农业物联网安全设计

农业物联网工程设计与实施项目五

物联网安全设计5.1网络系统安全网络安全的定义美国“911”对网络安全的启示23教学提示教学目的网络安全性设计的基本步骤包括对用户网络的安全需求进行风险评估开发出有效的安全策略选择出适当的安全机制设计网络安全方案重点安全需求进行风险评估设计网络安全方案4要点网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学

网络安全问题的起源ARPAnet设计初期没有考虑网络安全问题网络规模小而且专用，物理控制计算机和通信硬件，门锁和警卫即可保证安全因特网已成为世界上第一大网并向世界开放，应用领域不断扩展，安全性需求随之日益增加保证网络整体的物理安全性已经不可能网上居心叵测的人位于大部分其他设备之间，无法保证发送和接收的数据是安全的我们访问网络获取信息的方式越便捷，保护网络各种资源的安全也就越困难56安全性设计主要步骤确定网络上的各类资源针对网络资源，分别分析它们的安全性威胁分析安全性需求和折衷方案开发安全性方案定义安全策略开发实现安全策略的过程开发和选用适当的技术实现策略实现技术策略和安全过程测试安全性，发现问题及时修正建立审计日志，响应突发事件，更新安全性计划和策略7信息安全性的3个方面安全攻击危及由某个机构拥有的信息安全的任何行为安全机制设计用于检测、防止或从安全攻击中恢复的机制安全服务目标是对抗安全攻击，它们利用一个或多个安全机制来提供该服务8要防止两种极端认识对信息安全问题麻木不仁，不承认或逃避网络安全问题盲目夸大信息可能遇到的威胁如对一些无关紧要的数据采用极复杂的保护措施解决任何网络安全的问题都是要付出代价；某些威胁需要投入大量精力来控制，另一些则相反什么是正确的做法呢？9网络风险评估风险管理包括一些物质的、技术的、管理控制及过程活动的范畴，根据此范畴可得到合算的安全性解决方法。对计算机系统所受的偶然或故意的攻击，风险管理试图达到最有效的安全防护一个风险管理程序包括四个基本部分风险评估(或风险分析)安全防护选择确认和鉴定应急措施10风险分析风险指损失的程度风险分析的目的是帮助选择安全防护措施，将风险降到可接受的程度大多数风险分析的方法先都要对资产进行确认和评估；可分为定量(如货币的)的或定性(估计)的方法选择一系列节约费用的控制方法或安全防护方法，为信息提供必要级别的保护网络资产可以包括网络主机，网络互联设备以及网络上的数据，以及知识产权、商业秘密和公司名誉11安全防护选择必须选择安全防护来减轻相应的威胁。通常，将威胁减小到零并不合算管理者决定可承受风险的级别，采用省钱的安全防护措施将损失减少到可接受的级别安全防护的几种方法减少威胁发生的可能性减少威胁发生后造成的影响威胁发生后的恢复12确认和鉴定是进行计算机环境的风险管理的重要步骤确认是指一种技术确认，用以证明为应用或计算机系统所选择的安全防护或控制是合适的，并且运行正常鉴定是指对操作、安全性纠正或对某种行为终止的官方授权应急措施是指发生意外事件时，确保主系统连续处理事务的能力13分析安全性的折衷方案保护该网的费用是否比恢复的费用要少费用：不动产、名誉、信誉和其他一些潜在财富折衷必须在安全性目标和可购买性、易用性、性能和可用性目标之间做出权衡维护用户注册IP、口令和审计日志，安全管理增加了管理工作量安全管理还会影响网络性能往往需要减少网络冗余，增加单故障点14开发安全方案安全设计的第一步是开发安全方案安全方案是一个总体文档，它指出一个机构怎样做才能满足安全性需求。计划详细说明了时间、人员和其他开发安全规则所需要的资源安全方案应当参考网络拓扑结构，并包括一张它所提供的网络服务列表应当根据用户的应用目标和技术目标，帮助用户估计需要哪些服务。应当避免过度复杂的安全策略一个重要方面是对参与实现网络安全性人员的认定15开发安全策略安全策略是所有人员都必须遵守的规则安全策略规定了用户、管理人员和技术人员保护技术和信息资源的义务，也指明了完成这些义务要通过的机制开发安全策略是网络安全员和网络管理员的任务，并广泛征求各方面的意见。网络安全的设计者应当与网络管理员密切合作，充分理解安全策略是如何影响网络设计的开发出了安全策略之后，由高层管理人员向所有人进行解释，并由相关人员认可安全策略是一个不断变化的文档16开发安全过程开发安全过程实现安全策略。该过程定义了配置、登录、审计和维护的过程安全过程是为端用户、网络管理员和安全管理员开发的安全过程指出了如何处理偶发事件如果检测到非法入侵，应当做什么以及与何人联系需要安排用户和管理员培训安全过程17要点网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学

18网络安全性机制设计安全通信所需要的特性机密性鉴别报文完整性和不可否认性可用性和访问控制

设计网络安全方案时，可能用到其中的一个构件或一些构件的组合密码学是网络安全性机制的基础，但仅仅保证数据的机密性是不够的19数据加密和数字签名加密算法对称密钥算法和公开密钥加密体制计算不可破信息加密解密的模型E加密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)入侵者截获篡改密钥源安全信道20鉴别鉴别(authentication)就是向其他人证明一个人身份的过程鉴别协议首先建立满足通信对方要求的身份标识；鉴别完成之后通信实体才开始具体的工作21报文完整性协议有时通信的双方并不关心是否有人在窃听，而只关心发送过来的报文是否是真的，从真实的对方发送过来的报文中途是否没有被改变这就是要确保报文完整性的问题22完整性：报文摘要公钥技术的加、解密的计算代价昂贵，有时数据不需要加密，但不能篡改报文摘要不用加密全部报文就可以实现签名和防篡改

MD5摘要算法正在广泛使用23密钥分发公钥密码也有其自身的缺陷，特别是如何获取某一方真正的公钥的问题确定用于对称密钥密码的共享密钥和安全获取公钥密码的正确公钥的问题，都可通过使用一个可信中介(trustedintermediary)得到解决对于对称密钥密码体制，可信中介被称为密钥分发中心(keydistributioncenter,KDC)，它是唯一可信的网络实体，任一方能与它创建一个共享密钥对公钥密码而言，KDC被称为证书权威机构(certificationauthority,CA)24公钥认证用户可以多种方式公开发布其公钥放在其个人网页上、把公钥放置在公钥服务器上、或通过电子邮件把公钥发送给对方要使公钥密码有用，实体(用户、浏览器和路由器等)必须能够确定它们所得到的公钥确实来自其通信的对方由证书权威机构(CA)把一个特定实体与其公钥绑定到一起，CA的职责就是使得实体身份和其发出的证书有效ITUX.509[ITU1993]规定了证书的一种鉴别服务和特定的证书语法25授权：访问控制鉴别控制谁能访问网络资源，而授权则指出一旦它们可以访问网络资源时，它们能做些什么。安全管理员为进程或用户设置权限，授权是控制网络安全的一部分。根据用户的部门或工作性质，能为不同用户授予不同的权限基于角色的访问控制(RBAC)是自主访问控制(DAC)和强制访问控制(MAC)策略的另一种选择将代表行为的“操作”与角色相关联，而角色的成员由适当的用户组成，这可大大简化安全管理

26审计为有效地分析网络安全性和响应安全性事件，安全过程应当收集有关的网络活动数据。这种收集数据的过程就被称为审计对于使用安全性策略的网络，审计数据应当包括任何个人获得鉴别和授权的所有尝试收集的数据应当包括试图登录和注销的用户名以及改变前后的访问权限。审计记录中的每一个等级项都应当有时间戳审计过程不应收集口令审计的进一步扩展是安全性评估27恶意软件恶意软件就是恶意的程序代码，通常是以某种方式悄然安装在计算机系统内的软件。这些程序代码具有一些人们所不希望的功能，影响网络系统的数据安全性和资源可用性恶意软件大体可以分为5大类病毒蠕虫特洛伊木马恶意远程程序追踪Cookie恶意软件的定义(中国互联网协会)特征强制安装难以卸载浏览器劫持广告弹出恶意收集用户信息恶意卸载恶意捆绑流氓软件：常常介于病毒程序和正常程序之间的程序2829防火墙的定义防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合，它允许一些数据分组通过，禁止另一些数据分组通过防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问，这种控制是通过管理流入和流出这些资源的流量实现的两种类型分组过滤防火墙应用程序级网关电路级网关堡垒主机Internet分组过滤路由器(a)屏蔽的主机防火墙(单地址堡垒主机)信息服务器内部网主机Internet分组过滤路由器(b)屏蔽的主机防火墙(双地址堡垒主机)堡垒主机信息服务器内部网主机Internet分组过滤路由器(c)屏蔽的子网防火墙系统堡垒主机信息服务器内部网内部路由器3031入侵检测网络内部人员滥用职权往往对网络安全危害性很大入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质，起着主动防御的作用32入侵检测系统的类型通常分为基于主机和基于网络两类基于主机的IDS早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入基于网络的IDS在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式虚拟专用网VPN基本思想：跨越费用低廉的公网来扩展信任关系而不牺牲安全性。理想的VPN应当像一个专网一样，它应当是安全的、高度可用的和具有可预测的性能3334物理安全性指将资源保护在加锁的门里来限制对网络关键资源的访问也指保护资源免受诸如洪水、火灾、暴风雪和地震等自然灾害的侵害它是一个当然的需求，很容易熟视无睹而忘记对它进行设计，非常重要网络安全性设计要考虑网络设备放置的问题网络数据的异地备份问题35要点网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学

36数据备份和容错设计“幸运的是那些做了数据备份的悲观主义者”如果我们通过有效而简单的数据备份，就能具有更强的数据恢复能力，很容易找回失去的数据；而如果有了坚实的容错手段，数据丢失也许就不会发生了数据备份备份通常要按日、按周或按月做备份对最为重要的文件进行更为频繁的备份37系统容错技术容错是指系统在部分出现故障的情况下仍能提供正确功能的能力RAID技术通过冗余具有可靠性和可用性方面的优势RAID分为几级，不同的级实现不同的可靠性，但是工作的基本思想是相同的，即用冗余来保证在个别驱动器故障的情况下，仍然维持数据的可访问性RAID级别得到业界广泛认同的有4种，即RAID0，RAID1,RAID0+1和RAID5RAID0是无数据冗余的存储空间条带化，具有成本低、读写性能极高以及存储空间利用率高等特点RAID1是两块硬盘数据的完全镜像，其优点是安全性好、技术简单、管理方便以及读写性能较好RAID0＋1综合了RAID0和RAID1的特点，独立磁盘配置成RAID0，两套完整的RAID0互相镜像RAID5应用最广泛，各块独立硬盘进行条带化分割，具有数据安全、读写速度快和空间利用率高等优点3839数据存储方式存储区域网络(SAN)是储存资料所要流通的网域SAN基于光纤信道，采用光纤通道(FiberChannel)标准协议因特网数据中心(IDC)为因特网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及动态服务器主页、电子商务等业务数据中心在大型主机时代就已出现，那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护，以达到专业化管理和降低运行成本的目的40异地容灾系统关键技术包括网络技术、存储技术与解决方案网络技术无论ATM网络还是光纤网络，都已经广泛应用于存储技术领域RAID和磁盘等技术已经成熟存储区域网络也已经得到认可实现异地容灾两类方式基于主机系统的数据复制基于存储系统的远地镜像41容错电源没有电力，网络就会瘫痪；电压过高或过低，网络设备就会损坏，特别是如果服务器遭受破坏，损失就可能难以估计。据统计，大量的计算机损坏是由电涌引起的有几种设备能够保持电源的稳定供给电涌抑制器、稳压电源、交流滤波器或不间断电源(UPS)UPS通常能够提供上述几种设备的功能，因此得到了广泛的使用42要点网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学

43选择网络安全解决方案与因特网的连接应当采用一种多重安全机制来保证其安全性，包括火墙、入侵检测系统、审计、鉴别和授权甚至物理安全性提供公用信息的公用服务器如Web服务器和FTP服务器，可以允许无鉴别访问，但是其他的服务器一般都需要鉴别和授权机制即使是公用服务器也应当放在非军事区中，用防火墙对其进行保护非军事区DMZ4445拨号安全性对Intranet而言，拨号访问是造成系统安全威胁的重要原因提高拨号访问安全性，应当综合采用防火墙技术、物理安全性、鉴别和授权机制、审计技术以及加密技术等鉴别和授权是拨号访问安全性最重要的功能。在这种情况使用安全卡提供的一次性口令是最好的方法对于远程用户和远程路由器，应使用询问握手鉴别协议鉴别(CHAP)。鉴别、授权和审计的另一个选择是远程鉴别拨入用户服务器(RADIUS)协议46网络服务安全性内部网络服务可以使用鉴别和授权、分组过滤、审计日志、物理安全性和加密等安全手段不论用户是通过控制台端口还是通过网络访问这些设备，都需要注册ID和口令。有权查看或修改配置的管理员可使用安全等级更高的第二级口令可使用终端访问控制器访问控制系统(TACACS)来管理中心中的大量路由器和交换机用户的IP地址和口令。TACACS还提供审计功能限制使用SNMPv3以下的set操作修改管理和配置数据47用户服务安全性用户服务包括端系统、应用程序、主机、文件服务器、数据库服务器和其他服务等提供这些服务的服务器通常能够提供鉴别和授权功能。如果用户关心使用该系统的人员的话，端系统也可以提供该功能当用户长时间离开自己的办公室时，建议用户退出会话。不工作时应关闭机器，以免未授权用户进入系统去访问服务和应用程序。也可使用自动退出功能在长时间没有用户活动时，自动退出一个会话安全策略和过程应当说明可接受的有关口令的规则：何时使用口令，如何格式化口令，如何修改口令等。一般说来，口令应当包括字符和数字，至少6个字符，而且不是通常使用的词汇，且需经常修改48网络物理隔离

大致有如下几种方法集中上因特网在专门的办公室，用指定专人负责的专用计算机，供大家访问因特网。这些专用计算机不得用于处理涉密内容完全冗余的主机使用具有双主板、双硬盘和双网卡的主机；启动时，选择某台机器与某网络相连。该法节省空间、安全保密，但不够方便49要点网络安全设计的步骤选择网络安全机制选择数据备份和容错技术设计网络安全方案网络工程案例教学

设计一个高可靠性的网络案例教学要求：掌握设计高可靠性网络的基本方法。用Visio绘制该网络拓扑图案例教学环境：PC1台，MicrosoftVisio软件1套。设计要点：某金融机构的A办公楼和B办公楼中的网络不仅要求有高传输速率，而且要求有高可靠性。用千兆到交换机，百兆到桌面的传输方案。采用双交换机互为高速备份的联网方案。保障金融信息安全至关重要。50需求分析和设计考虑对于需要高可靠性的网络最基本的方法就是采用冗余设计为A办公楼和B办公楼各配置1台主交换机，为每个楼层配置1台楼层交换机，楼层交换机分别与两台主交换机用千兆光缆相连将两台主交换机用链路聚合技术连接起来，并将各种服务器与主交换机相连。一旦某台主交换机出现问题，网络不会全面瘫痪为了保障网络中金融信息的安全，应采取服务器异地互为备份等其他容错技术由于IEEE802.1D规范，我们不必担心交换机环路。51一个高可靠性的网络的设计方案52方案说明其中2台主交换机分别位于A、B两座办公楼，每台主交换机都用千兆光缆与本办公楼以及另一座办公楼的楼层交换机相连两台主交换机之间采用链路聚合技术形成速率更高的通道在A、B两个主交换机上都连接了各种重要的服务器，这两个服务器池中的服务器中的信息互为备份系统中还采用了容错电源等措施53小结你越依赖于网络，网络安全对你越重要。网络安全性设计的基本步骤包括对用户网络的安全需求进行风险评估，开发出有效的安全策略，选择出适当的安全机制，设计出网络安全方案。你应当能够对安全需求进行风险评估，并能设计网络安全方案农业物联网工程设计与实施项目五物联网安全设计物联网数据中心安全设计P56物联网的安全架构1感知层安全2传输层安全3

应用层安全4本章要点公共安全5【本章知识要点】学习完本章后，应当掌握如下知识：（1）了解物联网安全呈现的新特点。（2）了解物联网面临的安全威胁。（3）了解物联网的安全机制。9.物联网安全互联网的脆弱性复杂的网络环境无线信道的开放性物联网终端的局限性

9.1.物联网安全威胁来源9.物联网安全加密机制实施难度大认证机制难以统一访问控制更加复杂网络管理难以准确实施网络边界难以划分设备难以统一管理9.2物联网安全与互联网安全的不同9.物联网安全从物联网的信息处理过程来看，感知信息经过采集、汇聚、融合、传输、决策与控制等过程，整个信息处理的过程体现了物联网安全的特征与要求，也揭示了所面临的安全问题。一是感知网络的信息采集、传输与信息安全问题二是核心网络的传输与信息安全问题。三是物联网业务的安全问题。9.3物联网安全特征9.物联网安全区别一：已有的对传感网(感知层)、互联网(传输层)、移动网(传输层)、云计算(处理层)等的一些安全解决方案在物联网环境可能不再适用，因为：●物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的；●物联网所联接的终端物体的处理能力有很大差异；●物联网所处理的数据量比现在的互联网和移动网都大得多。9.4物联网安全与传统网络安全的区别9.物联网安全区别二：即使分别保证感知层、传输层和处理层的安全，也不能保证物联网的安全，因为：●物联网是融几个层于一体的大系统，许多安全问题来源于系统整合；●物联网的数据共享对安全性提出更高的要求；●物联网的应用将对安全提出新要求，比如，隐私保护不属于任一层的安全需求，但却是许多物联网应用的安全需求。9.4物联网安全与传统网络安全的区别9.物联网面临的安全威胁由于标签成本的限制，普通的商品不可能采取很强的加密方式。标签与阅读器之间进行通讯的链路是无线的，无线信号本身是开放的，这就给非法用户的干扰和侦听带来了便利。阅读器与主机之间的通讯也可能受到非法用户的攻击。9.5RFID安全9.物联网面临的安全威胁

1、信号干扰问题

RFID系统采用低频、高频、超高频和微波等各种信号，主要频率有125kHz、225kHz和13.65MHz、433MHz、915MHz、2.45GHz、5.8GHz。各个频带的电磁波信号同时使用时，相邻频带之间的干扰很大。可能导致的错误有：(1)读写器与标签通讯过程中的数据错误。(2)信号中途被截取，冒充RFID标签，向读写器发送信息。(3)利用冒名顶替标签来向阅读器发送数据，从而使阅读器处理的都是虚假的数据。9.5RFID安全9.物联网面临的安全威胁(4)阅读器发射特定电磁波破坏标签内部数据。(5)由于受到成本的限制，很多标签不可能采用很强的编程和加密机制，这样非法用户可以利用合法的阅读器或者自购一个阅读器直接与标签进行通讯，从而导致标签内部的数据极容易被窃取，并且那些可读写式标签还将面临数据被修改的风险。(6)在阅读器与主机(或者应用程序)之间中间人(或者中间件)通过直接或间接地修改配置文件，窃听和干扰交换的数据。9.5RFID安全9.物联网面临的安全威胁

2、和址认证守护物联网的信息安全和址认证技术(也称合址认证)，是将密码(编码)和传感器网络地址(如SIM卡地址或号码)联合认证的技术。和址认证在存放处同时存放密码和网络地址数据，密码和传感器(网络终端)由持有方持有使用，网络地址由第三方网络提供，该地址具有惟一性和非人为可控性；在认证时，持有方通过传感器读取物品上的密码，并向存放处传送，第三方网络向存放处传送传感器的网络地址，存放处同时比对密码和网络地址。单纯持有密码或特定的传感器，均不能通过认证。9.5RFID安全9.物联网面临的安全威胁由于传感器网络自身的一些特性，使其在各个协议层都容易遭受到各种形式的攻击。（1）物理层的攻击和防御（2）链路层的攻击和防御9.6无线传感网安全9.物联网面临的安全威胁（3）网络层的攻击和防御

①虚假路由信息②选择性地转发③污水池攻击④女巫攻击⑤蠕虫洞攻击⑥泛洪攻击9.6无线传感网安全9.物联网面临的安全威胁由于无线传感器网络受到的安全威胁和移动Adhoc(自组织无线网络)不同，所以现有的网络安全机制无法应用于本领域，需要开发专门协议。目前主要存在两种思路：一种思想是从维护路由安全的角度出发，寻找尽可能安全的路由以保证网络的安全。另一种思想是把着重点放在安全协议方面。9.6无线传感网安全9.物联网面临的安全威胁无线传感器网络中的两种专用安全协议：安全网络加密协议SNEP(SensorNetworkEncryptionProtocol)和基于时间的高效的容忍丢包的流认证协议μTESLA。9.6无线传感网安全9.物联网面临的安全威胁目前，信息安全问题面临着前所未有的挑战，常见的安全威胁有：第一，信息泄露。第二，破坏信息的完整性。第三，拒绝服务。第四，非法使用(非授权访问)。第五，窃听。第六，业务流分析。第七，假冒。第八，旁路控制。第九，授权侵犯。第十，特洛伊木马。第十一，陷阱门。第十二，否认。第十三，重放。第十四，计算机病毒。第十五，人员不慎。第十六，媒体废弃。第十七，物理侵入。第十八，窃取。第十九，业务欺骗。9.7物联网信息安全9.物联网面临的安全威胁

1、无线网络安全

(1)非法设备(2)结构不确定(3)网络和设备漏洞(4)威胁和攻击(5)暴露出有线网络(6)应用冲突问题9.8无线网络、云计算与IPv6安全9.物联网面临的安全威胁

2、云计算安全

(1)优先访问权风险(2)管理权限风险(3)数据处所风险(4)数据隔离风险(5)数据恢复风险(6)调查支持风险(7)长期发展风险9.8无线网络、云计算与IPv6安全9.物联网面临的安全威胁

3、IPv6安全(1)病毒和蠕虫病毒仍然存在(2)衍生出新的攻击方式(3)Ipv4到IPv6过渡期间的风险(4)多数传统攻击不可避免9.8无线网络、云计算与IPv6安全9.9物联网安全机制密钥系统是安全的基础，是实现信息隐私保护的手段之一。实现统一的密钥管理系统可以采用两种方式：一是以互联网为中心的集中式管理方式。二是以各自网络为中心的分布式管理方式。9.9.1密钥管理机制9.3物联网安全机制物联网应用不仅面临信息采集的安全性，也要考虑到信息传送的私密性，要求信息不能被篡改、不能被非授权用户使用，同时，还要考虑到网络的可靠、可信和安全。一方面希望提供尽可能精确的位置服务，另一方面又希望个人的隐私得到保护。这就需要在技术上给以保证。目前的隐私保护方法主要有位置伪装、时空匿名、空间加密等。

9.9.2数据处理与隐私性9.9物联网安全机制物联网的路由要跨越多类网络，有基于IP地址的互联网路由协议、有基于标识的移动通信网和传感网的路由算法，因此我们要至少解决两个问题，一是多网融合的路由问题，二是传感网的路由问题。

无线传感器网络路由协议常受到的攻击主要有以下几类：虚假路由信息攻击、选择性转发攻击、污水池攻击、女巫攻击、虫洞攻击、Hello洪泛攻击、确认攻击等。9.9.3安全路由协议9.3物联网安全机制9.9.3安全路由协议攻

击

类

型解

决

方

法外部攻击和链路层安全链路层加密和认证女巫攻击身份验证HELLO泛洪攻击双向链路认证虫洞和污水池很难防御，必须在设计路由协议时考虑，如基于地理位置路由等选择性转发攻击多径路由技术认证广播和泛洪广播认证，如μTESLA传感器网络攻击与解决方法9.9物联网安全机制认证指使用者采用某种方式来“证明”自己确实是自己宣称的某人，网络中的认证主要包括身份认证和消息认证。访问控制是对用户合法使用资源的认证和控制，目前信息系统的访问控制主要是基于角色的访问控制机制(Role-BasedAccessControl，RBAC)及其扩展模型。9.9.4认证与访问控制9.9物联网安全机制容侵就是指在网络中存在恶意入侵的情况下，网络仍然能够正常地运行。无线传感器网络可用性的另一个要求是网络的容错性。一般意义上的容错性是指在故障存在的情况下系统不失效、仍然能够正常工作的特性。无线传感器网络的容错性指的是当部分节点或链路失效后，网络能够进行传输数据的恢复或者网络结构自愈，从而尽可能减小节点或链路失效对无线传感器网络功能的影响。

9.9.5入侵检测与容侵容错技术农业物联网工程设计与实施项目五物联网安全设计物联网安全特征与关键技术物联网是通过射频识别(RFID)装置、红外感应器、全球定位系统、激光扫描器、传感器节点等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理等功能的一种网络。物联网的核心是完成物体信息的可感、可知、可传和可控。1.介绍从信息与网络安全的角度来看，物联网作为一个多网的异构融合网络，不仅存在与传感器网络、移动通信网络和因特网同样的安全问题，同时还有其特殊性隐私保护问题异构网络的认证与访问控制问题信息的存储与管理等2.1物联网安全特征一、感知网络的信息采集、传输与信息安全问题感知节点呈现多源异构性感知节点功能简单、携带能量少感知网络多种多样二、核心网络的传输与信息安全问题物联网中节点数量庞大现有通信网络的安全架构是从人通信的角度进行设计2.

物联网安全特征与架构三、物联网业务的安全问题支撑物联网业务的平台有着不同的安全策略大规模、多平台、多业务类型使物联网业务层次的安全面临新的挑战也可以从安全的机密性、完整性和可用性来分析物联网的安全需求信息隐私是物联网信息机密性的直接体现信息的加密是实现机密性的重要手段物联网的信息完整性和可用性贯穿物联网数据流的全过程物联网的感知互动过程也要求网络具有高度的稳定性和可靠性2.2物联网安全架构3.1密钥管理机制物联网密钥管理系统面临两个主要问题：一、如何构建一个贯穿多个网络的统一密钥管理系统，并与物联网的体系结构相适应；二、如何解决传感网的密钥管理问题，如密钥的分配、更新、组播等问题。3.

物联网安全关键技术实现统一的密钥管理系统可以采用两种方式：一、以互联网为中心的集中式管理方式一旦传感器网络接入互联网，通过密钥中心与传感器网络汇聚点进行交互，实现对网络中节点的密钥管理二、以各自网络为中心的分布式管理方式互联网和移动通信网比较容易解决，但对多跳通信的边缘节点、以及由于簇头选择算法和簇头本身的能量消耗，使传感网的密钥管理成为解决问题的关键。无线传感器网络的密钥管理系统的安全需求：(1).密钥生成或更新算法的安全性(2).前向私密性(3).后向私密性和可扩展性(4).抗同谋攻击(5).源端认证性和新鲜性根据这些要求，在密钥管理系统的实现方法中，提出了基于对称密钥系统的方法和基于非对称密钥系统的方法。在基于对称密钥的管理系统方面，从分配方式上也可分为以下三类：基于密钥分配中心方式预分配方式基于分组分簇方式典型的解决方法有SPINS协议、基于密钥池预分配方式的E-G方法和q-Composite方法、单密钥空间随机密钥预分配方法、多密钥空间随机密钥预分配方法、对称多项式随机密钥预分配方法、基于地理信息或部署信息的随机密钥预分配方法、低能耗的密钥管理方法等。与非对称密钥系统相比，对称密钥系统在计算复杂度方面具有优势。但在密钥管理和安全性方面有不足例如：邻居节点间的认证难于实现，节点的加入和退出不够灵活等。在物联网环境下，如何实现与其他网络的密钥管理系统的融合？将非对称密钥系统也应用于无线传感器网络：使用TinyOS开发环境的MICA2节点上，采用RSA算法实现传感器网络外部节点的认证以及TinySec密钥的分发；在MICA2节点上基于椭圆曲线密码ECC(ellipsecurvecryptography)实现了TinyOS的TinySec密钥的分发；基于轻量级ECC的密钥管理提出了改进的方案，特别是基于椭圆曲线密码体制作为公钥密码系统之一；非对称密钥系统的基于身份标识的加密算法(identity-based

encryption，IBE)引起了人们的关注3.2数据处理与隐私性物联网应用不仅面临信息采集的安全性，也要考虑到信息传送的私密性，要求信息不能被篡改和非授权用户使用，同时，还要考虑到网络的可靠、可信和安全就传感网而言，在信息的感知采集阶段就要进行相关的安全处理对RFID采集的信息进行轻量级的加密处理后，再传送到汇聚节点关注对光学标签的信息采集处理与安全虚拟光学的加密解密技术：基于软件的虚拟光学密码系统由于可以在光波的多个维度进行信息的加密处理，具有比一般传统的对称加密系统有更高的安全性，数学模型的建立和软件技术的发展极大地推动了该领域的研究和应用推广数据处理过程中涉及到基于位置的服务与在信息处理过程中的隐私保护问题基于位置的服务是物联网提供的基本功能，是定位、电子地图、基于位置的数据挖掘和发现、自适应表达等技术的融合定位技术目前主要有：GPS定位基于手机的定位无线传感网定位等无线传感网的定位主要是：射频识别、蓝牙ZigBee等基于位置的服务面临严峻的隐私保护问题，既是安全问题，也是法律问题基于位置服务中的隐私内容涉及两个方面：一、位置隐私二、查询隐私面临一个困难的选择，一方面希望提供尽可能精确的位置服务，另一方面又希望个人的隐私得到保护3.3安全路由协议物联网的路由要跨越多类网络，有基于IP地址的互联网路由协议、有基于标识的移动通信网和传感网的路由算法，因此我们要至少解决两个问题一、多网融合的路由问题；二、传感网的路由问题。前者可以考虑将身份标识映射成类似的IP地址，实现基于地址的统一路由体系；后者是由于传感网的计算资源的局限性和易受到攻击的特点，要设计抗攻击的安全路由算法。无线传感器节点电量有限、计算能力有限、存储容量有限以及部署野外等特点，使得它极易受到各类攻击抗击上述攻击可以采用的方法针对无线传感器网络中数据传送的特点，目前已提出许多较为有效的路由技术。按路由算法的实现方法划分，洪泛式路由，如Gossiping等；以数据为中心的路由，如DirectedDiffusion，SPIN等；层次式路由，如LEACH(lowenergyadaptiveclusteringhierarchy)、TEEN(thresholdsensitiveenergyefficientsensornetworkprotocol)等；基于位置信息的路由，如GPSR(greedyperimeterstatelessrouting)、GEAR(geographicandenergyaware