物联网中的安全和隐私问题

1、2019/9/3,1,物联网中的安全与隐私问题,王志强,2019/9/3,2,一、物联网背景知识,二、物联网安全问题及解决方案,三、物联网隐私问题及解决方案,四、总结,2019/9/3,3,物联网的发展,1999,年美国麻省理工学院建立了“自动识别中心,Auto-ID,”，提出“万物皆可通过网络互联,阐明了物联网的基本含义,国际电信联盟,ITU,2005,年的一份报告,ITU,互联网,报告,2005,物联网，正式提出了物联网的概念,2008,年底,IBM,提出了“智慧地球”概念，得到美国各,界的高度关注,2009,年,8,月温家宝总理提出“感知中国”以来,物联网,被正式列为国家五大新兴战略性产

2、业之一，写入“政,府工作报告,2019/9/3,4,物联网定义,物联网是什么,通过射频识别,RFID,红外感应器、全球定位系统,激光扫描器等信息传感设备，按约定的协议，把任何物品,与互联网相连接，进行信息交换和通信，以实现智能化识,别、定位、跟踪、监控和管理的一种网络概念,2019/9/3,5,物联网网络体系结构,根据物联网的服务类型和节点等情况，将物联网划分为感知层,传输层和应用层,2019/9/3,6,物联网网络体系结构,感知层,感知层主要功能是信息感知与采集，主要包括二维码标签和识读器,RFID,标签和读写器、摄像头,各种传感器、视频摄像头等。如温度感应器、声音感应器、震动感应器、压力感

3、应器,RFID,读写器,二维码识读器等，完成物联网应用的数据采集和设备控制,传输层,主要通过移动通信网、互联网、专网、小型局域网等网络对数据进行传输。因为传输层面临海量数,据的传输,所以传输层还需具有信息智能处理、管理能力,例如海量信息的分类、聚合和处理,传感器网络的管理等。传输层关键技术包括长距离有线和无线通信协议、网络融合技术、海量信息,智能处理技术等,应用层,应用层主要包含支撑平台和应用服务。应用支撑平台子层用于支撑跨行业、跨应用、跨系统之间的,信息协同、共享、互通的功能。应用服务子层包括智能家居、智能电网、智能交通、智能物流等行,业应用,2019/9/3,7,二、物联网安全问题及解决方

4、案,2019/9/3,8,感知层安全威胁,针对,RFID,的主要安全威胁,标签本身的设计缺陷,黑客非法截取通信数据,拒绝服务攻击,利用假冒标签向阅读器发送数据,RFID,阅读器与后台系统间的通信信息安全,2019/9/3,9,感知层安全威胁,无线传感网可能遇到的安全威胁包括下列情况,网关节点被捕获,普通节点被捕获,DOS,攻击,重放攻击,虚假路由信息,选择性转发,虫洞攻击,2019/9/3,10,RFID,安全策略,静电屏蔽。利用法拉第笼阻止无线电信号的穿,透,阻塞标签,主动干扰。利用一个能主动打出无线电信号的,装置，以干扰或中断附近其他,RFID,阅读器,改变阅读器频率。阅读器可使用任意频率

5、,密码机制。哈希函数、重加密等,目前,实现,RFID,安全性机制所采用的方法主要有物理方法,密码机制以及二者相结合的方法,2019/9/3,11,感知层安全机制,密钥协商,部分传感网内部节点进行数据传输前需要预先协商会话,密钥,节点认证,个别传感网（特别当传感数据共享时）需要节点认证,确保非法节点不能接入,信誉评估,一些重要传感网需要对可能被敌手控制的节点行为进行,评估,以降,低敌手入侵后的危害（某种程度上相当于入侵检测,安全路由,几乎所有传感网内部都需要不同的安全路由技术,2019/9/3,12,传输层安全威胁,物联网的特点之一体现为海量,存在海量节点和海量数据,这就必然会对传输层的安全提出

6、更高要求。虽然,目前的核心,网络具有相对完整的安全措施,但是当面临海量、集群方式存,在的物联网节点的数据传输需求时,很容易导致核心网络拥塞,产生拒绝服务,由于在物联网传输层存在不同架构的网络需要相互连通,的问题,因此,传输层将面临异构网络跨网认证等安全问题,将,可能受到,DoS,攻击、中间人攻击、异步攻击、合谋攻击等,2019/9/3,13,传输层安全机制,传输层安全机制可综合利用点到点加密机制和端到端加,密机制,点到点加密机制在传输过程中是密文传输,但是它需要在,每个路由节点上进行先解密然后再加密传输,其信息对每个节,点是透明的。由于其逐跳加密是在网络层进行的,所以适用于,所有业务,有利于将

7、物联网各业务统一到一个管理平台。由于,每个节点可以得到加密信息的明文数据,所以对节点的可信性,要求较高,端到端加密机制可以提供不同安全等级的灵活安全策略,但是也存在较大的缺点,首先,端到端加密机制不符合国家利,益,不能满足国家合法监听的政策,其次,端到端加密方式不能,隐藏信息的源和目的,存在被敌手利用的可能性,此外,应加强传输层的跨域认证和跨网认证,2019/9/3,14,应用层安全挑战,海量数据的识别和处理,智能变为低能,自动变为失控,灾难控制和恢复,非法人为干预,2019/9/3,15,应用层安全机制,当海量数据传输到应用层时,除了数据的智能处理之外,还,应该考虑数据的安全性和隐私,1,应

8、在数据智能化处理的基础上加强数据库访问控制策略,当不同用户访问同一数据时,应根据其安全级别或身份限制其,权限和操作,有效保证数据的安全性和隐私,如手机定位应用,智能电网和电子病历等,2,加强不同应用场景的认证机制和加密机制,3,加强数据溯源能力和网络取证能力,完善网络犯罪取证机制,4,应考虑在不影响网络与业务平台的应用的同时,如何建立一,个全面、统一、高效的安全管理平台,2019/9/3,16,三、物联网隐私问题及解决方案,2019/9/3,17,隐私保护概念,简单地说,隐私保护就是使个人或集体等实体,不愿意被外人知道的信息得到应有的保护,与隐私保护密切相关的一个概念是信息安全,两者之间有一定

9、的联系,但两者关注的重点不同,信息安全关注的主要问题是数据的机密性,完整性,和可用性,而隐私保护关注的主要问题是看系统是,否提供了隐私信息的匿名性。通常来讲,隐私保护,是信息安全问题的一种,可以把隐私保护看成是数,据机密性问题的具体体现,2019/9/3,18,物联网隐私威胁分类,基于数据的隐私威胁,数据隐私问题主要是指物联网中数据采集,传,输和处理等过程中的秘密信息泄露,从物联,网体系结构来看,数据隐私问题主要集中在,感知层和处理层,如感知层数据聚合,数据,查询和,RFID,数据传输过程中的数据隐私泄露,问题,处理层中进行各种数据计算时面临的,隐私泄露问题,2019/9/3,19,物联网隐私

10、威胁分类,基于位置的隐私威胁,位置隐私是物联网隐私保护的重要内容,主要,指物联网中各节点的位置隐私以及物联网在提,供各种位置服务时面临的位置隐私泄露问题,具体包括,RFID,阅读器位置隐私,RFID,用户,位置隐私,传感器节点位置隐私以及基于位,置服务中的位置隐私问题,2019/9/3,20,物联网隐私保护方法分类,匿名化方法,该方法通过模糊化敏感信息来保护隐私，即修改或隐,藏原始信息的局部或全局敏感数据,加密类方法,通过加密技术对信息进行保护,既保证了数据的机密,性，又保证了数据的隐私性。加密方法中使用最多的,是同态加密技术和安全多方计算,安全路由协议方法,在路由协议方法中，其实现隐私防护的

11、根本原理是通,过对,WSN,网络中节点路由的协议控制，实现对信息,的保护,2019/9/3,21,匿名化方法具体应用,基于位置的服务,LBS,是物联网提供的一个重要应用,当用,户向位置服务器请求位置服务,如,GPS,定位服务,时,如何,保护用户的位置隐私是物联网隐私保护的一个重要内容,利用匿名技术可以实现对用户位置信息的保护,位置隐私保护的模型结构,1,独立结构,2,中心服务器结构,3,点对点结构,2019/9/3,22,位置隐私保护的模型结构,独立式结构,独立结构比较简单，用户在客户端上完成匿名过程，然后,将服务请求发送给第三方,LBS,提供商,2019/9/3,23,位置隐私保护的模型结构

12、,中心服务器结构,中心服务器结构在独立机构的基础上添加了一个可信任的,匿名服务器，该服务器位于用户和,LBS,提供商之间，接,受用户发送过来的位置服务请求信息匿名处理后发送给第,三方,LBS,提供商,2019/9/3,24,位置隐私保护的模型结构,点对点结构,点对点结构只存在用户和,LBS,提供商，用户和用户之间,通过协作组成合适的匿名群，该匿名群用于保护用户的隐,私安全,2019/9/3,25,位置隐私保护技术,空间匿名技术,终端,m,需要从,LBS,服务器获得位置服务信息，首先,要将自己的位置隐匿在当前环境中。终端,m,向单跳,邻居节点发送匿名请求信息，各个请求信息头部包括,标识符，跳数等

13、信息。接着,m,就处于监听回复的状,态。当邻居节点收到一个回复后，通过数据包头部的,标识符判断是否重复接受，如是，则丢弃。之后，通,过跳数判断是否是临近节点，如是，则将该节点的信,息保存到元组中。如不，则继续寻找。接着，邻居节,点将所得元组集合发送给终端,m,这种算法的优点在,于分散了匿名工作和计算量到初始终端的邻居节点,在保证达到匿名度的同时平均分配了损耗,2019/9/3,26,位置隐私保护技术,时空匿名技术,时空匿名是在空间匿名的基础之上增加了一个,时间轴，在用空间区域代替具体位置以后，同,时延长匿名的时间，将位置服务请求信息的匿,名时间延长，在这个时间段里面，也许会有更,多的信息出现在

14、这个空间区域，这时候就可以,在这些心中寻找合适的匿名群,2019/9/3,27,位置隐私保护技术,时空匿名技术,如图,所示，黑色圆点是用户的真实位置，模型使用时空区域（图中的长方体,代替用户的具体位置之后，用户以相同的概率处于时空区域中的任何一个位置,2019/9/3,28,位置隐私保护技术,K,匿名技术,K,匿名技术需引入第三方匿名服务器，适用于中心服务器,模式。目前的,K,匿名技术采用泛化和隐匿两种技术实现,匿名。终端向服务器发送,LBS,服务请求时，匿名服务器,会收到终端服务器的地址，匿名服务器根据匿名需求将真,实位置泛化成一个区域,K,匿名的安全度取决于两个参数,最小匿名面积,Amin

15、,用于匿名服务器分割匿名区域时的,依据；匿名度,K,K,值的取定直接决定匿名服务的质量,K,越小，匿名程度越低,K,越大，匿名程度越大，但随着,K,的增大，网络的负载也越来越大，在服务质量和网络负,载之间保持平衡的条件下选择合适的匿名度,2019/9/3,29,加密技术的具体应用,针对,RFID,的隐私保护,几种常用的隐私保护方法：安全多方计算：对,RFID,传感器的位置信息和数据进行分析，利用基于,SMC,的,密码组合实现对,RFID,数据的隐藏；基于加密原理的,安全协议：对于网络中的各种敏感数据和位置信息,通过各种加密机制实现信息防护,WSN,网络的数据隐私保护,于加密技术的无线传感器网络

16、数据隐私保护方法主要,是采用同态加密技术实现端到端数据聚合隐私保护,数据挖掘隐私保护,针对分布式环境下的数据挖掘方法,一般通过同态,加密技术和安全多方计算实现隐私保护,2019/9/3,30,加密技术,安全多方技术,安全多方计算是指在一个互不信任的多用户网络中,各用户能够通过网络来协同完成可靠的计算任务,同时,又能保持各自数据的安全性。实际上,安全多方计算是,一种分布式协议,在这个协议中,n,个成员,p1,p2,pn,分别持有秘密的输,xl,x2,xn,试图计算函数值,f(xl,x2,xn,其中,f,为给定的函数。在此过程中,每个,成员,pi,仅仅知道自己的输人数据,x,和最后的计算结果,f(

17、xl,x2,xn,安全的含义是指既要保证函数值的正,确性,又不暴露任何有关各自秘密输人的信息,2019/9/3,31,加密技术,同态加密技术,一般的加密体系包含,3,个部分,生成公钥,私钢对,加密过程,解密过程。而在同态加密体系中多,了一个对密文的计算过程,并且要求这个计算,过程得到的结果是一个密文,而这密文解密后,的明文等于对原始明文进行相应计算结果,2019/9/3,32,同态加密具体表示,2019/9/3,33,哈希锁,为了避免,RFID,标签信息泄露和被追踪,hash,锁,协议使用,metaID,来代替真实的标签,ID,标签对,阅读器进行认证之后再将其,ID,发送给阅读器。这,种方法在

18、一定程度上防止了非法阅读器对标签,ID,的获取,2019/9/3,34,哈希锁实现过程,1,锁定过程,1,阅读器随机生成一个密钥,key,并计算,metalD=hash(key,其中,hash(,是,一个单向密码学哈希函数,2,阅读器随将,metalD,与入到标签,3,标签被锁定,进入锁定状态,4,阅读器可以用,metalD,作为整个环节的索引,用数据库来存,metalD,key,数据,2,解锁过程,1,标签进入读写器范围后,读写器查询标签,标签响应并返回,metalD,2,读写器以,metalD,为索引在后台数据库中查找对应的,metalD,key,对,并,将,key,返回给阅读器,3,标签

19、将收到从阅读器发过来的密钢,key,4,标签计算,hash,key,如果,hash (key,与标签中存储的,metalD,相等,则标,签解锁,并向读写器发送真实,ID,2019/9/3,35,随机哈希锁,在这个协议中,阅读器每次访问标签得到的输出信息都不,同。在随机哈希锁协议中,标签需要包含一个单向密码学,哈希函数和一个伪随机数发生器,阅读器也拥有同样的哈,希函数和伪随机发生器,并将对应于每个标签的,ID,值存储,在后台系统的数据库当中,阅读器还在每一个标签共享一,个唯一的密钥,key,这个,key,将作为密码学哈希函数的密钥,用于计算,2019/9/3,36,随机哈希锁实现过程,1,当阅读

20、器请求访问标签时,标签,T,先用伪随机数发生器生成,一个随机数,R,然后计算其,ID,和随机数,R,的哈希值,hash(IDllR,最后把随机数,R,和这个哈希值返回给发起访问请求的阅读器,阅读器收到标签的响应后,将这些信息都发送给后台数据,2,因为还不知道被查询标签的身份,因此后台数据库需要穷,举所有标签,ID,并与收到的随机数,R,一起作为哈希函数的输入,计算,hash(ID|R,如果计算得到的哈希值与收到的哈希值相,同,则,ID,就是正在被查询的标签,阅读器将此标签的,ID,发回,对标签进行解锁,2019/9/3,37,哈希链,哈希链协议中,标签和阅读器共享两个单向密码学哈希函数,G (,和,H (,其中,G (,用来计算响应消息,H (,用来进行更新,它,们还共享一个初始的随机化标识符,S,当阅读器查询标签,时,标签返回当前标示符,Si,的哈希值,ai=G (Si,同时标签更新,当前标识符,Si,至,Si+i=H (Si,哈希链协议如图所示,阅读器收到标签的响应后需要穷尽的计算,使用数据库中所,有标签的标识符计算哈希值来与收到的信息匹配,2019/9/3,38,安全路由协议,路由协议隐私保护方法一般基于随机路由策略,即数据包的每