車聯(lián)網(wǎng)信息安全概論 課件 ch02車聯(lián)網(wǎng)信息安全理論基礎(chǔ)

車聯(lián)網(wǎng)信息安全概論車聯(lián)網(wǎng)信息安全理論基礎(chǔ)第二章網(wǎng)絡(luò)空間安全系列教材01認(rèn)證技術(shù)散列算法011.散列算法概述它可以將任意長度的二進(jìn)制明文映射為較短的二進(jìn)制串，而不同的明文可能難以映射到相同的哈希(Hash)值。可以將哈希函數(shù)簡單地理解為一個空間映射函數(shù)，它從一個非常大的取值空間映射到一個非常小的取值空間，由于不是一對一的映射，其函數(shù)轉(zhuǎn)換是不可逆的，也就是說，不可能通過逆操作和哈希值來恢復(fù)原始值。散列算法可以先根據(jù)消息的內(nèi)容計算散列值，然后使用哈希值來檢查消息的完整性。消息不必只是文字，還可以是圖像或聲音文件等，散列算法都會將其視為一個比特序列，進(jìn)而根據(jù)比特序列計算哈希散列值。此外，該散列值的長度與消息長度無關(guān)，無論消息是1bit.100MB還是100GB，散列算法都會計算固定長度的散列值。例如，對于SHA-256散列函數(shù)，散列值的長度總是256bit(32B)。散列算法(HashAlgorithm)又稱為哈希算法散列算法012.散列算法特點(1)輸入敏感。對原始輸入信息進(jìn)行任何更改，新的哈希值都會出現(xiàn)很大變化。(2)不可逆性。給定明文和哈希算法，在有限時間和有限資源內(nèi)能計算得到哈希值，但是給定哈希值，在有限時間內(nèi)很難逆推出明文，因而又稱為單向性。(3)沖突避免。不同消息產(chǎn)生相同哈希值的情況稱為沖突，難以發(fā)現(xiàn)沖突的性質(zhì)稱為抗碰撞性，即難以找到另一條具備特定哈希值的消息。密碼技術(shù)中使用的散列算法都需要具備抗碰撞性。安全應(yīng)用中的哈希函數(shù)具有以下3種特點:數(shù)字證書021.數(shù)字證書概述它是標(biāo)記網(wǎng)絡(luò)通信雙方身份信息的數(shù)字認(rèn)證，用戶可以通過網(wǎng)絡(luò)識別對方的身份。數(shù)字證書在網(wǎng)絡(luò)交互中可以對用戶數(shù)據(jù)進(jìn)行加解密操作，為數(shù)據(jù)的完整性和安全性提供保證。數(shù)字證書又稱為公鑰證書，它包含公鑰持有人、公鑰、有效期、擴展信息及證書頒發(fā)機構(gòu)(CA)對這些信息的數(shù)字簽名。公鑰基礎(chǔ)設(shè)施通過數(shù)字證書解決密鑰的歸屬問題。在PKI體系中，CA擁有自己的公私鑰密鑰對，可以為每個數(shù)字證書進(jìn)行數(shù)字簽名，通過公鑰可以識別數(shù)據(jù)的來源、驗證數(shù)據(jù)的完整性，以確保數(shù)據(jù)的不可否認(rèn)性。由于數(shù)字證書攜帶了CA的數(shù)字簽名，用戶可以將其存儲在可靠的介質(zhì)中，無須擔(dān)心會被篡改，并且可以離線驗證和使用數(shù)字證書，不必在每次使用時都查詢證書庫。數(shù)字證書是鑒別身份的一種方式數(shù)字證書021.數(shù)字證書概述如果雙方都信任同一個CA，就可以實現(xiàn)身份和信任的結(jié)合。一旦證書主題呈現(xiàn)為由受信任的CA所頒發(fā)的證書，試圖建立信任的通信實體雙方就可以繼續(xù)交換信息，交換方法是將證書主題的證書存儲在本地證書存儲庫中，并使用證書中包含的公鑰對會話密鑰進(jìn)行加密，以確保雙方后續(xù)通信的安全。數(shù)字證書按照證書用途可以分為簽名證書和加密證書。其中，簽名證書用于身份認(rèn)證、完整性保護、抗抵賴等情況:加密證書用于密鑰交換和數(shù)據(jù)保密等情況。(1)簽名證書。簽名證書只能用于簽名和驗證簽名，為了密鑰的安全，密鑰對一般在客戶端產(chǎn)生和保存。(2)加密證書。加密證書只能用于加密，其中密鑰對由CA產(chǎn)生，通過保護算法和協(xié)議發(fā)送給用戶保存，CA中心也會保存該密鑰對以備管理和恢復(fù)密鑰對。當(dāng)通信實體雙方試圖建立身份和信任時數(shù)字證書022.數(shù)字證書格式X509是一種通用的證書格式，它使用抽象語法標(biāo)記(AbstractSyntaxNotationOne，ASN.1)描述數(shù)據(jù)結(jié)構(gòu)，并使用ASN1語法進(jìn)行編碼。X09證書是包含一些有關(guān)用戶或設(shè)備及其相應(yīng)公鑰的信息標(biāo)準(zhǔn)字段的集合，它定義并描述了信息的數(shù)據(jù)格式。數(shù)字證書的內(nèi)容包括基本數(shù)據(jù)(版本號、序列號)、簽名對象的信息(簽名算法、簽發(fā)者、有效期、主體、主體公鑰)及CA的數(shù)字簽名等。X.509證書的信息域見表2-1。數(shù)字證書由CA頒發(fā)，用戶需要對數(shù)字證書進(jìn)行驗證，因此數(shù)字證書需要使用統(tǒng)一的格式數(shù)字證書023.PKI概述以公鑰密碼技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機密性、完整性和不可抵賴性為安全目的而構(gòu)建的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，其功能包括身份認(rèn)證、密鑰管理、數(shù)字簽名及數(shù)據(jù)加密等。在PKI體系中，用戶的身份認(rèn)證通過引入數(shù)字證書的CA來實現(xiàn)。用戶從CA處注冊證書，在查看用戶申請信息后，CA對用戶及其公鑰進(jìn)行簽名并生成數(shù)字證書頒發(fā)給用戶。數(shù)字證書是PKI的基礎(chǔ)，由于數(shù)字證書是由可信證書頒發(fā)機構(gòu)簽署的，證書的合法性能夠得到保證。同時，PKI也可以實現(xiàn)數(shù)字證書及密鑰的生成、存儲、撤銷和管理等功能。PKI是一個總稱，并非指某個單獨的規(guī)范或規(guī)格。例如，RSA數(shù)據(jù)安全公司制定的公鑰密碼標(biāo)準(zhǔn)(Public-KeyCryptographyStandards，PKCS系列規(guī)范就是PKI的一種;上文提到的X.509標(biāo)準(zhǔn)也是PKI的一種。PKI的組成要素主要包括用戶、CA和證書庫。公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure，PKI)是指在開放的網(wǎng)絡(luò)環(huán)境下數(shù)字證書023.PKI概述(1)用戶。用戶指的是PKI的使用者，它包括使用PKI注冊公鑰和使用自己注冊的公鑰兩種類型。使用PKI注冊公的用戶能夠進(jìn)行以下操作:生成密對(或由CA生成)通過CA注冊公鑰、向CA申請證書、申請將已注冊的公鑰作廢、解密接收的密文及對消息進(jìn)行數(shù)字簽名等。使用自己注冊公鑰的用戶能夠?qū)⑾⒓用馨l(fā)送至接收者并驗證數(shù)字簽名等。(2)CA。CA作為數(shù)字證書的管理者，能夠進(jìn)行以下操作:生成密鑰對(或由用戶生成)注冊公鑰時認(rèn)證用戶身份、生成并頒發(fā)證書及將證書作廢等。此外，注冊機構(gòu)(RegistrationAuthority，RA)能夠注冊公和認(rèn)證用戶身份，從而減輕了CA的負(fù)擔(dān)。但是引入RA也會產(chǎn)生問題，由于CA需要對RA本身進(jìn)行認(rèn)證，隨著組成要素的增加，溝通過程變得復(fù)雜，大大增加了遭受攻擊的概率。(3)證書庫。證書庫是保存證書的數(shù)據(jù)庫，PKI用戶可以根據(jù)需要從中獲取證書。消息認(rèn)證031.消息認(rèn)證概述是一種用于確認(rèn)完整性進(jìn)行消息認(rèn)證的技術(shù)。消息認(rèn)證碼由任意字節(jié)的消息及收發(fā)雙方的共享密鑰組成，固定長度的數(shù)據(jù)輸出為MAC值。與哈希函數(shù)計算散列值時無須使用密鑰不同，消息認(rèn)證碼的計算必須持有共享密鑰，這樣可以避免通信過程中的身份偽裝。此外，若消息產(chǎn)生變化，MAC值也會對應(yīng)變化，從而實現(xiàn)完整性校驗。消息認(rèn)證碼(MessageAuthenticationCode，MAC)消息認(rèn)證032.消息認(rèn)證流程(1)發(fā)送者A與接收者B預(yù)先共享密。(2)發(fā)送者A根據(jù)請求消息使用共享密計算MAC值。(3)發(fā)送者A將請求消息和MAC值發(fā)送給接收者B。(4)接收者B根據(jù)收到的請求消息使用共享密計算MAC值。(5)接收者B將自己計算的MAC值與發(fā)送者A發(fā)送的MAC值進(jìn)行對比。若兩個MAC值一致，則接收者B可以確認(rèn)請求消息來自發(fā)送者A，即認(rèn)證成功:若不一致，則可以確認(rèn)請求消息并非來自發(fā)送者A，即認(rèn)證失敗。消息認(rèn)證碼中需要收發(fā)雙方之間的共享密鑰，而主動攻擊者無法獲得該密鑰。如果該密鑰落入攻擊者手中，攻擊者在計算出MAC值后就可以對消息實施篡改和偽裝攻擊，消息認(rèn)證碼將無法發(fā)揮作用。發(fā)送者和接收者需要共享密鑰，與對稱密碼相似，消息認(rèn)證碼中同樣會產(chǎn)生對稱密碼的密鑰配送問題。消息認(rèn)證流程如下:數(shù)字簽名041.數(shù)字簽名概述僅由發(fā)送者生成，不能被他人偽造，它也是發(fā)送者發(fā)送消息真實性的有效證明。簡單來說，它是一種類似寫在紙上的普通物理簽名用于鑒別數(shù)字信息的方法。一組數(shù)字簽名通常進(jìn)行兩種互補的運算，包括生成數(shù)字簽名和驗證數(shù)字簽名，生成數(shù)字簽名使用私鑰進(jìn)行加密，驗證數(shù)字簽名使用公鑰進(jìn)行解密。而數(shù)字簽名與公鑰密碼算法中公私鑰的使用順序不同，公鑰密碼算法使用公鑰對消息進(jìn)行加密，使用私鑰解密加密后的消息;數(shù)字簽名則是結(jié)合公鑰密碼技術(shù)與散列密碼技術(shù)的應(yīng)用，主要用于數(shù)據(jù)的完整性驗證、簽名者身份的合法性驗證及簽名行為的不可否認(rèn)性驗證。數(shù)字簽名基于公鑰密碼技術(shù)實現(xiàn)數(shù)字簽名042.數(shù)字簽名的生成和驗證即對消息進(jìn)行簽名。生成簽名是指根據(jù)消息內(nèi)容計算簽名值，這意味著發(fā)送者需要對該消息的內(nèi)容進(jìn)行確認(rèn)。數(shù)字簽名的驗證由接收者完成，也可以由第三方完成。驗證成功表示該消息是由發(fā)送者發(fā)出的，驗證失敗則表示該消息不是由發(fā)送者發(fā)出的。在數(shù)字簽名的使用過程中，發(fā)送者和接收者使用私鑰和公鑰進(jìn)行簽名和驗證。簡單來說，數(shù)字簽名是公鑰密碼的反向應(yīng)用。公鑰密碼與數(shù)字簽名的密鑰使用方式見表2-2。數(shù)字簽名的生成由發(fā)送者完成數(shù)字簽名043.數(shù)字簽名方法數(shù)字簽名方法包括直接對消息簽名和對消息哈希值簽名兩種。數(shù)字簽名的目的是保證消息是由只持有其密鑰的用戶生成的，而非保證消息傳遞的機密性，即數(shù)字簽名本身并不是用來保證機密性的。若需要確保機密性，可以將消息加密后發(fā)出。1)直接對消息簽名直接對消息簽名的步驟如下:(1)發(fā)送者使用自己的私鑰對消息M1進(jìn)行加密，生成數(shù)字簽名。(2)發(fā)送者將加密后的數(shù)字簽名和消息M發(fā)給接收者。(3)接收者使用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行驗證，從而獲取數(shù)字簽名之前的消息M2。(4)接收者將消息M2和消息M1進(jìn)行對比，若兩者一致，則表示簽名成功，否則表示簽名失敗。數(shù)字簽名043.數(shù)字簽名方法2)對消息哈希值簽名直接對消息進(jìn)行簽名的方法雖然簡單，但在實際應(yīng)用中很少使用?？紤]到對整個消息進(jìn)行簽名是一項非常耗時的操作，通常選擇先使用散列函數(shù)對消息進(jìn)行處理獲得哈希值，然后對該哈希值進(jìn)行簽名。對消息哈希值簽名的步驟如下:(1)發(fā)送者使用散列函數(shù)對消息進(jìn)行計算獲得哈希值。(2)發(fā)送者使用自己的私鑰對哈希值進(jìn)行數(shù)字簽名。(3)發(fā)送者將消息和數(shù)字簽名發(fā)給接收者。(4)接收者使用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行解密獲得哈希值。(5)接收者使用散列函數(shù)對消息進(jìn)行計算，并將結(jié)果與其解密獲得的哈希值進(jìn)行比對。若兩者一致，則表示簽名成功，否則表示失敗。數(shù)字簽名044.數(shù)字簽名與公鑰密碼通過使用前文提及的公鑰密碼算法能夠?qū)崿F(xiàn)數(shù)字簽名。公鑰密碼包括一個由公鑰和私鑰組成的密鑰對，其中公鑰用于加密，私鑰用于解密。公鑰密碼的公鑰加密流程如圖2-1所示。數(shù)字簽名中同樣會使用公鑰和私鑰組成的密鑰對，但是這兩個密鑰的使用方法與公鑰密碼算法是相反的，即用私鑰加密，相當(dāng)于生成簽名:用公鑰解密，相當(dāng)于驗證簽名。數(shù)字簽名的私鑰加密流程如圖2-2所示。簡單來說，公鑰加密得到的密文只能使用與該公鑰相配的私鑰解密。同樣，私鑰加密得到的密文也只能使用與該私鑰相配的公鑰解密。02密碼技術(shù)對稱密碼011.對稱密碼概述對稱密碼算法使用與解密過程相同或容易推斷出的密鑰，即收發(fā)雙方的加密和解密密鑰是“對稱”的。早期的密碼算法均為對稱形式的加密算法。用戶可以通過對稱密碼算法將明文轉(zhuǎn)化為密文，只有擁有相同密鑰和相應(yīng)解密算法的用戶才能將密文轉(zhuǎn)換為有意義的明文。對稱密碼算法具有快速加解密、計算量小的特點，但是由于收發(fā)雙方使用相同的密鑰，安全性無法得到保障。此外，收發(fā)雙方在使用對稱密碼算法時需要使用他人無法得知的唯一密鑰，導(dǎo)致發(fā)送方和接收方所持密鑰的數(shù)量成倍增加，密鑰管理成為用戶的負(fù)擔(dān)。對稱密碼主要分為序列密碼和分組密碼兩種類型，其算法流程如圖2-3所示。對稱密碼012.序列密碼序列密碼的加密方式是將明文和密鑰進(jìn)行異或運算，主要用于單獨加密每一位，即對密文進(jìn)行逐一的加密(或解密)。序列密碼加密通過密鑰序列中的每一位與每一明文位相加實現(xiàn)，其安全性能主要取決于密鑰流或者密鑰流產(chǎn)生器的特性。序列密碼是一種隨時間變化的加密變換，具有變換快、錯誤傳播少、硬件實現(xiàn)電路簡單的特點，它只有有限的錯誤傳播，典型的應(yīng)用領(lǐng)域包括無線通信、外交通信。由于密鑰長度與明文長度一致，序列密碼較易被篡改。序列密碼算法流程如圖2-4所示。對稱密碼013.分組密碼分組密碼先根據(jù)分組大小對明文消息進(jìn)行分組，再將明文分組、密鑰一起作為輸入，通過分組密碼算法直接輸出密文分組。分組密碼只能加密固定長度的分組，而需要加密的明文長度可能超過分組密碼的分組長度，這時就需要對分組密碼算法進(jìn)行迭代，以便將長明文加密，選代的方法就稱為分組密碼的模式。需要注意的是，當(dāng)需要加密的分組長度短于分組密碼的長度時，需要在明文中添加相應(yīng)長度的特定數(shù)據(jù)進(jìn)行填充。分組密碼采用固定的變換，不會隨時間發(fā)生變化，并且插入敏感，還具有良好的擴散性，但其加解密處理慢，并可能存在錯誤傳播分組密碼算法流程如圖2-5所示。公鑰密碼021.公密碼概述公鑰密碼算法需要使用公鑰和私鑰兩個密鑰。同一密鑰對中的兩個密鑰之間具有非常密切的關(guān)系，公鑰和私鑰不能分別單獨生成。其中，公鑰作為加密密鑰可以公開，而私鑰作為解密密鑰需要保密，由于使用不同的密鑰進(jìn)行加解密，公鑰加密也稱為非對稱加密。雖然公鑰密碼算法的復(fù)雜度較高，安全性也依賴于算法與密鑰，但其加解密速度不如對稱密碼算法。對稱密碼算法中僅使用一個非公開的密鑰，接收方執(zhí)行解密操作需要先獲取密鑰，因此，通過保障密鑰的安全性，可以確保對稱密碼算法的安全。而公鑰密碼算法具有兩個密鑰，其中公鑰是公開的，無須進(jìn)行密鑰傳輸，從而使安全性得到進(jìn)一步保證。公鑰密碼022.公密碼的通信流程公鑰密碼的通信流程如圖2-6所示。假設(shè)A要向B發(fā)送一條消息，則A是消息發(fā)送者，B是消息接收者(以下全部用簡稱A和B)。在公密碼體制中，通信過程是由B來啟動的。公鑰密碼022.公密碼的通信流程(1)B生成一個密鑰對，包括公鑰和私鑰，其中私鑰由B自行妥善保管。(2)B將自己的公鑰發(fā)送給A，表示B請A用該公加密消息并發(fā)送給B。(3)A用B的公鑰加密消息，加密后的消息只能使用B的私解密。雖然A擁有B的公鑰，但無法對密文進(jìn)行解密。(4)A將密文發(fā)送給B就算密文被竊聽者截獲也沒關(guān)系，因為竊聽者可能擁有B的公鑰，但是使用B的公鑰無法對密文進(jìn)行解密。(5)B使用自己的私對密文進(jìn)行解密?；旌厦艽a031.混合密碼概述對稱密碼算法能夠確保通信過程的保密性，但在實際使用中，需要解決密鑰分配的問題通過使用公鑰密碼算法，能夠解決對稱密碼算法的密鑰分配問題，但是公鑰密碼算法存在公銷密碼處理效率低和公鑰密碼難以抵御中間人攻擊兩個難題。在混合密碼機制中，通過具有快速加解密特點的對稱密碼算法進(jìn)行加密，使消息轉(zhuǎn)換為密文，從而保證消息的機密性。同時，使用公鑰密碼算法對用于加密消息的對稱密鑰(會話密鑰)進(jìn)行加密操作，因為密鑰長度通常比消息短，所以能夠解決公鑰密碼處理效率低的問題。若想解決公鑰密碼難以抵御中間人攻擊的問題，則需要對公鑰進(jìn)行認(rèn)證?；旌厦艽a機制結(jié)合了對稱密碼算法和公鑰密碼算法的優(yōu)勢，能夠滿足通信安全的需求。混合密碼032.混合密碼加密混合密碼機制的加密流程如圖2-7所示?；旌厦艽a032.混合密碼加密(1)加密消息。消息的加密方法與對稱密碼的加密方法相同，即便是非常長的消息，也可以通過對稱密碼算法快速完成加密。(2)加密會話密鑰。會話密(SessionKey)是指為本次通信而生成的臨時密，通常由偽隨機數(shù)生成器生成。由偽隨機數(shù)生成器生成的會話密鑰也將作為對稱密碼的密鑰，傳遞給加密消息的部分。會話密鑰由公鑰密碼算法進(jìn)行加密，其所使用的密鑰是接收者的公鑰。簡言之,會話密鑰是對稱密碼的密鑰，也是公鑰密碼的明文。(3)組合。加密消息過程可獲取“對稱密碼加密的消息”，加密會話密鑰過程可獲取“公鑰密碼加密的會話密鑰”，兩者組合后可得混合密碼的密文?；旌厦艽a033.混合密碼解密混合密碼機制的解密流程如圖2-8所示?；旌厦艽a033.混合密碼解密(1)分離?；旌厦艽a的密文由“對稱密碼加密的消息”和“公密碼加密的會話密”組成，因而需要通過解密過程將其分離。只要發(fā)送者和接收者事先約定好密文的結(jié)構(gòu)，就能很容易地將這兩者分離。(2)解密會話密鑰。會話密鑰使用公鑰密碼算法進(jìn)行解密，因而需要解密密鑰，即接收者的私鑰。只有持有私鑰的用戶才能解密會話密鑰，解密所得的會話密鑰將被用作解密消息的密鑰。(3)解密消息。使用對稱密碼算法對消息進(jìn)行解密，解密密鑰是使用公鑰密碼算法解密的會話密鑰。簡單來說，混合密碼機制的解密流程就是其加密流程的反向操作。密鑰交換041.密鑰交換概述Difie-Hellman密鑰交換是一種在公共信道上安全交換加密密鑰的方法也是RalphMerkle最初設(shè)計并以WhitfieldDiffie和MartinHellman命名的首個公鑰協(xié)議之一。Difie-Hellman密鑰交換是在密碼領(lǐng)域最早實現(xiàn)公鑰交換的實際示例之一。傳統(tǒng)的安全加密通信要求通信雙方首先通過一些安全的物理信道進(jìn)行密鑰交換，如由可信賴的信使傳送的紙質(zhì)密鑰列表。DifieHellman密鑰交換方法允許沒有彼此先驗知識的通信雙方通過不安全的信道共同建立共享密鑰，并使用該密鑰通過對稱密碼算法加密后續(xù)消息?；ヂ?lián)網(wǎng)安全協(xié)議(IPsec)中使用的是經(jīng)過改良的Die-Hellman密交換方法。雖然該方法的名稱中有“密鑰交換”，但通信雙方并未真正進(jìn)行密鑰交換，只是通過計算產(chǎn)生相同的共享密鑰。因此，該方法也稱為Dime-Hellman密協(xié)商(KeyAgreement)，其密鑰交換旨在方便通信雙方安全交換密鑰，并在交換后對消息進(jìn)行加密。密鑰交換042.密鑰交換流程這里假設(shè)用戶A和用戶B需要共享對稱密碼的密，為了防止竊聽者竊聽這兩者之間的通信過程，用戶A和用戶B可以通過下述步驟進(jìn)行Dimie-Hellman密交換，從而生成共享密鑰。Diffie-Hellman密鑰交換流程如圖2-9所示。密鑰交換042.密鑰交換流程(1)用戶A向用戶B發(fā)送兩個質(zhì)數(shù)P和G，其中P是一個非常大的質(zhì)數(shù)，G則是一個和P相關(guān)的數(shù)，它可以是一個較小的數(shù)字。P和G無須保密，并可以由用戶A或用戶B生成。(2)用戶A生成一個隨機數(shù)a，aε[1,P-2]且為整數(shù)，它只有用戶A知道。(3)用戶B生成一個隨機數(shù)b，bε[1,P-2]且為整數(shù)，它只有用戶B知道。(4)用戶A將GbmodP發(fā)送給用戶B。(5)用戶B將GbmodP發(fā)送給用戶A。(6)用戶A使用用戶B發(fā)送的數(shù)計算共享密，即(7)用戶B使用用戶A發(fā)送的數(shù)計算共享密，即由此可知，用戶A和用戶B通過計算得到的共享密鑰是相等的。03訪問控制技術(shù)訪問控制安全等級011.信息安全評價標(biāo)準(zhǔn)(1)TCSEC:可信計算機系統(tǒng)評估準(zhǔn)則(橙皮書)，由美國國防部于1985年制定。(2)ITSEC:信息技術(shù)安全評估準(zhǔn)則，由德、英、意、法四國于1990年聯(lián)合提出。(3)CTCPEC:加拿大可信計算機評估準(zhǔn)則，由加拿大于1993年發(fā)布。(4)FC:信息技術(shù)安全性評估聯(lián)邦準(zhǔn)則，由美國于1993年發(fā)布，它對TCSEC進(jìn)行了補充并吸收了ITSEC的優(yōu)點。(5)CC:信息技術(shù)安全評估通用準(zhǔn)則。它于1993年由6國7方(印度、巴基斯坦、孟加拉人民共和國、斯里蘭卡、尼泊爾和不丹，以及中國的兩個省份一一云南和西藏)提出，并于1999年成為國際標(biāo)準(zhǔn)ISO/1EC15408。(6)BS7799:可信計算機系統(tǒng)評價準(zhǔn)則(橙皮書)，由英國標(biāo)準(zhǔn)協(xié)會制定，并于2000年成為國際標(biāo)準(zhǔn)ISO17799。(7)GB17859:計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則，由我國公安部制定并于1999年發(fā)布。訪問控制安全等級012.TCSEC1)計算機系統(tǒng)安全5要素(1)安全策略。(2)審計機制。(3)可操作性。(4)生命周期。(5)保證文檔。訪問控制安全等級012.TCSEC2)4類安全等級(1)無安全(D級)。該類安全等級沒有安全措施，不可信賴。(2)自主安全(C1級、C2級)。該類安全等級能夠提供審計保護，并為用戶的行動和責(zé)任提供審計能力。它又稱為C類安全等級，可劃分為C1和C2兩類。其中，安全等級為C1的系統(tǒng)(以下簡稱C1系統(tǒng))的可信任運算基礎(chǔ)體制(TrustedComputingBase，TCB)通過將用戶和數(shù)據(jù)分開來保證安全。在該系統(tǒng)中，所有用戶以相同的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為該系統(tǒng)中的所有文檔都具有相同的機密性。與C1系統(tǒng)相比，安全等級為C2的系統(tǒng)(以下簡稱C2系統(tǒng))加強了可調(diào)的審慎控制。在接入網(wǎng)絡(luò)時，C2系統(tǒng)的用戶分別對各自的行為負(fù)責(zé)。C2系統(tǒng)通過登錄過程、安全事件和資源隔離來增強上述控制，它具有C1系統(tǒng)中所有的安全性特征。訪問控制安全等級012.TCSEC(3)強制保護(B1級、B2級、B3級)。B1級支持C2級的全部功能并增加了強制訪問控制和強制完整性，其中強制完整性標(biāo)簽表示信息提交的可信度。B2級對網(wǎng)絡(luò)可信計算基(Base)有明確定義，對安全策略模型有形式化證明，可以擴展B1級實現(xiàn)的自主訪問控制(DAC)模型和強制訪問控制(MAC)模型，使其適用于所有主體和客體，并引入強制完整性機制以保護資源的完整性和限制對資源的訪問與修改，同時實現(xiàn)自動測試、檢驗和報告網(wǎng)絡(luò)完整性錯誤與威脅，遵循最小權(quán)限原則，只分配完成任務(wù)所需的權(quán)限。B3級將所有信道和部件標(biāo)明為單級安全和多級安全，單級設(shè)備只能連接單級信道，不能串用，它能夠監(jiān)視安全審計事件并提供報告。網(wǎng)絡(luò)可信計算基的語法簡單準(zhǔn)確，以便于驗證。大部分與安全有關(guān)的功能和數(shù)據(jù)駐留在網(wǎng)絡(luò)可信計算基中(數(shù)據(jù)完整性和拒絕服務(wù)等除外)，它有恢復(fù)進(jìn)程，能夠隔離故障部分。(4)驗證設(shè)計(A1級)。其功能要求與B3級基本相同，系統(tǒng)設(shè)計說明必須形式化，安全功能則需要經(jīng)過形式化證明(兩個形式化的目的是使安全功能的實現(xiàn)更有保證)。訪問控制安全等級013.ITSEC在ITSEC評價標(biāo)準(zhǔn)中，安全功能和安全保證是分開評估的。安全功能是指相關(guān)系統(tǒng)內(nèi)部的安全機制和控制，包括訪問控制、認(rèn)證、加密、審計等。為了實現(xiàn)更好的安全功能，ITSEC評價標(biāo)準(zhǔn)給出一組安全功能要求，即10個安全功能等級F1F10，具體含義如下:F1代表安全政策:F2代表安全管理:F3代表安全能力:F4代表安全防護;F5代表安全通信;F6代表安全評價;F7代表安全文檔F8代表安全培訓(xùn):F9代表安全規(guī)劃:F10代表安全保障。安全功能等級F1~F5的作用類似于安全等級C1~B3，安全功能等級F6~F10則用于描述是否具備數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性，以及數(shù)據(jù)通信的完整性、保密性。訪問控制安全等級013.ITSEC安全保證主要分為7個等級，即EO~E6，具體含義如下:E0一一無信任級別。它表示缺乏有效的安全保護措施，相關(guān)系統(tǒng)的安全性無法得到保證。E1一一最低信任級別。它表示存在一些基本的安全保護措施，但有較高的風(fēng)險和潛在漏洞。E2一一低信任級別。它表示對相關(guān)系統(tǒng)的安全進(jìn)行了一定程度的增強，但有一些潛在風(fēng)險和漏洞。E3一一中等信任級別。它表示相關(guān)系統(tǒng)已經(jīng)采取一系列合理的安全保護措施，對常見的威脅具有一定的防御能力。E4一一高信任級別。它表示相關(guān)系統(tǒng)具有較高的安全性，并且能夠有效應(yīng)對大部分已知的威脅和攻擊。E5一一很高信任級別。它表示相關(guān)系統(tǒng)在安全性方面具備相當(dāng)高的保護水平，能夠有效應(yīng)對廣泛的威脅和攻擊。E6一一最高信任級別。它表示相關(guān)系統(tǒng)在安全性方面具備非常高的保護水平，能夠有效抵御幾乎所有已知的威脅和攻擊。其中，E0無法驗證/證明:E6有形式化驗證。訪問控制安全等級014.國家標(biāo)準(zhǔn)我國現(xiàn)行信息安全評價標(biāo)準(zhǔn)是GB17859一1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，其規(guī)定了計算機系統(tǒng)安全保護能力的5個等級，分別如下:①第一級，即系統(tǒng)自主保護級(C1級)；②第二級，即系統(tǒng)審計保護級(C2級);③第三級，即安全標(biāo)記保護級(B1級);④第四級，即結(jié)構(gòu)化保護級(B2級)；⑤第五級，即訪問驗證保護級(B3級)。訪問控制模型02訪問控制是一種通過某種途徑顯式地準(zhǔn)許或限制主體對客體訪問能力及范圍的方法也是針對越權(quán)使用系統(tǒng)資源的防御措施。它通過限制對關(guān)鍵資源的訪問，防止非法用戶入侵或因合法用戶不慎操作而造成破壞，從而保證系統(tǒng)資源得到受控的、合法的使用。訪問控制的目的在于限制系統(tǒng)內(nèi)用戶的行為和操作，包括用戶能做什么和系統(tǒng)程序根據(jù)用戶的行為應(yīng)該做什么兩方面內(nèi)容。訪問控制的核心是授權(quán)策略，授權(quán)策略是用于確定主體能否對客體擁有訪問能力的規(guī)則。在統(tǒng)一的授權(quán)策略下，得到授權(quán)的用戶就是合法用戶，否則為非法用戶。訪問控制模型定義了主體、客體、訪問是如何表示和操作的決定了授權(quán)策略的表達(dá)能力和靈活性。若按照授權(quán)策略進(jìn)行劃分，訪問控制模型可分為傳統(tǒng)的訪問控制模型、基于角色的訪問控制模型、基于任務(wù)和工作流的訪問控制模型及其他訪問控制模型等。訪問控制模型021.傳統(tǒng)的訪問控制模型自主訪問控制(DiscretionaryAccessControl，DAC)和強制訪問控制(MandatoryAccessControl，MAC)。其中，自主訪問控制是基于確認(rèn)主體身份及其所屬組對訪問進(jìn)行限制的一種方法。自主訪問的含義是訪問許可的主體能夠向其他主體轉(zhuǎn)讓訪問權(quán)。在基于自主訪問控制的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問權(quán)限。然而一個或多個特權(quán)用戶也可以改變主體的控制權(quán)限。對于自主訪問控制而言，其所面臨的一個重要問題就是主體的權(quán)限過大，可能在無意間泄露信息，并且不能防備特洛伊木馬的攻擊。訪問控制表(ACL)是自主訪問控制中常用的一種安全機制，系統(tǒng)安全管理員通過維護訪問控制表來控制用戶訪問有關(guān)數(shù)據(jù)。訪問控制表的優(yōu)點在于其內(nèi)容表述直觀、易于理解，比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，從而有效實施授權(quán)管理。傳統(tǒng)的訪問控制可以分為兩類：訪問控制模型021.傳統(tǒng)的訪問控制模型訪問控制表就會變得很龐大。當(dāng)組織內(nèi)的人員發(fā)生變化或工作職能發(fā)生變化時，訪問控制表的維護也會變得非常困難。此外，對分布式網(wǎng)絡(luò)系統(tǒng)進(jìn)行自主訪問控制不利于實現(xiàn)統(tǒng)一的全局訪問控制。強制訪問控制是一種強加給訪問主體(系統(tǒng)強制主體服從訪問控制策略)的訪問方法，它利用上讀/下寫來保證數(shù)據(jù)的完整性，利用下讀/上寫來保證數(shù)據(jù)的保密性。強制訪問控制主要用于多層次安全級別的軍事系統(tǒng)中，通過梯度安全標(biāo)簽實現(xiàn)信息的單向流通，可以有效阻止特洛伊木馬的攻擊。其缺點主要在于實現(xiàn)工作量較大、管理不便、不夠靈活，并且過分強調(diào)保密性，對系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性方面考慮不足。但當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時訪問控制模型022.基于角色的訪問控制模型基于角色的訪問控制(RBAC)支持3個著名的安全原則，分別是最小權(quán)限原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。(1)最小權(quán)限原則之所以被RBAC所支持，是因為RBAC可以將其角色配置成完成任務(wù)所需的最小權(quán)限集。(2)通過將敏感任務(wù)分配給互相獨立、互斥的角色來體現(xiàn)責(zé)任分離原則。(3)數(shù)據(jù)抽象原則可以通過權(quán)限的抽象來體現(xiàn)，如財務(wù)操作用借款、存款等抽象權(quán)限，而不用操作系統(tǒng)提供的典型的讀、寫、執(zhí)行權(quán)限。然而最小權(quán)限原則、責(zé)任分離原則和數(shù)據(jù)抽象原則都必須通過RBAC模型中各部件的詳細(xì)配置體現(xiàn)。RBAC有許多部件，導(dǎo)致RBAC模型的管理變得多面化，尤其需要將以下問題分解為不同的部分進(jìn)行討論:用戶與角色的指派，角色與權(quán)限的指派，以及為定義角色的繼承而進(jìn)行的角色與角色的指派。但當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時訪問控制模型022.基于角色的訪問控制模型分別是最小權(quán)限原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。(1)最小權(quán)限原則之所以被RBAC所支持，是因為RBAC可以將其角色配置成完成任務(wù)所需的最小權(quán)限集。(2)通過將敏感任務(wù)分配給互相獨立、互斥的角色來體現(xiàn)責(zé)任分離原則。(3)數(shù)據(jù)抽象原則可以通過權(quán)限的抽象來體現(xiàn)，如財務(wù)操作用借款、存款等抽象權(quán)限，而不用操作系統(tǒng)提供的典型的讀、寫、執(zhí)行權(quán)限。然而最小權(quán)限原則、責(zé)任分離原則和數(shù)據(jù)抽象原則都必須通過RBAC模型中各部件的詳細(xì)配置體現(xiàn)。RBAC有許多部件，導(dǎo)致RBAC模型的管理變得多面化，尤其需要將以下問題分解為不同的部分進(jìn)行討論:用戶與角色的指派，角色與權(quán)限的指派，以及為定義角色的繼承而進(jìn)行的角色與角色的指派。基于角色的訪問控制(RBAC)支持3個著名的安全原則訪問控制模型022.基于角色的訪問控制模型但是在很多情況下，它們最好由不同的管理員或管理角色來處理。對角色指派權(quán)限是典型的應(yīng)用管理者的職責(zé)。例如，在銀行應(yīng)用中，把借款、存款操作權(quán)限指派給出納角色，把批準(zhǔn)貸款操作權(quán)限指派給經(jīng)理角色，而將具體人員指派給相應(yīng)的出納角色和經(jīng)理角色是人事管理的范疇。角色與角色的指派包含用戶與角色的指派、角色與權(quán)限的指派的一些特點。一般來說，角色與角色的關(guān)系體現(xiàn)了更廣泛的策略。RBAC認(rèn)為權(quán)限授權(quán)實際是關(guān)于WhoWhat、How的問題。在RBAC模型中，WhoWhat、How構(gòu)成了訪問權(quán)限三元組，即“Who對What(Which)進(jìn)行How的操作”。上述問題都要求把用戶和權(quán)限聯(lián)系起來訪問控制模型022.基于角色的訪問控制模型①Who:權(quán)限的擁用者或主體，如Principal(主體)、User(用戶)、Group(用戶組)Role(角色)、Actor(參與者)等。②What:權(quán)限針對的對象或資源(Resource、Class)。③How:具體的權(quán)限(Privilege)。在RBAC模型中，Privilege是被授權(quán)的對象，而正向授權(quán)和負(fù)向授權(quán)是授權(quán)的方式。RBAC模型通過對角色和權(quán)限的授權(quán)，實現(xiàn)對用戶訪問控制的管理。特定角色被授予了特定的權(quán)限，而當(dāng)用戶被分配到某個角色上時，即可獲得該角色所具有的權(quán)限。在這個過程中，可以使用正向授權(quán)或負(fù)向授權(quán)的方式來控制用戶的訪問行為。訪問控制模型022.基于角色的訪問控制模型④Operator:操作。表明對What進(jìn)行的How操作，即PrivilegetResource。⑤Role:角色，即一定數(shù)量的權(quán)限的集合。作為權(quán)限分配的單位和載體，其目的是隔離用戶和權(quán)限之間的邏輯關(guān)系。⑥Group:用戶組，即權(quán)限分配的單位與載體。權(quán)限并非直接分配給特定的用戶，而是分配給特定的角色。當(dāng)用戶被分配到某個角色上時，就會獲得該角色所具有的權(quán)限。為了便于管理和維護權(quán)限，可以將多個角色組合成一個組，從而實現(xiàn)權(quán)限的繼承。這種分層方式可以保證系統(tǒng)的可擴展性和活性。Group也可以包含User，Group內(nèi)的User可繼承Group的權(quán)限，而User與Group是多對多的關(guān)系。Group之間可以形成層次化的結(jié)構(gòu)，以滿足不同層級權(quán)限控制的要求。訪問控制模型022.基于角色的訪問控制模型RBAC的關(guān)注點在于Role和User及Privilege的關(guān)系，即用戶權(quán)限(UserAssignment,UA)和權(quán)限分配(PrivilegeAssignment，PA)，關(guān)系兩邊的實體都是多對多的關(guān)系，即User可以有多個Role，Role也可以包括多個User。若用過RDBMS(關(guān)系型數(shù)據(jù)庫管理系統(tǒng))，可知n:m(實體關(guān)系為多對多)的關(guān)系需要用一個中間表來保存兩個表(數(shù)據(jù)庫二維表)的關(guān)系，UA和PA就相當(dāng)于中間表。事實上，整個RBAC模型都是基于關(guān)系模型實現(xiàn)的。Session在RBAC中是一個比較隱晦的元素。從標(biāo)準(zhǔn)上講，每個Session是一個映射，即-個User到多個Role的映射。當(dāng)一個User激活其所有Role的一個子集時,就會建立一個Session。每個Session和單個User相關(guān)聯(lián)，而每個User都可以關(guān)聯(lián)到一或多個Session。訪問控制模型022.基于角色的訪問控制模型在RBAC系統(tǒng)中，User實際上是在扮演角色(Role)，可以用Actor來取代User，這個想法源于《UML商業(yè)建模與實踐》(BusinessModelingWithUM)一書中提到的Actor-Role模式考慮到多人可以有相同權(quán)限，RBAC模型引入了Group的概念。Group同樣可以看作Actor,而User的概念就具象到一個人。這里的Group和基于組的訪問控制(Group-BasedAccessControl，GBAC)中的Group不同。GBAC多用于操作系統(tǒng)中，其中的Group直接和權(quán)限相關(guān)聯(lián)，實際上RBAC模型也借鑒了一些GBAC的概念。Group和User都和組織機構(gòu)有關(guān)，但不是組織機構(gòu)，它們在概念上是不同的。訪問控制模型022.基于角色的訪問控制模型組織機構(gòu)是物理存在的公司結(jié)構(gòu)的抽象模型，包括部門、人、職位等，而權(quán)限模型是對抽象概念的描述組織結(jié)構(gòu)一般用MartinFowler的Party或責(zé)任模式來建模MartinFowler的Party是一種設(shè)計模式，用于實施將用戶及其角色、權(quán)限等信息表示為對象的方法，以實現(xiàn)更加靈活和可維護的訪問控制系統(tǒng)。該模式將用戶、角色、組織等實體抽象為一個統(tǒng)一的概念以支持更加動態(tài)和可擴展的訪問控制模型。在Party中，Person和User的關(guān)系是每個Person都可以對應(yīng)到一個User，但所有的Use不一定有對應(yīng)的Person。Party中的部門(Department)或組織(Organization)都可以對應(yīng)到Group，而Group未必對應(yīng)一個實際的機構(gòu)。例如，可以有副經(jīng)理這個Group，該崗位由多人共同負(fù)責(zé)。訪問控制模型022.基于角色的訪問控制模型引入Group這個概念，除了用來解決多人角色相同的問題，還可以解決組織機構(gòu)另一種的授權(quán)問題。例如，當(dāng)A部門的消息管理員希望A部門所有的人都能看到某消息時，若有一個A部門對應(yīng)的Group，則可直接授權(quán)給該Group。訪問控制模型023.基于任務(wù)和工作流的訪問控制模型所謂任務(wù)(或活動),就是要進(jìn)行的所有操作的統(tǒng)稱?；谌蝿?wù)和工作流的訪問控制(TBAC)模型是一種基于任務(wù)采用動態(tài)授權(quán)的主動安全模型，其基本思想如下:(1)將訪問權(quán)限與任務(wù)相結(jié)合，每項任務(wù)的執(zhí)行都被看成主體使用相關(guān)訪問權(quán)限訪問客體的過程。在任務(wù)執(zhí)行過程中，訪問權(quán)限被消耗，當(dāng)訪問權(quán)限被用完時，主體就不能再訪問客體了。(2)系統(tǒng)授予用戶的訪問權(quán)限，不僅與主體、客體有關(guān)，還與主體當(dāng)前執(zhí)行的任務(wù)及任務(wù)的狀態(tài)有關(guān)?？腕w的訪問控制權(quán)限并不是一成不變的，而是隨著執(zhí)行任務(wù)上下文環(huán)境的變化而變化的，其缺點是在TBAC模型中沒有將角色與任務(wù)清楚地分離，也不支持角色的層次等級。此外，TBAC模型并不支持被動訪問控制，需要與RBAC模型結(jié)合使用。訪問控制模型024.其他訪問控制模型1)基于任務(wù)和角色的訪問控制模型基于任務(wù)和角色的訪問控制(T-RBAC)模型把任務(wù)和角色置于同等重要的地位，它們是兩個獨立而又相互關(guān)聯(lián)的重要概念。任務(wù)是RBAC模型和TBAC模型能結(jié)合的基礎(chǔ)。在T-RBAC模型中，先將訪問權(quán)限分配給任務(wù)，再將任務(wù)分配給角色，角色通過任務(wù)與權(quán)限相關(guān)聯(lián)，任務(wù)是角色和權(quán)限交換信息的橋梁。在T-RBAC模型中，任務(wù)具有權(quán)限，角色只有在執(zhí)行任務(wù)時才具有權(quán)限，若角色不執(zhí)行任務(wù)，則其不具有權(quán)限:權(quán)限的分配和回收是動態(tài)進(jìn)行的，任務(wù)根據(jù)流程動態(tài)到達(dá)角色，權(quán)限隨之賦予角色，當(dāng)任務(wù)完成時，角色的權(quán)限隨即被收回:角色在工作流中不需要被賦予權(quán)限。這樣不僅使角色的操作、維護和任務(wù)的管理變得簡單方便，也使系統(tǒng)變得更安全。訪問控制模型024.其他訪問控制模型2)基于對象的訪問控制模型控制策略和控制規(guī)則是基于對象的訪問控制(OBAC)模型訪問控制系統(tǒng)的核心所在，在該模型中，將訪問控制列表與受控對象或受控對象的屬性相關(guān)聯(lián)，并將訪問控制選項設(shè)計成用戶、組或角色及其對應(yīng)權(quán)限的集合，同時允許對策略和規(guī)則進(jìn)行重用、繼承和派生操作。這樣不僅可以對受控對象本身進(jìn)行訪問控制，也可以對受控對象的屬性進(jìn)行訪問控制，并且派生對象可以繼承父對象的訪問控制設(shè)置，這對于信息量巨大、信息內(nèi)容更新變化頻繁的管理信息系統(tǒng)非常有益，可以減輕因為信息資源的派生、演化和重組等而帶來的分配、設(shè)定角色權(quán)限等的工作量。OBAC模型從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶需求出發(fā)，有效解決了信息數(shù)據(jù)量大.數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理問題。訪問控制模型024.其他訪問控制模型2)基于對象的訪問控制模型OBAC模型從受控對象的角度出發(fā)，將訪問主體的訪問權(quán)限直接與受控對象相關(guān)聯(lián)，一方面定義對象的訪問控制列表，使增、刪、修改訪問控制項易于操作;另一方面，當(dāng)受控對象的屬性發(fā)生改變或者受控對象發(fā)生繼承和派生行為時，無須更新訪問主體的權(quán)限，只需要修改受控對象的相應(yīng)訪問控制項，從而減少了訪問主體的權(quán)限管理，降低了授權(quán)數(shù)據(jù)管理的復(fù)雜性。訪問控制模型024.其他訪問控制模型3)下一代訪問控制模型使用控制(UsageControl，UCON)模型也稱ABC模型，它包含3個基本元素(主體、客體、權(quán)限)和3個與授權(quán)有關(guān)的元素《授權(quán)規(guī)則、條件、義務(wù))。(1)主體(Subiects)。它是具有某些屬性和客體(Obiects)操作權(quán)限的實體，其屬性包括身份、角色、安全級別及成員資格等，主要用于授權(quán)過程。(2)客體(Objects)。它是主體的操作對象，也有屬性，具體包括安全級別、所有者、等級等，主要用于授權(quán)過程。(3)權(quán)限(Rights)。它是主體擁有的對客體操作的一些特權(quán)。權(quán)限由一個主體對客體進(jìn)行訪問或使用的功能集組成，UCON模型中的權(quán)限可分為許多功能類，如審計類、修改類等。訪問控制模型024.其他訪問控制模型3)下一代訪問控制模型(4)授權(quán)規(guī)則(AuthorizationRules)。它是允許主體對客體進(jìn)行訪問或使用前必須滿足的一個需求集。授權(quán)規(guī)則是用來檢查主體是否有資格訪問客體的決策因素。(5)條件(Conditions)。它是在使用授權(quán)規(guī)則進(jìn)行授權(quán)過程中允許主體對客體進(jìn)行訪問前必須檢驗的一個決策因素集。條件是環(huán)境的或面向系統(tǒng)的決策因素，可用來檢查存在的限制、使用權(quán)限是否有效，以及哪些限制必須更新等。(6)義務(wù)(Obligations)。它是一個主體在獲得對客體的訪問權(quán)限后必須履行的強制責(zé)任既然分配了權(quán)限，就應(yīng)該有執(zhí)行這些權(quán)限的義務(wù)。訪問控制模型024.其他訪問控制模型3)下一代訪問控制模型在UCON模型中，授權(quán)規(guī)則、條件、義務(wù)與授權(quán)過程相關(guān)，它們是決定一個主體是否有某種權(quán)限能對客體進(jìn)行訪問的決策因素?；谶@些元素，UCON模型有4種可能的授權(quán)過程并由此可以證明:UCON模型不僅包含了DAC、MAC和RBAC，還包含了數(shù)字版權(quán)管(DRM)、信任管理等。UCON模型涵蓋了現(xiàn)代商務(wù)和信息系統(tǒng)需求中關(guān)于安全和隱私的重要問題。因此，UCON模型為研究下一代訪問控制提供了一種可能的方法，又被稱為下一代訪問控制模型。訪問控制模型024.其他訪問控制模型4)基于屬性的訪問控制模型基于屬性的訪問控制模型(ABAC)是一種應(yīng)對行業(yè)分布式應(yīng)用中可信關(guān)系訪問控制問題的模型，它以相關(guān)實體(如主體、客體、環(huán)境)的屬性作為授權(quán)的基礎(chǔ)來研究如何進(jìn)行訪問控制?；谏鲜瞿康模蓪嶓w的屬性分為主體屬性、實體屬性和環(huán)境屬性，這與傳統(tǒng)的基于身份的訪問控制(IBAC)不同。在基于屬性的訪問控制中，訪問判定是基于請求者和資源所具有的屬性的，請求者和資源在ABAC中通過特性來標(biāo)識，而不像在IBAC中只能通過ID來標(biāo)識，這使得ABAC具有足夠的靈活性和可擴展性，同時使安全的匿名訪問成為可能，這在大型分布式環(huán)境中是十分重要的。訪問控制模型024.其他訪問控制模型5)基于規(guī)則策略的訪問控制模型E.Bertino等在RBAC模型的基礎(chǔ)上給出了一個基于規(guī)則的授權(quán)模型，該模型提出了一種約束描述語言，既能表達(dá)靜態(tài)約束，也能表達(dá)動態(tài)約束，并且給出了約束規(guī)則的一致性檢查算法。朱羚等也提出了一種基于約束規(guī)則的訪問控制(CBAC)模型，該模型采用顯式授權(quán)與隱式授權(quán)相結(jié)合的安全機制，引進(jìn)一種用于精確描述CBAC模型安全策略的形式化語言，并制定了一種描述用戶屬性約束和時間屬性約束的統(tǒng)一語法規(guī)范。訪問控制模型024.其他訪問控制模型6)面向服務(wù)的訪問控制模型面向服務(wù)的訪問控制模型是近幾年才發(fā)展起來的模型。隨著數(shù)據(jù)庫、網(wǎng)絡(luò)和分布式計算機的發(fā)展，組織任務(wù)進(jìn)一步實現(xiàn)自動化，與服務(wù)相關(guān)的信息進(jìn)一步實現(xiàn)計算機化，從而增加了工作流訪問控制的復(fù)雜性。研究人員從工作流訪問控制模型與流程模型分離的角度來解決上述問題。中國科學(xué)院軟件研究所的徐偉等提出了一種面向服務(wù)的工作流訪問控制模型，該模型中的服務(wù)是流程任務(wù)的抽象執(zhí)行和實施訪問控制的基本單元，通過服務(wù)將組織角色、流程任務(wù)和執(zhí)行權(quán)限相關(guān)聯(lián)，避免了訪問控制模型與流程模型直接關(guān)聯(lián)。訪問控制模型024.其他訪問控制模型7)基于狀態(tài)的訪問控制模型2001年，BSteinmuller等將RBAC模型擴展，提出了一種基于狀態(tài)的RBAC擴展模型。該模型在傳統(tǒng)RBAC模型的基礎(chǔ)上引入了狀態(tài)的概念，將由對象訪問控制的變化所引起的RBAC組件的變化作為狀態(tài)的遷移，從而可以為每個對象的訪問控制構(gòu)造一個狀態(tài)轉(zhuǎn)換圖，并根據(jù)狀態(tài)轉(zhuǎn)換圖來跟蹤各個對象的訪問控制策略。該模型中的狀態(tài)概念與工作流運行中的任務(wù)狀態(tài)和過程狀態(tài)的概念非常相似，因此可以將其應(yīng)用于工作流系統(tǒng)中。訪問控制模型024.其他訪問控制模型8)基于行為的訪問控制模型李鳳華等提出了一種基于行為的訪問控制(Action-BasedAccessControl，ABAC)模型，該模型中的行為綜合了角色、時態(tài)狀態(tài)和環(huán)境狀態(tài)的相關(guān)安全信息。ABAC模型不僅可以提供傳統(tǒng)的角色、角色控制和時態(tài)約束，還能提供環(huán)境約束，支持移動計算的接入用戶、接入的具體業(yè)務(wù)需求、接入位置、接入時間和接入平臺是隨機的、事先不可預(yù)知等典型特性。因此，ABAC模型具有廣泛的應(yīng)用范圍、便利的應(yīng)用方式。04入侵檢測技術(shù)基于誤用的入侵檢測01基于誤用的入侵檢測系統(tǒng)統(tǒng)(Misuse-basedIntrusionDetectionSystem，MIDS)也稱為基于知識的檢測系統(tǒng)、基于模式匹配的檢測系統(tǒng)，它通常假設(shè)所有入侵行為都擁有固定的模式或入侵特征，針對這種情況，可以根據(jù)以往網(wǎng)絡(luò)攻擊的特征捕獲入侵行為，從而建立一個網(wǎng)絡(luò)入侵信息特征庫?；谡`用的入侵檢測系統(tǒng)可以將當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)特征與網(wǎng)絡(luò)入侵信息特征庫中的特征進(jìn)行比對，一旦比對成功，即可判定當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)存在入侵網(wǎng)絡(luò)攻擊，可對其進(jìn)行攔截和告警。根據(jù)基于誤用的入侵檢測原理可知基于誤用的入侵檢測系統(tǒng)的關(guān)鍵在于網(wǎng)絡(luò)入侵信息特征庫的建立。在進(jìn)行入侵檢測時，主要判斷所采集的數(shù)據(jù)特征是否在網(wǎng)絡(luò)入侵信息特征庫中出現(xiàn)，如果庫中存在當(dāng)前數(shù)據(jù)的特征，則判定為網(wǎng)絡(luò)入侵。這種方式與大部分殺毒軟件的工作原理類似?；谡`用的入侵檢測011.專家系統(tǒng)誤用檢測專家系統(tǒng)誤用檢測方法的基本思想是將網(wǎng)絡(luò)入侵行為表示為一系列If-Then的邏輯規(guī)則，并根據(jù)這些規(guī)則建立對應(yīng)的入侵專家系統(tǒng)，而邏輯規(guī)則里的f部分表示判定為網(wǎng)絡(luò)攻擊的條件，Then部分則表示判定為網(wǎng)絡(luò)攻擊時所觸發(fā)的操作。專家誤用入侵檢測系統(tǒng)對網(wǎng)絡(luò)行為的審計數(shù)據(jù)事件進(jìn)行轉(zhuǎn)換，并將轉(zhuǎn)換后的結(jié)果用于后續(xù)入侵判斷，通過推理引擎進(jìn)行入侵檢測，當(dāng)f部分中的條件全部滿或者滿足部分關(guān)鍵條件時，Then部分中相應(yīng)的操作會被執(zhí)行。專家系統(tǒng)誤用檢測方法需要處理大量的審計數(shù)據(jù)并且依賴于審計匹配的順序，當(dāng)If部分中的條件較多且匹配較為復(fù)雜時，專家誤用入侵檢測系統(tǒng)的處理相對較慢，而將各種網(wǎng)絡(luò)入侵行為轉(zhuǎn)換為If部分中的條件也相對復(fù)雜。此外，專家誤用入侵檢測系統(tǒng)只能檢測出歷史數(shù)據(jù)中已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)入侵行為，若要應(yīng)對新的網(wǎng)絡(luò)攻擊，則須人工添加新攻擊所對應(yīng)的規(guī)則，維護相關(guān)入侵知識庫的工作量相對較大?；谡`用的入侵檢測012.特征分析誤用檢測在商業(yè)化的入侵檢測系統(tǒng)產(chǎn)品中，基于特征分析的入侵檢測方法運用較多。特征分析誤用檢測方法與專家系統(tǒng)誤用檢測方法的過程類似，都需要先廣泛收集網(wǎng)絡(luò)入侵行為。專家系統(tǒng)設(shè)用檢測方法由于需要進(jìn)行順序化的條件匹配，影響了整體運行效率，未被廣泛使用，而特征分析誤用檢測方法可以更直接地使用各種網(wǎng)絡(luò)入侵知識。特征分析誤用檢測方法是將網(wǎng)絡(luò)入侵行為轉(zhuǎn)換為一個事件序列或者某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)案例，而非抽象成對應(yīng)的網(wǎng)絡(luò)入侵規(guī)則，這樣可以直接從網(wǎng)絡(luò)數(shù)據(jù)中提取相應(yīng)的特征與之匹配，不需要分析處理大量的數(shù)據(jù)，從而提高了入侵檢測的效率。與專家系統(tǒng)誤用檢測方法類似，特征分析誤用檢測方法也需要及時更新相關(guān)入侵知識庫來應(yīng)對新的網(wǎng)絡(luò)攻擊，相應(yīng)地，它也需要根據(jù)不同的操作系統(tǒng)建立不同的入侵知識庫，同樣面臨建立和維護入侵知識庫的工作較為繁重的問題?；谡`用的入侵檢測013.模型推理誤用檢測模型推理誤用檢測方法的基本思想是先根據(jù)網(wǎng)絡(luò)攻擊數(shù)據(jù)的特征建立誤用模型，再由基于模型推理的入侵檢測系統(tǒng)根據(jù)該模型中的入侵行為特征進(jìn)行推理，判斷當(dāng)前用戶的網(wǎng)絡(luò)請求是否存在誤用行為。模型推理誤用檢測方法需要建立攻擊序列數(shù)據(jù)庫、預(yù)警器并創(chuàng)建規(guī)劃者。每個攻擊序列都代表一種攻擊行為，基于模型推理的入侵檢測系統(tǒng)根據(jù)攻擊序列的子集推斷當(dāng)前是否受到入侵。根據(jù)當(dāng)前的活動模型，預(yù)警器產(chǎn)生下一步行為，而規(guī)劃者會考慮如何將所假設(shè)的行為反映在審計追蹤數(shù)據(jù)上，以及如何將所假設(shè)的行為與系統(tǒng)相關(guān)的審計追蹤進(jìn)行匹配。各個攻擊序列的證據(jù)會逐漸增加，活動模型組也會被更新，證據(jù)推理分析功能可以更新活動模型列表中各攻擊劇本出現(xiàn)的概率，根據(jù)攻擊劇本出現(xiàn)的概率可以檢測是否存在入侵行為。基于誤用的入侵檢測013.模型推理誤用檢測根據(jù)攻擊序列的子集來推斷相關(guān)系統(tǒng)當(dāng)前是否受到入侵的優(yōu)勢在于可結(jié)合數(shù)學(xué)中的不確定推理理論輔助入侵檢測系統(tǒng)，可以用模型證據(jù)來推理專家系統(tǒng)中不容易處理的未確定的中間結(jié)論，并能減少審計數(shù)據(jù)量，但是會在一定程度上增加創(chuàng)建入侵檢測模型的系統(tǒng)開銷。與上述誤用檢次方法相同的是，該方法也只能檢測出歷史已知的網(wǎng)絡(luò)攻擊，因而需要不斷對數(shù)據(jù)庫進(jìn)行擴充。基于誤用的入侵檢測014.鍵盤監(jiān)控誤用檢測鍵盤監(jiān)控誤用檢測方法是基于用戶鍵盤行為的入侵檢測方法，其入侵檢測系統(tǒng)負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)中各個用戶的擊鍵方式，并將獲取的用戶擊鍵方式與已確定為網(wǎng)絡(luò)入侵的擊鍵方式相匹配，一旦匹配成功，就會將當(dāng)前行為認(rèn)定為網(wǎng)絡(luò)攻擊。該方法的不足之處是需要操作系統(tǒng)提供監(jiān)視用戶鍵盤的權(quán)限，并提供相應(yīng)的支持，以獲取可靠的用戶擊鍵行為。然而鍵盤監(jiān)控誤用檢測方法可能存在多種擊鍵方式表示同一種攻擊的情況，并且不能對擊鍵進(jìn)行語義分析，這就使攻擊者可以輕松利用命令的各種別名欺騙其入侵檢測系統(tǒng)。此外，因為該方法局限于對用戶的擊鍵行為進(jìn)行檢測，所以無法檢測那些通過程序?qū)崿F(xiàn)自動攻擊的行為?；诋惓５娜肭謾z測02基于異常的入侵檢測系統(tǒng)統(tǒng)(Anomaly-basedIntrusionDetectionSystem，AIDS)也稱為基于行為的入侵檢測系統(tǒng)，它根據(jù)用戶的歷史行為和已有的系統(tǒng)日志判斷是否存在網(wǎng)絡(luò)攻擊。基于異常的入侵檢測系統(tǒng)假設(shè)網(wǎng)絡(luò)中的入侵攻擊行為是不常見的，與正常行為有較大出入。如果能夠提前總結(jié)用戶與系統(tǒng)中的正常行為的規(guī)律，并依據(jù)其規(guī)律構(gòu)建對應(yīng)的行為模型，通過該入侵檢測系統(tǒng)即可將當(dāng)前捕獲到的網(wǎng)絡(luò)數(shù)據(jù)與建立的行為模型進(jìn)行對比，若發(fā)現(xiàn)當(dāng)前行為偏離了正常的行為軌跡，則將其標(biāo)記為網(wǎng)絡(luò)攻擊，并對其進(jìn)行攔截。基于異常的入侵檢測系統(tǒng)首先會設(shè)定一些系統(tǒng)對象如用戶、文件、目錄和設(shè)備等，并創(chuàng)建一個統(tǒng)計描述，用于統(tǒng)計其正常時的屬性值，如訪問次數(shù)、操作失敗次數(shù)和延時等，此外，系統(tǒng)的一些狀態(tài)值，如CPU利用率、內(nèi)存利用率、文件校驗和等也需要特別關(guān)注。針對這些屬性值和狀態(tài)值，可通過觀察或者統(tǒng)計的方法得出，并在此基礎(chǔ)上將系統(tǒng)運行時的數(shù)值與所定義的正常情況進(jìn)行比較，進(jìn)而判斷出是否有被攻擊的跡象。該檢測系統(tǒng)的核心在于如何分析系統(tǒng)的運行情況?；诋惓５娜肭謾z測02相對于基于誤用的入侵檢測系統(tǒng)基于異常的入侵檢測系統(tǒng)通常能夠檢測出歷史數(shù)據(jù)中未曾出現(xiàn)過的網(wǎng)絡(luò)入侵行為，檢測效果很少依賴于特定的主機操作系統(tǒng)，并且對于內(nèi)部合法用戶的越權(quán)違法行為也有較好的檢測效果。但是其局限性在于對歷史數(shù)據(jù)的質(zhì)量要求較高，與基于誤用的入侵檢測系統(tǒng)相比，該檢測系統(tǒng)的誤報率較高，入侵檢測模型的建立也相對困難。目前，常用的基于異常的入侵檢測方法主要包括3種:統(tǒng)計分析異常檢測、機器學(xué)習(xí)異常檢測及數(shù)據(jù)挖掘異常檢測。基于異常的入侵檢測021.統(tǒng)計分析異常檢測統(tǒng)計分析異常檢測方法的基本思想是對系統(tǒng)及用戶的行為按照一定的采樣周期進(jìn)行規(guī)律性采樣，采樣內(nèi)容主要包括用戶的行為、用戶的狀態(tài)及系統(tǒng)的資源占用情況等。在此基礎(chǔ)上,對采集到的樣本進(jìn)行計算，得到一系列的參數(shù)變量以對用戶在系統(tǒng)中的行為進(jìn)行描述，從而產(chǎn)生行為畫像，之后，將每次采樣后得到的行為畫像與已有輪廓進(jìn)行合并，最終得到系統(tǒng)和用廣的正常行為畫像。該方法使用的入侵檢測系統(tǒng)通過將當(dāng)前采集到的行為畫像與正常行為畫像進(jìn)行比較，檢測是否存在網(wǎng)絡(luò)入侵行為?；诋惓５娜肭謾z測021.統(tǒng)計分析異常檢測在早期的檢測模型中，入侵檢測系統(tǒng)先計算出所有變量的平均值，再根據(jù)平均偏差檢測當(dāng)前行為是否超過某一闕值。該模型的表現(xiàn)一般，僅對某些數(shù)據(jù)敏感的攻擊檢測效果較好，對大多數(shù)攻擊類型的檢測效果較差。目前使用一種更復(fù)雜的模型，即入侵檢測系統(tǒng)同時計算并比較每個用戶長期和短期的活動狀態(tài)，狀態(tài)信息則隨著用戶行為的變化不斷更新?；诋惓５娜肭謾z測021.統(tǒng)計分析異常檢測統(tǒng)計分析異常檢測方法的優(yōu)勢在于其所應(yīng)用的技術(shù)方法在統(tǒng)計學(xué)中已較為成熟，不足之處則是閩值設(shè)置會直接影響模型的效果，而闕值可能會隨著環(huán)境發(fā)生變化，通常難以確定。若顱值設(shè)置得偏高，則可能產(chǎn)生過多的誤檢:若其設(shè)置得偏低，則會導(dǎo)致漏檢率升高。此外，統(tǒng)計分析異常檢測方法對事件發(fā)生的順序不夠敏感，很可能會漏掉由幾個先后發(fā)生的關(guān)聯(lián)事件所組成的入侵行為。同時因為行為的檢測結(jié)果不是異常的，就是正常的，攻擊者可以利用這個漏洞在看似正常的數(shù)據(jù)中加入攻擊信息?；诋惓５娜肭謾z測022.機器學(xué)習(xí)異常檢測隨著機器學(xué)習(xí)技術(shù)的發(fā)展，基于機器學(xué)習(xí)模型的異常檢測技術(shù)成為當(dāng)前研究的重點。機器學(xué)習(xí)算法是指通過學(xué)習(xí)已有的輸入和輸出信息對，在抽象得到其內(nèi)在的關(guān)系后，通過歸納得到新的輸入與輸出信息對。機器學(xué)習(xí)異常檢測方法使用機器學(xué)習(xí)模型對系統(tǒng)和用戶的行為進(jìn)行學(xué)習(xí)。例如，訓(xùn)練神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)歸納用戶輸入命令的方式，得到用戶行為的輪廓框架，其目的是能夠根據(jù)用戶已執(zhí)行的命令來預(yù)測用戶要輸入的下一條命令。該方法使用的入侵檢測系統(tǒng)的相應(yīng)模塊把某用戶當(dāng)前輸入的命令和用戶已經(jīng)執(zhí)行的多項命令傳遞給機器學(xué)習(xí)模型，若該模型預(yù)測到用戶輸入的命令與其后續(xù)實際輸入的命令不一致，則在一定程度上表明用戶的行為與正常行為的輪廓框架發(fā)生了偏離，即說明用戶行為異常，由此判定用戶后續(xù)的行為是網(wǎng)絡(luò)攻擊?；诋惓５娜肭謾z測022.機器學(xué)習(xí)異常檢測機器學(xué)習(xí)異常檢測方法的優(yōu)勢在于不需要對數(shù)據(jù)進(jìn)行統(tǒng)計，能夠較好地應(yīng)對原始數(shù)據(jù)的隨機性，并在一定程度上降低了于擾數(shù)據(jù)對模型效果的影響。與統(tǒng)計分析異常檢測方法相比，機器學(xué)習(xí)異常檢測方法能夠更簡潔地表達(dá)各種狀態(tài)變量之間的非線性關(guān)系，并能夠自動學(xué)習(xí)。該方法的缺點是對采集到的數(shù)據(jù)要求較高，只有數(shù)據(jù)量足夠大且數(shù)據(jù)集中各類別樣本數(shù)量相差不大時，訓(xùn)練所得的模型的檢測效果才會相對穩(wěn)定，反之，可能會存在過擬合的問題，導(dǎo)致模型整體的檢測效果變低?；诋惓５娜肭謾z測023.數(shù)據(jù)挖掘異常檢測將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測是因為它具有處理大量數(shù)據(jù)記錄的能力?，F(xiàn)實中采集到的網(wǎng)絡(luò)流量審計記錄的數(shù)據(jù)量往往達(dá)到PB級別(存儲量為1000TB)，特別是在網(wǎng)絡(luò)中的主機數(shù)量較多且網(wǎng)速較快的情況下。數(shù)據(jù)挖掘異常檢測方法先從各種審計數(shù)據(jù)或者網(wǎng)絡(luò)數(shù)據(jù)流中提取相關(guān)的知識信息(這些知識信息是蘊涵在數(shù)據(jù)之中的)，再將它們歸納總結(jié)為規(guī)則、模式等，語義分割算法就是其所采用的算法之一。該方法使用的入侵檢測系統(tǒng)借助這些知識信息進(jìn)行網(wǎng)絡(luò)入侵檢測。數(shù)據(jù)挖掘異常檢測方法的優(yōu)勢在于其具有較強的數(shù)據(jù)處理能力，缺點是系統(tǒng)整體運行效率不高。05隱私保護技術(shù)匿名認(rèn)證01車聯(lián)網(wǎng)環(huán)境下的匿名認(rèn)證技術(shù)需要滿足可認(rèn)證性、可歸責(zé)性、不可否認(rèn)性、可作廢性和匿名性的要求在車聯(lián)網(wǎng)中，車與車之間、車與用戶之間、車與路側(cè)設(shè)備之間都可以充分實現(xiàn)有用信息和數(shù)據(jù)的交互、共享。但是由于車聯(lián)網(wǎng)的數(shù)據(jù)傳輸和管理都嚴(yán)重依賴于無線信道，而無線信道又具有開放性，無線信道易受到信息泄露和數(shù)據(jù)攻擊等潛在安全威脅。常見的攻擊手段有偽造攻擊、信息篡改、非法強占、信息重放、拒絕服務(wù)攻擊、女巫攻擊、暴力破解、車輛追蹤及模仿攻擊等這些攻擊手段給車聯(lián)網(wǎng)用戶帶來了極其惡劣的影響，更有甚者會威脅到用戶的生命安全。所以說在信息交互前驗證用戶的身份安全是保障車聯(lián)網(wǎng)用戶信息安全必不可少的一環(huán)，是因為車輛高速行駛，車載自組網(wǎng)(VANETS)中的端到端認(rèn)證是困難的。匿名認(rèn)證01車輛用戶隱私的保護也備受關(guān)注如駕駛者的姓名、年齡、聯(lián)系方式、住址及車輛的牌照信息、行駛速度、當(dāng)前位置和行進(jìn)路徑等私密信息，以及這些私密信息之間存在的某種特殊關(guān)系。然而保護車輛用戶的隱私安全與實現(xiàn)消息的可靠性認(rèn)證是瓦相沖突的，即一方面要求不可以暴露車輛用戶的真實身份信息，并盡量獲取想要的路況實時信息等:另一方面則需要對“不誠實”的車輛所提供的消息進(jìn)行確認(rèn)。傳統(tǒng)的安全方案并不能有效地適用于其隱私安全因此迫切需要在VANETs中保護車輛隱私的新的安全計劃。確保匿名和身份驗證是VANETs中的雙重要求。雖然匿名和身份認(rèn)證似乎是矛盾的，但它們必須共存，因為信息的真實性和完整性只有通過認(rèn)證才能得到保障。當(dāng)前的匿名方案主要包括基于公鑰基礎(chǔ)設(shè)施的匿名認(rèn)證、基于身份簽名的匿名認(rèn)證、基于代理的重簽名的匿名認(rèn)證、基于群簽名的匿名認(rèn)證和基于環(huán)簽名的匿名認(rèn)證，該類方案滿足上述匿名認(rèn)證的功能需求，但是在車聯(lián)網(wǎng)這種超大規(guī)模且安全形勢惡劣的無線網(wǎng)絡(luò)環(huán)境中應(yīng)用時仍存在一些性能壁壘。假名技術(shù)02在當(dāng)前關(guān)于車聯(lián)網(wǎng)保護的研究中，隱私與安全通常密不可分車聯(lián)網(wǎng)的安全主要包括用戶和數(shù)據(jù)認(rèn)證、隱私、追責(zé)及安全通信。安全的要素可以擴充為消息驗證、完整性、不可否認(rèn)性、訪問控制和隱私。在廣義安全范圍內(nèi)受到攻擊的不只是車輛，還有可能是路邊單元。在車聯(lián)網(wǎng)中