物联网感知层安全
学习要求
掌握物联网感知层安全的基本含义
掌握WSN安全需求和WSN安全防御方法
掌握RFID安全需求和RFID安全防御方法
了解WSN安全脆弱性、WSN安全威胁
了解RFID工作原理、RFID安全脆弱性、RFID安全威胁、RFID安全标准等
物联网感知层的威胁
物联网感知层面临的安全威胁主要表现为
- 感知层中节点自身故障(如节点被捕获、被控制、功能失效或服务中断、身份伪造等)
- 节点间的链接关系不正常(如选择性转发、路由欺骗、集团式作弊等)
- 感知层所采集原始数据的机密性、真实性、完整性或新鲜性等属性受到破坏(如数据被非法访问、虚假数据注入、数据被篡改、数据传输被延迟等)
- 感知层中的“物”被错误地标识或被非授权地定位与跟踪等
安全目标
物联网感知层的安全目标主要体现为:
(1)强调基于WSN的感知中的信任管理,确保所采集数据的真实和有效性
(2)确保基于RFID的感知层中对象的隐私得到保护,包括“物”的标识与定位等
因感知层节点资源有限、只能执行少量的计算和通信的突出特点,感知层能否抗DoS攻击是衡量物联网是否健康的重要指标
感知层安全机制的建立离不开轻量级密码算法和轻量级安全认证协议的支持
无线传感器网络
- 无线传感器网络 WSN (Wireless Sensor Network) 是由大量传感器结点通过无线通信技术构成的自组网络。
- 无线传感器网络的应用是进行各种数据的采集、处理和传输,一般并不需要很高的带宽,但是在大部分时间必须**保持低功耗,**以节省电池的消耗。
- 由于无线传感结点的存储容量受限,因此对协议栈的大小有严格的限制。
- 无线传感器网络还对网络安全性、结点自动配置、网络动态重组等方面有一定的要求。
WSM安全脆弱性
(1)分布的开放性
(2)网络的动态性
(3)电源能量的有限性
(4)计算能力的有限性
(5)通信能力的有限性
(6)存储空间的有限性
(7)通信的开放性和不可靠性
(8)技术不成熟及标准不统一性
WSN安全威胁
(1)针对节点的攻击
①物理攻击与节点被捕获
②节点被控制
③节点受到拒绝服务(DoS)攻击
④假冒攻击或节点复制攻击
⑤大规模节点的有效管理问题
(2)针对数据的攻击
①非法访问
②截取
③篡改
④重放
⑤虚假数据注入
⑥数据的选择性转发
(3)针对网络的攻击
①干扰
②路由攻击
- 路由欺骗攻击
- 污水池(sinkhole)攻击
- 虫洞(wormhole)攻击
- 洪泛(flood) 攻击
③集团式作弊(或合谋攻击)
④拒绝服务攻击 - 黑洞攻击
- 能量耗尽攻击
- 方向误导攻击
(4)针对特定协议的攻击
- 来自于被攻陷节点的复杂攻击可以针对网络的内部协议
如针对路由协议的攻击
针对数据融合协议的攻击
针对定位协议的攻击
针对时间同步协议的攻击等 - 在WSN中,这些安全威胁或挑战能引起快速的电池能量消耗,并有效地使WSN中的单个传感器节点甚至整个网络瘫痪,从而阻止或破坏其服务功能的实现
WSN安全需求
(1)物理安全需求
- 无线传感器网络中的传感器节点往往分布于无人值守、恶劣甚至敌对的开放环境中,节点容易被攻击者物理上捕获或控制
- 物理安全需求主要表现为要保证无线传感器网络节点的物理安全
节点不容易被发现
不容易被敌方篡改和利用
允许敌方捕获节点而不至于对网络造成重大破坏或伤害
(2)逻辑安全需求
逻辑安全需求可分为信息安全需求和通信安全需求。
①信息安全需求
·机密性
·完整性
·真实性
·可用性
·新鲜性
·鲁棒性
·访问控制
②通信安全需求
涉及到传感器节点的被动抵御入侵的能力和主动反击入侵的能力
WSN解决问题思路
WSN安全防御方法
1、物理防护
2、扩频与跳频
3、信息加密
4、阻止拒绝服务
5、认证
6、访问控制
7、入侵检测
8、安全成簇
9、安全数据融合
10、容侵容错
物理防护
-
物理攻击是对传感器节点最有效的攻击之一;
-
实施物理隔离,使攻击者不能接触到传感器节点;
-
对节点的硬件层实施安全保护,例如配置防篡改模块;
-
关键在于发现物理攻击,定期进行邻居核查。
扩频与跳频
-
固定无线信道的带宽总是有限的,当网络中多个节点同时进行数据传输时,将导致很大的延迟及冲突;
-
在无线通信中使用扩频或跳频,虽然两个节点通信时还是使用单一的频率,但是每次通信的频率都不相同,而别的节点就可以使用不同的频率进行通信,即增加了通信信道,可以容纳更多的节点进行同时通信,减少冲突和延迟,也可以防御攻击者对通信链路的窃听和截取。
信息加密
对通信信息进行加密,即对传感器网络中节点与节点之间的通信链路上的通信数据进行加密,不以明文数据进行传播,即使攻击者窃听或截取到数据,也不会得到真实信息。
-
针对消息截取
-
针对流量分析攻击
认证
认证是对抗无线传感器网络中假冒节点或虚假数据的有效方法。
-
身份认证
-
消息认证
访问控制
目的:保护无线传感器网络中的资源或服务,确保只向获得授权的合法用户提供;
-
基于性能、效率和安全性综合考虑的访问控制机制;
-
基于对称密码*的访问控制、利用单向秘钥链接和Merkle哈希树的控制机制。
入侵检测
-
入侵检测是发现未授权行为或破坏网络正常活动的一种方法;
-
集中在监测节点的异常和辨别恶意节点方面;
-
基于节点的信誉度评估机制是一个有效入侵检测方法。
安全成簇
-
建立基于“簇”的层次式拓扑结构;
-
节点在成簇阶段对非正常节点进行识别和剔除,减少了数据通信量,节省了能量,有效延长网络的生存时间。
-
安全成簇算法(Secure Clustering Algorithm, SCA)
安全数据融合
数据融合,是通过收集来自一定区域的数据,将其总结提炼成一个简要的报告,从而减少后续的数据通信量。
融合-承诺-证实的安全数据融合方案:
- 第一阶段,完成数据融合;
- 第二阶段,融合节点对融合数据做出承诺;
- 第三阶段,证实结果的正确性。
荣侵容错
-
容侵是指在网络存在恶意入侵情况下,通过一定的措施确保网络仍然能够正常的运行。
-
无线传感器网络容侵框架包括:
判定恶意节点;
发现恶意节点后启动容侵机制;
通过节点间协作对恶意节点进行处理。 -
容错性是指在故障存在的情况下系统不失效,仍然能够正常工作的特性。
RFID
阅读器 、电子标签(主动式、被动式、半被动式)、后端数据库
RFID安全脆弱性
(1)电子标签
- 容易被攻击者获取、分析、破坏,另一方面,不容易加载强大的安全机制
- 标签的安全性、有效性、完整性、可用性和真实性都难以保障,是RFID系统安全最薄弱的环节
(2)阅读器
- 阅读器连接着电子标签和后台数据库系统,具有更大的攻击价值,如果设计不当,对阅读器的破解可能危及整个系统的安全
- 阅读器在接收到数据后进行处理的过程中可能会受到类似计算机安全脆弱性的问题;有些阅读器(如ETC系统)工作在无人值守的场合,可能被盗取或伪造
(3)空中接口
- 空中接口表现出通信链路的脆弱性
- 电子标签和阅读器间的无线通信具有开放性特点,限于成本和功耗,电子标签难以承受复杂的加密算法和认证协议,从而造成空中接口的安全脆弱性
- 攻击者可能对空中接口实施窃听、篡改、重放等攻击,也可以实施阻塞式频带干扰,引起拒绝服务
技术角度:目前,RFID空中接口面临的主要威胁分为恶意搜集信息式威胁、伪装式威胁及拒绝服务威胁三大类
- 恶意搜集信息式威胁:窃听、嗅探、数据篡改、跟踪、物理攻击等
特点:非法用户远距离监听阅读器与标签通信内容,获取其中的有用信息,进而导致标签内部重要数据泄漏或被篡改 - 伪装式威胁:欺骗、标签伪造与复制、病毒(或恶意代码)攻击、重放等
特点:通过“伪造”RFID 标签来欺骗阅读器,进而使得非法用户成为合法用户 - 拒绝服务威胁:未授权杀死标签、干扰或屏蔽标签等,也包括对标签实施破坏的物理攻击
特点:是非法用户通过干扰、屏蔽或杀死标签等手段,阻碍标签与阅读器之间的通信,造成有用信息的丢失
一个安全的无线射频识别系统一般应具备:
机密性
完整性
可用性
真实性
隐私性
防跟踪能力
前向安全性
后向安全性等
RFID防御方法
包括基于访问控制的方法、基于密码技术的方法及二者的结合。
ISO/IEC 18000是目前世界上应用最具影响力的空中接口协议,包括-1、-2、-3、-4、-6、-7共六个部分,覆盖低频(<135 kHz)、高频(13.56 MHz)、超高频(433 MHz、860~960 MHz)和微波(2.45 GHz)四个频段