传感器网络安全技术综述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
消息认证并不用于防止信息被窃取,而是用于证明 原文的完整性和准确性,也就是说,消息认证主要 用于防止信息被篡改
散列链( Hash Chain )
散列链的具体方法是由用户选择一个随机数,然后 对其进行多次散列运算,把每次散列运算的结果组 成一个序列。该序列即称为散列链。产出机制: W0←W1←W2←……←Wn-1←Wn
密钥
密钥是一种参数,它是在明文转换为密文或将密文 转换为明文的算法中输入的参数。密钥分为对称密 钥与非对称密钥。
非对称密钥加密又称公钥密钥加密。它需要使用不 同的密钥来分别完成加密和解密操作,一个公开发 布,即公开密钥,另一个由用户自己秘密保存,即 私用密钥。信息发送者用公开密钥去加密,而信息 接收者则用私用密钥去解密。公钥机制灵活,但加 密和解密速度却比对称密钥加密慢得多。
传感网网络安全的挑战
通信能力的限制 能力供应的限制 计算能力的限制 大规模、广泛分布的传感器 动态网络 数据流的动态、突发性
传感网安全设计目标
目标
可用性
机密性 完整性
意义
主要技术
确保网络能够完成基本的 冗余、入侵检测、容错、 任务,即使受到攻击,如 容侵、网络自愈和重构 DoS 攻击
物理破坏 碰撞攻击 耗尽攻击 非公平竞争
丢弃和贪婪破坏 汇聚节点攻击 方向误导攻击
黑洞攻击
泛洪攻击 失步攻击
物理捕获
防御方法
调频、消息优先级、低占 空比、区域映射、模式转
换
破坏证明、伪装和隐藏 纠错码
设置竞争门限 短帧和非优先级策略
冗余路径、探测机制 加密和逐跳认证机制 出口过滤、认证监视机制 认证、监视、冗余机制
访问控制
按用户身份及其所归属的某项定义组来限制用户对 某些信息项的访问,或限制对某些控制功能的使用 的技术。
访问控制通常用于系统管理员控制用户对服务器、 目录、文件等网络资源的访问。
➢ 防止非法的主体进入受保护的网络资源。 ➢ 允许合法用户访问受保护的网络资源 ➢ 防止合法的用户对受保护的网络资源进行非授权的访问
访问控制等也会使用低开销的非对称密码算法
对称密码
消息认证码(MAC):消息/身份认证,不使用数字 签名
Hash链:构造高效率单向Hash链,从而减少带宽 使用,或减少存储和遍历的情况
消息认证
消息认证是指通过对消息或者消息有关的信息进行 加密或签名变换进行的认证,目的是为了防止传输 和存储的消息被有意无意的篡改,包括消息内容认 证(即消息完整性认证)、消息的源和宿认证(即 身份认证)、及消息的序号和操作时间认证等。在票 据防伪中具有重要应用(税务的金税系统和银行的 支付密码器)
保证机密信息不会暴露给 信息加、解密 未授权的实体
保证信息不会被窜改
MAC、散列、签名
可信度 实时性和有效性
信息源发起者不能够否认 自己发送的信息
保证用户在指定时间内得 到所需要的信息
签名,身份认证、访问控 制
网络管理、入侵检测、访 问控制
12
安全攻击与防御
网络层次
攻击手段
物理层
拥塞攻击
链路层 网络层 传输层 物理实体
客户端谜题 认证
动态网络和身ห้องสมุดไป่ตู้认证 硬件保护、自毁装置
敏感信息加密
主要安全技术
• 安全加密技术 • 密钥管理技术 • 安全认证技术 • 安全路由技术 • 入侵监测技术 • 其他研究热点
传感网加密算法选择
传感器网络缺乏网络基础设施,资源受限等特性使 得诸多现有的密码算法难以直接应用
目前主要使用是对称密码算法
入侵检测
入侵检测(Intrusion Detection),顾名思义,就 是对入侵行为的发觉。他通过对计算机网络或计算 机系统中若干关键点收集信息并对其进行分析,从 中发现网络或系统中是否有违反安全策略的行为和 被攻击的迹象。
DoS攻击
DoS是Denial of Service的简称,即拒绝服务,造 成DoS的攻击行为被称为DoS攻击,其目的是使计 算机或网络无法提供正常的服务。最常见的DoS攻 击有计算机网络带宽攻击和连通性攻击。
Arvinderpal S.等在Atmega128L上实现了ECC和 RSA并对它们的能耗进行了比较
Malan等在 MICA2 节点上利用椭圆曲线密码实现 了Diffie-Hellman密钥交换
R.Watro等在MICA2节点上实现基于RSA的认证协 议
传感网密钥管理
散列链的安全性依赖于单向散列函数的单向性,即 从Wn推导Wn-1很容易,但Wn-1不能推导出Wn
散列链主要一次性口令、微支付、即无线网络的安 全性等方面
非对称加密(公共密钥)的尝试
随着技术的发展,传感器节点的能力越来越强,原来 被认为不可能应用的公钥算法的低开销版本开始在 传感器节点上实现
Gura等在8位微控制器上实现ECC和RSA,并比较它 们的性能
认证
安全认证:对身份的核实和认可
➢数字签名 ➢消息认证 ➢口令 ➢特征识别
安全路由
互联网上的安全路由技术是指如何在IPSec VPN隧 道上实现动态路由选择技术。安全路由技术将路由 技术、VPN技术、安全路由技术——防火墙技术集 成于一身。
实现安全路由技术,关键在于建立一种特定的SA (Security Association),该SA既允许动态路由 协议包通过,也同样允许两端所有用户的数据通过。
非对称加密算法RSA:由 RSA 公司发明,是一个 支持变长密钥的公共密钥算法,需要加密的文件块 的长度也是可变的(公匙加密法)
密钥管理
密钥管理就是指对密钥进行管理的行为,如加密、 解密、破解等等。
➢ 密钥生成 ➢ 密钥分发 ➢ 验证密钥 ➢ 更新密钥 ➢ 密钥存储 ➢ 备份密钥 ➢ 密钥有效期 ➢ 销毁密钥
传感器网络安全技术 综述
网络安全相关概念
密码 密钥管理 认证 安全路由 入侵检测 DoS攻击 访问控制
密码
密码是一种用来混淆的技术,它希望将正常的(可 识别的)信息转变为无法识别的信息。当然,对一 小部分人来说,这种无法识别的信息是可以再加工 并恢复的
登录网站、电子邮箱和银行取款时输入的“密码” 其实严格来讲应该仅被称作“口令”,因为它不是 本来意义上的“加密代码”,但是也可以称为秘密 的号码。
散列链( Hash Chain )
散列链的具体方法是由用户选择一个随机数,然后 对其进行多次散列运算,把每次散列运算的结果组 成一个序列。该序列即称为散列链。产出机制: W0←W1←W2←……←Wn-1←Wn
密钥
密钥是一种参数,它是在明文转换为密文或将密文 转换为明文的算法中输入的参数。密钥分为对称密 钥与非对称密钥。
非对称密钥加密又称公钥密钥加密。它需要使用不 同的密钥来分别完成加密和解密操作,一个公开发 布,即公开密钥,另一个由用户自己秘密保存,即 私用密钥。信息发送者用公开密钥去加密,而信息 接收者则用私用密钥去解密。公钥机制灵活,但加 密和解密速度却比对称密钥加密慢得多。
传感网网络安全的挑战
通信能力的限制 能力供应的限制 计算能力的限制 大规模、广泛分布的传感器 动态网络 数据流的动态、突发性
传感网安全设计目标
目标
可用性
机密性 完整性
意义
主要技术
确保网络能够完成基本的 冗余、入侵检测、容错、 任务,即使受到攻击,如 容侵、网络自愈和重构 DoS 攻击
物理破坏 碰撞攻击 耗尽攻击 非公平竞争
丢弃和贪婪破坏 汇聚节点攻击 方向误导攻击
黑洞攻击
泛洪攻击 失步攻击
物理捕获
防御方法
调频、消息优先级、低占 空比、区域映射、模式转
换
破坏证明、伪装和隐藏 纠错码
设置竞争门限 短帧和非优先级策略
冗余路径、探测机制 加密和逐跳认证机制 出口过滤、认证监视机制 认证、监视、冗余机制
访问控制
按用户身份及其所归属的某项定义组来限制用户对 某些信息项的访问,或限制对某些控制功能的使用 的技术。
访问控制通常用于系统管理员控制用户对服务器、 目录、文件等网络资源的访问。
➢ 防止非法的主体进入受保护的网络资源。 ➢ 允许合法用户访问受保护的网络资源 ➢ 防止合法的用户对受保护的网络资源进行非授权的访问
访问控制等也会使用低开销的非对称密码算法
对称密码
消息认证码(MAC):消息/身份认证,不使用数字 签名
Hash链:构造高效率单向Hash链,从而减少带宽 使用,或减少存储和遍历的情况
消息认证
消息认证是指通过对消息或者消息有关的信息进行 加密或签名变换进行的认证,目的是为了防止传输 和存储的消息被有意无意的篡改,包括消息内容认 证(即消息完整性认证)、消息的源和宿认证(即 身份认证)、及消息的序号和操作时间认证等。在票 据防伪中具有重要应用(税务的金税系统和银行的 支付密码器)
保证机密信息不会暴露给 信息加、解密 未授权的实体
保证信息不会被窜改
MAC、散列、签名
可信度 实时性和有效性
信息源发起者不能够否认 自己发送的信息
保证用户在指定时间内得 到所需要的信息
签名,身份认证、访问控 制
网络管理、入侵检测、访 问控制
12
安全攻击与防御
网络层次
攻击手段
物理层
拥塞攻击
链路层 网络层 传输层 物理实体
客户端谜题 认证
动态网络和身ห้องสมุดไป่ตู้认证 硬件保护、自毁装置
敏感信息加密
主要安全技术
• 安全加密技术 • 密钥管理技术 • 安全认证技术 • 安全路由技术 • 入侵监测技术 • 其他研究热点
传感网加密算法选择
传感器网络缺乏网络基础设施,资源受限等特性使 得诸多现有的密码算法难以直接应用
目前主要使用是对称密码算法
入侵检测
入侵检测(Intrusion Detection),顾名思义,就 是对入侵行为的发觉。他通过对计算机网络或计算 机系统中若干关键点收集信息并对其进行分析,从 中发现网络或系统中是否有违反安全策略的行为和 被攻击的迹象。
DoS攻击
DoS是Denial of Service的简称,即拒绝服务,造 成DoS的攻击行为被称为DoS攻击,其目的是使计 算机或网络无法提供正常的服务。最常见的DoS攻 击有计算机网络带宽攻击和连通性攻击。
Arvinderpal S.等在Atmega128L上实现了ECC和 RSA并对它们的能耗进行了比较
Malan等在 MICA2 节点上利用椭圆曲线密码实现 了Diffie-Hellman密钥交换
R.Watro等在MICA2节点上实现基于RSA的认证协 议
传感网密钥管理
散列链的安全性依赖于单向散列函数的单向性,即 从Wn推导Wn-1很容易,但Wn-1不能推导出Wn
散列链主要一次性口令、微支付、即无线网络的安 全性等方面
非对称加密(公共密钥)的尝试
随着技术的发展,传感器节点的能力越来越强,原来 被认为不可能应用的公钥算法的低开销版本开始在 传感器节点上实现
Gura等在8位微控制器上实现ECC和RSA,并比较它 们的性能
认证
安全认证:对身份的核实和认可
➢数字签名 ➢消息认证 ➢口令 ➢特征识别
安全路由
互联网上的安全路由技术是指如何在IPSec VPN隧 道上实现动态路由选择技术。安全路由技术将路由 技术、VPN技术、安全路由技术——防火墙技术集 成于一身。
实现安全路由技术,关键在于建立一种特定的SA (Security Association),该SA既允许动态路由 协议包通过,也同样允许两端所有用户的数据通过。
非对称加密算法RSA:由 RSA 公司发明,是一个 支持变长密钥的公共密钥算法,需要加密的文件块 的长度也是可变的(公匙加密法)
密钥管理
密钥管理就是指对密钥进行管理的行为,如加密、 解密、破解等等。
➢ 密钥生成 ➢ 密钥分发 ➢ 验证密钥 ➢ 更新密钥 ➢ 密钥存储 ➢ 备份密钥 ➢ 密钥有效期 ➢ 销毁密钥
传感器网络安全技术 综述
网络安全相关概念
密码 密钥管理 认证 安全路由 入侵检测 DoS攻击 访问控制
密码
密码是一种用来混淆的技术,它希望将正常的(可 识别的)信息转变为无法识别的信息。当然,对一 小部分人来说,这种无法识别的信息是可以再加工 并恢复的
登录网站、电子邮箱和银行取款时输入的“密码” 其实严格来讲应该仅被称作“口令”,因为它不是 本来意义上的“加密代码”,但是也可以称为秘密 的号码。