物联网信息安全 课件 第6章 物联网应用层安全

物联网应用层安全

江苏科技大学物联网工程（2017.6.15）物联网应用层安全物联网的概念物联网应用层安全需求Web安全中间件安全数据安全云计算安全物联网信息安全标准物联网（TheInternetofthings）在计算机互联网的基础上通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的概念物联网应用层安全需求应用层面临的安全问题（1）超大量终端提供了海量的数据，来不及识别和处理；（2）智能设备的智能失效，导致效率严重下降；（3）自动处理失控；（4）无法实现灾难控制并从灾难中恢复；（5）非法人为干预造成故障；（6）设备从网络中逻辑丢失。Web安全一、Web结构原理1、Web简介Web是一种体系结构，是Internet提供的一种界面友好的信息服务。Web上的海量信息是有彼此关联的文档组成，这些文档称为主页或页面，它是一种超文本信息，而使其连接在一起的是超链接。通过Web可以访问遍布于Internet主机上的链接文档。Web安全2、Web的五个特点（1）Web是图形化且易于导航的。（2）Web与平台无关。如Windows平台、UNIX平台。（3）Web是分布式的。（4）Web是动态的。（5）Web是交互的。Web安全二、Web的安全威胁

来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。Web安全1、对Web服务器的安全威胁Web服务器上的漏洞可以从以下几方面考虑（1）在Web服务器上的机密文件或重要数据放置在不安全区域，被入侵后很容易得到。（2）在Web数据库中，保存的有价值信息，如果数据库安全配置不当，很容易泄密。（3）Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据甚至造成系统瘫痪。（4）程序员的有意或无意在系统中遗漏Bug给非法黑客创造条件。Web安全2、对Web客户机的安全威胁现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序。当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，则可以窃取、改变或删除客户机上的信息。针对Web客户机的安全威胁，主要用到JavaApplet和ActiveX技术。Web安全3、对通信信道的安全威胁Internet是连接Web客户机和服务器通信的信道，是不安全的。像Sniffer这样的嗅探程序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。Web安全三、Web安全防护1、Web的安全防护技术（1）Web客户端的安全防护（2）通信信道的安全防护（3）Web服务器端的安全防护2、Web服务器安全防护策略的应用（1）系统安装的安全策略；（2）系统安全策略的配置；（3）IIS安全策略的应用；（4）审核日志策略的配置。中间件安全一、中间件1、中间件基本概念中间件即软件中间件是一类连接软件组件和应用的计算机软件，它包括一组服务，以便于运行在一台或多台机器上的多个软件通过网络进行交互。中间件在操作系统、网络和数据库之上，应用软件的下层，总的作用是为自己上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。中间件不仅仅实现互联，还要实现应用之间的互操作；中间件是基于分布式处理的软件，最突出的特点是其网络通信功能。中间件安全2、中间件的特点及分类（1）优点：满足大量应用的需要；运行于多种硬件和OS平台上；支持分布式计算，提供跨网络、硬件和OS平台的透明性的应用或服务的交互功能；支持标准的协议；支持标准的接口。（2）缺点：中间件所应遵循的一些原则离实际还有很大距离；有些中间件服务只提供一些平台的实现，从而限制了应用在异构系统之间的移植等。（3）分类：中间件大致可分为：终端仿真/屏幕转换中间件、数据访问中间件、远程过程调用中间件、消息中间件、交易中间件、对象中间件。二、物联网中间件物联网中的中间件处于物联网的集成服务器端和感知层、传输层的嵌入式设备中。服务器端中间件称为物联网业务基础中间件，一般是基于传统的中间件来构建的。嵌入式中间件是支持不同通信协议的模块和运行环境。中间件的特点是它固化了很多通用功能，但在具体应用中多半需要二次开发来实现个性化的业务需求，因此所有物联网中间件都需要提供快速发展工具。中间件安全在RFID中物联网中间件具有以下特点：（1）应用架构独立。物联网中间件介于RFID读写器与后端应用程序之间有独立于它们之外。（2）分布数据存储。RFID最主要的目的在于将实体对象转换为信息环境下的虚幻对象，因此，数据存储与处理是RFID最重要的功能。（3）数据加工处理。物联网中间件通常采用程序逻辑及存储转发的功能来提供顺序的信息，具有数据设计和管理的能力。中间件安全三、RFID中间件安全1、RFID中间件安全存在的问题（1）数据传输：RFID数据在经过网络层传播时，非法入侵者很容易对标签信息进行篡改、截获和破解、重放攻击、数据演绎，以及DoS攻击。（2）身份认证：当大量伪造的标签数据发往阅读器时，阅读器消耗大量的能量，处理的却是虚假的数据，而真实的数据被隐藏不被处理，严重的可能会引起拒绝服务式攻击。（3）授权管理：不同的用户只能访问已被授权的资源，当用户试图访问未授权的受保护的RFID中间件服务时，必须对其进行安全访问控制，限制其行为在合法的范围之内。中间件安全中间件安全RFID读写器RFID读写器RFID读写器RFID中间件企业应用系统ONS基础服务RFID基础服务RFID中间件的物理连接结构图数据安全一、数据安全概述1、机密性：机密性是指信息不泄露给非授权的用户、实体、过程或供其利用的特性。2、完整性：数据完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的用户篡改或在篡改后能够被迅速发现。3、可用性：可用性是指被授权实体访问并按需求的特性，即当需要时能否存取和访问所需的信息，用户访问数据的期望使用能力。数据安全二、数据安全保护（1）预防，又称阻止，它试图通过阻止所有未经授权的改写数据的企图来预防入侵的出现，从而保证数据安全外泄不会发生。访问控制技术是服务器以及数据库中最主要的预防措施之一。访问控制一般有自主访问控制、基于角色的访问控制和强制访问控制三种类型。（2）检测可以保证信息系统活动有足够的历史活动记录。当数据泄露事件发生时可以通过它进行检测和取证。检测机制并不阻止数据保密性和完整性的破坏，它仅仅告知数据的完整性不再可信。检测机制试图通过对系统事件的分析来检测出问题，或者通过数据本身的分析来查看信息系统要求的约束条件是否依然满足。数据安全三、数据库安全1、数据库安全的定义：物理数据库的完整性；逻辑数据库的完整性；元素安全性；可审计性；访问控制；身份验证；可用性。2、数据库安全常用技术：用户认证技术；安全管理技术；数据库加密技术。3、数据库安全通常通过存取管理、安全管理和数据库加密来实现。存取管理就是一套防止未授权用户使用和访问数据库的方法、机制和过程。安全管理指采取何种安全管理机制实现数据库管理权限分配，一般分为集中控制和分散控制两种方式。数据库加密包括：库内加密、库外加密和硬件加密三个方面。数据安全四、虚拟化数据安全1、虚拟化特点：封闭，隔离，分区。2、数据中心安全风险分析：高资源利用率带来的风险集中；网络架构改变带来的安全风险；虚拟机脱离物理安全监管的风险。3、虚拟环境的安全风险：黑客攻击；虚拟机溢出；虚拟机跳跃；补丁安全风险。4、虚拟化数据中心的安全设计：数据中心网络架构高可用设计；网络安全的部署设计。云计算安全一、云计算概述

1、云计算简介云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。美国NIST对云计算的定义是：云计算是一种按使用计费模型，提供对可安装且可靠的计算资源共享池进行方便按需的网络访问服务，如网络、服务器、存储、应用、服务等。这些资源能够快速地供给和发布，仅需要最少的用户管理和服务供应商间交互。云计算安全2、云计算的体系结构云计算的体系结构包括三个部分：应用层、平台层、基础设施层。（1）基础设施层提供对计算、存储、带宽的管理，是虚拟化技术、负载均衡、文件系统管理、高可靠性存储等云计算关键技术的集中体现层，是平台服务和应用服务的基础。（2）平台层为应用层的开发提供接口API调用和软件运行环境。（3）应用层服务提供具体应用，是一种通过Internet提供软件的模式。云计算的技术体系结构云计算安全3、云计算的优势（1）协同工作方便（2）无时无处不在的享受服务（3）系统可扩展性，伸缩性较高（4）系统可用性，可靠性高（5）中小企业节约IT成本云计算安全二、云计算的安全问题云计算的安全问题包括：信任问题、网络与系统安全问题、隐私保护问题。信任问题包括云服务的信任评价、信任管理等问题；云计算的网络安全问题包括云计算数据传输的通信安全问题；系统安全问题，如云计算平台的可靠性问题、数据存储安全问题等。其中数据存储安全包括数据是否需要加密存储，如何加密，是在客户端还是服务器端加密，如何在不信任存储服务器的情况下保证数据存储的保密性和完整性，如何检查存储在云存储空间的数据完整性。云计算安全云安全参考模型云计算安全三、云计算的存储安全1、数据的访问控制问题2、数据保密性问题3、数据完整性问题云计算安全云计算安全四、计算虚拟化安全1、计算虚拟化特点：保真性，高性能，安全性。2、虚拟化系统分类：指令级虚拟化，硬件级虚拟化，操作系统级虚拟化，编程语言级虚拟化和程序库级虚拟化。3、计算机虚拟化的安全（1）来自计算系统体系结构的改变。虚拟计算已从完全的物理隔离方式发展到共享式虚拟化，实现计算系统虚拟化需要在计算性能、系统安全、实现效率等因素之间进行权衡。（2）计算机系统的运行形态发生了变化。虚拟计算允许用户通过操纵文件的方式来创建、复制、存储、读写、共享、移植以及回溯一个机器的运行状态，这些极大地增强了使用的灵活性，却破坏了原有基于线性时间变化系统设定的安全策略、安全协议等的安全性和有效性。1、国际信息技术标准化组织国际标准化组织（ISO），国际电工委员会（IEC），国际电信联盟（ITU），Internet工程任务组（IETF）。2、国际信息安全标准体系ISO/IEC的国际标准13335、17799、27001系列；英国标准协会（BSI）的7799系列；美国国家标准和技术委员会（NIST）的特别出版物系列。物联网信息安全标准3、信息安全标准体系研究特点（1）基于信息内容的过滤和管理技术将越来越受关注；（2