物联网安全技术-文档资料

1、物物联联网网安安全全技技术术 物联网安全性概述物联网安全性概述 物联网身份识别技术及安全性分析物联网身份识别技术及安全性分析物联网密钥管理技术物联网密钥管理技术7.37.17.2DES对称加密技术对称加密技术7.4 RSA公钥加密技术公钥加密技术物联网中的消息一致性和数字签名物联网中的消息一致性和数字签名信息隐藏概述信息隐藏概述7.77.57.6物联网安全主要包括物联网安全主要包括以下以下三个层次三个层次：设备安全设备安全数据信息安全数据信息安全网络安全网络安全7.1 物联网安全性概述物联网安全性概述 1. RFID射频病毒射频病毒7.1.1 物联网设备安全需求物联网设备安全需求2. 工业现场

2、设备的安全性工业现场设备的安全性3. PLC系统的安全性系统的安全性 PLC是目前设备级用的最为广泛的系统，是目前设备级用的最为广泛的系统，而且大多没有任何安全措施，一旦遭到攻击，一而且大多没有任何安全措施，一旦遭到攻击，一个国家的能源、电力、通信、交通和军事系统将个国家的能源、电力、通信、交通和军事系统将会瘫痪。会瘫痪。 其中，西门子在自动化工业操控体系几乎其中，西门子在自动化工业操控体系几乎占有垄断性地位，大多使用占有垄断性地位，大多使用PLC系统。系统。7.1.2 物联网的网络安全技术分析物联网的网络安全技术分析物联网的安全技术分析：物联网的安全技术分析：移动网络中的大部分移动网络中的大

3、部分机制仍然可以适用于物联网并能够提供一定的安全机制仍然可以适用于物联网并能够提供一定的安全性，如认证机制、加密机制等。性，如认证机制、加密机制等。1.物联网中的业务认证机制u当物联网的业务由运营商提供时当物联网的业务由运营商提供时,就可以充分利用网络层认证就可以充分利用网络层认证的结果而不需要进行业务层的认证的结果而不需要进行业务层的认证。u当物联网的业务由第三方提供也无法从网络运营商处获得当物联网的业务由第三方提供也无法从网络运营商处获得密钥等安全参数时密钥等安全参数时,它就可以发起独立的业务认证而不用考虑它就可以发起独立的业务认证而不用考虑网络层的认证网络层的认证。u当业务是敏感业务如金

4、融类业务时当业务是敏感业务如金融类业务时,一般业务提供者会不信任一般业务提供者会不信任网络层的安全级别网络层的安全级别,而使用更高级别的安全保护而使用更高级别的安全保护,那么这个时候就那么这个时候就需要做业务层的认证需要做业务层的认证。u当业务是普通业务时当业务是普通业务时,如气温采集业务等如气温采集业务等,业务提供者认为网络业务提供者认为网络认证已经足够认证已经足够,那么就不再需要业务层的认证。那么就不再需要业务层的认证。2. 物联网中的加密机制物联网中的加密机制u对一些安全要求不是很高的业务对一些安全要求不是很高的业务,在网络能够提供逐跳加密保在网络能够提供逐跳加密保护的前提下护的前提下,

5、业务层端到端的加密需求就显得并不重要。业务层端到端的加密需求就显得并不重要。u对于高安全需求的业务对于高安全需求的业务,端到端的加密仍然是其首选。端到端的加密仍然是其首选。u由于不同物联网业务对安全级别的要求不同由于不同物联网业务对安全级别的要求不同,可以将业务层端可以将业务层端到端安全作为可选项。到端安全作为可选项。7.2 物联网的身份识别技术及安全性分析物联网的身份识别技术及安全性分析1电子电子ID身份身份识别技术：识别技术：1通行字识别通行字识别2持证方式持证方式2个人特征的身个人特征的身份证明份证明:1手写签名技术手写签名技术2指纹识别技术指纹识别技术3语音识别技术语音识别技术4视网膜

6、图样识视网膜图样识别技术别技术5虹膜图样识别虹膜图样识别6脸型识别脸型识别物联网的身份识别技术物联网的身份识别技术7.2.1 电子电子ID识别技术识别技术通行字识别通行字识别持证持证一般由数字、字母、特殊字符、一般由数字、字母、特殊字符、控制字符等组成的长为控制字符等组成的长为5-8的字的字符串。符串。通行字选择规则为：通行字选择规则为：易记，难于易记，难于被别人猜中或发现，抗分析能力被别人猜中或发现，抗分析能力强，还需要考虑它的选择方法、强，还需要考虑它的选择方法、使用期、长度、分配、存储和管使用期、长度、分配、存储和管理等。理等。持证一般使用一种嵌有磁条的塑持证一般使用一种嵌有磁条的塑料卡

7、，磁条上记录有用于机器识料卡，磁条上记录有用于机器识别的个人信息。这类卡通常和个别的个人信息。这类卡通常和个人识别号一起使用，这类卡易于人识别号一起使用，这类卡易于制造，而且磁条上记录的数据也制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。易于转录，因此要设法防止仿制。电子电子ID身份身份识别技术识别技术通行字通行字是使时最广是使时最广泛的一种身份识别泛的一种身份识别方式，比如中国古方式，比如中国古代调兵用的虎符和代调兵用的虎符和现代通信网的拔入现代通信网的拔入协议等。协议等。其识别过其识别过程如图所示程如图所示通常被称为通常被称为IC卡、智慧卡、聪明卡，卡、智慧卡、聪明卡，是一种芯

8、片卡，是一种芯片卡，也称为也称为CPU卡，由一个或多个集成电路芯片组成，卡，由一个或多个集成电路芯片组成，并封装成便于人们携带的卡片，在集成电路中具有微并封装成便于人们携带的卡片，在集成电路中具有微电脑电脑CPU和存储器。和存储器。组组 成成 作作 用用具有暂时或永久的数据存储能力，其内容可供外部读具有暂时或永久的数据存储能力，其内容可供外部读取或供内部处理和判断之用，同时还具有逻辑处理功取或供内部处理和判断之用，同时还具有逻辑处理功能，用于识别和响应外部提供的信息和芯片本身判定能，用于识别和响应外部提供的信息和芯片本身判定路线和指令执行的逻辑功能。路线和指令执行的逻辑功能。智能卡智能卡一个安

9、全的身份识别协议至少应满足以下两个条一个安全的身份识别协议至少应满足以下两个条件：件：识别者识别者A能向验证者能向验证者B证明他的确是证明他的确是A。在识别者在识别者A向验证者向验证者B证明他的身份后，验证者证明他的身份后，验证者B没有没有获得任何有用的信息，获得任何有用的信息，B不能模仿不能模仿A向第三方证明他是向第三方证明他是A。7.2.2 二维码技术及安全性分析二维码技术及安全性分析1. 二维码的编码原理二维码的编码原理形态上是由多行短截的一维码堆叠而形态上是由多行短截的一维码堆叠而成成。以矩阵的形式组成，在矩阵相应元素以矩阵的形式组成，在矩阵相应元素位置上用位置上用“点点”表示二进制表

10、示二进制“1”， 用用“空空”表示二进制表示二进制“0”，由，由“点点”和和“空空”的排列组成代码。的排列组成代码。二维码二维码堆叠式堆叠式/行排行排式二维码式二维码矩阵式二维矩阵式二维码码行排式二维码行排式二维码，又称为堆积式二维码或层排式二维码，又称为堆积式二维码或层排式二维码，其编码原理是建立在一维码基础之上，按需要堆积成其编码原理是建立在一维码基础之上，按需要堆积成二行或多行。二行或多行。它在编码设计、校验原理、识读方式等方面继承了一它在编码设计、校验原理、识读方式等方面继承了一维码的一些特点，识读设备与条码印刷与一维码技术维码的一些特点，识读设备与条码印刷与一维码技术兼容。兼容。有代

11、表性的行排式二维码有有代表性的行排式二维码有CODE49、CODE16K、PDF417等。等。短阵式二维码短阵式二维码，又称棋盘式二维码，它是在一个矩形又称棋盘式二维码，它是在一个矩形空间通过黑、白像素在矩阵中的不同分布进行编码。空间通过黑、白像素在矩阵中的不同分布进行编码。在矩阵相应元素位置上，用点（方点、圆点或其他形在矩阵相应元素位置上，用点（方点、圆点或其他形状）的出现表示二进制状）的出现表示二进制“1”，点的不出现表示二进，点的不出现表示二进制的制的“0”，点的排列组合确定了矩阵式二维码所代，点的排列组合确定了矩阵式二维码所代表的意义。表的意义。具有代表性的矩阵式二维码有：具有代表性的

12、矩阵式二维码有：Code One、Maxi Code、QR Code、 Data Matrix等。等。国外二维码国内二维码QR CodeLP CodePDF417码GM CodeData MatrixCM CodeMaxi CodeGM-U Code2. 2. 二维码的编码安全性二维码的编码安全性保密性。保密性。保密性指防止数据的未授权公开保密性指防止数据的未授权公开，二维条码通过编码将有意义的数据变二维条码通过编码将有意义的数据变成一组无意义的条空组合，具有一定保密性，但比密码差，只能应用于低密级系成一组无意义的条空组合，具有一定保密性，但比密码差，只能应用于低密级系统统2) 完整性完整性。

13、保证数据单元的完整性要求源实体计算一个附加的数据项。保证数据单元的完整性要求源实体计算一个附加的数据项，它是发送数据它是发送数据源的函数源的函数，并且依赖于原始数据单元的全部内容。校验和、循环冗余码值和哈希并且依赖于原始数据单元的全部内容。校验和、循环冗余码值和哈希值都满足这一要求值都满足这一要求。3) 可用性可用性。采用二维条码作为用户身份标识。采用二维条码作为用户身份标识，避免未授权使用避免未授权使用。自动识别条码自动识别条码，避免避免了了用户误操作导致系统可用性降低用户误操作导致系统可用性降低。高可靠性识读和恢复损失数据的能力降低了高可靠性识读和恢复损失数据的能力降低了系统失败可能性系统

14、失败可能性。4) 不可否认性不可否认性。条码本身不能提供不可否认性服务。条码本身不能提供不可否认性服务。7.2.3 个人特征的身份证明个人特征的身份证明个人特征身份识别技术主要包括：个人特征身份识别技术主要包括：1）手写签名识别技术；手写签名识别技术；2）指纹识别技术；指纹识别技术；3）语音识别技术；语音识别技术；4）视网膜图样识别技术视网膜图样识别技术5）虹膜图样识别技术；虹膜图样识别技术；6）脸型识别。脸型识别。7.3 物联网密钥管理技术物联网密钥管理技术通过公开密钥加密技术实现对称密钥的管理使相应的通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单、安全，解决了对称密钥体制模式中

15、存管理变得简单、安全，解决了对称密钥体制模式中存在的管理、传输的可靠性问题和鉴别问题。在的管理、传输的可靠性问题和鉴别问题。对称加密对称加密是基于共同保守秘密来实现的。采用对称加是基于共同保守秘密来实现的。采用对称加密技术的双方必须要保证采用的是相同的密钥，要保密技术的双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换安全可靠，同时还要设定防止密钥证彼此密钥的交换安全可靠，同时还要设定防止密钥泄密和更改密钥的程序。泄密和更改密钥的程序。7.3.1 对称密钥的管理对称密钥的管理对称密钥的交换协议对称密钥的交换协议7.3.2 非对称密钥的管理非对称密钥的管理非对称密钥非对称密钥的管理主要在于密

16、钥的集中式管理。如何安全的管理主要在于密钥的集中式管理。如何安全地将密钥传送给需要接收消息的人是对称密码系统的一个地将密钥传送给需要接收消息的人是对称密码系统的一个难点，却是公开密钥密码系统的一个优势。难点，却是公开密钥密码系统的一个优势。公开密钥密码系统的一个基本特征就是采用不同的密钥进公开密钥密码系统的一个基本特征就是采用不同的密钥进行加密和解密。公开密钥可以自由分发而无须威胁私有密行加密和解密。公开密钥可以自由分发而无须威胁私有密钥的安全，但是私有密钥一定要保管好。钥的安全，但是私有密钥一定要保管好。7.4 DES对称加密技术对称加密技术7.4.1 DES算法的历史1977年得到美国政府

17、的正式许可，是一种用年得到美国政府的正式许可，是一种用56位密位密钥来加密钥来加密64位数据的方法位数据的方法美美国国家标准局国国家标准局1973年开始研究除国防部外年开始研究除国防部外的其他部门的计算机系统的数据加密标准的其他部门的计算机系统的数据加密标准1977年年1月，美国政府颁布采纳月，美国政府颁布采纳IBM公司设计的方公司设计的方案作为非机密数据的正式数据加密标准案作为非机密数据的正式数据加密标准DES。DES算法目前广泛用在算法目前广泛用在ATM、磁卡及智能卡（、磁卡及智能卡（IC卡）、卡）、加油站、高速公路收费站等领域被广泛应用，以此来实加油站、高速公路收费站等领域被广泛应用，以

18、此来实现关键数据的保密。现关键数据的保密。7.4.2 DES算法的安全性DES算法正式公开发表以后，引起了一场激烈的争论。算法正式公开发表以后，引起了一场激烈的争论。1977年年Diffie和和Hellman提出了制造一个每秒能测试提出了制造一个每秒能测试106个密钥的大个密钥的大规模芯片，这种芯片的机器大约一天就可以搜索规模芯片，这种芯片的机器大约一天就可以搜索DES算法的整算法的整个密钥空间，制造这样的机器需要两千万美元。个密钥空间，制造这样的机器需要两千万美元。1993年年R.Session和和M.Wiener给出了一个非常详细的密钥搜给出了一个非常详细的密钥搜索机器的设计方案，它基于并

19、行的密钥搜索芯片，此芯片每秒索机器的设计方案，它基于并行的密钥搜索芯片，此芯片每秒测试测试5107个密钥，当时这种芯片的造价是个密钥，当时这种芯片的造价是10.5美元，美元，5760个这样的芯片组成的系统需要个这样的芯片组成的系统需要10万美元，这一系统平均万美元，这一系统平均1.5天天即可找到密钥，如果利用即可找到密钥，如果利用10个这样的系统，费用是个这样的系统，费用是100万美元，万美元，但搜索时间可以降到但搜索时间可以降到2.5小时。小时。7.4.2 DES算法的安全性DES的的56位短密钥面临的另外一个严峻而现实的问题是：位短密钥面临的另外一个严峻而现实的问题是：国际互联网国际互联网

20、Internet的超级计算能力的超级计算能力。1997年年1月月28日，美国的日，美国的RSA数据安全公司在互联网上开展了一项名为数据安全公司在互联网上开展了一项名为“密钥挑战密钥挑战”的竞赛，悬赏一万美元，破解一段用的竞赛，悬赏一万美元，破解一段用56位密钥加密的位密钥加密的DES密密文。计划公布后引起了网络用户的强烈响应。一位名叫文。计划公布后引起了网络用户的强烈响应。一位名叫Rocke Verser的程的程序员设计了一个可以通过互联网分段运行的密钥穷举搜索程序，组织实施了序员设计了一个可以通过互联网分段运行的密钥穷举搜索程序，组织实施了一个称为一个称为DESHALL的搜索行动，成千上万的

21、志愿者加入到计划中，在计划的搜索行动，成千上万的志愿者加入到计划中，在计划实施的第实施的第96天，即挑战赛计划公布的第天，即挑战赛计划公布的第140天，天，1997年年6月月17日晚上日晚上10点点39分，美国盐湖城分，美国盐湖城Inetz公司的职员公司的职员Michael Sanders成功地找到了密钥，成功地找到了密钥，在计算机上显示了明文：在计算机上显示了明文：“The unknown message is: Strong cryptography makes the world a safer place”。7.4.3 DES算法的原理uKey为为8个字节共个字节共64位，是位，是DE

22、S算法的工作密钥。算法的工作密钥。uData也为也为8个字节个字节64位，是要被加密或被解密的数据。位，是要被加密或被解密的数据。uMode为为DES的工作方式有两种：加密或解密。的工作方式有两种：加密或解密。DES算法的原理是：算法的原理是：如如Mode为加密，则用为加密，则用Key把数据把数据Data进行加密，生成进行加密，生成Data的密码形式的密码形式（64位）作为位）作为DES的输出结果的输出结果；如如Mode为解密，则用为解密，则用Key把密码形式的数据把密码形式的数据Data解密，还原为解密，还原为Data的明码形式（的明码形式（64位）作位）作为为DES的输出结果。的输出结果。

23、7.4.5 DES算法的程序实现算法的程序实现案例名称：程序实现案例名称：程序实现DES算法算法程序名称：程序名称：des.cpp#include memory.h#include stdio.henumENCRYPT,DECRYPT;/ ENCRYPT:加密加密,DECRYPT:解密解密void Des_Run(char Out8, char In8, bool Type=ENCRYPT);/ 设置密钥设置密钥void Des_SetKey(const char Key8);static void F_func(bool In32, const bool Ki48);/ f 函数函数stat

24、ic void S_func(bool Out32, const bool In48);/ S 盒代替盒代替/ 变换变换static void Transform(bool *Out, bool *In, const char *Table, intlen);static void Xor(bool *InA, const bool *InB, int len);/ 异或异或static void RotateL(bool *In, int len, int loop);/ 循环左移循环左移/ 字节组转换成位组字节组转换成位组static void ByteToBit(bool *Out, c

25、onst char *In, int bits);/ 位组转换成字节组位组转换成字节组static void BitToByte(char *Out, const bool *In, int bits);/置换置换IP表表const static char IP_Table64 = 58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4,62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8,57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3,61,53,45,37,29,21,13,

26、5,63,55,47,39,31,23,15,7;/逆置换逆置换IP-1表表const static char IPR_Table64 = 40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31,38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29,36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27,34,2,42,10,50,18,58,26,33,1,41,9,49,17,57,25;/E位选择表位选择表static const char E_Table48 = 32,1,2,

27、3,4,5,4,5,6,7,8,9,8,9,10,11,12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21,22,23,24,25,7.5 RSA公钥加密技术公钥加密技术7.5.1 RSA算法的原理算法的原理假设假设A寄信给寄信给B，他们知道对方的公钥。，他们知道对方的公钥。A可用可用B的公钥加密邮件寄出，的公钥加密邮件寄出，B收到后用自己的私钥解出收到后用自己的私钥解出A的原文，这样就保证了邮件的安全性。的原文，这样就保证了邮件的安全性。RSA体制可以简单描述如下：体制可以简单描述如下：1) 生成两个大素数生成两个大素数p和和q；2) 计算这两个素

28、数的乘积计算这两个素数的乘积n=pq；3) 计算小于计算小于n并且与并且与n互质的整数的个数，即欧拉函数互质的整数的个数，即欧拉函数 (n) =( p-1 ) ( q-1 )；4) 选择一个随机数选择一个随机数e满足满足1e(n)，并且，并且e和和(n)互质，即互质，即 gcd（e,(n)）=1。5) 计算计算de=1 mod ；6) 保密保密d，p和和q，公开，公开n和和e。7.5.2 RSA算法的安全性算法的安全性RSA算法的安全性依赖于大数分解，但是否等同于大数算法的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解分解一直未能得到理论上的证明，因为没有

29、证明破解 RSA算法就一定需要作大数分解。算法就一定需要作大数分解。假设存在一种无须分解大数的算法，那它肯定可以修改假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。成为大数分解算法。7.5.3 RSA算法的速度算法的速度 由于进行的都是大数计算，使得由于进行的都是大数计算，使得RSA算法最快算法最快的情况也比的情况也比DES算法慢上数倍，无论是软件还是硬算法慢上数倍，无论是软件还是硬件实现，速度一直是件实现，速度一直是RSA算法的缺陷，一般来说只算法的缺陷，一般来说只用于少量数据加密。用于少量数据加密。 从提出到现在二十几年，经历了各种攻击的考从提出到现在二十几年，经历了各种

30、攻击的考验，被普遍认为是最优秀的公钥方案之一。验，被普遍认为是最优秀的公钥方案之一。7.5.4 RSA算法的程序实现算法的程序实现利用利用RSA算法对文件的加密和解密。算法根据设置自动产生大算法对文件的加密和解密。算法根据设置自动产生大素数素数p和和q，并根据，并根据p和和q的值产生模（的值产生模（n）、公钥（）、公钥（e）和密钥）和密钥(d )。利用。利用VC+6.0实现核心算法实现核心算法产生密钥对产生密钥对加密过程加密过程解密过程解密过程原文件和解密后的文件原文件和解密后的文件7.6 物联网中的消息一致性和数字签名物联网中的消息一致性和数字签名消息一致性也称消息鉴别。在网络系统安全中要考

31、虑两个消息一致性也称消息鉴别。在网络系统安全中要考虑两个方面。方面。u一方面，用密码保护传送的信息使其不被破译；一方面，用密码保护传送的信息使其不被破译；u另一方面，就是防止对手对系统进行主动攻击，如伪造另一方面，就是防止对手对系统进行主动攻击，如伪造，篡改信息等。，篡改信息等。7.6.1 消息一致性消息一致性12消息一致性的主要消息一致性的主要两个目的：两个目的：消息鉴别安全服务采用消息鉴别安全服务采用Hash函数与数字签名相结合的方函数与数字签名相结合的方法，在法，在附加信息较短附加信息较短的情况下，保护了消息的完整性及发的情况下，保护了消息的完整性及发送方身份的真实性。送方身份的真实性。

32、若在不知道发方私钥的情况下，若在不知道发方私钥的情况下，任何第三方想达到篡改信任何第三方想达到篡改信息的目的，必须找到具有与给定消息相同息的目的，必须找到具有与给定消息相同Hash值的另一值的另一消息消息，而，而Hash函数的碰撞概率极小，实际上很难做到这函数的碰撞概率极小，实际上很难做到这一点。一点。消息鉴别消息鉴别7.6.2 数字签名数字签名数字签名必须保障：数字签名必须保障：接收者能够核实发送者对文档的签名；接收者能够核实发送者对文档的签名；发送者事后不能否认对文档的签名；发送者事后不能否认对文档的签名；不能伪造对文档的签名不能伪造对文档的签名。 数字签名通常是基于公钥算法体制的，可以用

33、数字签名通常是基于公钥算法体制的，可以用RSA或者或者DSA，前者既可以用作加密又可以进行签名，后者只能用于，前者既可以用作加密又可以进行签名，后者只能用于签名。签名。数字签名过程数字签名过程数字信封完整的数据加密和身份认证过程3. DSA签名算法签名算法DSA数字签名是首先计算被签名文件的SHA-1值，该码经过DSA私有密钥和DSA加密算法加密后，形成数字签名，然后再附加到原文件之后，合并为可以向外发送的传输文件。DSA数字签名鉴别过程7.7 信息隐藏概述7.7.1 信息隐藏的历史公元前公元前440年出现了用头发掩盖信息的方法，将消息写在头年出现了用头发掩盖信息的方法，将消息写在头皮上，等到头发长出来后消息被遮盖，这样消息可以在各皮上，等到头发长出来后消息被遮盖，这样消息可以在各个部落中传递。个部落中传递。17世纪出现了，采用无形的墨水在特定字母上制作世纪出现了，采用无形的墨水在特定字母上制作非常小的斑点来实现信息隐藏。非常小的斑点来实现信息隐藏。1860年出现了微缩胶片，可以利用信鸽来传递胶片或者将年出现了微缩胶片，可以利用信鸽来传递胶片或者将胶片粘贴在无关紧要的杂志等文字材料中的句号或逗号上。胶片粘贴在无关紧要