物联网安全第1章-绪论

物联网平安参考书物联网平安的重要性信息平安在物联网中重要性和作用显而易见。现在军事中的物、地探测现在交通中的车辆检测智能小区中的RFID物联网信息平安关系到国家的信息平安2021年2月27日电，据央视新闻报道，习近平主持召开中央网络平安和信息化小组首次会议，要求把我国建设成为网络强国。习近平任小组组长。加强网络平安，才能维护国家平安。平安是互联网开展的前提和根底。物联网以互联网为依托。开设?物联网平安?课程的必要性现有?网络与信息平安?课程可否替换?物联网信息平安?？早期的想法：可以替换现在的想法：不可替换，有其特殊性?物联网信息平安?教材应该涵盖?网络与信息平安?课程内容，并有所拓展。二者差异：“专用〞、“通用〞二者协同：通用寓于“专用〞二者贯穿：有“通用〞贯穿“专用〞?物联网信息平安?可以上升为新的研究热点感知中的；RFID数据传输与处理中的：大数据、多维、时间序列应用中的：开放、跨域、共享、云西安交通大学桂小林6物联网平安：物联网工程专业的核心知识体系?物联网平安?课程大纲第一章物联网与信息安全本章导引IOT时代的网络平安威胁周鸿祎——三大平安问题：第一，个人隐私的平安。以前是电脑里的数据，涉及到工作。以后是里的数据，涉及到照片等个人隐私。现在的智能设备直接关系到身体，比方我们佩戴的手环收集个人健康数据。第二，个人支付的平安。在中国，越来越多的人习惯于用里的支付宝、微信等付账，那将来会是用手表、手环付账，因为很方便，但这也对个人财产的平安产生了威胁。第三，人身的平安。2021年7月，360平安团队研究了特斯拉ModelS型汽车，发现利用汽车软件里的某个漏洞，可以远程控制车辆，实现开锁、鸣笛、闪灯，可以在汽车行进的过程中远程开启天窗。如果汤姆-克鲁斯再次出演?碟中谍?的时候远程遥控敌人的汽车，这一点也不奇怪。我相信黑客将来有能力通过互联网制造交通事故，这个大家可以讨论。惠普IoT平安报告指出物联网存在五大平安隐患,一些关键数据如下：80%的IoT设备存在隐私泄露或滥用风险80%的IoT设备允许使用弱密码70%的IoT设备与互联网或局域网的通讯没有加密60%的IoT设备的web界面存在平安漏洞60%的IoT设备下载软件更新时没有使用加密物联网平安市场虽然不大，但随着企业和个人对智能和联网设备的应用增长迅速。2021年物联网平安投入为2.815亿美元，2021年将增长23.7%，即3.48亿美元。Gartner预测今年全球将有64亿台联网设备得到使用，比2021年增长30%，2021年联网设备将到达114亿台，物联网平安投入将到达5.47亿美元。全球大量的资金投入将花在汽车、商用航空、农业和建筑领域的联网设备上，到2021年有25%的网络攻击是与物联网相关的，而物联网平安投入将占整个IT投入的10%。密码泄露危机暴露个人信息保护短板2021年12月21日，国内最大的程序员社区CSDN上600万用户资料被公开，同时黑客公布的文件中包含有用户的邮箱账号和密码。随后，密码泄露事件开始大范围发酵。

2021年12月25日，乌云漏洞报告平台报告称，大量12306用户数据在互联网疯传，内容包括用户帐号、明文密码、身份证号码、号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息，然后通过撞库的方式利用12306的平安机制的缺欠来获取了这13万多条用户数据。对此，专家建议用户在不同网站设置不同密码，并防止网站注册密码与邮箱密码相同，以更好地保证个人隐私。2007年，时任美国副总统迪克·切尼心脏病发作，被疑心缘于他的心脏除颤器无线连接功能遭暗杀者利用。这被视为物联网攻击造成人身伤害的可能案例之一。2021年，波兰一名14岁少年用一个改装过的电视遥控器控制了波兰第三大城市罗兹的有轨电车系统,导致数列电车脱轨、人员受伤。2021年，一名前雇员远程入侵了美国得克萨斯州奥斯汀市汽车经销商的电脑系统，招致大量客户投诉车辆故障,包括喇叭无故半夜鸣响、车辆无法发动等。2021年，伊朗2021年俘获美国RQ-170“哨兵〞无人侦察机，据称就是伊朗网络专家远程控制了这架飞机的操作系统。物联网平安事故——入侵机器马桶芝加哥企业数据平安公司Trustwave成功入侵了一台由日本建材和住宅设备巨头骊住(Lixil)生产的机器马桶，能通过蓝牙连接操纵马桶盖的开启和关闭，甚至能让马桶向用户喷射水流。骊住声称，其生产的机器马桶其实很难被黑客操纵，因为这需要借助与马桶配套的专用遥控器让黑客的智能与厕所联网。甚至一些科技公司也会生产出缺乏足够保护的设备也，奥尔曼的团队就入侵了由贝尔金(Belkin)生产的模块化智能家居遥控系统WeMo——该系统能让用户通过智能应用控制台灯、电扇、咖啡机等家用电器。物联网平安事故——婴儿监控器俄亥俄州的一对夫妇告诉Fox19电视台：他们有一天半夜醒来，听到了10个月大的女儿的联网婴儿监控器里传出了一个奇怪的男声，该名男子发出的尖叫并试图唤醒宝宝。相关婴儿监控器厂商Foscam已经向用户发布了紧急通知，提醒他们更改设备默认的用户名和密码并下载新版软件。物联网平安事故——联网汽车物联网平安事故——联网汽车平安研究员SamyKamkarshowed也在大会上，通过一款OwnStar设备，远程向一辆通用汽车植入拦截通讯软件，可定位汽车、翻开车门和解锁、启动引擎等等，令偷车轻而易举。可怕的是，类似的技巧在宝马与奔驰的应用程序上，同样凑效。联网汽车确实存在平安隐患，黑客可能控制汽车的空调、音响，甚至是车速，或是窃取车主的私人信息，这也是汽车厂商与用户长期无视的问题。显然，汽车行业在解决汽车网络平安问题上处于较为落后的状态。连入网络的医疗设备变得不再平安，存在软件与结构上的漏洞。心脏病学家DickCheney一直担忧黑客或通过政要体内的起搏器，对其进行致命的攻击。经调查发现，目前医院大多数医疗设备都存在被黑客入侵的潜在风险，该风险甚至可能造成致命后果。然而，多数医疗机构未能对此给予足够的重视。黑客可以利用办公室的Wi-Fi网络禁用医疗设备。存在漏洞的医疗设备大多经由医疗机构的内部网络进行连接，而这些内部网络同时又与互联网相通，这就使得黑客可以通过钓鱼的方式，入侵医院员工电脑，从而进一步接入该内部网络实施破坏。又或是通过将笔记本带入医院并接入医院内部网络，进行攻击。物联网平安事故——智慧医疗美国阿拉巴马大学的学生更用实验证明了这个担忧的严重性，“我们可以随意提高心脏速率，或者是降低速率〞。该研究小组最后还把用作实验的机器人从理论上杀死了。相类似的漏洞还有可能存在于存储血液等医用冰箱设备中。此类设备提供一个供用户进行温度设定的网页界面，并会在温度超过预设范围时向医护人员发自动送警告邮件，但漏洞的存在，可令黑客通过破解密码的方式关闭该项功能，并擅自更改设定温度。类似的入侵，还能篡改CT设备的照射强度等，不管这些攻击是恶作剧还是处于利益或政治，都将对患者的身体造成不必要的损伤。物联网平安事故——智慧医疗西班牙黑客JesusMolina入住酒店时，对房间内的操控系统产生了兴趣。为此，他特意去酒店住了几天并找到了一些平安漏洞。通过这些漏洞，Molina能够控制酒店内250多个房间的温控器、灯光、电视、百叶窗，以及门外的“请勿打搅〞电子灯，而罪魁祸首就是酒店为客人提供的iPad和电子管家应用，客户控制物联网设备和浏览网页时，使用了同一个开放无线网络，黑客只要在无线网络范围内就可以轻易地实施攻击。物联网平安事故——酒店WiFi黑客的触角还远不止如此，甚至连枪支都难免于黑客的攻击范畴。黑客夫妻RunaSandvik和MichaelAuger，在2021年7月演示了自己是如何控制无线TrackingPoint狙击步枪，他们不仅改变了步枪的变量系统、禁用步枪、错过目标，甚至还让它击中其他的目标，光是想想就已一身冷汗。物联网平安事故——枪支

信息为什么不平安

信息需要存储...

信息需要共享...

信息需要使用...

信息需要交换...

信息需要传输...1.1物联网的概念与特征物联网的概念与起源物联网的概念物联网的定义全面感知、可靠传送、智能处理人与自然和谐相处需要更多地感知物理世界物联网=物理世界与信息网络的无缝连接智能交通远程医疗智能家居环境监测公共安全绿色农业工业监控物联网是指通过信息传感设备按照约定的协议，把任何物品与信息网络连接起来，进行信息交换和通讯，以实现智能化的识别、定位、跟踪、监控和管理的一种网络，它是在互联网根底上的延伸和扩展的网络。物流管理物联网的特征与传统的互联网相比，物联网具有以下三个主要特征，如图1-1所示：1．全面感知“感知〞是物联网的核心。物联网是具有全面感知能力的物品和人所组成的，为了使物品具有感知能力，需要在物品上安装不同类型的识别装置，例如：电子标签〔Tag〕、条形码与二维码等，或者通过传感器、红外感应器等感知其物理属性和个性化特征。利用这些装置或设备，可随时随地获取物品信息，实现全面感知。2．可靠传递数据传递的稳定性和可靠性是保证物-物相连的关键。为了实现物与物之间信息交互，就必须约定统一的通信协议。由于物联网是一个异构网络，不同的实体间协议标准可能存在差异，需要通过相应的软、硬件进行转换，保证物品之间信息的实时、准确传递。物联网的起源与开展各国均把物联网作为未来

信息化战略的重要内容日本：

2009年8月i-Japan战略中国：2009年8月感知中国欧盟：2009年6月物联网行动计划美国：

2008年底IBM向美国政府提出的”智慧的地球”战略具体而务实，强调RFID的广泛应用，注重信息平安在u-Japan的根底上，强调电子政务和社会信息效劳应用中国开展物联网的战略意义保障国家信息平安国土平安促进工业化与信息化融合

感知中国，赢得未来抢占信息产业第三次浪潮的制高点物联网TD成功的重大契机物联网开展面临的问题物联网的应用物联网应用层主要面向用户需求，利用所获取的感知数据，经过前期分析和智能处理，为用户提供特定的效劳。目前，物联网应用的研究已经扩展到智能交通、智能物流、智能电网、环境监测、金融安防、工业监测、智能家居、医疗健康等多个领域。物联网的体系结构物联网结构与层次1.2物联网平安问题分析物联网的平安特征〔1〕平安体系复杂。已有的对传感网、互联网、移动网、平安多方计算、云计算等的一些平安解决方案在物联网环境中可以局部使用，但另外局部可能不再适用。信任接入问题、通信平安问题、数据平安问题等。〔2〕涵盖广泛的平安领域。首先，物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比的；其次，物联网所联接的终端设备或器件的处理能力将有很大差异，它们之间可能需要相互作用；再次，物联网所处理的数据量将比现在的互联网和移动网都大得多。物联网的平安特征〔3〕有别于传统的信息平安。即使分别保证了感知控制层、数据传输层和智能处理层的平安，也不能保证物联网的平安。这是因为物联网是融合几个层次于一体的大系统，许多平安问题来源于系统整合；物联网的数据共享对平安性提出了更高的要求；物联网的应用将对平安提出了新要求，比方隐私保护不不是单一层次的平安需求，但却是物联网应用系统不可或缺的平安需求。鉴于以上原因，对物联网的开展需要重新规划并制定可持续开展的平安架构，使物联网在开展和应用过程中，其平安防护措施能够不断完善。物联网的平安需求不管平安威胁的来源与途径的多样化和来源的普遍化，我们可以将物联网的平安需求归结为如下几个方面：物联网接入平安、物联网通信平安、物联网数据隐私平安和物联网计算系统平安等几个方面。物联网接入平安在接入平安中，感知层的接入平安是重点。首先，一个感知节点不能被未经过认证授权的节点或系统访问，这涉及到感知节点的信任管理、身份认证、访问控制等方面的平安需求。因此，传感器网络除了可能遭受同现有网络相同的平安威胁外，还可能受到恶意节点的攻击、传输的数据被监听或破坏、数据的一致性差等平安威胁。物联网的平安需求物联网的平安需求物联网的平安需求物联网应用平安物联网的应用领域非常广泛，渗透到了现实生活中的各行各业，由于物联网本身的特殊性，其应用平安问题除了现有网络应用中常见的平安威胁外，还存在更为特殊的应用平安问题。物联网应用中，除了传统网络的平安需求〔如认证、授权、审计等〕外，还包括物联网应用数据的隐私平安需求和效劳质量需求，应用部署平安需求等。1.3物联网信息平安信息平安概念经常与计算机平安、网络平安、数据平安等互相交叉笼统的使用。就目前而言，信息平安的内容主要包括：硬件平安：涉及信息存储、传输、处理等过程中的各类计算机硬件、网络硬件以及存储介质的平安。要保护这些硬件设施不受损坏，能正常提供各类效劳。软件平安：涉及信息存储、传输、处理的各类操作系统、应用程序以及网络系统不被篡改或破坏，不被非法