传感器网络安全技术综述PPT课件.pptx

传感器网络安全技术综述 2020 3 18 1 密码密钥管理认证安全路由入侵检测DoS攻击访问控制 网络安全相关概念 2020 3 18 2 密码是一种用来混淆的技术 它希望将正常的 可识别的 信息转变为无法识别的信息 当然 对一小部分人来说 这种无法识别的信息是可以再加工并恢复的登录网站 电子邮箱和银行取款时输入的 密码 其实严格来讲应该仅被称作 口令 因为它不是本来意义上的 加密代码 但是也可以称为秘密的号码 密码 2020 3 18 3 密钥是一种参数 它是在明文转换为密文或将密文转换为明文的算法中输入的参数 密钥分为对称密钥与非对称密钥 非对称密钥加密又称公钥密钥加密 它需要使用不同的密钥来分别完成加密和解密操作 一个公开发布 即公开密钥 另一个由用户自己秘密保存 即私用密钥 信息发送者用公开密钥去加密 而信息接收者则用私用密钥去解密 公钥机制灵活 但加密和解密速度却比对称密钥加密慢得多 非对称加密算法RSA 由RSA公司发明 是一个支持变长密钥的公共密钥算法 需要加密的文件块的长度也是可变的 公匙加密法 密钥 2020 3 18 4 密钥管理就是指对密钥进行管理的行为 如加密 解密 破解等等 密钥生成密钥分发验证密钥更新密钥密钥存储备份密钥密钥有效期销毁密钥 密钥管理 2020 3 18 5 安全认证 对身份的核实和认可数字签名消息认证口令特征识别 认证 2020 3 18 6 互联网上的安全路由技术是指如何在IPSecVPN隧道上实现动态路由选择技术 安全路由技术将路由技术 VPN技术 安全路由技术 防火墙技术集成于一身 实现安全路由技术 关键在于建立一种特定的SA SecurityAssociation 该SA既允许动态路由协议包通过 也同样允许两端所有用户的数据通过 安全路由 2020 3 18 7 入侵检测 IntrusionDetection 顾名思义 就是对入侵行为的发觉 他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测 2020 3 18 8 DoS是DenialofService的简称 即拒绝服务 造成DoS的攻击行为被称为DoS攻击 其目的是使计算机或网络无法提供正常的服务 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击 DoS攻击 2020 3 18 9 按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问 或限制对某些控制功能的使用的技术 访问控制通常用于系统管理员控制用户对服务器 目录 文件等网络资源的访问 防止非法的主体进入受保护的网络资源 允许合法用户访问受保护的网络资源防止合法的用户对受保护的网络资源进行非授权的访问 访问控制 2020 3 18 10 通信能力的限制能力供应的限制计算能力的限制大规模 广泛分布的传感器动态网络数据流的动态 突发性 传感网网络安全的挑战 2020 3 18 11 12 传感网安全设计目标 2020 3 18 安全攻击与防御 安全加密技术密钥管理技术安全认证技术安全路由技术入侵监测技术其他研究热点 主要安全技术 2020 3 18 14 传感器网络缺乏网络基础设施 资源受限等特性使得诸多现有的密码算法难以直接应用目前主要使用是对称密码算法访问控制等也会使用低开销的非对称密码算法 传感网加密算法选择 2020 3 18 15 消息认证码 MAC 消息 身份认证 不使用数字签名Hash链 构造高效率单向Hash链 从而减少带宽使用 或减少存储和遍历的情况 对称密码 2020 3 18 16 消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证 目的是为了防止传输和存储的消息被有意无意的篡改 包括消息内容认证 即消息完整性认证 消息的源和宿认证 即身份认证 及消息的序号和操作时间认证等 在票据防伪中具有重要应用 税务的金税系统和银行的支付密码器 消息认证并不用于防止信息被窃取 而是用于证明原文的完整性和准确性 也就是说 消息认证主要用于防止信息被篡改消息内容认证常用的方法 消息发送者在消息中加入一个鉴别码 MAC MDC等 并经加密后发送给接受者 有时只需加密鉴别码即可 接受者利用约定的算法对解密后的消息进行鉴别运算 将得到的鉴别码与收到的鉴别码进行比较 若二者相等 则接收 否则拒绝接收 消息认证 2020 3 18 17 散列链的具体方法是由用户选择一个随机数 然后对其进行多次散列运算 把每次散列运算的结果组成一个序列 该序列即称为散列链 产出机制 W0 W1 W2 Wn 1 Wn散列链的安全性依赖于单向散列函数的单向性 即从Wn推导Wn 1很容易 但Wn 1不能推导出Wn散列链主要一次性口令 微支付 即无线网络的安全性等方面 散列链 HashChain 2020 3 18 18 随着技术的发展 传感器节点的能力越来越强 原来被认为不可能应用的公钥算法的低开销版本开始在传感器节点上实现Gura等在8位微控制器上实现ECC和RSA 并比较它们的性能ArvinderpalS 等在Atmega128L上实现了ECC和RSA并对它们的能耗进行了比较Malan等在MICA2节点上利用椭圆曲线密码实现了Diffie Hellman密钥交换R Watro等在MICA2节点上实现基于RSA的认证协议 非对称加密 公共密钥 的尝试 2020 3 18 19 密钥管理是在授权各方实现密钥关系的建立和维护的一整套技术和程序 现代密码学把数据加密保护的全部秘密系于密钥之上 所以密钥的安全管理是保证密码系统安全性的关键因素 密钥管理作为提供机密性 实体认证 数据源认证 数据完整性和数字签名等信息安全技术的基础 传感网密钥管理 2020 3 18 20 根据无线传感器网络自身的特点 无线传感器网络除了需要满足传统网络安全的要求的可用性 完整性 机密性 认证和不可否认性外 还需要满足如下一些性能评价指标 可扩展性 scalability 无线传感器网络规模较大 节点数较多 随着节点数的增多 密钥管理方案所需的计算 存储和通信开销都会随之增大 密钥管理方案和协议应该能够使用于不同规模的传感器网络 传感网密钥管理性能评价 一 2020 3 18 21 有效性 efficiency 无线传感器网络资源有限的情况下 须考虑 存储复杂度 storagecomplexity 用于保存通信密钥的存储空间的使用情况 计算复杂度 computationcomplexity 为生成通信密钥必须进行的计算量情况 通信复杂度 communicationcomplexity 在通信密钥生成过程中需要传送的信息量的情况 密钥管理性能评价 二 2020 3 18 22 密钥连通性 keyconnectivity 节点之间建立通信密钥的概率 保持足够高的密钥连接概率是无线传感器网络发挥其应有功能的必要条件 因为传感器网络节点通信能力有限 不可能与距离较远的其他节点进行通信 因此并不需要保证某一节点与其它所有的节点保持安全连接 抗毁性 resilience 抵御节点受损的能力 可以表示为当部分节点受损后 未受损节点间的密钥被暴露的概率 抗复制性 resilienceagainstnodereplication 节点被俘获后 敌方可能复制出若干个相同的节点对整个网络进行破坏 设计良好的算法应当能够监测出被克隆的节点 密钥管理性能评价 三 2020 3 18 23 对称密钥体制加密 解密速度快 密钥长度短 计算 通信 存储等开销小 比较适用于传感器网络 近来的一些研究表明非对称加密算法经过优化后也能应用于传感器网络中 由于公钥系统良好的安全特性 人们逐渐把目光转向了基于公钥系统的无线传感器网络密钥管理 对称密钥与非对称密钥 2020 3 18 24 最简单 全网共享一个密钥 计算复杂度 通信复杂度以及存储复杂度低 可扩展性 密钥连通性 动态特性好 致命弱点是抗毁性差最复杂 两两共享一个密钥 连通性 抗毁性 动态特性较好 但是可扩展性差 密钥存储复杂度高 不适用于大型网络随机密钥管理 节点的密钥通过随机的方式获取确定密钥管理 节点的密钥通过确定的方式获取混合密钥管理 以上两种结合 适应性好 对称密钥管理 2020 3 18 25 随机密钥预分配方案对称多项式随机密钥预分配方案基于Blom模型的传感器网络密钥管理方案基于部署信息的密钥管理方案 随机方式密钥管理 2020 3 18 26 依赖基站网络安全框架协议SPINS 密钥的建立 数据包认证都必须通过基站来完成 一旦基站受损 则整个网络的安全就会受到威胁 另外 配对密钥的建立 需要节点与邻居节点和基站进行频繁的通信 增加了整个网络的能量消耗基于EBS的密钥管理方案 支持密钥的更新和销毁 有效地保护了当前 前向和后向的秘密 网络的可扩展性好 可支持大规模的网络以及网络的动态变化 单个节点被俘对网络的安全通信影响不大 但是密钥的更新和分发过程比较复杂 增加了网络的通信复杂度基于区组设计的密钥管理方案 确定方式密钥管理 2020 3 18 27 局部化的加密认证协议LEAP LocalizedEncryptionandAuthenticationProtocol 个体密钥 每一个节点都有一个和基站共享的个体密钥 群密钥 基站用来向全网进行广播的密钥 簇密钥 是一个节点和它的所有邻居节点共享的密钥 配对密钥 节点和它的每一个邻居共享的一个密钥任何一个节点受损都不影响其它节点的通信 其缺点是 存在一个初始信任时间 如果在该时间内密钥泄露 则整个网络受到破坏 混合方式的密钥管理 2020 3 18 28 基于公钥体制的密钥管理方案目前研究的较少 其抗毁性 密钥连通性 可扩展性 动态特性都较好 最重要的缺点是计算量大 尽管进行了优化 但是其计算量对于普通的传感器网络节点仍然是一个较大的负担基于RSA公钥算法的密钥管理方案TinyPK基于身份的加密体制 Identity BasedCryptography 的密钥管理方案基于椭圆曲线密码系统 EllipticCurveCryptography ECC 的密钥管理方案基于路由驱动的无线传感器网络密钥管理方案 基于公钥密码体制的密钥管理 2020 3 18 29 采用消息加密 身份认证 路由信息广播认证 入侵检测 信任管理等机制来保证路由的安全利用传感器网络节点的冗余性 提供多条路径 来保证路由的可靠性 安全路由 2020 3 18 30 入侵检测技术作为一种主动的入侵防御技术 目的是发现 分析和汇报未授权或者毁坏网络的活动方法是基于假设用户和程序的活动是可观察的 如通过系统的统计机制 识别正常活动和异常活动有显著的不同的行为 主要有两种类型 滥用检测是使用众所周知的攻击模式来匹配和识别已知的入侵行为 其主要优点是检测已知入侵类型准确 有效 缺点是缺乏检测新的攻击方式的能力 异常检测是将偏离已建立的正常特征数据的活动标记为异常活动 其优点是不需要有关入侵的先验知识 具有检测新入侵方式的能力 缺点是不能确切描述攻击的特征 误警率高 入侵检测 2020 3 18 31 无固定网络基础 固定有线网络的入侵检测系统依赖中心节点 路由器 交换机等 对实时业务流的分析 无线传感器网络没有这样的业务集中点 入侵检测系统不能很好的统计数据 这要求无线传感器网络的入侵检测系统能基于部分的 本地的信息进行 通信类型 无线传感器网络的通信链路具有低速率 有限带宽 高误码等特征 断链在无线传感器网络数据传输中是非常常见的 常常会导致检测系统误报警 可用资源 如能量 CPU 内存等 传统的入侵检测系统需要的计算量大 无线传感器网络由于可用资源极端受限 入侵检测机制的引入所面临的最大问题就是解决其能耗问题 必须设计出一种轻量级的较少计算和通信开销的入侵检测系统 传感网入侵检测的困难 2020 3 18 32 公共密钥 数字证书解决了现有网络的身份认证问题 但是对资源的需求较大使其不适合传感器网络实体认证 主要用于鉴别节点或用户的身份 无线传感器网络密钥管理是网络内部实体之