物联网中的安全和隐私问题.ppt

2023/2/8,1,物联网中的安全与隐私问题,王志强,2023/2/8,2,一、物联网背景知识二、物联网安全问题及解决方案三、物联网隐私问题及解决方案 四、总结,2023/2/8,3,物联网的发展,1999年美国麻省理工学院建立了“自动识别中心（Auto-ID）”，提出“万物皆可通过网络互联”，阐明了物联网的基本含义。国际电信联盟（ITU）2005年的一份报告ITU互联网报告2005：物联网，正式提出了物联网的概念。2008年底IBM提出了“智慧地球”概念，得到美国各界的高度关注。2009年8月温家宝总理提出“感知中国”以来,物联网被正式列为国家五大新兴战略性产业之一，写入“政府工作报告”。,2023/2/8,4,物联网定义,物联网是什么？通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络概念。,2023/2/8,5,物联网网络体系结构,根据物联网的服务类型和节点等情况，将物联网划分为感知层、传输层和应用层。,2023/2/8,6,物联网网络体系结构,感知层 感知层主要功能是信息感知与采集，主要包括二维码标签和识读器、RFID标签和读写器、摄像头、各种传感器、视频摄像头等。如温度感应器、声音感应器、震动感应器、压力感应器、RFID读写器、二维码识读器等，完成物联网应用的数据采集和设备控制。传输层 主要通过移动通信网、互联网、专网、小型局域网等网络对数据进行传输。因为传输层面临海量数据的传输,所以传输层还需具有信息智能处理、管理能力,例如海量信息的分类、聚合和处理、传感器网络的管理等。传输层关键技术包括长距离有线和无线通信协议、网络融合技术、海量信息智能处理技术等。应用层 应用层主要包含支撑平台和应用服务。应用支撑平台子层用于支撑跨行业、跨应用、跨系统之间的信息协同、共享、互通的功能。应用服务子层包括智能家居、智能电网、智能交通、智能物流等行业应用。,2023/2/8,7,二、物联网安全问题及解决方案,2023/2/8,8,感知层安全威胁,针对RFID的主要安全威胁：标签本身的设计缺陷黑客非法截取通信数据拒绝服务攻击利用假冒标签向阅读器发送数据RFID阅读器与后台系统间的通信信息安全,2023/2/8,9,感知层安全威胁,无线传感网可能遇到的安全威胁包括下列情况：网关节点被捕获普通节点被捕获DOS攻击重放攻击虚假路由信息选择性转发虫洞攻击,2023/2/8,10,RFID安全策略,静电屏蔽。利用法拉第笼阻止无线电信号的穿透。阻塞标签。主动干扰。利用一个能主动打出无线电信号的装置，以干扰或中断附近其他RFID阅读器。改变阅读器频率。阅读器可使用任意频率。密码机制。哈希函数、重加密等,目前,实现RFID安全性机制所采用的方法主要有物理方法、密码机制以及二者相结合的方法：,2023/2/8,11,感知层安全机制,密钥协商 部分传感网内部节点进行数据传输前需要预先协商会话密钥。节点认证 个别传感网（特别当传感数据共享时）需要节点认证“确保非法节点不能接入。信誉评估一些重要传感网需要对可能被敌手控制的节点行为进行评估以降 低敌手入侵后的危害（某种程度上相当于入侵检测）。安全路由几乎所有传感网内部都需要不同的安全路由技术。,2023/2/8,12,传输层安全威胁,物联网的特点之一体现为海量,存在海量节点和海量数据,这就必然会对传输层的安全提出更高要求。虽然,目前的核心网络具有相对完整的安全措施,但是当面临海量、集群方式存在的物联网节点的数据传输需求时,很容易导致核心网络拥塞,产生拒绝服务。由于在物联网传输层存在不同架构的网络需要相互连通的问题,因此,传输层将面临异构网络跨网认证等安全问题,将可能受到DoS攻击、中间人攻击、异步攻击、合谋攻击等。,2023/2/8,13,传输层安全机制,传输层安全机制可综合利用点到点加密机制和端到端加密机制。点到点加密机制在传输过程中是密文传输,但是它需要在每个路由节点上进行先解密然后再加密传输,其信息对每个节点是透明的。由于其逐跳加密是在网络层进行的,所以适用于所有业务,有利于将物联网各业务统一到一个管理平台。由于每个节点可以得到加密信息的明文数据,所以对节点的可信性要求较高。端到端加密机制可以提供不同安全等级的灵活安全策略,但是也存在较大的缺点:首先,端到端加密机制不符合国家利益,不能满足国家合法监听的政策;其次,端到端加密方式不能隐藏信息的源和目的,存在被敌手利用的可能性 此外,应加强传输层的跨域认证和跨网认证。,2023/2/8,14,应用层安全挑战,海量数据的识别和处理智能变为低能自动变为失控灾难控制和恢复非法人为干预,2023/2/8,15,应用层安全机制,当海量数据传输到应用层时,除了数据的智能处理之外,还应该考虑数据的安全性和隐私。1)应在数据智能化处理的基础上加强数据库访问控制策略。当不同用户访问同一数据时,应根据其安全级别或身份限制其权限和操作,有效保证数据的安全性和隐私,如手机定位应用、智能电网和电子病历等。2)加强不同应用场景的认证机制和加密机制。3)加强数据溯源能力和网络取证能力,完善网络犯罪取证机制。4)应考虑在不影响网络与业务平台的应用的同时,如何建立一个全面、统一、高效的安全管理平台。,2023/2/8,16,三、物联网隐私问题及解决方案,2023/2/8,17,隐私保护概念,简单地说，隐私保护就是使个人或集体等实体不愿意被外人知道的信息得到应有的保护。与隐私保护密切相关的一个概念是信息安全，两者之间有一定的联系，但两者关注的重点不同。信息安全关注的主要问题是数据的机密性、完整性和可用性，而隐私保护关注的主要问题是看系统是否提供了隐私信息的匿名性。通常来讲，隐私保护是信息安全问题的一种，可以把隐私保护看成是数据机密性问题的具体体现。,2023/2/8,18,物联网隐私威胁分类,基于数据的隐私威胁 数据隐私问题主要是指物联网中数据采集、传输和处理等过程中的秘密信息泄露，从物联网体系结构来看，数据隐私问题主要集中在感知层和处理层，如感知层数据聚合、数据查询和 RFID 数据传输过程中的数据隐私泄露问题，处理层中进行各种数据计算时面临的隐私泄露问题。,2023/2/8,19,物联网隐私威胁分类,基于位置的隐私威胁 位置隐私是物联网隐私保护的重要内容，主要指物联网中各节点的位置隐私以及物联网在提供各种位置服务时面临的位置隐私泄露问题，具体包括 RFID 阅读器位置隐私、RFID 用户位置隐私、传感器节点位置隐私以及基于位置服务中的位置隐私问题。,2023/2/8,20,物联网隐私保护方法分类,匿名化方法 该方法通过模糊化敏感信息来保护隐私，即修改或隐藏原始信息的局部或全局敏感数据。加密类方法 通过加密技术对信息进行保护。既保证了数据的机密性，又保证了数据的隐私性。加密方法中使用最多的是同态加密技术和安全多方计算。安全路由协议方法 在路由协议方法中，其实现隐私防护的根本原理是通过对WSN网络中节点路由的协议控制，实现对信息的保护。,2023/2/8,21,匿名化方法具体应用,基于位置的服务(LBS)是物联网提供的一个重要应用，当用户向位置服务器请求位置服务(如 GPS 定位服务)时，如何保护用户的位置隐私是物联网隐私保护的一个重要内容。利用匿名技术可以实现对用户位置信息的保护。位置隐私保护的模型结构：1、独立结构。2、中心服务器结构。3、点对点结构。,2023/2/8,22,位置隐私保护的模型结构,独立式结构 独立结构比较简单，用户在客户端上完成匿名过程，然后将服务请求发送给第三方 LBS提供商。,2023/2/8,23,位置隐私保护的模型结构,中心服务器结构 中心服务器结构在独立机构的基础上添加了一个可信任的匿名服务器，该服务器位于用户和 LBS 提供商之间，接受用户发送过来的位置服务请求信息匿名处理后发送给第三方LBS 提供商,2023/2/8,24,位置隐私保护的模型结构,点对点结构 点对点结构只存在用户和 LBS 提供商，用户和用户之间通过协作组成合适的匿名群，该匿名群用于保护用户的隐私安全。,2023/2/8,25,位置隐私保护技术,空间匿名技术 终端 m 需要从 LBS 服务器获得位置服务信息，首先要将自己的位置隐匿在当前环境中。终端 m 向单跳邻居节点发送匿名请求信息，各个请求信息头部包括标识符，跳数等信息。接着 m 就处于监听回复的状态。当邻居节点收到一个回复后，通过数据包头部的标识符判断是否重复接受，如是，则丢弃。之后，通过跳数判断是否是临近节点，如是，则将该节点的信息保存到元组中。如不，则继续寻找。接着，邻居节点将所得元组集合发送给终端 m。这种算法的优点在于分散了匿名工作和计算量到初始终端的邻居节点，在保证达到匿名度的同时平均分配了损耗。,2023/2/8,26,位置隐私保护技术,时空匿名技术 时空匿名是在空间匿名的基础之上增加了一个时间轴，在用空间区域代替具体位置以后，同时延长匿名的时间，将位置服务请求信息的匿名时间延长，在这个时间段里面，也许会有更多的信息出现在这个空间区域，这时候就可以在这些心中寻找合适的匿名群。,2023/2/8,27,位置隐私保护技术,时空匿名技术,如图 所示，黑色圆点是用户的真实位置，模型使用时空区域（图中的长方体）代替用户的具体位置之后，用户以相同的概率处于时空区域中的任何一个位置。,2023/2/8,28,位置隐私保护技术,K-匿名技术 K-匿名技术需引入第三方匿名服务器，适用于中心服务器模式。目前的 K-匿名技术采用泛化和隐匿两种技术实现匿名。终端向服务器发送 LBS 服务请求时，匿名服务器会收到终端服务器的地址，匿名服务器根据匿名需求将真实位置泛化成一个区域。K-匿名的安全度取决于两个参数，最小匿名面积 Amin，用于匿名服务器分割匿名区域时的依据；匿名度 K，K 值的取定直接决定匿名服务的质量，K越小，匿名程度越低，K 越大，匿名程度越大，但随着 K 的增大，网络的负载也越来越大，在服务质量和网络负载之间保持平衡的条件下选择合适的匿名度。,2023/2/8,29,加密技术的具体应用,针对RFID的隐私保护。几种常用的隐私保护方法：安全多方计算：对RFID传感器的位置信息和数据进行分析，利用基于SMC的密码组合实现对RFID数据的隐藏；基于加密原理的安全协议：对于网络中的各种敏感数据和位置信息，通过各种加密机制实现信息防护。WSN网络的数据隐私保护。于加密技术的无线传感器网络数据隐私保护方法主要是采用同态加密技术实现端到端数据聚合隐私保护。数据挖掘隐私保护 针对分布式环境下的数据挖掘方法，一般通过同态加密技术和安全多方计算实现隐私保护。,2023/2/8,30,加密技术,安全多方技术 安全多方计算是指在一个互不信任的多用户网络中,各用户能够通过网络来协同完成可靠的计算任务,同时又能保持各自数据的安全性。实际上,安全多方计算是一种分布式协议,在这个协议中,n个成员p1,p2,pn。分别持有秘密的输xl,x2,xn,试图计算函数值f(xl,x2,xn),其中,f为给定的函数。在此过程中,每个成员pi仅仅知道自己的输人数据x;和最后的计算结果f(xl,x2,xn)。安全的含义是指既要保证函数值的正确性,又不暴露任何有关各自秘密输人的信息。,2023/2/8,31,加密技术,同态加密技术 一般的加密体系包含3个部分:生成公钥/私钢对,加密过程,解密过程。而在同态加密体系中多了一个对密文的计算过程,并且要求这个计算过程得到的结果是一个密文,而这密文解密后的明文等于对原始明文进行相应计算结果。,2023/2/8,32,同态加密具体表示,2023/2/8,33,哈希锁,为了避免RFID标签信息泄露和被追踪，hash 锁协议使用 metaID 来代替真实的标签 ID，标签对阅读器进行认证之后再将其 ID 发送给阅读器。这种方法在一定程度上防止了非法阅读器对标签 ID 的获取。,2023/2/8,34,哈希锁实现过程,(1)锁定过程1)阅读器随机生成一个密钥key,并计算metalD=hash(key)其中hash()是一个单向密码学哈希函数。2)阅读器随将metalD与入到标签。3)标签被锁定,进入锁定状态。4)阅读器可以用metalD作为整个环节的索引,用数据库来存(metalD,key)数据。(2)解锁过程1)标签进入读写器范围后,读写器查询标签;标签响应并返回metalD。2)读写器以metalD为索引在后台数据库中查找对应的(metalD,key)对,并将key返回给阅读器。3)标签将收到从阅读器发过来的密钢key。4)标签计算hash(key),如果hash(key)与标签中存储的metalD相等,则标签解锁,并向读写器发送真实ID。,2023/2/8,35,随机哈希锁,在这个协议中,阅读器每次访问标签得到的输出信息都不同。在随机哈希锁协议中,标签需要包含一个单向密码学哈希函数和一个伪随机数发生器;阅读器也拥有同样的哈希函数和伪随机发生器;并将对应于每个标签的ID值存储在后台系统的数据库当中;阅读器还在每一个标签共享一个唯一的密钥key,这个key将作为密码学哈希函数的密钥用于计算。,2023/2/8,36,随机哈希锁实现过程,1.当阅读器请求访问标签时,标签T先用伪随机数发生器生成一个随机数R,然后计算其ID和随机数R的哈希值hash(IDllR),最后把随机数R和这个哈希值返回给发起访问请求的阅读器。阅读器收到标签的响应后,将这些信息都发送给后台数据。2.因为还不知道被查询标签的身份,因此后台数据库需要穷举所有标签ID,并与收到的随机数R一起作为哈希函数的输入,计算hash(ID|R)。如果计算得到的哈希值与收到的哈希值相同,则ID,就是正在被查询的标签,阅读器将此标签的ID发回,对标签进行解锁。,2023/2/8,37,哈希链,哈希链协议中,标签和阅读器共享两个单向密码学哈希函数G()和H(),其中G()用来计算响应消息,H()用来进行更新;它们还共享一个初始的随机化标识符S。当阅读器查询标签时,标签返回当前标示符Si的哈希值ai=G(Si),同时标签更新当前标识符Si至Si+i=H(Si),哈希链协议如图所示。阅读器收到标签的响应后需要穷尽的计算,使用数据库中所有标签的标识符计算哈希值来与收到的信息匹配。,2023/2/8,38,安全路由协议,路由协议隐私保护方法一般基于随机路由策略，即数据包的每一次传输并不都是从源节点方向向汇聚节点方向传输的，转发节点以一定的概率将数据包向远离汇聚节点的方向传输。同时传输路径不是固定不变的，每一个数据包的传输路径都随机产生。这样的随机路由策略使得攻击者很难获取节点的准确位置信息。,2023/2/8,39,三、总结,2023/2/8,40,不同的隐私保护方法各有其特点，可对应物联网中不同的隐私保护需求。对于物联网的感知部分，由于物联网所连接的很多终端设备的资源非常有限，因此要考虑使用计算和通信资源消耗较少的方法，如匿名化方法;对于物联网的数据处理部分，当对数据处理结果的准确性要求较高时，应考虑采用加密技术实现隐私保护。,2023/2/8,41,隐私保护方法分类分析,2023/2/8,42,从前面的分析可以看出，同态加密技术、匿名化和路由协议是隐私保护的三类重要方法。对于同态加密技术，需要研究如何有效地降低其算法复杂度;对于匿名化技术，要处理好隐私保护效果和处理结果准确性这两者之间的平衡;对于路由协议方法，应尽量减少额外通信，以实现通信量和隐私保护程度之间的平衡。,2023/2/8,43,完，谢谢,