工業(yè)互聯(lián)網(wǎng)安全技術(shù) 課件 魏旻 第6-9章 安全路由 -工業(yè)互聯(lián)網(wǎng)安全測試

工業(yè)互聯(lián)網(wǎng)安全技術(shù)第6章安全路由6.1安全路由概述6.2安全路由協(xié)議第1章緒論學(xué)習(xí)要求

知識要點能力要求安全路由（1）了解路由的分類（2）掌握常見的路由攻擊安全路由協(xié)議（1）熟悉基于信任的安全路由協(xié)議（2）了解安全混合路由協(xié)議（3）熟悉安全LEACH6.1.1路由概述路由概述路由是一種允許將數(shù)據(jù)從網(wǎng)絡(luò)的一個節(jié)點正確地轉(zhuǎn)發(fā)到不在其傳輸范圍內(nèi)的另一個節(jié)點的機制。為了保證數(shù)據(jù)路由，路由有路由發(fā)現(xiàn)、數(shù)據(jù)轉(zhuǎn)發(fā)和路由維護(hù)三個階段。路由發(fā)現(xiàn)：路由發(fā)現(xiàn)階段的目標(biāo)是發(fā)現(xiàn)網(wǎng)絡(luò)中的所有相鄰節(jié)點，并構(gòu)造必要的路由表（網(wǎng)絡(luò)拓?fù)?，以便通過一組路徑將節(jié)點連接起來。數(shù)據(jù)轉(zhuǎn)發(fā)：在路由發(fā)現(xiàn)階段之后，使用路由發(fā)現(xiàn)階段構(gòu)建的路由表中包含的路徑，通過一組中間節(jié)點在源和目標(biāo)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。路由維護(hù)：當(dāng)一個節(jié)點檢測到鏈路中出現(xiàn)故障時，它會通過網(wǎng)絡(luò)傳播更新數(shù)據(jù)包，以通知其他節(jié)點該節(jié)點出現(xiàn)了故障。當(dāng)節(jié)點收到更新包時，其會相應(yīng)地更新路由表。6.1.1路由概述路由概述在具有基礎(chǔ)的網(wǎng)絡(luò)中，路由有專門設(shè)計用于執(zhí)行此任務(wù)的節(jié)點（如路由器、交換機等）執(zhí)行，這些節(jié)點在帶寬、存儲內(nèi)存、計算能力等資源方面具有巨大的容量。而在無線自組織網(wǎng)絡(luò)中卻缺乏這樣預(yù)先存在的基礎(chǔ)設(shè)施，構(gòu)成網(wǎng)絡(luò)的節(jié)點需要相互協(xié)作來執(zhí)行路由，這也是本章關(guān)注的重點。在無線自組織網(wǎng)絡(luò)中的節(jié)點具有移動性、有限的資源和有限的物理安全性等特點。因此必須專門為這些網(wǎng)絡(luò)設(shè)計路由協(xié)議，以滿足與這些特性相關(guān)的要求。無線自組織網(wǎng)絡(luò)中的路由協(xié)議主要有兩類：基于拓?fù)涞穆酚蓞f(xié)議和基于位置的路由協(xié)議。6.1.1路由概述路由概述基于拓?fù)涞穆酚蓞f(xié)議主動式路由協(xié)議基于位置的路由協(xié)議

6.1.2對路由協(xié)議的攻擊對路由協(xié)議的攻擊

外部攻擊：這類攻擊由不屬于網(wǎng)絡(luò)的節(jié)點發(fā)起，通?？梢酝ㄟ^使用防火墻和來源認(rèn)證來防御。內(nèi)部攻擊：這類攻擊由屬于網(wǎng)絡(luò)內(nèi)的受損節(jié)點執(zhí)行，因為這些節(jié)點被授權(quán)訪問網(wǎng)絡(luò)，故這類攻擊很難檢測和防御。被動攻擊：攻擊者嗅探網(wǎng)絡(luò)流量并捕獲數(shù)據(jù)但不改變和修改數(shù)據(jù)。攻擊者的目標(biāo)是獲取節(jié)點之間交換的敏感數(shù)據(jù)，從而違反數(shù)據(jù)機密性。這種類型的攻擊也很難檢測，因為網(wǎng)絡(luò)運行不受影響。然而，使用強大的加密機制可以防止違反數(shù)據(jù)機密性。主動攻擊：攻擊者的目的是通過修改傳輸?shù)臄?shù)據(jù)包或引入降低網(wǎng)絡(luò)性能的虛假路由信息來破壞網(wǎng)絡(luò)功能。6.1.2

對路由協(xié)議的攻擊對路由協(xié)議的攻擊

目前，更具體的攻擊形式有以下幾種：操縱路由信息選擇性轉(zhuǎn)發(fā)攻擊女巫攻擊黑洞攻擊蟲洞攻擊Hello泛洪攻擊6.1.3

安全路由需求安全路由需求為了設(shè)計和開發(fā)一個安全路由協(xié)議，在遵守已定義的安全和隱私標(biāo)準(zhǔn)的同時，確定和解決協(xié)議的安全目標(biāo)非常重要。此外，安全目標(biāo)不得限制數(shù)據(jù)網(wǎng)絡(luò)的基本信息要求，即機密性、完整性和可用性。以下幾點是對設(shè)計安全路由的一些建議。安全路由建立任何安全路由協(xié)議的一個重要特征是，其能夠在源和目標(biāo)之間建立并保證安全路由，同時隔離網(wǎng)絡(luò)中的惡意節(jié)點。自穩(wěn)定良好的安全路由協(xié)議的自穩(wěn)定特性意味著該協(xié)議必須能夠在一定時間內(nèi)自動從任何問題中恢復(fù)，而無需人工干預(yù)。6.1.3

安全路由需求安全路由需求有效的惡意節(jié)點識別系統(tǒng)惡意節(jié)點隔離機制應(yīng)當(dāng)被嵌入安全路由協(xié)議設(shè)計中，以隔離網(wǎng)絡(luò)中行為不端的節(jié)點，行為不端的節(jié)點對篡改或中斷網(wǎng)絡(luò)路由過程的影響必須最小。輕量級計算網(wǎng)絡(luò)內(nèi)節(jié)點通常資源受限，計算能力和內(nèi)存有限。因此，任何安全路由協(xié)議都應(yīng)該考慮安全并且輕量級。理想情況下，安全路由操作（如公鑰加密或最短路徑算法）應(yīng)僅限于少數(shù)節(jié)點，以降低復(fù)雜性。第6章安全路由6.1安全路由概述6.2安全路由協(xié)議6.2

安全路由協(xié)議為了增強路由的安全性，一種機制是在路由中使用公鑰加密，例如安全混合路由協(xié)議，但這僅適用于計算和存儲等資源充足的網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)內(nèi)只有部分節(jié)點有充足的資源時，需要考慮減小使用公鑰的范圍，例如安全LEACH。進(jìn)一步地，當(dāng)網(wǎng)絡(luò)內(nèi)所有節(jié)點都資源受限時，需要考慮使用其他機制保證路由安全，例如基于信任的安全路由協(xié)議。保證路由安全需要平衡網(wǎng)絡(luò)內(nèi)資源和所使用機制的代價。

6.2.1安全混合路由協(xié)議安全混合路由協(xié)議

區(qū)域路由協(xié)議（ZRP）是一種典型的混合式路由協(xié)議，包括區(qū)域內(nèi)路由協(xié)議和區(qū)域間路由協(xié)議。ZRP將網(wǎng)絡(luò)劃分為許多小的區(qū)域，在區(qū)域內(nèi)，節(jié)點使用主動式路由協(xié)議來維護(hù)路由信息，而在區(qū)域間，節(jié)點使用反應(yīng)式路由協(xié)議，并且區(qū)域的大小可以動態(tài)地調(diào)整以適應(yīng)網(wǎng)絡(luò)的變化，所以網(wǎng)絡(luò)的整體性能可以做到很好。但ZRP并沒有解決端到端身份驗證、數(shù)據(jù)完整性和數(shù)據(jù)保密性等安全問題，因此在ZRP的基礎(chǔ)上提出了一種提供安全措施的安全混合路由協(xié)議。6.2.1安全混合路由協(xié)議安全混合路由協(xié)議在安全混合路由協(xié)議中，除了普通節(jié)點（CNs），還存在稱為認(rèn)證機構(gòu)（CAs）的可信認(rèn)證服務(wù)器，并且所有有效的CNs都知道CAs的公鑰。在CNs進(jìn)入網(wǎng)絡(luò)之前，密鑰已經(jīng)預(yù)先生成，每個CN在向相應(yīng)的CA驗證身份后即可獲得兩對私鑰和公鑰。同時，每個CN還向CA請求一個證書。節(jié)點X從與其最近的CA接受證書如下所示：其中，6.2.1安全混合路由協(xié)議

6.2.1安全混合路由協(xié)議安全區(qū)域內(nèi)路由

SIAR是一種有限深度的主動式鏈路狀態(tài)路由方法，具有附加的安全功能。為了執(zhí)行區(qū)域內(nèi)路由，每個節(jié)點定期計算到所有處于相同區(qū)域節(jié)點的路由，并在稱為SIAR路由表中維護(hù)該信息。區(qū)域1內(nèi)有節(jié)點A（后面以X表示節(jié)點X）和M、Y、P、S、R?？紤]A作為源節(jié)點，A主動地計算到M、Y、P、S和R的路由，并將路由信息存儲在SIAR路由表中，這個過程稱為主動路由計算。6.2.1安全混合路由協(xié)議安全區(qū)域內(nèi)路由在主動路由計算時，區(qū)域內(nèi)的每個節(jié)點定期廣播鏈路狀態(tài)包（LSP）。例如，A在區(qū)域1內(nèi)廣播LSP。其中，

6.2.1安全混合路由協(xié)議

6.2.1安全混合路由協(xié)議安全區(qū)域間路由

當(dāng)源節(jié)點和目標(biāo)節(jié)點不在相同的區(qū)域時，源節(jié)點在其SIAR路由表中找不到到目標(biāo)節(jié)點的路徑，此時SIER將啟動。SIER基于本地連接信息提供按需安全路由發(fā)現(xiàn)和路由維護(hù)服務(wù)。同時，SIER使用SIAR路由表來指導(dǎo)這些路由查詢。此時考慮節(jié)點A想要發(fā)送一個數(shù)據(jù)包到節(jié)點D，那么A先會在SIAR路由表中尋找到D的有效路由。但D和A不在相同的區(qū)域，A不能找到路由，此時A將采取以下步驟將數(shù)據(jù)包路由到D。6.2.2

安全LEACHLEACH協(xié)議及其漏洞LEACH協(xié)議假設(shè)網(wǎng)絡(luò)中存在兩種網(wǎng)絡(luò)節(jié)點：強大的基站和資源受限的傳感器節(jié)點。在這種網(wǎng)絡(luò)中，節(jié)點通常不直接與基站通信。一是因為這些節(jié)點發(fā)送信號的距離有限，不能直接到達(dá)基站；二是即使基站在節(jié)點的通信范圍內(nèi)，節(jié)點直接與基站通信需要消耗大量的能量。LEACH協(xié)議假設(shè)每個節(jié)點都可以通過以足夠高的功率將數(shù)據(jù)發(fā)送到基站，但直接到基站的單跳傳輸可能是高功率操作，并且考慮到網(wǎng)絡(luò)中存在數(shù)據(jù)的冗余，造成效率低下。6.2.2

安全LEACHLEACH協(xié)議及其漏洞為了解決多跳通信又會存在上述路由器節(jié)點的能量大量消耗的問題，LEACH使用了一種新的路由類型，隨著時間的推移，不斷重新隨機選擇新的節(jié)點作為路由節(jié)點，從而平衡所有網(wǎng)絡(luò)節(jié)點的能量消耗。由于這些額外的接收和轉(zhuǎn)發(fā)操作，與其他非簇頭節(jié)點相比，簇頭節(jié)點具有高得多能量消耗。為了解決這個問題，簇頭節(jié)點并不是一直是簇頭節(jié)點，而是所有節(jié)點輪流成為簇頭節(jié)點，因此用于路由的能量消耗分散在所有節(jié)點之間。使用一組隨機分布的100個節(jié)點，以及距離最近節(jié)點75m處的基站，仿真結(jié)果表明，LEACH耗費的能量是其他路由協(xié)議的八分之一。6.2.2

安全LEACHLEACH協(xié)議及其漏洞與無線傳感器網(wǎng)絡(luò)的大多數(shù)的路由協(xié)議一樣，LEACH容易受到多種安全攻擊，包括干擾、欺騙和重放攻擊等。但由于其是基于簇的協(xié)議，基本上依賴于簇頭節(jié)點進(jìn)行路由，因此涉及簇頭節(jié)點的攻擊最具破壞性。攻擊者也有可能讓路由保持正常，而試圖以某種方式將虛假數(shù)據(jù)注入網(wǎng)絡(luò)。此外，還可能遭受竊聽被動攻擊。6.2.2

安全LEACHLEACH引入安全機制

對無線傳感器網(wǎng)絡(luò)的攻擊來自外部或者內(nèi)部。在這里提出的解決方案旨在保護(hù)網(wǎng)絡(luò)免受外部攻擊，并且作出的一個相當(dāng)普通的假設(shè)是基站是可信的。首先為LEACH添加一些關(guān)鍵的安全屬性：數(shù)據(jù)身份驗證數(shù)據(jù)保密性數(shù)據(jù)完整性數(shù)據(jù)新鮮性6.2.2

安全LEACHLEACH引入安全機制

為了保證這些安全屬性，為LEACH設(shè)計安全方案，以防止攻擊者成為簇頭節(jié)點或通過假裝成為簇內(nèi)節(jié)點將虛假數(shù)據(jù)注入網(wǎng)絡(luò)，此外還保護(hù)數(shù)據(jù)不被竊聽。安全方案使用了SPINS框架，其是一套用于資源受限的無線傳感器網(wǎng)絡(luò)的輕量級安全框架。SPINS概述

SPINS由兩個為受限傳感器網(wǎng)絡(luò)優(yōu)化的安全模塊SNEP和μTESLA組成。SNEP提供節(jié)點和基站之間的保密性、身份認(rèn)證和新鮮性，μTESLA提供廣播認(rèn)證。μTESLA使用由散列函數(shù)和延遲公開密鑰構(gòu)建的單向密鑰鏈，實現(xiàn)了廣播認(rèn)證所需的不對稱性，同時，μTESLA需要時鐘同步。6.2.2

安全LEACHLEACH引入安全機制安全方案概述

防止攻擊者滲透網(wǎng)絡(luò)（成為簇頭節(jié)點或注入虛假數(shù)據(jù)）的一種簡單方法是使用全局共享密鑰進(jìn)行鏈路層加密和身份驗證。在LEACH協(xié)議中，可以使用這樣的密鑰加密所有數(shù)據(jù)，特別是adv。然而使用全局共享密鑰是危險的，單個節(jié)點被俘獲將危及整個網(wǎng)絡(luò)。為了解決這個問題，可以在小范圍內(nèi)使用該密鑰。對于adv消息，需要廣播認(rèn)證機制，即非簇頭節(jié)點能夠認(rèn)證廣播者是否是網(wǎng)絡(luò)內(nèi)特定的合法節(jié)點。公鑰系統(tǒng)對于這個目的來說是可行的，但是公鑰系統(tǒng)需要大量的資源，因此在這里并不適用。6.2.2

安全LEACH

6.2.2

安全LEACH安全LEACH協(xié)議細(xì)節(jié)安全分析簇頭節(jié)點在基于簇的協(xié)議中起著關(guān)鍵作用，因為其處理大量節(jié)點的數(shù)據(jù)并路由到基站，所以如果其行為不當(dāng)，可能會擾亂整個網(wǎng)絡(luò)區(qū)域。提出的解決方案允許對sec_adv消息進(jìn)行身份驗證，以防止攻擊者成為簇頭節(jié)點。因此，除非節(jié)點受到危害（這里不考慮內(nèi)部攻擊），否則網(wǎng)絡(luò)是受保護(hù)的，不會遭到選擇性轉(zhuǎn)發(fā)、黑洞攻擊和泛洪攻擊。在此解決方案中，并不阻止攻擊者加入簇。從消息來源真實性的角度來看，這種預(yù)防措施并非嚴(yán)格必要，因為攻擊者在穩(wěn)定階段發(fā)送的數(shù)據(jù)將不會通過基站的驗證6.2.3

基于信任的安全RPL路由協(xié)議

RPL路由協(xié)議RPL路由協(xié)議的工作方式是一旦開始運行就發(fā)現(xiàn)路徑，這種特性使其可以被歸類為主動路由協(xié)議。在啟動時，RPL路由協(xié)議會創(chuàng)建一個有向無環(huán)圖（DAG）的樹狀結(jié)構(gòu)，并且RPL路由協(xié)議將此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)維護(hù)為一種類似于圖的結(jié)構(gòu)，稱為面向目的地的有向無環(huán)圖（DODAG）。DODAG的構(gòu)建過程：6.2.3

基于信任的安全RPL路由協(xié)議

RPL路由協(xié)議在RPL路由協(xié)議中存在Trickle定時機制，Trickle定時機制使得網(wǎng)絡(luò)內(nèi)節(jié)點在間隔一定時間后廣播DIO信息來對DODAG進(jìn)行維護(hù)更新。具體的節(jié)點被維護(hù)進(jìn)DODAG的過程：6.2.3

基于信任的安全RPL路由協(xié)議RPL路由協(xié)議當(dāng)前的RPL路由協(xié)議通常在預(yù)配置設(shè)備的應(yīng)用程序中使用密鑰管理，通過密鑰對加入網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗證。但在IETFROLL工作組規(guī)定的RPL路由協(xié)議存在一個安全缺陷，即缺乏安全關(guān)鍵任務(wù)中設(shè)備節(jié)點之間的身份驗證和和安全網(wǎng)絡(luò)連接規(guī)范，這使得設(shè)備節(jié)點可能受到攻擊。針對RPL路由協(xié)議受到的Rank攻擊和女巫攻擊，一種方法是引入信任機制。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制基于信任機制的路由安全早已被提出，并被證明是開發(fā)穩(wěn)定和安全的網(wǎng)絡(luò)配置的一個重要概念。在安全路由的研究中，基于信任的方法是一個研究熱點，通常通過計算節(jié)點的可信任性，進(jìn)而根據(jù)可信任性選擇路由節(jié)點實現(xiàn)路由安全。節(jié)點的可信任性取決于節(jié)點在網(wǎng)絡(luò)中對其鄰居的行為，這些行為經(jīng)過經(jīng)驗量化和累計聚合，得到一個加權(quán)值作為其在網(wǎng)絡(luò)中的信任等級的表示。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制在這里介紹一種簡單的基于信任的安全RPL路由機制，主要思路是計算得到相鄰節(jié)點的信任值，在之后進(jìn)行DODAG維護(hù)時，將計算得到的相應(yīng)信任值作為RPL路由協(xié)議目標(biāo)函數(shù)的一個參數(shù)，使得信任值高的節(jié)點成為父節(jié)點的概率更大，相應(yīng)地，信任值低的節(jié)點成為父節(jié)點的概率更小，從而信任值高的節(jié)點能夠參與后續(xù)路由，信任值低的節(jié)點被從網(wǎng)絡(luò)中隔離出來。具體的信任機制如圖所示。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制直接信任（DT）直接信任的評估是在鄰居的直接觀察下進(jìn)行的。網(wǎng)絡(luò)中的每個節(jié)點都會監(jiān)視其鄰居的行為，并查看其行為是否符合RPL路由協(xié)議或者偏離RPL路由協(xié)議。節(jié)點i對另一個節(jié)點j的直接信任是通過監(jiān)視節(jié)點j發(fā)送的信息，具體而言，節(jié)點i會進(jìn)行如下的轉(zhuǎn)發(fā)檢查：節(jié)點i向節(jié)點j發(fā)送數(shù)據(jù)包后，節(jié)點i將其收發(fā)器設(shè)置為空閑監(jiān)聽模式。所有的單跳鄰居都由其對應(yīng)的節(jié)點監(jiān)控，以檢查它們是否將收到的信息轉(zhuǎn)發(fā)到正確的路徑上。直接信任的計算為：6.2.3

基于信任的安全RPL路由協(xié)議

綜合信任的計算公式如下：6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制間接信任（IT）假設(shè)在DODAG的路由維護(hù)過程中，節(jié)點j已經(jīng)被維護(hù)進(jìn)DODAG中，但節(jié)點i還沒有被維護(hù)進(jìn)DODAG中。此時節(jié)點j廣播DIO信息，節(jié)點i收到廣播的DIO信息，結(jié)合對節(jié)點j的信任值和能量等因素，判斷是否選擇節(jié)點j作為其父節(jié)點。6.2.3

基于信任的安全RPL路由協(xié)議

對攻擊的抵抗根據(jù)信任的機理，只要惡意節(jié)點在網(wǎng)絡(luò)中展現(xiàn)出反常的行為并被觀察到，其它節(jié)點對此惡意節(jié)點的信任會降低。在理想的情況下，經(jīng)過一段時間后，惡意節(jié)點只會成為最末端的葉子節(jié)點，不會成為任何節(jié)點的父節(jié)點。對于RPL路由協(xié)議的Rank攻擊，惡意節(jié)點改變其Rank值不是目的，其最終目的是破壞信息的傳輸。本章小結(jié)本章介紹了工業(yè)互聯(lián)網(wǎng)中無線網(wǎng)絡(luò)的路由安全。首先介紹了路由的分類，主要可分為基于拓?fù)涞穆酚蓞f(xié)議和基于位置的路由協(xié)議兩大類。介紹了幾種常見的針對路由的攻擊，如選擇性轉(zhuǎn)發(fā)攻擊、女巫攻擊、黑洞攻擊和Hello泛洪攻擊等。接下來研究了兩種基于不同機制的安全路由協(xié)議，基于信任的安全RPL路由協(xié)議和安全混合路由協(xié)議?；谛湃蔚陌踩玆PL路由協(xié)議綜合直接信任和間接信任，選擇信任值高的節(jié)點進(jìn)行路由，達(dá)到安全路由的目的。安全混合路由協(xié)議則利用對稱加密和非對稱加密的密碼方法確保路由過程不會被破壞。本章習(xí)題1．一種路由在設(shè)計時需要考慮哪些因素？2.簡要介紹一種對路由的攻擊。3.信任機制在安全路由中如何發(fā)揮作用？4.在安全混合路由協(xié)議中，惡意節(jié)點能否不從認(rèn)證機構(gòu)獲得證書，而直接偽裝成正常節(jié)點進(jìn)入網(wǎng)絡(luò)？并說明為什么。5.簡述安全LEACH如何增加安全性。工業(yè)互聯(lián)網(wǎng)安全技術(shù)第7章密碼學(xué)基礎(chǔ)7.1入侵檢測系統(tǒng)概述7.2入侵檢測方法和DDoS攻擊7.3

數(shù)據(jù)完整性算法第7章入侵檢測學(xué)習(xí)要求

知識要點能力要求入侵檢測概述和入侵檢測系統(tǒng)分類（1）了解入侵檢測目的（2）熟悉不同入侵檢測系統(tǒng)的特點（3）熟悉不同入侵檢測系統(tǒng)的原理入侵檢測方法和DDoS攻擊（1）掌握基于模式匹配的入侵檢測算法的原理（2）掌握基于貝葉斯推理的入侵檢測算法的原理（3）了解基于深度學(xué)習(xí)的入侵檢測算法的原理（4）熟悉DDoS攻擊工業(yè)SDN環(huán)境下DDoS攻擊檢測方法（1）了解工業(yè)SDN（2）熟悉基于特征熵值和決策樹算法的DDoS攻擊檢測方法7.1.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)是一種有效且功能強大的網(wǎng)絡(luò)安全系統(tǒng)，用于檢測未經(jīng)授權(quán)和異常的網(wǎng)絡(luò)流量。入侵檢測系統(tǒng)通常包含兩種類型的組件：數(shù)據(jù)收集組件和數(shù)據(jù)分析組件。其中，數(shù)據(jù)收集組件負(fù)責(zé)監(jiān)視和收集整個網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)，數(shù)據(jù)分析組件負(fù)責(zé)分析收集的數(shù)據(jù)并檢測惡意活動。7.1.2入侵檢測系統(tǒng)分類入侵檢測系統(tǒng)分類

根據(jù)入侵檢測系統(tǒng)兩種類型的組件可以對入侵檢測系統(tǒng)進(jìn)行分類，根據(jù)入侵檢測系統(tǒng)數(shù)據(jù)收集的來源，可分為基于主機的入侵檢測系統(tǒng)（HIDS）、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）和混合式入侵檢測系統(tǒng)；而根據(jù)入侵檢測系統(tǒng)數(shù)據(jù)分析方法，又可分為異常入侵檢測系統(tǒng)和誤用入侵檢測系統(tǒng)。采用哪種入侵檢測系統(tǒng)需要根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和特點選擇。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)收集來源的入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)（HIDS）HIDS通常被部署在被保護(hù)的主機上，并且檢測的數(shù)據(jù)也來自被保護(hù)的主機。HIDS實時地對檢測的數(shù)據(jù)進(jìn)行分析，當(dāng)檢測到入侵行為時及時報告。以下是HIDS的一些優(yōu)點：HIDS可以監(jiān)控所有用戶的活動，而在NIDS中這是幾乎不可能的。HIDS可以很容易地安裝在主機設(shè)備上，故不需要額外的硬件資源。在一些場景中如移動自組織網(wǎng)絡(luò)中，節(jié)點會移動進(jìn)而導(dǎo)致網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化，但HIDS不會受到這種變化的影響。通常主機的處理能力較強，因此部署在主機上的HIDS對數(shù)據(jù)的分析效率較高。HIDS檢測的數(shù)據(jù)通常不是加密的數(shù)據(jù)，故適合加密環(huán)境。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)收集來源的入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)（HIDS）以下是HIDS的一些缺點：HIDS受益于主機較強的處理能力，但HIDS會占用主機的資源，進(jìn)而會對主機的性能造成一定的影響。不同的操作系統(tǒng)的環(huán)境不同，其提供HIDS所需的數(shù)據(jù)格式也不同，因此對于每一種操作系統(tǒng)，都需要開發(fā)相對應(yīng)的HIDS。HIDS依賴于主機所提供的數(shù)據(jù)，如果入侵者通過其他漏洞獲得主機的管理權(quán)限，那么HIDS將失去作用。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)收集來源的入侵檢測系統(tǒng)分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS以網(wǎng)絡(luò)數(shù)據(jù)包作為其檢測數(shù)據(jù)源。以下是NIDS的一些優(yōu)點：NIDS通常不會部署在重要的主機上，那么NIDS運行時就不會影響主機的性能。相比于主機的檢測數(shù)據(jù)源，NIDS通過檢測網(wǎng)絡(luò)數(shù)據(jù)，能檢測到HIDS檢測不到的入侵行為。NIDS采集數(shù)據(jù)不會在網(wǎng)絡(luò)上留下痕跡，進(jìn)而隱蔽性好。其缺點有：當(dāng)網(wǎng)絡(luò)流量大時，NIDS可能不足以處理所有網(wǎng)絡(luò)數(shù)據(jù)，尤其是在如今的網(wǎng)絡(luò)數(shù)據(jù)愈發(fā)龐大的背景下，這對NIDS是一個考驗。對于加密的會話過程，很難從中檢測到入侵行為。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)收集來源的入侵檢測系統(tǒng)分類混合式入侵檢測系統(tǒng)當(dāng)同時以主機審計數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)包作為入侵檢測數(shù)據(jù)源，就可兼具HIDS和NIDS兩者的一些優(yōu)點，同時又可互補兩者的缺點，此即為混合式入侵檢測系統(tǒng)。DIDS控制器由三個主要組件組成，分別是通信管理器、專家系統(tǒng)和用戶界面。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)分析方法的入侵檢測系統(tǒng)分類異常入侵檢測系統(tǒng)異常入侵檢測系統(tǒng)是基于行為的檢測，其基本前提是在審計數(shù)據(jù)中有內(nèi)在的特征或者規(guī)律，這些特征或規(guī)律與正常行為相一致，區(qū)別于異常行為。其局限是容易出現(xiàn)漏報和誤報。在各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強的條件下，異常檢測的判斷標(biāo)準(zhǔn)就會不夠精確。7.1.2入侵檢測系統(tǒng)分類根據(jù)數(shù)據(jù)分析方法的入侵檢測系統(tǒng)分類誤用入侵檢測系統(tǒng)誤用入侵檢測系統(tǒng)是基于知識的檢測，其前提是所有的入侵行為都有可被檢測到的特征。通過對已知攻擊行為的研究，提取已知攻擊的特征集合，對已知的攻擊行為定義為入侵模式。再對系統(tǒng)和用戶的行為活動進(jìn)行檢測，和預(yù)定義的入侵模式進(jìn)行特征匹配，根據(jù)已有的特征知識庫判斷其是否滿足入侵模式，從而發(fā)現(xiàn)并識別攻擊入侵行為。第7章密碼學(xué)基礎(chǔ)7.1入侵檢測系統(tǒng)概述7.2入侵檢測方法和DDoS攻擊7.3

數(shù)據(jù)完整性算法7.2.1基于模式匹配的入侵檢測算法

7.2.1基于模式匹配的入侵檢測算法基于模式匹配的入侵檢測算法BF算法BF算法是一種簡單粗暴的字符串匹配算法，BF算法的思想是使用模式串P與字符串T從頭開始比較，當(dāng)不匹配時，再使用模式串P與字符串T上一次比較的下一位開始比較，重復(fù)這個過程直到匹配成功或?qū)φ麄€字符串T比較結(jié)束。

7.2.1基于模式匹配的入侵檢測算法基于模式匹配的入侵檢測算法KMP算法KMP算法是對BF算法的改進(jìn)，其目的是盡量減少模式串P與字符串T的比較次數(shù)以達(dá)到快速匹配的目的。在KMP算法中會跳過那些絕對不可能成功的字符，這要求事先計算出模式串的內(nèi)部匹配信息，在與字符串的匹配失敗時最大限度地向后移動以減少匹配次數(shù)。

7.2.2基于貝葉斯推理的入侵檢測算法

7.2.2基于貝葉斯推理的入侵檢測算法

此時考慮特征之間相互獨立，則有進(jìn)而有7.2.2基于貝葉斯推理的入侵檢測算法基于貝葉斯推理的入侵檢測算法在取相應(yīng)特征值的條件下，發(fā)生入侵的概率與未發(fā)生入侵的概率的比值。通過上式也可觀察到需要事先統(tǒng)計過去發(fā)生入侵的概率、未發(fā)生入侵的概率以及入侵和未入侵時各特征的條件概率。在入侵檢測系統(tǒng)運行的同時，此時的數(shù)據(jù)也可作為統(tǒng)計值，使得系統(tǒng)繼續(xù)學(xué)習(xí)。通常各特征間并不獨立，特征之間有一定聯(lián)系，這會使得檢測結(jié)果不準(zhǔn)確，因此，在選擇特征時，進(jìn)行特征間的相關(guān)性分析是很有必要的。7.2.3基于深度學(xué)習(xí)的入侵檢測算法基于深度學(xué)習(xí)的入侵檢測算法近些年來，深度學(xué)習(xí)技術(shù)快速發(fā)展并在很多領(lǐng)域應(yīng)用和取得了很好的效果，深度學(xué)習(xí)很好地適用于分類問題，而入侵檢測的任務(wù)即是判斷當(dāng)前的網(wǎng)絡(luò)行為是正常的還是異常的，這使得用深度學(xué)習(xí)來進(jìn)行入侵檢測是一種可行的方法，并已被證明可以處理入侵檢測問題。實際上，基于深度學(xué)習(xí)的入侵檢測是最有潛力的一種入侵檢測技術(shù)，相比于傳統(tǒng)的入侵檢測算法，其可以具有更好的泛化能力和更強的魯棒性。在基于深度學(xué)習(xí)的入侵檢測中，影響檢測結(jié)果準(zhǔn)確性主要有兩個因素：深度學(xué)習(xí)算法和數(shù)據(jù)集。7.2.3基于深度學(xué)習(xí)的入侵檢測算法基于深度學(xué)習(xí)的入侵檢測算法

深度學(xué)習(xí)算法循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）RNN可以被視為前饋ANN的增強版本，其可以記住在每個時間步處理的數(shù)據(jù)以計算后續(xù)結(jié)果。生成式對抗網(wǎng)絡(luò)（GAN）經(jīng)過訓(xùn)練后，GAN能夠?qū)W習(xí)數(shù)據(jù)的分布并生成可用作真實數(shù)據(jù)的合成數(shù)據(jù)實例。卷積神經(jīng)網(wǎng)絡(luò)（CNN）CNN主要用于圖像處理領(lǐng)域，但其也可以應(yīng)用于入侵檢測和其它領(lǐng)域。由于CNN對二維數(shù)據(jù)進(jìn)行處理，因此當(dāng)將CNN應(yīng)用到入侵檢測時，需要將輸入數(shù)據(jù)轉(zhuǎn)換為矩陣。7.2.3基于深度學(xué)習(xí)的入侵檢測算法基于深度學(xué)習(xí)的入侵檢測算法

數(shù)據(jù)集KDDCUP99KDDCUP99數(shù)據(jù)集是從一個模擬的美國空軍局域網(wǎng)上采集來的9個星期的網(wǎng)絡(luò)數(shù)據(jù)，共計約700萬條記錄，分為具有標(biāo)識的訓(xùn)練數(shù)據(jù)和未加標(biāo)識的測試數(shù)據(jù)。NSL-KDD由于NSL-KDD是采自模擬的網(wǎng)絡(luò)數(shù)據(jù)，其并不能反映真實的網(wǎng)絡(luò)數(shù)據(jù)。盡管如此，NSL-KDD仍然是評價入侵檢測效果的一種基準(zhǔn)數(shù)據(jù)庫。CIC-IDS-2017CIC-IDS-2017數(shù)據(jù)集包括了各種最新的攻擊方法，可分為7種攻擊類型：暴力破解攻擊、心血漏洞攻擊、僵尸網(wǎng)絡(luò)攻擊、DoS攻擊、DDoS）、攻擊、Web攻擊和滲透攻擊。7.2.4DDoS攻擊DDoS攻擊DDoS攻擊可以大致分為兩大類，即傳輸層/網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊，前一種攻擊使用SYN、ICMP、ACK、UDP以及DNS數(shù)據(jù)包來發(fā)起DDoS攻擊，通過消耗受攻擊設(shè)備的網(wǎng)絡(luò)帶寬來干擾合法的用戶連接請求，攻擊者可以使用直接的泛洪攻擊或基于反射的泛洪攻擊。應(yīng)用層攻擊主要以消耗CPU資源、存儲資源的方式影響合法用戶的請求，通常攻擊者通過泛洪請求或慢速請求發(fā)起攻擊。7.2.4DDoS攻擊DDoS攻擊按照不同的分類方式，DDoS攻擊可分為以下幾類：按攻擊機制分類帶寬攻擊帶寬攻擊的攻擊原理是通過占用網(wǎng)絡(luò)帶寬或向網(wǎng)絡(luò)路由設(shè)備發(fā)送大量數(shù)據(jù)包，將這些虛假的數(shù)據(jù)包發(fā)送到指定的攻擊目標(biāo)設(shè)備處。漏洞攻擊漏洞攻擊利用網(wǎng)絡(luò)協(xié)議或軟件漏洞實現(xiàn)攻擊，漏洞攻擊不需要像帶寬攻擊一樣發(fā)送大量的數(shù)據(jù)包，只需要向被攻擊者發(fā)送少量畸形數(shù)據(jù)包就可使其產(chǎn)生異常，甚至崩潰以實現(xiàn)攻擊目的。7.2.4DDoS攻擊DDoS攻擊按攻擊目標(biāo)分類網(wǎng)絡(luò)鏈路型攻擊網(wǎng)絡(luò)鏈路型攻擊主要通過占用網(wǎng)絡(luò)帶寬來消耗網(wǎng)絡(luò)固定資源，造成網(wǎng)絡(luò)中的正常服務(wù)請求被堆積在請求隊列中，服務(wù)器不能及時響應(yīng)并處理合法請求，達(dá)到拒絕服務(wù)的目的。節(jié)點型攻擊節(jié)點型攻擊主要通過消耗節(jié)點資源來進(jìn)行攻擊，攻擊者向目標(biāo)服務(wù)器發(fā)送超出其處理能力范圍的偽裝請求，使正常請求得不到響應(yīng)，從而影響網(wǎng)絡(luò)正常服務(wù)。7.2.4DDoS攻擊DDoS攻擊按攻擊路徑分類直接攻擊攻擊者直接控制代理端向目標(biāo)主機發(fā)起攻擊，從而耗盡其網(wǎng)絡(luò)帶寬、關(guān)鍵資源，攻擊數(shù)據(jù)包的類型包括TCP、ICMP、UDP，或者混合的數(shù)據(jù)包，實施攻擊的方法包括SYN泛洪攻擊，RST泛洪攻擊和ICMP泛洪攻擊。反射攻擊攻擊者不直接攻擊目標(biāo)服務(wù)器，而利用虛假IP向受害主機發(fā)送數(shù)據(jù)包，一般為虛假源IP地址。反射攻擊通過間接使用反射器(如路由器)，有目的的發(fā)起攻擊。7.2.4DDoS攻擊DDoS攻擊按網(wǎng)絡(luò)協(xié)議所在層級網(wǎng)絡(luò)/傳輸層DDoS攻擊這類攻擊通常利用TCP、UDP、ICMP及DNS數(shù)據(jù)包，攻擊方式有泛洪攻擊、協(xié)議利用泛洪攻擊、基于反射的泛洪攻擊、基于放大的泛洪攻擊。應(yīng)用層DDoS攻擊這類攻擊通過消耗服務(wù)器資源來干擾合法用戶的服務(wù)（如CPU、存儲、帶寬等)，應(yīng)用層DDoS攻擊相比網(wǎng)絡(luò)層/傳輸層DDoS攻擊占用較少的帶寬，但對應(yīng)用服務(wù)來說也有同樣的危害，攻擊方式包括會話泛洪攻擊、請求泛洪攻擊、不對稱攻擊以及低速請求/響應(yīng)攻擊。第7章密碼學(xué)基礎(chǔ)7.1入侵檢測系統(tǒng)概述7.2入侵檢測方法和DDoS攻擊7.3

數(shù)據(jù)完整性算法7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDNSDN技術(shù)是實現(xiàn)工業(yè)互聯(lián)網(wǎng)發(fā)展的必要前提，工業(yè)SDN架構(gòu)如圖所示。在工業(yè)SDN架構(gòu)中，接入網(wǎng)絡(luò)主要分為工業(yè)有線接入網(wǎng)絡(luò)與工業(yè)無線接入網(wǎng)絡(luò)，工業(yè)SDN控制器與接入網(wǎng)絡(luò)的系統(tǒng)管理器之間通過交互可實現(xiàn)不同接入網(wǎng)絡(luò)之間的信息傳輸共享。工業(yè)SDN架構(gòu)從上至下分為應(yīng)用層、控制層、數(shù)據(jù)層與現(xiàn)場設(shè)備。7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDN應(yīng)用層包括SDN控制軟件和防DDoS攻擊應(yīng)用管理軟件?？刂茖影⊿DN控制器、工業(yè)接入網(wǎng)絡(luò)系統(tǒng)管理器。數(shù)據(jù)層包括SDN交換機和工業(yè)接入網(wǎng)網(wǎng)絡(luò)設(shè)備。7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDN有線網(wǎng)絡(luò)環(huán)境下DDoS攻擊場景在工業(yè)SDN架構(gòu)中，當(dāng)有線接入網(wǎng)絡(luò)中的現(xiàn)場設(shè)備被攻擊者控制，攻擊者通過這些設(shè)備向轉(zhuǎn)發(fā)平面的OpenFlow交換機發(fā)送大量的數(shù)據(jù)流，從而爆發(fā)DDoS攻擊，此時的攻擊場景如圖所示。7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDN有線網(wǎng)絡(luò)環(huán)境下DDoS攻擊場景此時當(dāng)SDN控制器下發(fā)流表模式不同，受攻擊影響的設(shè)備也有區(qū)別。當(dāng)SDN控制器決策機制是主動（主動向OpenFlow交換機下發(fā)流表)，此時來自底層設(shè)備的大量數(shù)據(jù)流造成SDN交換機處無法匹配的數(shù)據(jù)流個數(shù)激增，從而使得SDN交換機資源被消耗，對工業(yè)網(wǎng)絡(luò)正常數(shù)據(jù)流量的處理變慢甚至癱瘓。7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDN無線網(wǎng)絡(luò)環(huán)境下DDoS攻擊場景其中部分工業(yè)網(wǎng)無線協(xié)議不支持IPv6協(xié)議，如WirelessHART、WIA-PA，因此在實現(xiàn)SDN控制器與不同區(qū)域的工業(yè)現(xiàn)場控制網(wǎng)絡(luò)之間的無縫連接時，需要利用SDN控制器獲取不支持IPv6的工業(yè)無線協(xié)議的特征字段。工業(yè)SDN無線網(wǎng)絡(luò)環(huán)境下的DDoS攻擊場景如圖所示。7.3.1工業(yè)SDN及DDoS攻擊場景工業(yè)SDN無線網(wǎng)絡(luò)環(huán)境下DDoS攻擊場景該場景主要是針對在工業(yè)無線網(wǎng)絡(luò)中發(fā)生的DDoS攻擊，圖中假設(shè)攻擊來自工業(yè)無線網(wǎng)絡(luò)2，通過工業(yè)SDN控制器與接入網(wǎng)絡(luò)系統(tǒng)管理器配合使用，保證攻擊的準(zhǔn)確檢測，并及時隔離攻擊源頭，從而保證網(wǎng)絡(luò)安全。工業(yè)無線網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備受到泛洪攻擊時，OpenFlow交換機存在大量無法匹配流表項的數(shù)據(jù)流，致使該OpenFlow交換機負(fù)荷過重，此時利用DDoS攻擊檢測與緩解模塊，盡快找出工業(yè)無線網(wǎng)絡(luò)中的攻擊源頭。同時完成SDN控制器東西向的報文控制，對工業(yè)無線網(wǎng)絡(luò)系統(tǒng)管理器發(fā)送命令，系統(tǒng)管理器隔離攻擊源重新分配網(wǎng)絡(luò)資源，從而阻斷DDoS攻擊，恢復(fù)網(wǎng)絡(luò)正常運行。7.3.2方案整體設(shè)計方案整體設(shè)計針對工業(yè)SDN環(huán)境下DDoS攻擊檢測，提出了一種引入攻擊檢測模塊的工業(yè)SDN安全架構(gòu)，攻擊檢測模塊根據(jù)工業(yè)SDN控制器狀態(tài)監(jiān)測信息，分析工業(yè)網(wǎng)絡(luò)發(fā)給OpenFlow交換機的實時數(shù)據(jù)并提取相應(yīng)數(shù)據(jù)特征，判斷是否受到DDoS攻擊，安全架構(gòu)圖如圖所示。7.3.2方案整體設(shè)計方案整體設(shè)計單獨使用信息熵判斷是否發(fā)生DDoS攻擊的檢測方法不能排除網(wǎng)絡(luò)正常流量突增的情況，因此在進(jìn)行DDoS攻擊檢測時將在信息熵值作為預(yù)判條件下進(jìn)一步提取流條目信息特征，利用決策樹算法進(jìn)行進(jìn)一步檢測，從而使DDoS攻擊檢測結(jié)果更準(zhǔn)確。網(wǎng)絡(luò)模塊之間交互觸發(fā)的宏觀流程圖如圖所示。7.3.3基于流表特征熵值計算的DDoS攻擊檢測模型流表項特征選擇首先本方法在計算信息熵值時對8元組流表項特征進(jìn)行離散化處理，對于有序分類變量可以直接利用劃分后的數(shù)值，將三種不同的特征表現(xiàn)直接賦值為(0，1，2)三個數(shù)值，對流表項的8元組特征離散取值情況如表所示。流量特征

特征表現(xiàn)值012源IP地址已知常見變化隨即弱變化隨機強TCP源端口已知常見變化隨即弱變化隨機強UDP源端口已知常見變化隨即弱變化隨機強網(wǎng)絡(luò)協(xié)議類型工業(yè)有線協(xié)議支持IPv6的工業(yè)無線協(xié)議不支持IPv6的工業(yè)無線協(xié)議源設(shè)備ID已知常見變化隨即弱變化隨機強源MAC地址已知常見變化隨即弱變化隨機強節(jié)點發(fā)包頻率發(fā)包頻率滿發(fā)包頻率適中發(fā)包頻率快???&???都在閾值內(nèi)其中一個在閾值內(nèi)都不在閾值內(nèi)工業(yè)SDN下流量特征表現(xiàn)取值表7.3.3基于流表特征熵值計算的DDoS攻擊檢測模型流表項特征選擇所選取的流量特征的連續(xù)性及離散程度不一致，因此在取值表中把特征表現(xiàn)分為3個等級(0，1，2)，主要用來區(qū)分較為連續(xù)的變量。除“網(wǎng)絡(luò)協(xié)議類型”特征是用來定位攻擊使用的，其他流表特征等級越高，則表示流量特征越接近DDoS攻擊（源地址欺騙且不停變化的攻擊）發(fā)生時的攻擊數(shù)據(jù)流特征。

7.3.3基于流表特征熵值計算的DDoS攻擊檢測模型基于流表特征熵值計算的DDoS攻擊預(yù)判機制設(shè)計基于流表特征熵值計算的DDoS攻擊預(yù)判機制主要分為流表信息收集、流表信息特征分析、流表信息熵值計算和攻擊預(yù)警四個步驟。

具體步驟如下：步驟一：流表信息收集步驟二：流表信息特征分析步驟三：流表信息熵值計算步驟四：分析8個流表項特征信息熵值，若熵值出現(xiàn)異常超過閾值，則發(fā)出DDoS攻擊預(yù)警，并將信息熵值作為決策樹算法檢測機制的輸入。7.3.4基于決策樹算法的DDoS攻擊檢測模型決策樹算法分析決策樹算法是機器學(xué)習(xí)領(lǐng)域的一大算法，決策樹采用樹形結(jié)構(gòu)，基于數(shù)據(jù)特征將樣本實例進(jìn)行分類。具有分類速度快、可視性強的優(yōu)點。工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)流相比于傳統(tǒng)IT網(wǎng)絡(luò)數(shù)據(jù)流而言沒有那么龐大，利用決策樹可在檢測時間方面節(jié)省大量開銷，且準(zhǔn)確率也保持較高水平。C4.5是一個使用較多的分類決策樹算法，采用信息增益率選擇屬性節(jié)點，可處理連續(xù)數(shù)據(jù)，數(shù)據(jù)可有缺失，分類規(guī)則易于理解，準(zhǔn)確率較高。

7.3.4基于決策樹算法的DDoS攻擊檢測模型

7.3.4基于決策樹算法的DDoS攻擊檢測模型決策樹算法分析C4.5決策樹算法具體步驟如下：計算信息增益

按屬性A劃分?jǐn)?shù)據(jù)集S的信息增益Gain(S，A)為樣本集S的熵減去按屬性A劃分S后的樣本子集的熵，即：分裂信息信息增益率7.3.4基于決策樹算法的DDoS攻擊檢測模型基于決策樹的DDoS攻擊檢測模型設(shè)計基于決策樹的DDoS攻擊檢測模型主要分為兩部分，一部分是訓(xùn)練集，另一部分是測試集，訓(xùn)練集用于學(xué)習(xí)網(wǎng)絡(luò)的實時流量信息或公開的用于攻擊檢測的數(shù)據(jù)集，從而建立分類檢測模型，而測試集主要是利用已建立好的分類檢測模型進(jìn)行現(xiàn)實流量的檢測，以此判斷是否存在攻擊的發(fā)生。7.3.4基于決策樹算法的DDoS攻擊檢測模型基于決策樹的DDoS攻擊檢測模型設(shè)計針對工業(yè)SDN的攻擊流量數(shù)據(jù)集還沒有針對性強的公開數(shù)據(jù)集，因此，本方案通過網(wǎng)絡(luò)實際運行后所采集的數(shù)據(jù)集進(jìn)行研究，包括正常數(shù)據(jù)流量與模擬攻擊后的攻擊數(shù)據(jù)流，將獲取的實際運行的網(wǎng)絡(luò)流量預(yù)處理，得到流表的8元組信息，用于訓(xùn)練建立決策樹分類模型。在進(jìn)行C4.5算法建立決策樹前，需要先給出訓(xùn)練集，通過對數(shù)據(jù)流進(jìn)行采集、提取關(guān)鍵信息，并標(biāo)記數(shù)據(jù)流所屬分類。通過訓(xùn)練數(shù)據(jù)集建立好決策樹模型后，就可用該模型對測試集預(yù)測判斷，最后輸出攻擊流表信息，進(jìn)而采取緩解措施緩解DDoS攻擊。本章小結(jié)

本章首先介紹了入侵檢測的概念和入侵檢測系統(tǒng)的分類，根據(jù)數(shù)據(jù)收集來源的不同，入侵檢測系統(tǒng)可分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合式入侵檢測系統(tǒng)。根據(jù)數(shù)據(jù)分析方法的不同，入侵檢測系統(tǒng)可分為異常入侵檢測系統(tǒng)和誤用入侵檢測系統(tǒng)，前者需要建立一個正常行為輪廓，后者需要建立一個已知入侵攻擊模式庫，兩者特點具有互補性。隨后介紹了三種入侵檢測方法和常見且難以防范的DDoS攻擊，給出了基于模式匹配的入侵檢測和基于貝葉斯推理的入侵檢測的原理，概要介紹了基于深度學(xué)習(xí)的入侵檢測的算法和數(shù)據(jù)集。最后介紹了一種工業(yè)SDN環(huán)境下DDoS攻擊檢測方法，給出了方案的整體設(shè)計和具體檢測細(xì)節(jié)。本章習(xí)題1.入侵檢測系統(tǒng)與其它網(wǎng)絡(luò)安全措施的區(qū)別？2.異常入侵檢測系統(tǒng)和誤用入侵檢測系統(tǒng)分別需要哪些關(guān)鍵信息？3.誤用入侵檢測系統(tǒng)為什么誤報率較低，漏報率較高？4.基于模式匹配的入侵檢測算法有什么特點？5.在基于貝葉斯推理的入侵檢測算法中，為什么需要考慮各個異常值之間的獨立性？工業(yè)互聯(lián)網(wǎng)安全技術(shù)第8章工業(yè)互聯(lián)網(wǎng)安全系統(tǒng)設(shè)計8.1工業(yè)互聯(lián)網(wǎng)設(shè)備層安全設(shè)計8.2工業(yè)互聯(lián)網(wǎng)邊緣層安全設(shè)計8.3工業(yè)互聯(lián)網(wǎng)傳輸層安全設(shè)計8.4工業(yè)互聯(lián)網(wǎng)平臺層安全設(shè)計8.5安全防護(hù)產(chǎn)品第5章認(rèn)證機制學(xué)習(xí)要求

知識要點能力要求工業(yè)互聯(lián)網(wǎng)安全系統(tǒng)設(shè)計概述（1）掌握工業(yè)互聯(lián)網(wǎng)安全系統(tǒng)設(shè)計的思路工業(yè)互聯(lián)網(wǎng)設(shè)備層安全設(shè)計（1）了解設(shè)備層面臨的安全挑戰(zhàn)（2）掌握設(shè)備層的安全設(shè)計原則（3）掌握設(shè)備層的安全防護(hù)機制（4）了解設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法工業(yè)互聯(lián)網(wǎng)邊緣層安全設(shè)計（1）了解邊緣層面臨的安全挑戰(zhàn)（2）掌握邊緣層的安全設(shè)計原則（3）掌握邊緣層的安全防護(hù)機制（4）了解設(shè)計實例—工業(yè)云環(huán)境下邊緣測數(shù)據(jù)保護(hù)機制（5）了解設(shè)計實例—基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法工業(yè)互聯(lián)網(wǎng)傳輸層安全設(shè)計（1）了解傳輸層面臨的安全挑戰(zhàn)（2）掌握傳輸層的安全設(shè)計原則（3）掌握傳輸層的安全防護(hù)機制（4）了解設(shè)計實例—基于SDN的物聯(lián)網(wǎng)訪問控制方法工業(yè)互聯(lián)網(wǎng)平臺層安全設(shè)計（1）了解平臺層面臨的安全挑戰(zhàn)（2）掌握平臺層的安全設(shè)計原則（3）掌握平臺層的安全防護(hù)機制（4）了解設(shè)計實例—基于IPv6的手機產(chǎn)品驗證自動化生產(chǎn)線試驗驗證子平臺8.1.1設(shè)備層面臨的安全挑戰(zhàn)設(shè)備層面臨的安全挑戰(zhàn)工業(yè)無線網(wǎng)絡(luò)傳輸介質(zhì)固有的開放性和移動設(shè)備存儲資源及計算資源的局限性，特別是在工業(yè)現(xiàn)場惡劣的環(huán)境中，不僅要面對有線網(wǎng)絡(luò)環(huán)境下的所有安全威脅，而且還要面對新出現(xiàn)的專門針對工業(yè)無線環(huán)境的安全威脅。很多國家的工業(yè)控制系統(tǒng)和現(xiàn)場設(shè)備已經(jīng)運行了15~30年，這樣的系統(tǒng)和現(xiàn)場設(shè)備比較難以維護(hù)。IT部門和IT安全團(tuán)隊很少參與工業(yè)控制系統(tǒng)和現(xiàn)場設(shè)備的采購、安裝和管理。工業(yè)控制系統(tǒng)一般是與其控制的設(shè)備一起購買的，因此它們的安裝、配置和運行都是由工廠工程師現(xiàn)場完成，不是安全團(tuán)隊部門負(fù)責(zé)。這意味著，安全團(tuán)隊對控制系統(tǒng)的情況毫不知情，更無法建立系統(tǒng)的詳細(xì)目錄。8.1.2安全設(shè)計原則安全設(shè)計原則工業(yè)設(shè)備及現(xiàn)場網(wǎng)絡(luò)的安全機制應(yīng)注意以下幾個問題：設(shè)計的安全防護(hù)機制應(yīng)盡量安全和易于實施。由于節(jié)點資源有限的特點，應(yīng)盡量地使用基于對稱密鑰的密鑰管理機制。設(shè)計冗余機制來提高安全防護(hù)的魯棒性。任何安全機制都應(yīng)將降低網(wǎng)絡(luò)的通信開銷作為首要考慮條件。最大化延長電池壽命，減少包的大小和數(shù)目，以及包轉(zhuǎn)發(fā)。利用基于硬件的加密技術(shù)，延長設(shè)備壽命。8.1.3防護(hù)機制防護(hù)機制工業(yè)互聯(lián)網(wǎng)設(shè)備層的防御主要考慮對設(shè)備層的工業(yè)現(xiàn)場網(wǎng)絡(luò)的防御。被動防御技術(shù)

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)采集層采用的是被動防御技術(shù)，根據(jù)不同的側(cè)重點，這些技術(shù)方案總體可以分為機密性保護(hù)和完整性保護(hù)。主動防御技術(shù)

主動防御技術(shù)的關(guān)鍵在于“主動”二字，它分析以往的網(wǎng)絡(luò)攻擊方式和攻擊途徑，找出其中的規(guī)律和特點，對于未來可能發(fā)生的網(wǎng)絡(luò)攻擊形勢做出預(yù)判，減少部署時間。入侵容忍技術(shù)入侵容忍技術(shù)是第三代網(wǎng)絡(luò)安全技術(shù)，隸屬于信息生存技術(shù)的范疇，是當(dāng)前信息安全領(lǐng)域的熱點之一。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法背景在工業(yè)環(huán)境下建立高可靠性，高實時性，高安全性的無線傳感網(wǎng)絡(luò)成為人們迫切的需求。ISA100.11a利用廣告幀和確認(rèn)幀攜帶時間信息完成時間同步，WIA-PA利用信標(biāo)幀和時間同步命令幀完成時間同步。工業(yè)無線網(wǎng)絡(luò)對確定性要求很高，對全網(wǎng)的資源進(jìn)行了調(diào)度，設(shè)備需在確定的時隙（一般為10ms）發(fā)送數(shù)據(jù)給確定的對象，設(shè)備的安全處理能力和速度將極大的影響確定性的實現(xiàn)。本節(jié)提出了一種利用芯片的硬件進(jìn)行安全處理的方法。不僅能夠滿足IEEE802.15.4下MAC層的安全，而且安全預(yù)處理功能和硬件實現(xiàn)數(shù)據(jù)鏈路層安全的方法，保證了WIA-PA協(xié)議和ISA100.11a協(xié)議下數(shù)據(jù)鏈路層的安全。該方案能夠針對不同的應(yīng)用環(huán)境，為工業(yè)無線網(wǎng)絡(luò)中的數(shù)據(jù)提供高效、可靠的保密性和完整性服務(wù)，在滿足時間同步精度要求的前提下實現(xiàn)信息的安全傳輸。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案用戶配置芯片的協(xié)議選取寄存器PROTOCAL，選取IEEE802.15.4、WIA-PA、ISA100.11a中的一種模式。IEEE802.15.4的安全處理硬件實現(xiàn)的方法。配置芯片PROTOCAL寄存器，選擇IEEE802.15.4模式。WIA-PA模式下的數(shù)據(jù)安全預(yù)處理機制。配置芯片PROTOCAL寄存器，選擇WIA-PA模式。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案ISA100.11a模式下的安全處理機制。在ISA100.11a模式下，該方案提出數(shù)據(jù)安全預(yù)處理并在期望的未來時間將數(shù)據(jù)發(fā)送出去的安全處理機制。配置芯片PROTOCAL寄存器，選擇ISA100.11a模式。發(fā)送方。發(fā)送方在數(shù)據(jù)鏈路層進(jìn)行的安全處理需要用到Key、Nonce及明文等安全材料，其中的Nonce的長度為13個字節(jié)，包括發(fā)送方的8個字節(jié)的EUI地址、發(fā)送時刻的4個字節(jié)TAI時間信息和發(fā)送方選擇的幀發(fā)送信道與幀序列號共同構(gòu)成的1個字節(jié)信息。發(fā)送時刻的4個字節(jié)TAI時間信息可由兩種方式獲?。很浖嬎愫陀布嬎?。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案可利用下述2種方式對將要發(fā)送的廣告幀進(jìn)行安全處理：芯片利用硬件實現(xiàn)安全預(yù)處理，將幀在未來確定的時間發(fā)送。全自動安全處理模式是芯片在廣告幀發(fā)送時刻到來時，通過安全引擎對其自動進(jìn)行安全處理，在一個時隙內(nèi)，由硬件完成自動構(gòu)造Nonce、安全處理和發(fā)送等動作。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案根據(jù)超幀調(diào)度的要求，芯片在發(fā)送緩存TX-FIFO中存儲需要進(jìn)行安全處理的明文，等待發(fā)送時隙n的到來。當(dāng)時隙n到來時，在T0時刻硬件自動構(gòu)造Nonce，并讀取FIFO中的明文和寄存器RF_NORMAL_KEY中的密鑰，在T1時刻通過安全引擎對明文進(jìn)行安全處理，處理完成后在T2將其發(fā)送出去。在時間同步完成后，對將要發(fā)送的數(shù)據(jù)幀進(jìn)行安全處理，其處理過程同廣告幀的安全處理過程一樣。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案接受方。在ISA100.11a模式下，接收方進(jìn)入安全中斷后，接收方在數(shù)據(jù)鏈路層進(jìn)行安全處理。解密和校驗處理需要的安全材料包括密鑰Key、Nonce以及接收到的密文。通過密鑰Key解密接收到的密文，得出明后后利用明文和Nonce，重新構(gòu)造出接收方的校驗碼MIC＇，與發(fā)送方的校驗碼MIC做比較，如果MIC＇＝MIC，則校驗通過，否則，校驗失敗。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案確認(rèn)幀的發(fā)送。接收方接收數(shù)據(jù)幀后，回復(fù)的安全確認(rèn)幀方式分為半自動和全自動兩種模式。半自動確認(rèn)幀的Buffer由軟件控制構(gòu)造，當(dāng)接收方進(jìn)入安全中斷后，芯片準(zhǔn)備對確認(rèn)幀進(jìn)行安全處理的安全材料，包括接收方的Key、Nonce和確認(rèn)幀載荷。全自動確認(rèn)幀在構(gòu)造和安全處理的過程中，直接由芯片硬件完成，不需要軟件的參與。8.1.4設(shè)計實例—工業(yè)物聯(lián)網(wǎng)芯片的安全功能實現(xiàn)方法技術(shù)方案確認(rèn)幀的接受。發(fā)送方收到確認(rèn)幀，首先進(jìn)入安全中斷，讀取發(fā)送方寄存器存儲的發(fā)送幀的4個字節(jié)的完整性校驗碼MIC，作為接收到的確認(rèn)幀的虛擬載荷部分，安全引擎利用密鑰Key和接收到的添加了虛擬載荷的確認(rèn)幀構(gòu)造出發(fā)送方的DMIC＇，其中Nonce根據(jù)前面選擇的軟件構(gòu)造或者硬件構(gòu)造。然后比較發(fā)送方計算的DMIC＇和接收方發(fā)送的確認(rèn)幀的DMIC是否一致，如果DMIC＇=DMIC，則校驗成功，說明接收方成功接收了前面發(fā)送的幀；否則，校驗失敗，說明接收方?jīng)]有成功接收前面發(fā)送的幀。第8章工業(yè)互聯(lián)網(wǎng)安全系統(tǒng)設(shè)計8.1工業(yè)互聯(lián)網(wǎng)設(shè)備層安全設(shè)計8.2工業(yè)互聯(lián)網(wǎng)邊緣層安全設(shè)計8.3工業(yè)互聯(lián)網(wǎng)傳輸層安全設(shè)計8.4工業(yè)互聯(lián)網(wǎng)平臺層安全設(shè)計8.5安全防護(hù)產(chǎn)品8.2.1邊緣層面臨的安全挑戰(zhàn)邊緣層面臨的安全挑戰(zhàn)邊緣計算環(huán)境中潛在的攻擊窗口，包括邊緣接入（云-邊接入，邊-端接入），邊緣服務(wù)器（硬件、軟件、數(shù)據(jù)），邊緣管理（賬號、管理/服務(wù)接口、管理人員）等層面的攻擊，如圖所示，邊緣計算面臨的11個最重要的安全挑戰(zhàn)，它們的具體描述如下：8.2.1邊緣層面臨的安全挑戰(zhàn)邊緣層面臨的安全挑戰(zhàn)不安全的通信協(xié)議邊緣節(jié)點數(shù)據(jù)易被損毀隱私數(shù)據(jù)保護(hù)不足不安全的系統(tǒng)與組件身份、憑證和訪問管理不足賬號信息易被劫持惡意的邊緣節(jié)點不安全的接口和API易發(fā)起DDoS攻擊易蔓延APT攻擊難監(jiān)管的惡意管理員8.2.2安全設(shè)計原則安全設(shè)計原則在進(jìn)行工業(yè)互聯(lián)網(wǎng)邊緣層的安全設(shè)計時，應(yīng)遵循以下的安全設(shè)計原則：滿足工業(yè)邊緣應(yīng)用開發(fā)及運行過程中的基本安全需求，同時防止惡意應(yīng)用對邊緣計算平臺自身以及其他應(yīng)用安全產(chǎn)生影響。創(chuàng)建安全邊緣計算環(huán)境的基礎(chǔ)，保障數(shù)據(jù)的可用性、保密性和完整性。因此要極力保障邊緣網(wǎng)絡(luò)的可靠性、穩(wěn)定性和低延時性，從而來滿足邊緣網(wǎng)絡(luò)所連接的物理對象的多樣性和應(yīng)用場景的多樣性。因此需要保證邊緣設(shè)備在啟動、運行、操作等過程中的安全可信，邊緣設(shè)備安全涵蓋從啟動到運行整個過程中的設(shè)備安全、硬件安全、虛擬化安全和OS安全。在對工業(yè)互聯(lián)網(wǎng)邊緣平臺進(jìn)行設(shè)計時，采用大數(shù)據(jù)分析和安全審計等安全措施避免邊緣平臺遭受攻擊或滲透，防止重要數(shù)據(jù)泄露、生產(chǎn)失控等安全問題。8.2.3防護(hù)機制防護(hù)機制由于邊緣節(jié)點向外直接接入了互聯(lián)網(wǎng)絡(luò)，進(jìn)而將工業(yè)現(xiàn)場設(shè)備直接暴露于互聯(lián)網(wǎng)絡(luò)中，存在非常大的安全隱患，特別是數(shù)據(jù)的隱私安全問題。而邊緣節(jié)點的信息安全非常重要。本節(jié)將將介紹輕量級分組加密和同態(tài)加密等被動防御技術(shù)。同時，隨著邊緣計算規(guī)模的增加，其安全問題也逐漸得到重視。其中，一個重要部分是內(nèi)部攻擊威脅。內(nèi)部攻擊威脅主要是指惡意攻擊者獲取了網(wǎng)絡(luò)的合法身份并且對網(wǎng)絡(luò)進(jìn)行破壞或進(jìn)行數(shù)據(jù)竊取。被動防御的安全機制（加密、授權(quán)等）不能有效地應(yīng)對這種威脅，因此，需要主動防御技術(shù)，主動識別惡意或故障邊緣節(jié)點。緣平臺遭受攻擊或滲透，防止重要數(shù)據(jù)泄露、生產(chǎn)失控等安全問題。8.2.3防護(hù)機制防護(hù)機制

輕量級分組加密

輕量級分組加密技術(shù)具有對運力要求低和算法簡單的特點，完美的適用于邊緣側(cè)設(shè)備的安全防護(hù)需求。基本原理分組加密是用于加密或者解密具有固定長度分組數(shù)據(jù)的對稱加密算法。分組加密的具體實現(xiàn)過程如圖所示。8.2.3防護(hù)機制防護(hù)機制現(xiàn)代分組的主流結(jié)構(gòu)有替代-置換網(wǎng)絡(luò)（SPN）和Feistel網(wǎng)絡(luò)。SPN結(jié)構(gòu)分組加密最常見的結(jié)構(gòu)是SPN，這種結(jié)構(gòu)的構(gòu)造不僅在加解密明/密文分組時的循環(huán)次數(shù)小于其他類型結(jié)構(gòu)的構(gòu)造，比如Feistel網(wǎng)絡(luò)，而且易于在軟件中設(shè)計。8.2.3防護(hù)機制防護(hù)機制Feistel結(jié)構(gòu)Feistel是另一種常見的由DES使用的分組加密結(jié)構(gòu)。該結(jié)構(gòu)是一種加解密可逆的迭代結(jié)構(gòu)，每次迭代只改變一半的數(shù)據(jù)，其結(jié)構(gòu)如圖所示。Feistel將明文分組分為等長的兩部分，分別為左半部分和右半部分。8.2.3防護(hù)機制防護(hù)機制Feistel結(jié)構(gòu)基于Feistel網(wǎng)絡(luò)結(jié)構(gòu)的加密算法，解密過程是加密過程的一個逆運算，在整體實現(xiàn)上復(fù)雜度低，占用軟硬件資源少，并通過復(fù)雜的密鑰生成算法增加了密鑰被分析的困難性。因此，基于SPN結(jié)構(gòu)和Feistel網(wǎng)絡(luò)的加密算法受到了輕量級分組加密學(xué)者的青睞。現(xiàn)有的大多數(shù)輕量級分組加密都是采用上述兩種結(jié)構(gòu)。KLEIN和ITUbee分別是基于SPN結(jié)構(gòu)和Feistel網(wǎng)絡(luò)結(jié)構(gòu)的輕量級加密具有代表性的算法，兩者安全性也分別充分得以證明。8.2.3防護(hù)機制防護(hù)機制同態(tài)加密同態(tài)加密技術(shù)是一種可對密文執(zhí)行數(shù)學(xué)計算，通過同態(tài)加密技術(shù)，用戶將邊緣側(cè)的密文數(shù)據(jù)上傳到云平臺，不僅可以使用第三方的云平臺資源和服務(wù)對數(shù)據(jù)進(jìn)行分析、處理，而且能夠避免不完全可信第三方對數(shù)據(jù)的非法盜用與篡改。采用全同態(tài)加密保證邊緣側(cè)數(shù)據(jù)的機密性，其基本概念如下：同態(tài)是指對明文數(shù)據(jù)的加密過程中，對加密后的密文數(shù)據(jù)做特定的數(shù)學(xué)計算，計算的結(jié)果解密后同明文執(zhí)行同種計算所得到的結(jié)果一致。有點同態(tài)能夠支持有限次數(shù)的乘法與加法同態(tài)，當(dāng)密文噪聲達(dá)到一定閾值時，則不能夠再進(jìn)行同態(tài)計算。全同態(tài)方案在有點同態(tài)方案的基礎(chǔ)上，引入了壓縮解密電路對密文噪聲進(jìn)行控制，從而實現(xiàn)任意次數(shù)乘法與加法同態(tài)計算。時間復(fù)雜度8.2.3防護(hù)機制防護(hù)機制邊緣容器安全隔離近年來，人們開始針對邊緣容器安全隔離技術(shù)開展研究，大多采用的是基于底層系統(tǒng)的容器安全增強、容器的權(quán)限限制的方法來實現(xiàn)容器隔離，主要目的是防止由于同一主機上的多個容器共享內(nèi)核，黑客更容易通過容器攻破底層宿主機（邊緣服務(wù)器）的安全問題?；诘讓酉到y(tǒng)的容器安全增強技術(shù)基于程序分析的邊緣容器權(quán)限限制技術(shù)8.2.3防護(hù)機制防護(hù)機制信任評價防護(hù)技術(shù)信任評價機制在改善網(wǎng)絡(luò)和優(yōu)化服務(wù)方面也有一定的優(yōu)勢。通過獲得的直接或間接信息來對合作伙伴的信任程度進(jìn)行評估，用以決定是否繼續(xù)進(jìn)行交流或是合作。信任評估成了一種公認(rèn)能有效地提高網(wǎng)絡(luò)安全性的方式，在特定環(huán)境和特定時期內(nèi)對被評估節(jié)點能力、安全性和可信度等主觀相信程度的量化，把抽象模糊的信任值轉(zhuǎn)換成可以度量的量化數(shù)值，從而判斷目標(biāo)節(jié)點是否可信，然后在網(wǎng)絡(luò)的整個生存周期內(nèi)，對不可信的節(jié)點采取相應(yīng)的限制，比如不與之通信等。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制背景邊緣計算的引入給工業(yè)互聯(lián)網(wǎng)帶來了許多好處。邊緣應(yīng)用服務(wù)顯著減少了必須移動的數(shù)據(jù)量、隨之而來的流量和數(shù)據(jù)必須移動的距離，從而降低了傳輸成本、減少了延遲，并提高了服務(wù)質(zhì)量。但工業(yè)互聯(lián)網(wǎng)在滿足高實時性要求的同時，如何保證現(xiàn)場節(jié)點和邊緣節(jié)點之間的數(shù)據(jù)機密性是一個挑戰(zhàn)?？紤]到邊緣節(jié)點在現(xiàn)場網(wǎng)絡(luò)與工廠互聯(lián)網(wǎng)以及云的互聯(lián)中起著關(guān)鍵作用，工業(yè)互聯(lián)網(wǎng)邊緣側(cè)的安全問題變得迫在眉睫，為此，提出了一種工業(yè)互聯(lián)網(wǎng)的安全框架，并設(shè)計了一種工業(yè)互聯(lián)網(wǎng)邊緣節(jié)點的安全機制。該方案有效地提高了邊緣工業(yè)互聯(lián)網(wǎng)中的數(shù)據(jù)保密性。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制技術(shù)方案

工業(yè)互聯(lián)網(wǎng)的安全框架和邊緣計算如圖所示?，F(xiàn)場節(jié)點和邊緣節(jié)點間的互連可以使用工業(yè)以太網(wǎng)或工業(yè)無線網(wǎng)絡(luò)，框架中的主要實體包括工業(yè)云平臺、安全管理器、邊緣節(jié)點、字段節(jié)點。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制技術(shù)方案工業(yè)云平臺是海量數(shù)據(jù)被分析和處理的場所。邊緣計算接近執(zhí)行單元，可以收集云所需的高價值數(shù)據(jù)，功能支持云應(yīng)用程序的數(shù)據(jù)分析。邊緣節(jié)點提供數(shù)據(jù)處理能力，邊緣節(jié)點管理數(shù)據(jù)，決定數(shù)據(jù)的生命周期，并從數(shù)據(jù)中創(chuàng)造價值。邊緣節(jié)點可以與多個云協(xié)同工作。邊緣節(jié)點可以執(zhí)行大量的計算，如策略執(zhí)行、數(shù)據(jù)加密和解密。根據(jù)節(jié)點的資源容量，可以將節(jié)點分為資源受限節(jié)點和資源豐富節(jié)點。為了保證邊緣南側(cè)和邊緣北側(cè)的數(shù)據(jù)安全，應(yīng)根據(jù)網(wǎng)絡(luò)資源的不同，采取相應(yīng)的安全機制。在資源受限的網(wǎng)絡(luò)中，邊緣節(jié)點使用輕量級加密算法對數(shù)據(jù)進(jìn)行保護(hù)。在資源豐富的網(wǎng)絡(luò)，現(xiàn)場節(jié)點使用完全同態(tài)加密算法保護(hù)數(shù)據(jù)，使用同態(tài)加密的目的是讓邊緣邊實時進(jìn)行計算，并對加密的數(shù)據(jù)做出更精確的決策。對于邊緣節(jié)點與工業(yè)云平臺之間的安全通道，采用完全同態(tài)加密。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制技術(shù)方案該框架的優(yōu)點是可以根據(jù)網(wǎng)絡(luò)的分類設(shè)計不同的安全機制。資源約束網(wǎng)絡(luò)和資源豐富網(wǎng)絡(luò)分別與邊節(jié)點連接，使框架更高效。下面詳細(xì)介紹邊緣節(jié)點的南北安全機制，包括三部分：密鑰管理機制和加密算法、資源受限網(wǎng)絡(luò)的安全機制、資源豐富網(wǎng)絡(luò)的安全機制。（1）邊緣節(jié)點南向安全機制密鑰管理機制本方案的密鑰管理機制是針對設(shè)備從加入網(wǎng)絡(luò)開始到密鑰更新完成整個階段，安全管理者對設(shè)備密鑰管理整個過程的設(shè)計。其中，設(shè)備包括現(xiàn)場設(shè)備與邊緣節(jié)點，本密鑰管理機制所涉及如下三種密鑰：第一種：加入密鑰（KJ）第二種：密鑰加密密鑰（KEK）第三種：數(shù)據(jù)加密密鑰（KED）8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制技術(shù)方案

密鑰管理機制具體流程如下：安全管理者配置KJ，并分發(fā)給設(shè)備；設(shè)備向安全管理者申請KEK及KED。安全管理者對設(shè)備的身份提出鑒別要求，設(shè)備使用KJ結(jié)合自身ID信息生成認(rèn)證信息，并采用KJ加密發(fā)送到安全管理者，安全管理者使用KJ解密后對其身份合法性進(jìn)行確認(rèn)；當(dāng)設(shè)備被確認(rèn)合法后，安全管理者會使用KJ加密KED及KEK發(fā)送到設(shè)備。設(shè)備對其解密后便成功獲取了KED及KEK；安全管理者對密鑰進(jìn)行更新時，會對更新后的密鑰使用KEK加密后下發(fā)到設(shè)備，設(shè)備使用KEK進(jìn)行解密后便能獲得更新后的密鑰。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制技術(shù)方案

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制面向資源受限型設(shè)備與邊緣節(jié)點通信的數(shù)據(jù)加解密機制針對資源受限型設(shè)備，采用輕量級加密算法對其數(shù)據(jù)進(jìn)行保護(hù)。其數(shù)據(jù)安全通信流程如圖所述。

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制面向資源受限型設(shè)備與邊緣節(jié)點通信的數(shù)據(jù)加解密機制傳感器采用輕量級分組加密算法對數(shù)據(jù)加密并上傳到邊緣節(jié)點，邊緣節(jié)點對加密數(shù)據(jù)解密，解密后的數(shù)據(jù)轉(zhuǎn)交到其數(shù)據(jù)預(yù)處理單元進(jìn)行預(yù)處理，預(yù)處理后的數(shù)據(jù)遞交給數(shù)據(jù)分析單元，數(shù)據(jù)分析單元按設(shè)定的數(shù)學(xué)模型進(jìn)行分析，數(shù)據(jù)分析完成后，策略執(zhí)行單元對數(shù)據(jù)按已定的策略處理，執(zhí)行后的結(jié)果輕量級加密后反饋到執(zhí)行器。①面向資源受限型現(xiàn)場設(shè)備的輕量級分組加密算法選擇從工業(yè)領(lǐng)域現(xiàn)場設(shè)備對實效性要求高及是否易于軟件實現(xiàn)兩個方面考慮適用于資源受限型現(xiàn)場設(shè)備的加密算法。KLEIN和ITUbee加密算法都是面向軟件實現(xiàn)而提出，分別都易于軟件實施。本部分選擇ITUbee加密算法作為單邊緣節(jié)點南向數(shù)據(jù)安全機制的輕量級分組加密算法。

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制面向資源受限型設(shè)備與邊緣節(jié)點通信的數(shù)據(jù)加解密機制②ITUbee算法ITUbee算法具體加密流程如圖：

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制面向資源富裕型設(shè)備與邊緣節(jié)點通信的數(shù)據(jù)加解密機制針對資源富裕型設(shè)備，采用全同態(tài)加密技術(shù)，其數(shù)據(jù)安全通信流程如圖所示傳感器采用全同態(tài)加密算法對數(shù)據(jù)加密后上傳到邊緣節(jié)點，邊緣節(jié)點數(shù)據(jù)預(yù)處理單元直接對數(shù)據(jù)預(yù)處理，預(yù)處理后的數(shù)據(jù)遞交給數(shù)據(jù)分析單元，數(shù)據(jù)分析單元按設(shè)定的數(shù)學(xué)模型進(jìn)行分析，策略執(zhí)行單元對分析過的數(shù)據(jù)按已定的策略處理執(zhí)行，執(zhí)行后的結(jié)果直接下發(fā)到執(zhí)行器。

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制面向資源富裕型現(xiàn)場設(shè)備的全同態(tài)加密算法選擇目前，全同態(tài)加密算法中最為主要的算法包括：基于理想格的全同態(tài)加密算法、基于整數(shù)環(huán)的全同態(tài)加密算法和基于整數(shù)的全同態(tài)加密算法。由于這三種算法在設(shè)計時，已對同態(tài)性和安全性做了充分的證明。因此，綜合現(xiàn)場設(shè)備對實時性要求高的因素，選擇一種時間復(fù)雜度最低的算法。分析比較這幾種算法的時間復(fù)雜度，基于理想格的全同態(tài)加密算法的計算復(fù)雜度為，基于整數(shù)環(huán)的全同態(tài)加密算法的計算復(fù)雜度為，基于整數(shù)的全同態(tài)加密算法的計算復(fù)雜度為。因此，選擇基于整數(shù)的全同態(tài)加密算法作為單邊緣節(jié)點北向數(shù)據(jù)安全機制的加密算法。

8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制邊緣節(jié)點北向安全機制針對不同資源類型現(xiàn)場設(shè)備采用不同的加密算法加密的數(shù)據(jù)，邊緣節(jié)點會有不同的數(shù)據(jù)處理方式，其數(shù)據(jù)安全通信流程不同。資源受限型現(xiàn)場設(shè)備的數(shù)據(jù)安全通信流程資源受限型現(xiàn)場設(shè)備采用輕量級分組加密算法加密時。邊緣節(jié)點對輕量級分組加密算法加密數(shù)據(jù)解密；邊緣節(jié)點采用全同態(tài)加密算法對解密后的數(shù)據(jù)加密，并將密文上傳到工業(yè)云平臺；工業(yè)云平臺對密文數(shù)據(jù)進(jìn)行同態(tài)運算，工業(yè)云平臺將計算后的密文數(shù)據(jù)直接下發(fā)到邊緣節(jié)點。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制邊緣節(jié)點北向安全機制

資源富裕型現(xiàn)場設(shè)備的數(shù)據(jù)安全通信流程資源富裕型現(xiàn)場設(shè)備采用全同態(tài)加密算法加密時，其具體數(shù)據(jù)安全通信流程如圖所示。邊緣節(jié)點對資源富裕型現(xiàn)場設(shè)備采用全同態(tài)加密算法加密的數(shù)據(jù)直接上傳到工業(yè)云平臺，工業(yè)云平臺進(jìn)行同態(tài)計算后將密文結(jié)果下發(fā)回邊緣節(jié)點。8.2.4設(shè)計實例-工業(yè)云環(huán)境下邊緣側(cè)數(shù)據(jù)保護(hù)機制邊緣節(jié)點北向安全機制

單邊緣節(jié)點北向數(shù)據(jù)安全機制的加密算法選擇全同態(tài)加密算法的效率是本部分算法選擇時的一個主要參考因素。因此，接下來將只對上節(jié)所述幾種主要的全同態(tài)加密算法的效率進(jìn)行分析對比，選擇一種效率最高的算法進(jìn)行實現(xiàn)。算法的效率包括時間效率和空間效率兩方面，但隨著計算機技術(shù)不斷的發(fā)展，現(xiàn)有計算機的內(nèi)存已經(jīng)足夠大，能滿足絕大多數(shù)應(yīng)用?；谡麛?shù)的全同態(tài)加密算法的計算復(fù)雜度最低為。因此，本部分也選擇基于整數(shù)的全同態(tài)加密算法作為邊緣節(jié)點與工業(yè)云平臺間的加密算法，解決邊緣節(jié)點與工業(yè)云平臺間機密性與操作性兼顧的需求。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法背景

由于邊緣節(jié)點向外直接接入了互聯(lián)網(wǎng)絡(luò)，進(jìn)而將工業(yè)現(xiàn)場設(shè)備直接暴露于互聯(lián)網(wǎng)絡(luò)中，存在非常大的安全隱患，特別是數(shù)據(jù)的安全問題。邊緣節(jié)點的計算結(jié)果可信直接關(guān)系到工廠的生產(chǎn)和人員安全，因此亟需在工業(yè)邊緣計算環(huán)境中研究確保邊緣節(jié)點計算結(jié)果可信的安全機制。目前，國內(nèi)外關(guān)于確保工業(yè)邊緣節(jié)點與工業(yè)云之間通信信息可信的研究較少，大部分都研究的是信息在傳輸過程中未被篡改，但無法確保邊緣節(jié)點計算結(jié)果可信，即邊緣節(jié)點輸出的計算結(jié)果正確。因此需要通過對邊緣節(jié)點的計算結(jié)果進(jìn)行可信度量，防止工業(yè)邊緣節(jié)點輸出錯誤數(shù)據(jù)和抵御惡意邊緣節(jié)點的虛假數(shù)據(jù)攻擊。針對上述問題，從安全體系結(jié)構(gòu)、通用信息模型的角度設(shè)計了具有信任評估功能的工業(yè)邊緣計算安全架構(gòu)，結(jié)合工業(yè)邊緣計算的特征。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案

本節(jié)提出了具有信任評估功能的邊緣計算框架，邊緣節(jié)點的信任評估由網(wǎng)絡(luò)邊緣的邊緣代理完成，在網(wǎng)絡(luò)邊緣處理信任計算的響應(yīng)時間更短，執(zhí)行效率更高，網(wǎng)絡(luò)壓力更小，如圖所示。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案

在具有信任評估功能的工業(yè)邊緣計算框架中，提出確保邊緣節(jié)點計算結(jié)果可信的信任評估方法，該方法由邊緣代理根據(jù)對邊緣節(jié)點的計算結(jié)果的客觀分析，并結(jié)合模糊評價法及熵權(quán)法完成對邊緣節(jié)點的信任評估。邊緣代理通過比較邊緣節(jié)點的信任值與信任閾值，決定哪些邊緣節(jié)點可以接收計算任務(wù)和發(fā)送消息，由此可以減少邊緣側(cè)輸出不可信數(shù)據(jù)。該信任評估方法中的信任閾值由安全管理員設(shè)定的邊緣節(jié)點允許的錯誤率確定。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案

該方案采用橢圓曲線代理簽名方案，將可信邊緣節(jié)點的初步計算結(jié)果簽名后發(fā)送到工業(yè)云進(jìn)一步處理后再返回給現(xiàn)場設(shè)備。該方案具體的信任評估流程如圖所示。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案

方案將信任定義為邊緣代理對邊緣節(jié)點計算結(jié)果可信的評估，邊緣節(jié)點的信任值是邊緣節(jié)點長期行為表現(xiàn)的一種定量形式。信任評估包括四個單元：證據(jù)收集、證據(jù)處理、初始信任評估、信任更新。信任評估的總體框架和流程如圖所示。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案

其中，證據(jù)包括三個維度的信息，一是直接評估邊緣節(jié)點計算結(jié)果的三個有效因素用于計算邊緣節(jié)點的直接信任值；二是歷史信任值，邊緣代理將在滑動窗口內(nèi)的歷史信任值加權(quán)平均后，修正直接信任值；三是現(xiàn)場設(shè)備對邊緣節(jié)點計算結(jié)果的反饋評分，邊緣代理根據(jù)反饋評分得到懲罰或獎勵因子，用于計算邊緣節(jié)點的最終信任值。8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案信任評估過程中邊緣節(jié)點有以下五種狀態(tài)：待加入待運行運行待審核運行/隔離

8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法

8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法

8.2.5設(shè)計實例-基于信任評估的邊緣節(jié)點計算結(jié)果可信判別方法技術(shù)方案下面詳細(xì)說明信任評估方案的流程：情況二：邊緣節(jié)點初步計算后，將計算結(jié)果及其哈希值發(fā)送給邊緣代理，邊緣代理收集證據(jù)并將邊緣節(jié)點計算結(jié)果、信任標(biāo)識及其簽名后上傳工業(yè)云，工業(yè)云檢查邊緣節(jié)點信任標(biāo)識和驗證簽名后進(jìn)一步處理邊緣節(jié)點的初步計算結(jié)果，然后工業(yè)云將計算結(jié)果及簽名發(fā)送給邊緣代理，邊緣代理驗證簽名后將計算結(jié)果發(fā)送給現(xiàn)場設(shè)備，如圖所示。第8章工業(yè)互聯(lián)網(wǎng)安全系統(tǒng)設(shè)計8.1工業(yè)互聯(lián)網(wǎng)設(shè)備層安全設(shè)計8.2工業(yè)互聯(lián)網(wǎng)邊緣層安全設(shè)計8.3工業(yè)互聯(lián)網(wǎng)傳輸層安全設(shè)計8.4工業(yè)互聯(lián)網(wǎng)平臺層安全設(shè)計8.5安全防護(hù)產(chǎn)品8.3工業(yè)互聯(lián)網(wǎng)傳輸層安全設(shè)計本節(jié)將在IT和OT深度融合的背景下，討論工業(yè)互聯(lián)網(wǎng)的傳輸網(wǎng)絡(luò)的安全問題，這里的傳輸網(wǎng)絡(luò)包括現(xiàn)場網(wǎng)絡(luò)與骨干網(wǎng)絡(luò)之間的回程網(wǎng)絡(luò)、工廠內(nèi)IT網(wǎng)絡(luò)、工廠與工廠間的互聯(lián)網(wǎng)絡(luò)（骨干網(wǎng)絡(luò)）。為了保障數(shù)據(jù)不在傳輸過程中遭到篡改，完整性不遭破壞以及數(shù)據(jù)在傳輸過程中加密，提出了多因素認(rèn)證辦法，并就網(wǎng)絡(luò)傳輸?shù)钠渌鳝h(huán)節(jié)提出了相應(yīng)的對策。為了解決這些問題，在工業(yè)無線網(wǎng)絡(luò)傳輸中應(yīng)該采用一些輕量級安全及可靠性技術(shù)。8.3.1傳輸網(wǎng)絡(luò)面臨的安全挑戰(zhàn)傳輸網(wǎng)絡(luò)面臨的安全挑戰(zhàn)相較于未與外部互聯(lián)網(wǎng)直接聯(lián)通的傳統(tǒng)工業(yè)網(wǎng)絡(luò)，工業(yè)互聯(lián)網(wǎng)的傳輸網(wǎng)絡(luò)面臨著來自工廠內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)兩方面的安全威脅。在IT內(nèi)網(wǎng)側(cè)，安全問題主要包括：一是傳統(tǒng)靜態(tài)防護(hù)策略和安全域劃分方法不能滿足工業(yè)企業(yè)網(wǎng)絡(luò)復(fù)雜多變、靈活組網(wǎng)的需求；二是工業(yè)互聯(lián)網(wǎng)涉及不同網(wǎng)絡(luò)在通信協(xié)議、數(shù)據(jù)格式、傳輸速率等方面的差異性，OT網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的異構(gòu)融合面臨極大挑戰(zhàn)；三是工業(yè)領(lǐng)域傳統(tǒng)協(xié)議和網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計之初基本沒有考慮安全性，安全認(rèn)證機制和訪問控制手段缺失，攻擊者一旦通過互聯(lián)網(wǎng)通信通道進(jìn)入下層工業(yè)控制網(wǎng)，只需掌握通信協(xié)議就可以很容易對工業(yè)控制網(wǎng)絡(luò)實現(xiàn)常見的拒絕服務(wù)攻擊、中間人攻擊等。在外網(wǎng)側(cè)，攻擊者從研發(fā)端、管理端、消費端、生產(chǎn)端都有可能實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的攻擊或病毒傳播。8.3.1傳輸網(wǎng)絡(luò)面臨的安全挑戰(zhàn)傳輸網(wǎng)絡(luò)面臨的安全挑戰(zhàn)因此在工業(yè)設(shè)備、軟件與外界網(wǎng)絡(luò)實現(xiàn)通信的情況下，極易出現(xiàn)安全問題，比如以下這幾種安全問題：非授權(quán)訪問信息泄漏或丟失破壞數(shù)據(jù)完整性拒絕服務(wù)攻擊8.3.2安全設(shè)計原則安全設(shè)計原則工業(yè)傳輸網(wǎng)絡(luò)的安全設(shè)計具有以下幾條設(shè)計原則：設(shè)計的安全傳輸防護(hù)機制應(yīng)盡量安全和易于實施；工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)傳輸需要控制各傳輸節(jié)點、鏈路以及端到端的加密過程，選用合適的對稱加密和公鑰加密算法。對于加密傳輸、簽名驗簽、鑒別和驗證，必須明確要求，制定能夠?qū)崿F(xiàn)各安全域內(nèi)部、各安全域之間的網(wǎng)絡(luò)傳輸接口規(guī)范。任何安全機制都應(yīng)將降低網(wǎng)絡(luò)的通信開銷作為首要考慮條件。在傳輸協(xié)議方面，應(yīng)采用HTTPS，SSL/TLS，支持IPSec實現(xiàn)遠(yuǎn)程通道的安全加密，并對IPv4協(xié)議與IPv6協(xié)議具有兼容性。采用HTTPS協(xié)議，以HTTP作為通信機制，并使用SSL/TLS對傳輸?shù)墓I(yè)數(shù)據(jù)包進(jìn)行加密，既能夠?qū)崿F(xiàn)網(wǎng)絡(luò)服務(wù)器的身份認(rèn)證，也能夠為傳輸數(shù)據(jù)提供完整性與隱私保護(hù)。8.3.3防護(hù)機制防護(hù)機制為了解決所講到的網(wǎng)絡(luò)傳輸中的安全挑戰(zhàn)，需要以下的幾種方法配合使用：加密技術(shù)加密技術(shù)可以說是其它網(wǎng)絡(luò)傳輸安全的基礎(chǔ)。加密技術(shù)包括對稱加密技術(shù)和非對稱加密技術(shù)，對稱密碼技術(shù)是常用的一種加/解密技術(shù)，它是非對稱密碼技術(shù)研制之前使用的唯一的加密類型，又稱為常規(guī)加密或單密鑰加密。它的主要特點是：通信雙方在加解密過程中要使用完全相同的密鑰。8.3.3防護(hù)機制加密技術(shù)對稱密碼技術(shù)的優(yōu)點是它的運算比較簡單，易于實現(xiàn)，占用資源少，加解密速度快，其主要原因是對稱密碼技術(shù)是建立在簡單的替代和置換操作基礎(chǔ)上的。非對稱密碼技術(shù)是在試圖解決對稱密碼技術(shù)中面臨的兩個突出難題的過程中發(fā)展起來的。一個是對稱密碼技術(shù)中描述的密鑰分發(fā)和密鑰保存的問題；第二個就是使用對稱密碼技術(shù)無法實現(xiàn)“數(shù)字簽名”。非對稱密碼技術(shù)的主要優(yōu)點：一是通信雙方事先不需要通過安全信道交換公鑰，公鑰可以明文發(fā)放；二是密鑰的持有量與對稱密碼技術(shù)相比大大減少。三是非對稱密碼技術(shù)可以提供前面提到的“數(shù)字簽名”服務(wù)。8.3.3防護(hù)機制

PKI技術(shù)PKI即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。安全套接層協(xié)議SSLSSL主要用于WEB安全通信標(biāo)準(zhǔn)，建立在可靠的傳輸服務(wù)基礎(chǔ)上。SSL提供的安全機制可以保證應(yīng)用層數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)傳輸中不被監(jiān)聽，偽造和篡改。TSN技術(shù)TSN是一種能使以太網(wǎng)具有實時性和確定性的新技術(shù)，能夠突破網(wǎng)絡(luò)通信上的總線的復(fù)雜性障礙、周期性與非周期性