《物联网安全2016第1章-绪论》由会员分享,可在线阅读,更多相关《物联网安全2016第1章-绪论(59页珍藏版)》请在金锄头文库上搜索。
1、物联网安全,参考书,李联宁物联网安全导论北京:清华大学出版社,2013 William Stallings.密码编码学与网络安全原理与实践(第6版).电子工业出版社,2015 乔舒亚莱特.黑客大曝光:无线网络安全(原书第3版) .机械工业出版社,2016 梁栋.Java加密与解密的艺术(第2版).机械工业出版社,2013,物联网信息安全技术,本课程讨论的信息安全问题包括: 数据安全(第3章):包括密码学、散列函数、消息摘要、数字签名、文本水印和图像水印等;实践MD5算法案例和数字签名案例 隐私安全(第4章):隐私安全的概念,隐私度量方法,数据库隐私保护技术,位置隐私保护技术,数据共享隐私保护方
2、法,外包数据加密计算案例 接入安全(第5章):信任管理、身份认证、访问控制、公钥基础设施(PKI)的结构和实现案例 系统安全(第6章):恶意攻击、入侵检测、攻击防护、防火墙、病毒查杀、网络安全通信协议。 无线网络安全(第7章):WiFi安全技术、3G安全技术、ZigBee安全技术、蓝牙安全技术。,物联网安全的重要性,信息安全在物联网中重要性和作用显而易见。 现在军事中的物、地探测 现在交通中的车辆检测 智能小区中的RFID 物联网信息安全关系到国家的信息安全 2014年2月27日电,据央视新闻报道,习近平主持召开中央网络安全和信息化小组首次会议,要求把我国建设成为网络强国。习近平任小组组长。
3、加强网络安全,才能维护国家安全。 安全是互联网发展的前提和基础。 物联网以互联网为依托。,开设物联网安全课程的必要性,现有网络与信息安全课程可否替换物联网信息安全? 早期的想法:可以替换 现在的想法:不可替换,有其特殊性 物联网信息安全教材应该涵盖网络与信息安全课程内容,并有所拓展。 二者差异:“专用”、“通用” 二者协同:通用寓于“专用” 二者贯通:有“通用”贯通“专用” 物联网信息安全可以上升为新的研究热点 感知中的;RFID 数据传输与处理中的:大数据、多维、时间序列 应用中的:开放、跨域、共享、云,西安交通大学 桂小林 6,物联网安全:物联网工程专业的核心知识体系,物联网安全课程大纲,
4、本课程作为物联网工程专业的核心专业课程 课程目标: 针对物联网工程专业的需要,对物联网信息安全的内涵、知识领域和知识单元进行了科学合理的安排,目标是提升读者对物联网安全的“认知”和“实践”能力。 课程内容: 本课程采用分层架构思想,由底而上地论述物联网信息安全的体系结构和关键技术。具体包括物联网安全特征、物联网安全体系、物联网数据安全、物联网隐私安全、物联网接入安全、物联网系统安全和物联网无线网络安全等内容。,第一章 物联网与信息安全,本章导引,物联网作为战略性新兴产业,在各国政府大力推动下,正在迎来一轮建设高峰,其信息安全和风险问题也得到各国政府的广泛重视。 由于物联网是一个融合计算机、通信
5、和控制等相关技术的复杂系统,因而物联网面临的信息安全问题更加复杂。 本章主要论述物联网的基本概念和特征,探讨物联网的信息安全现状和面临的信息安全威胁。,IOT时代的网络安全威胁,周鸿祎三大安全问题: 第一, 个人隐私的安全。以前是电脑里的数据,涉及到工作。以后是手机里的数据,涉及到照片等个人隐私。现在的智能设备直接关系到身体,比如我们佩戴的手环收集个人健康数据。 第二, 个人支付的安全。在中国,越来越多的人习惯于用手机里的支付宝、微信等付账,那将来会是用手表、手环付账,因为很方便,但这也对个人财产的安全产生了威胁。 第三, 人身的安全。2014年7月,360安全团队研究了特斯拉 Model S
6、型汽车,发现利用汽车软件里的某个漏洞,可以远程控制车辆,实现开锁、鸣笛、闪灯,可以在汽车行进的过程中远程开启天窗。如果汤姆-克鲁斯再次出演碟中谍的时候远程遥控敌人的汽车,这一点也不奇怪。我相信黑客将来有能力通过互联网制造交通事故,这个大家可以讨论。,惠普IoT安全报告指出物联网存在五大安全隐患,一些关键数据如下: 80%的IoT设备存在隐私泄露或滥用风险 80%的IoT设备允许使用弱密码 70%的IoT设备与互联网或局域网的通讯没有加密 60%的IoT设备的web界面存在安全漏洞 60%的IoT设备下载软件更新时没有使用加密,物联网安全市场虽然不大,但随着企业和个人对智能和联网设备的应用增长迅
7、速。2015年物联网安全投入为2.815亿美元,2016年将增长23.7%,即3.48亿美元。 Gartner预测今年全球将有64亿台联网设备得到使用,比2015年增长30%,2018年联网设备将达到114亿台,物联网安全投入将达到5.47亿美元。 全球大量的资金投入将花在汽车、商用航空、农业和建筑领域的联网设备上,到2020年有25%的网络攻击是与物联网相关的,而物联网安全投入将占整个IT投入的10%。,密码泄露危机暴露个人信息保护短板,2011年12月21日,国内最大的程序员社区CSDN上600万用户资料被公开,同时黑客公布的文件中包含有用户的邮箱账号和密码。随后,密码泄露事件开始大范围发
8、酵。 2014年12月25日,乌云漏洞报告平台报告称,大量12306用户数据在互联网疯传,内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息,然后通过撞库的方式利用12306的安全机制的缺欠来获取了这13万多条用户数据。 对此,专家建议用户在不同网站设置不同密码,并避免网站注册密码与邮箱密码相同,以更好地保证个人隐私。,“物联网”是近年来最火也最接地气的新兴科技概念之一,智能家电已经开始全面走向大众消费市场。不法分子入侵智能家居系统、对你家的电器为所欲为,你该怎么办? 生产智能马桶、电器等设备的厂商通常
9、并不特别关注数据安全问题。这些设备上的安全漏洞可能会让坏人扰乱家庭生活、窃取重要个人数据甚至利用窃取的信息对受害者进行敲诈勒索。 在物联网大规模应用的今天,各硬件厂商多会在自己的设备中,增值WiFi组件一应市场需求,而这些硬件一旦投入使用连接到网络中,就都有可能沦为黑客的阶下囚。,2007年,时任美国副总统迪克切尼心脏病发作,被怀疑缘于他的心脏除颤器无线连接功能遭暗杀者利用。这被视为物联网攻击造成人身伤害的可能案例之一。 2008年,波兰一名14岁少年用一个改装过的电视遥控器控制了波兰第三大城市罗兹的有轨电车系统,导致数列电车脱轨、人员受伤。 2010年,一名前雇员远程入侵了美国得克萨斯州奥斯
10、汀市汽车经销商的电脑系统,招致大量客户投诉车辆故障,包括喇叭无故半夜鸣响、车辆无法发动等。 2011年,伊朗2011年俘获美国RQ-170“哨兵”无人侦察机,据称就是伊朗网络专家远程控制了这架飞机的操作系统。,2013年,美国知名黑客萨米卡姆卡尔在“优兔”网站发布一段视频,展示他如何用一项名为SkyJack的技术,使一架基本款民用无人机能够定位并控制飞在附近的其他无人机,组成一个由一部智能手机操控的“僵尸无人机战队”。 2014年,360安全研究人员发现了特斯拉Tesla Model S车型汽车应用程序存在设计漏洞,该漏洞可致使攻击者可远程控制车辆,包括执行车辆开锁、鸣笛、闪灯以及车辆行驶中开
11、启天窗等操作。 2015年,HackPWN安全专家演示了利用比亚迪云服务漏洞,开启比亚迪汽车的车门、发动汽车、开启后备箱等操作。,物联网安全事故入侵机器马桶,芝加哥企业数据安全公司Trustwave成功入侵了一台由日本建材和住宅设备巨头骊住(Lixil)生产的机器马桶,能通过蓝牙连接操纵马桶盖的开启和关闭,甚至能让马桶向用户喷射水流。 骊住声称,其生产的机器马桶其实很难被黑客操纵,因为这需要借助与马桶配套的专用遥控器让黑客的智能手机与厕所联网。 甚至一些科技公司也会生产出缺乏足够保护的设备也,奥尔曼的团队就入侵了由贝尔金(Belkin)生产的模块化智能家居遥控系统WeMo该系统能让用户通过智能
12、手机应用控制台灯、电扇、咖啡机等家用电器。,物联网安全事故火灾隐患,IOActive发现了一种操纵上述电器开关的方法,从而能让它们大搞恶作剧,甚至可以开启加热装置和电熨斗这样不但很费电,还有可能造成火灾。 随着家居自动化技术的普及,家用电器厂商必须对购买者进行安全教育,包括强调更改设备出厂密码的重要性如果不更改出厂密码,那么黑客无需水平很高也有可能入侵你的设备。,物联网安全事故婴儿监控器,俄亥俄州的一对夫妇告诉Fox19电视台:他们有一天半夜醒来,听到了10个月大的女儿的联网婴儿监控器里传出了一个奇怪的男声,该名男子发出的尖叫并试图唤醒宝宝。 相关婴儿监控器厂商Foscam已经向用户发布了紧急
13、通知,提醒他们更改设备默认的用户名和密码并下载新版软件。,物联网安全事故联网汽车,2015年7月,Charlie Miller与Chris Valasek两位安全员便像公众展示了黑客是如何利用车载无线系统,进而远程操控一辆正在行驶的Jeep Cherokee,令车子的变速器与刹车不受驾驶者控制,而这一发现也令该吉普品牌的所有者菲亚特克莱斯勒,急忙召回已售出的140万辆汽车。 2015年8月,在黑客防御会议上,CloudFlare公司主要研究员Kevin Mahaffey又公布了一套他们从特斯拉Model s上发现的安全漏洞。通过笔记本如何黑进Model s的仪表盘背后的计算机系统,又或是远程植
14、入木马,让车子在行驶途中熄火。,物联网安全事故联网汽车,安全研究员Samy Kamkarshowed也在大会上,通过一款OwnStar设备,远程向一辆通用汽车植入拦截通讯软件,可定位汽车、打开车门和解锁、启动引擎等等,令偷车轻而易举。可怕的是,类似的技巧在宝马与奔驰的应用程序上,同样凑效。 联网汽车的确存在安全隐患,黑客可能控制汽车的空调、音响,甚至是车速,或是窃取车主的私人信息,这也是汽车厂商与用户长期忽视的问题。显然,汽车行业在解决汽车网络安全问题上处于较为落后的状态。,连入网络的医疗设备变得不再安全,存在软件与结构上的漏洞。心脏病学家Dick Cheney一直担心黑客或通过政要体内的起搏
15、器,对其进行致命的攻击。 经调查发现,目前医院大多数医疗设备都存在被黑客入侵的潜在风险,该风险甚至可能造成致命后果。然而,多数医疗机构未能对此给予足够的重视。 黑客可以利用办公室的Wi-Fi网络禁用医疗设备。存在漏洞的医疗设备大多经由医疗机构的内部网络进行连接,而这些内部网络同时又与互联网相通,这就使得黑客可以通过钓鱼的方式,入侵医院员工电脑,从而进一步接入该内部网络实施破坏。又或是通过将笔记本带入医院并接入医院内部网络,进行攻击。,物联网安全事故智慧医疗,美国阿拉巴马大学的学生更用实验证明了这个担忧的严重性,“我们可以随意提高心脏速率,或者是降低速率”。该研究小组最后还把用作实验的机器人从理
16、论上杀死了。 相类似的漏洞还有可能存在于存储血液等医用冰箱设备中。此类设备提供一个供用户进行温度设定的网页界面,并会在温度超过预设范围时向医护人员发自动送警告邮件,但漏洞的存在,可令黑客通过破解密码的方式关闭该项功能,并擅自更改设定温度。类似的入侵,还能篡改CT设备的照射强度等,不管这些攻击是恶作剧还是处于利益或政治,都将对患者的身体造成不必要的损伤。,物联网安全事故智慧医疗,西班牙黑客 Jesus Molina入住酒店时,对房间内的操控系统产生了兴趣。为此,他特意去酒店住了几天并找到了一些安全漏洞。通过这些漏洞,Molina能够控制酒店内250 多个房间的温控器、灯光、电视、百叶窗,以及门外的“请勿打扰”电子灯,而罪魁祸首就是酒店为客人提供的iPad和电子管家应用,客户控制物联网设备和浏览网页时,使用了同一个开放无线网络,黑客只要在无线网络范围内就可以轻易地实施攻击。,物联网安全事故酒店WiFi,黑客的触角还远不止如此,甚至连枪支都难免于黑客的攻击范畴。黑客夫妻Runa Sandvi
