲擊及其防范常見的襲擊手段有兩種即電流分析襲擊和故障襲擊。第五章知識點整理５.1１:WSＮ：無線傳感器網(wǎng)絡。2:WSN與安全相關的特點重要有以下幾個:(１)：資源受限,通信環(huán)境惡劣（２）:部署區(qū)域的安全無法保證，節(jié)點易失效。(3):網(wǎng)絡無基礎框架。（4）：部署前地理位置具有不擬定性。3:無線傳感器網(wǎng)絡安全規(guī)定是基于傳感器節(jié)點和網(wǎng)絡自身條件的限制提出的。４:無線傳感器網(wǎng)絡的安全威脅：(1):竊聽。(2)：哄騙(３):模仿(4）：危及傳感器節(jié)點安全(5)：注入（６)：重放（７)：拒絕服務（DｏＳ）(8）：HELLＯ擴散法,陷阱區(qū)是無線傳感器網(wǎng)絡獨有的安全威脅。5：WSN（無線傳感網(wǎng)絡)的安全需求重要由以下幾個方面:(1):機密性（2):完整性（３):健壯性（4)：真實性（5)：新鮮性（6):可用性（7）訪問控制6:無線傳感器網(wǎng)絡中的兩種專用安全協(xié)議是安全網(wǎng)絡加密協(xié)議和基于時間的高效容忍丟包的流認證協(xié)議7物理層中安全的重要問題就是如何建立有效的數(shù)據(jù)加密機制5.21.傳感器網(wǎng)絡的基本安全技術涉及基本安全框架、密鑰分派、安全路由和入侵檢測以及加密技術等。2.密鑰分派：傳感器網(wǎng)絡的密鑰分派重要傾向于采用隨機預分派模型的密鑰分派方案。3．安全路由增長網(wǎng)絡的安全性:①路由中加入容侵策略②用多徑路由選擇方法抵御選擇性轉(zhuǎn)發(fā)襲擊③在路由設計中加入廣播半徑限制抵御洪泛襲擊。④在路由設計中加入安全等級策略抵御蟲洞襲擊和陷洞襲擊。4.入侵檢測技術：按照參與檢測的節(jié)點是否積極發(fā)送消息可分為:被動監(jiān)聽檢測和積極檢測。根據(jù)節(jié)點檢測的分布，被動檢測可分為密集檢測和稀疏檢測。積極檢測有４種方法:①途徑診斷的方法②鄰居檢測的方法③通過多個途徑發(fā)送pinｇ包的方式以發(fā)現(xiàn)途徑上的關鍵點,從而部署襲擊檢測算法。④基于積極提供信息的檢測。5.31.無線傳感器網(wǎng)絡安全技術:加密技術、完整性檢測技術、身份認證技術、數(shù)字署名２．密碼技術是網(wǎng)絡安全構(gòu)架十分重要的部分,而密鑰是密碼技術的核心內(nèi)容。3.密鑰確立和管理1、預先配置密鑰２、仲裁密鑰協(xié)議3、自動加強的自治密鑰協(xié)議4使用配置理論的密鑰管理４.數(shù)據(jù)融合安全１、數(shù)據(jù)集合：通過最小化多余數(shù)據(jù)的傳輸來增長帶寬使用和能量使用２、數(shù)據(jù)認證:可以分為3類;ａ、單點傳送認證b、全局廣播認證Ｃ、局部廣播認證5.４1.ZigBｅe技術是一種近距離、大規(guī)模、自組織、低復雜度、低功耗、低速率和低成本的無線組網(wǎng)技術。2．ZigBee網(wǎng)絡中定義了兩種類型的設備:全功能設備、簡化功能設備３.ＺigBｅe重要采用了3種組網(wǎng)方式：星型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)、簇型網(wǎng)4．ZigＢee技術我物理層和數(shù)據(jù)鏈路層協(xié)議重要采用IＥEＥ80２.15.4標準,而網(wǎng)絡層和應用層由ZigBee聯(lián)盟負責建立。物理層提供基本的無線通信;數(shù)據(jù)鏈路層提供設備之間通信的可靠性及單跳通信的鏈接；網(wǎng)絡層負責拓撲結(jié)構(gòu)的建立和維護、命名和綁定服務；應用層提供對ZDO和ZigBee應用的服務。５．ZｉｇBee技術在安全面具體表現(xiàn)的特點:（１）提供了刷新功能(2）提供了數(shù)據(jù)包完整性檢查功能(3）提供了認證功能(４）提供了加密功能６．ＺigBee協(xié)議棧由物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層和應用層組成。物理層負責基本的無線通信、由調(diào)制、傳輸、數(shù)據(jù)加密和接受構(gòu)成。鏈路層提供設備之間單跳通信、可靠傳輸和通信安全。網(wǎng)絡層重要提供通用的網(wǎng)絡層功能。應用層涉及應用支持子層、ＺigBee設備對象和各種應用對象。應用層支持子層提供安全和映射管理服務，ＺＤO負責設備管理，涉及安全策略和安全配置的管理，應用層提供對ZDO和ＺｉgBee應用的服務。7.ZigBee采用3種基本密鑰,分別是網(wǎng)絡密鑰、鏈接密鑰和主密鑰。８．ZiｇＢｅe規(guī)范定義了3中類型的設備,分別是ZigBee協(xié)調(diào)器、ZigＢeｅ路由器和ZｉgＢee終端設備。9．信任中心是網(wǎng)絡中分派安全密鑰的一種令人信任的設備,它允許加入網(wǎng)絡,并分派密鑰，因而保證設備之間端到端的安全性。信任中心提供3種功能：信任管理。任務是負責對加入網(wǎng)絡的設備驗證。網(wǎng)絡管理。任務是負責獲取和分派網(wǎng)絡密鑰給設備。配置管理。任務是端到端設備的安全。１０．為了滿足安全性需要，ZiｇBee標準提供不同的方法來保證安全,重要由以下4個方面：(1)加密技術（2）鑒權(quán)技術（3)完整性保護4)幀序更新第六章6.1物聯(lián)網(wǎng)網(wǎng)絡層的安全重要分為兩類:(1)來自物聯(lián)網(wǎng)自身（重要涉及網(wǎng)絡的開放性架構(gòu)、系統(tǒng)的接入和互連方式以及各類功能繁多的網(wǎng)絡設備和終端設備的能力等）安全隱患。(2)源于構(gòu)建和實現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡構(gòu)建層功能的相關技術（如云計算、網(wǎng)絡存儲和異構(gòu)網(wǎng)絡技術等）的安全弱電和協(xié)議缺陷。6.１.２無線網(wǎng)絡的安全連接組成部分:鑒權(quán)、加密、數(shù)據(jù)的完整性。6.2無線網(wǎng)絡的結(jié)構(gòu)無線局域網(wǎng)由無線網(wǎng)卡、無線接入點、計算機和有關設備組成。采用單元結(jié)構(gòu)，將整個系統(tǒng)分為多個單元,每個單元稱為一個基本服務組(BSS）。BSS的組成有以下３種方式：無中心的分布對等方式、有中心的集中控制方式以及這兩種方式混合方式。６.3無線通信網(wǎng)絡中的不安全因素重要有以下幾個方面:無線竊聽、假冒襲擊、信息篡改、服務后抵賴、重傳襲擊。6.4無線應用協(xié)議應用安全６．4．1WAP是一個開放式標準協(xié)議嗎,運用它可以把網(wǎng)絡上的信息傳送到移動電話或其他無線通信終端上。ＷAP協(xié)議涉及以下幾層:（1）WirelesｓApplicaｔionEnvｉｒｏnmenｔ（WAE);（2)WireｌｅｓsＳessｉonＬａyer(WSL）；（3)WirelｅssTrａｎsportLａyerSｅｃｕrity（WTLS);（４）WｉreｌessTransportLayｅｒ（WTＰ);６．４．２ＷAP應用面臨的安全威脅假冒、竊聽、非授權(quán)訪問、信息否認、WAP應用模型自身存在的安全漏洞帶來的安全問題6.４．41.WAＰ系統(tǒng)涉及WAP無線用戶、WＡP網(wǎng)關、ＷAP內(nèi)容服務器。WAP網(wǎng)關起著協(xié)議的翻譯和轉(zhuǎn)換作用，是聯(lián)系無線通信網(wǎng)絡與萬維網(wǎng)的橋梁。網(wǎng)關與服務器之間通過HTＴP進行通信，WAP內(nèi)容服務器存儲著大量信息,供ＷAP無線用戶訪問、查詢和瀏覽。2.在傳輸層的安全保障上,WTＬＳ和TＳL協(xié)議起到了非常關鍵的作用。6.４.51.端到端的安全模型（1）專用ＷAＰ網(wǎng)關(2）WＡP隧道技術(3)ＷAP2.０模型6.6１．常見的無線網(wǎng)絡安全技術：（1）服務區(qū)標記符(ＳSID)匹配(2)無線網(wǎng)卡物理地址（MＡC)過濾(3）有線等效保密(WEP)(4)端口訪問控制技術(IＥEE8０2．1x）和可擴展認證協(xié)議(EAP)(５)ＷPＡ（Wi-Fi保護訪問)技術（6)高級無線局域網(wǎng)安全標準——IEEE802.11i2.無線局域網(wǎng)面臨的危險：(1)容易入侵(2）非法的AP(３）經(jīng)授權(quán)使用服務(4）服務和性能的限制（5)地址欺騙和會話攔截(6）流量分析和流量偵聽(７)高級入侵3.為了保證無線局域網(wǎng)的安全性，必須實現(xiàn)以下幾個安全目的:(1)提供接入控制（2)保證連接的保密與完好（3）防止拒絕服務(DoS)襲擊３.ＭAC地址過濾的好處和優(yōu)勢:（１)簡化了訪問控制(2)接受或拒絕預先設定的用戶(３）被過濾的MAＣ不能進行訪問（4）提供了第2層的防護MAＣ地址過濾的缺陷：當AP和無線終端數(shù)量較多時,大大增長了管理承擔容易受到MAC地址偽裝襲擊6.6.33.IEEE802.11WEP1)WEPＩEEE80２11.b標準規(guī)定了一種稱為有線等效保密（ＷEP)的可選加密方案,其目的是為WLＡN提供與有線網(wǎng)絡相同級別的安全保護。WEＰ是采用靜態(tài)的有線等同保密密鑰的基本安全方式。靜態(tài)WEＰ密鑰是一種在會話過程中不發(fā)生變化也不針對各個用戶而變化的密鑰。2）WＥP的好處和優(yōu)勢WEＰ在傳輸上提供了一定的安全性和保密性，可以阻止無線用戶故意或無意地查看到在ＡＰ和STA之間傳輸?shù)膬?nèi)容，優(yōu)點是:所有報文都使用校驗和加密，提供了一些抵抗篡改的能力通過加密來維護一定的保密性，假如沒有密鑰，就難以對報文解密WEＰ非常容易實現(xiàn)ＷEP為WLAN應用程序提供了非?；镜谋Ｗo3）WEP的缺陷（１)靜態(tài)WEP密鑰對于WＬＡＮ上的所有用戶都是通用的(2）缺少密鑰管理（3)IＣＶ算法不合適（４)ＲC４算法存在弱點（5）認證信息易于偽造（６）WEP2算法沒有解決其機制自身產(chǎn)生的安全漏洞4.IEEE802．1x／EAP用戶認證ＩEEE8０2.1x是針對以太網(wǎng)而提出的基于端口進行網(wǎng)絡訪問控制的安全性標準草案?；诙丝诘木W(wǎng)絡訪問控制運用物理層特性對連接到ＬAN端口的設備進行身份認證。IEEＥ802.１x草案為認證方定義了兩種訪問控制端口，即受控端口和非受控端口。5.WPＡ(IEEＥ802.1１ｉ）1）IＥEE８０2.１1ｉ——新一代WLAN安全標準這種安全標準是為了增強WLＡN的數(shù)據(jù)加密和認證機能，定義RSＮ(ＲoｂustSecurityＮｅtwｏrk）的概念,并針對WEP加密機制的缺陷做了多方面改善2)WPA——向IEEE802．１１ｉ過渡的中間標準市場對于提高ＷLAＮ安全的需求是十分緊迫的，這種情況下，Wi-Ｆｉ聯(lián)盟制定了WPA(Ｗi-ＦiＰroｔecｔedAccesｓ）標準。ＷＰA是ＩEＥE80２.11ｉ的一個子集.無線網(wǎng)絡主流技術安全解決方案有哪幾種？隱藏ＳSIＤMAC地址過濾WEＰ加密AＰ隔離IEＥE８02.1X協(xié)議WPA、WPA2ＩEEE８02．11i根據(jù)不同用戶的需求，采用不同的安全解決方案6.7藍牙技術安全機制藍牙技術是一種新的無線通信技術,通信距離可達10ｍ左右,采用跳頻擴展技術(FHSＳ)。藍牙采用了數(shù)據(jù)加密和用戶鑒別措施，藍牙設備使用個人身份數(shù)字(PIN）和藍牙地址來分辨別的藍牙設備。６.7.１藍牙的安全結(jié)構(gòu)藍牙安全管理器存儲著有關設備和服務的安全信息，安全管理器將決定是否接受數(shù)據(jù)、斷開連接或是否需要加密和身份認證,它還初始化一個可信任的關系,以及從用戶那里得到一個PIN碼。6.7.２藍牙的安全等級1.設備信任級別藍牙設備有兩種信任級別,即可信任和不可信任。2．藍牙的安全模式（3種）（1）安全模式1:現(xiàn)有的大多數(shù)基于藍牙的設備,不采用信息安全管理和不執(zhí)行安全保護及解決。（無安全模式)(2）安全模式2:藍牙設備采用信息安全管理并執(zhí)行安全保護及解決，這種安全機制建立在L2CAP和它之上的協(xié)議中。（服務級的安全模式)（3）安全模式3：藍牙設備采用信息安全管理并執(zhí)行安全保護及解決,這種安全機制建立在芯片和ＬMＰ(鏈接管理協(xié)議)中。（設備級的安全模式）3.服務的安全級別1）授權(quán)規(guī)定:在授權(quán)之后，訪問權(quán)限只自動賦給可信任設備或不可信任設備。２）鑒別規(guī)定:在鏈接到一個應用之道，遠程設備必須被鑒別。３)加密規(guī)定:在訪問服務也許發(fā)生之前,鏈接必須切換到加密模式。６．７.3藍牙的密鑰管理1．鏈路管理2．加密秘鑰３.ＰＩN碼4.秘鑰的生成與初始化：1)生成初始化秘鑰。2)鑒權(quán)。3）生成鏈路秘鑰。4)互換鏈路秘鑰。5)兩個設備各自生成加密密鑰。6.7.4藍牙的鑒權(quán)方案鑒權(quán)方案環(huán)節(jié):被鑒權(quán)的設備A向鑒權(quán)設備Ｂ發(fā)送一個隨機數(shù)供鑒權(quán)。運用E１鑒權(quán)函數(shù)。使用隨機數(shù),鑒權(quán)設備B當藍牙地址和當前鏈路密鑰匹配得出響應。鑒權(quán)設備B將響應發(fā)往請求設備A,設備A而后判斷響應是否匹配。6.７.５藍牙的加密體系藍牙加密體系系統(tǒng)對每個數(shù)據(jù)包的凈荷進行加密,由流密碼E0完畢。６.7.6藍牙的安全局限1.鑒權(quán)和加密鑒權(quán)和加密是基于雙方共享密鑰的前提的。２安全技術方案針對藍牙系統(tǒng)內(nèi)部只支持設備的鑒權(quán),而不對用戶進行鑒權(quán)。RＡS算法可以有效地解決用戶的身份認證和密鑰的確立問題。６.8超寬帶物聯(lián)網(wǎng)信息安全策略6．8.１ＵWB超寬帶的應用優(yōu)勢1.低成本2.傳輸效率高3.空間容量大4.低功耗６.8.2UＷB超寬帶面臨的信息安全威脅1.拒絕服務襲擊:使節(jié)點無法對其他合法節(jié)點提供所需正常服務的襲擊。2．密鑰泄露３.假冒襲擊4路由襲擊6.8.4超寬帶拒絕服務襲擊防御策略在UWB網(wǎng)絡中，拒絕服務襲擊重要有兩種類型:ＭAC層襲擊和網(wǎng)絡層襲擊。針對ＵWＢ網(wǎng)絡中基于數(shù)據(jù)報文的拒絕服務襲擊,可以采用路由途徑刪除措施來防止ＵWB洪泛拒絕服務襲擊。6.９物聯(lián)網(wǎng)終端安全解決無線網(wǎng)絡安全的關鍵所在是運用現(xiàn)有的安全管理軟件加強對一下三個方面的管理:終端的狀態(tài)、行為和事件、根據(jù)襲擊層次的不同，針對嵌入式系統(tǒng)的惡意襲擊可劃分為軟件襲擊、電路系統(tǒng)襲擊以及基于芯片的物理襲擊3種類型。簡述嵌入式解決器的安全設計準則限制總線上的數(shù)據(jù)傳輸保護數(shù)據(jù)信息的機密性保證程序加密空間的獨立性保護數(shù)據(jù)信息的完整性保證安全敏感信息的時效性隔離安全信息與正常的數(shù)據(jù)信息第七章7.1網(wǎng)絡安全概述整體的網(wǎng)絡安全重要表現(xiàn)在：網(wǎng)絡物理安全,網(wǎng)絡拓撲結(jié)構(gòu)安全，網(wǎng)絡系統(tǒng)安全，應用系統(tǒng)安全和網(wǎng)絡管理的安全等。網(wǎng)絡安全威脅分析:網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。網(wǎng)絡拓撲結(jié)構(gòu)設計直接影響到網(wǎng)絡系統(tǒng)的安全性。系統(tǒng)安全是指整個網(wǎng)絡操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信任。應用系統(tǒng)安全與具體應用有關，它涉及面廣。網(wǎng)絡管理的安全是網(wǎng)絡安全中最重要的方面。網(wǎng)絡安全技術手段物理措施：保護網(wǎng)絡關鍵設備，采用防輻射，防火以及安裝UPS等訪問控制:對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制數(shù)據(jù)加密:保障信息被人截獲后不能讀懂其含義其他措施：信息過濾，容錯，數(shù)據(jù)鏡像，數(shù)據(jù)備份和審計等４.網(wǎng)絡安全的襲擊方式:中斷、截獲、篡改和偽造。7.２防火墻技術防火墻基本概念：是由軟件和硬件構(gòu)成的系統(tǒng),是一種特殊編程的路由器，用來在兩個網(wǎng)絡之間實行接入控制策略。防火墻的安全策略兩個基本準則:一切未被允許的訪問就是嚴禁的。(2）一切未被嚴禁的訪問就是允許的。防火墻的作用防火墻的功能：阻止和允許。連網(wǎng)監(jiān)控防火墻內(nèi)的網(wǎng)絡稱為可信賴的網(wǎng)絡，而將外部的因特網(wǎng)稱為不可信賴的網(wǎng)絡防火墻大體可劃分為３類:包過濾防火墻,代理服務器防火墻和狀態(tài)監(jiān)視器防火墻。防火墻的3種典型結(jié)構(gòu):雙宿／多宿主機模式，屏蔽主機模式和屏蔽子網(wǎng)模式7．3入侵檢測1、入侵檢測是對入侵行為的檢測。2、入侵檢測系統(tǒng)所采用的技術可分為特性檢測和異常檢測兩種。3、異常檢測的假設是入侵者活動異常于正常主體的活動。4、入侵檢測系統(tǒng)（ＩDＳ)是一種對網(wǎng)絡傳輸進行即時監(jiān)視。它是一種積極積極的安全防護技術。5、不同于防火墻的是，ＩDS是一個監(jiān)聽設備。6、IＤS在互換式網(wǎng)絡中的位置一般選擇在：(１)盡也許靠近襲擊源;（2)盡也許靠近受保護資源。7、一個入侵檢測系統(tǒng)分為4組:事件產(chǎn)生器、事件分析器、響應單元和事件數(shù)據(jù)庫。8、入侵檢測系統(tǒng)的工作環(huán)節(jié)：（1)信息收集；（2）信號分析。９、一般通過3種技術手段進行分析:模式匹配、記錄分析和完整性分析。前兩種方法用于實時的入侵檢測，而第3種方法則用于事后分析。７.4身份驗證1.身份驗證是指通過一定的手段完畢對用戶身份的確認。2.身份驗