物联网网络的安全机制外文翻译Word格式文档下载.docx
《物联网网络的安全机制外文翻译Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《物联网网络的安全机制外文翻译Word格式文档下载.docx(7页珍藏版)》请在冰豆网上搜索。
由于无线传感器网络能源的消耗,无线传感器网络对于传统网络技术的数据处理和通信能力的限制是不适用的,因此,吸引了大批研究人员致力于能源效率,网络协议,分布式数据库等的研究。
无线传感器网络网络安全的技术方面的研究,却很少有人关注,然而,在许多应用中,网络的安全性和网络性能及设备,降低能耗方面是同等重要的。
无线网络使用广播传输介质[3],这使得袭击者很容易做到窃听,拦截,注射和改变数据的传输。
此外,攻击者并不受传感器网络硬件的限制,他们可以使用昂贵的无线收发信机和一个强大的工作站远程网络去消耗无线传感器网络的有限资源;
甚至偷一些节点,以冒充授权的节点,来让网络中的所有节点发射恶意代码从而达到破坏整个网络的目的。
因此,针对无线传感器网络的特点,需要什么样的安全机制是一个亟待解决的问题。
本文重点介绍在通信过程中无线传感器网络的安全威胁,分析其安全需要采取的安全机制,以确保无线通信的安全性。
本文描述物联网的安全威胁[2];
最近物联网安全的研究分析;
以及新的安全机制的新型设计。
..
1.1安全威胁
安全机制从三个方面获得加强以夯实物联网。
物联网层[4]的安全问题分析,分别为维护本地安全,和可信度评估的维护、数据传输安全。
维护本地安全,本地安全安全威胁的层;
入侵检测技术,防攻击技术,安全保障关键技术层;
物联网层之外还应该考虑节点异常检测和排除网络分段维修,安全路由协议等技术,物联网网络层的网络对异构网络安全解决方案将有新增加的支持;
处理层和应用层着重于数据存储的本地安全和数据访问的安全问题。
其他安全技术的信誉评价体系提供依据为整个安防系统,在网络体系结构上的各个部分安全性测试,信誉评估和及时保养排除异己,避免因安全危害而导致的外部侵入。
传输过程中数据的安全性,通过数据加密机制以确保认证和密钥管理机制。
也确保是数据安全的一个重要组成部分。
ISO/IEC18000标准[5]定义了标签之间的双向通信协议阅读器和标签,图1所示的便是其基本通信模式。
图1RFID系统的通信模式
物理层攻击:
在物联网传感器的现场要求和监测环境构成一个整体。
覆盖这种性质和节点物理层的安全隐患:
访问的实施物联网的节点采集和这些节点颠覆来收集机密数据,或尝试内部攻击网络。
输送层的攻击:
除了物联网节点实体层的安全隐患意外,攻击者还可以访问无线信道的发送数据。
此外,通过攻击者注入自己的信息包来传输数据,或干扰合法的传输,以启动一个外部的攻击。
网络层攻击:
物联网的本质就是要求有节点之间的互操作性,和分布协议的相互作用使网络的自配置功能。
在某些应用中,物联网的协作服务,如路由,定位,时间同步过度依赖互联网。
这些暴露出来的隐患并不在传统网络中存在。
例如,叛逃节点能够宣称其路由路径接近汇聚节点,从而吸引包,大大地增加了时钟偏移,打扰网络互操作性,减少收集数据的准确度或注入错误的数据。
1.2安全性分析
无线传感器网络安全的因素取决于很多的方面,本节的重点是分析重要的因素。
1.2.1来自无线通信的问题
无线传感器网络特征[6],的场合应用以及其他因素,决定在无线通信下列四个威胁:
(1)恶意代码插入,它可能是最危险的攻击已被注射了恶意代码可以传播到萨尔网络中的节点,潜在的存在破坏了整个网络,更糟的情况是,攻击者能够控制整个网络。
捕获的传感器网络可以将信息发送到合法用户出现错误的环境中,或将监控的区域的信息发送给恶意用户。
(2)信息监听传感器节点,攻击者通过监听包含传感器节点的物理位置,以确定他们的位置,并摧毁他们。
如此,隐藏传感器节点的位置信息是很重要的。
节点在静态情况下,节点的位置信息在网络使用寿命内必须一直受到保护。
(3)除了传感器节点的位置信息,特殊信息的应用中,攻击者可能在一些特殊的消息的应用中观察到,如消息ID,时间片,以及其他领域。
(4)攻击者注入到用户环境的错误消息,该消息消耗传感器节点的能源资源匮乏,这种类型的攻击被称为睡眠剥夺疼痛(睡眠剥夺拷问)。
1.2.2来自数据的问题
完整性约束,在传输过程中的中间防止攻击者窃听,通过认证的数据包使用消息变化和重新广播消息及为了保护使用一个安全密钥在数据分组接入时的完整性使用了强大的连续散列键的,而不是通过认证,该节点将不会改变发送的网络中发送了的消息的法律内容[7-8]。
(3)控制的,XX的节点无法承受网络或新的路由业务到网络喷射通过数据包,验证码,和认证节点在网络发送的合法邮件。
访问控制来决定谁可以访问系统,什么样的资源可以访问系统,以及如何使用这些资源,以适当的访问控制,防止XX的用户有意或无意地获取数据的访问,控制手段包括用户识别码,密码,登录控制,资源授权(例如用户配置文件和资源配置文件和控制列表),授权核查,日志和审计。
(4)语义安全性。
通过安全的语义的,一个是偷听敌人,即使见到同样的消息多重加密,也是不可能得到明文消息。
语义的安全措施缺乏,攻击者可以容易地分析所接收的消息。
如果使用一般用在加密函数中、为了确保语义的的安全、一个初始值的对称加密方法的信息,该初始值可以是与消息发送的随机值,或仅当双方都知道该计数器值或时钟值。
(5)保护邮件传输。
该消息进行加密,以保护自己的内容不能被捕获或伪造,但随后攻击者可能捕捉有效信息,并转发,因此必须采取有效的安全机制,确保信息的安全性,同时防止过境的攻击。
临时保护,以保证系统不受破坏,因此,可以通过最新的数据网络同步和通信架空,实现了临时保护的目的。
(6)传感器网络的数据流随时间而改变,仅仅还不够保证数据的保密性和认证,并且还必须确保每个消息是最新的数据,最新的数据,这方法来确保攻击者可以在传输过程中没有以前的数据。
最新的数据可以分为两种类型:
一种是弱的新的数据,另一种是一个强有力的新数据。
疲软新数据提供本地新闻是有序的,它承载实时新闻;
强大的新数据提供需求响应延迟一个完整的订单,可作为评估数据。
前者为传感器的测量;
后者是用于在网络内的时间同步。
内容的公共密钥表公钥目录表指的是一个开放的,动态的,在网上的用户可以访问公钥数据库中,每个用户的公钥安全注册到该公钥目录表,一个值得信赖的实体或组织(称为公钥目录管理员)和公共在西娅密钥目录表中的全网预共享型,从而缓解每个传感器节点上的压力并不需要建立一大批重点通信,RAM占用和通信负载,并拥有强大的网络可扩展性。
但是,一旦某些节点已损坏,整个网络的电阻的安全性可以显著降低,并且不能保证保密到网络。
而且任意两个节点的认证易受各种伪造并且复制攻击。
因此,该密钥管理一般用在安全要求不高和相对稳定的网络环境。
相对于整个网络共享密钥的模式,点对点的预共享模式需要不同的主密钥的两个节点之间可以预先共享的任何两个节点的网络中,关键的通信需求使用来自主密钥的加密和节点的认证。
1.3安全机制
密钥分配并且管理是WSN关键的安全问题之一,且WSN的资源约束已经基于对称密钥着眼于内容预分配方案
,同时产生了许多标志性的研究。
两个基于对称密钥预分配方案的最直接的策略。
主密钥的程序,在部署之前的所有节点预先分配的主密钥,主密钥生成节点部署,节点之间的安全通信后,任意两个节点之间的会话密钥。
这个方案的好处是,节点上存储的负担是非常小的,较小消耗WSN的资源,但明显的问题是,一旦一个节点被抓获,整个WSN网络安全威胁,其安全性能非常差。
在n个节点的WSN另一个关键程序,每个节点将节省n-1个节点的对称密钥,一个节点被捕获,它仅影响该节点的链接,不构成对其他环节的安全构成威胁,但大型WSN,计划将允许该节点的内存过载,而网络没有任何扩展功能。
假设该无线传感器网络是扁平结构,节点被分成两种类型:
基站和节点。
其中基站的资源没有任何限制,而资源会约束节点。
基站独特的信息,包括:
基站,IDA,UKA_
基站公钥私钥RKA的基站。
每个节点唯一的信息包括:
节点ID,节点公钥UK,
节点的私有密钥RK,单向散列函数H的程序被分为两个阶段:
公共密钥的建立阶段,邻居发现阶段的集合。
公钥密码体制,私钥由用户保留自己的公钥公开。
公共密钥分配,如何保证真实性的公开密钥就是需要注意的密钥分配的问题。
公开提供给用户自己的公共密钥给其他用户,或直接在一个范围内广播。
它的优点是简单且不需要对密钥分配特殊的安全通道,相应减少密钥管理的难度。
缺点是,公共密钥的真实性难以保证,易于伪造。
1.3.1内容公钥的表
公钥目录表中指的是一个开放的,动态的,在网上的用户可以访问公钥的数据库,每个用户的公共密钥安全注册到该公钥目录表,一个可信实体或组织(称为公钥的目录管理员)在建立公钥的目录表中,维护并公布公钥的,以确保整个公钥的目录表中的真实性和完整性。
这种方法的公开发布在用户的个人角度是安全的,但使用公钥目录表可以成为系统中的一个薄弱环节,一旦攻击者破解内容表的公开密钥或访问目录管理员管理密钥就可以伪造目录的一个公钥,然后两个假冒任何用户与其他用户进行通信可以监视发送到任何一个用户的消息。
认证的公共密钥分配是一个在线的使用公钥分配方法,监管机构限制用户使用公钥在目录表中查询的自由,并使用数字签名公共密钥保护分配时加上时间标记,从而增加了密钥分发公共安全。
管理过程如下图2。
图2密钥分配
(1)用户A请求用户B的公开密钥数据库中,该请求消息包含时间戳。
(2)数据库加密的使用私钥PRauth响应消息并送到A,A可用于到数据库以获得B的公钥的PU的公开密钥进行解密,并确认此消息来自数据库并且是真的,完整的。
(3)A使用B的公钥加密A的操作表示ID和一次性随机数N1,用于唯一地标识该业务。
(4),(5)中的B以相同的方式,以获得来自数据库的A的公钥。
此时,A和B已经彼此的公钥。
(6)B加密的使用PUA的公开密钥发送的一次性随机数N1并生成一次性的随机数N2,只有B可以解密步骤3中发送的消息,获得N1。
这是一个在线的公共密钥分配方法,因为对自由查询的限制,并且用户公钥目录表的使用管理机构,对公共密钥保护分配数字签名和时间戳,从而增加分配公共密钥的安全性。
(7)加密的B的公钥PUB发送的一次性随机数N2并将其发送到B,B来确认通信对象为A.
1.3.2公钥证书
每个用户的公钥必须安全包装,格式化公钥证书。
通信双方通过获得公钥公开密钥证书相互交流,你可以用脱机工作的方式,不需要管理机构上线分布。
每个通信用户只需一次性与证书中心建立联系,提交一个公钥证书中心申请证书申请应通过安全通道证书中心传递生成和发布公钥证书的信息。
证书颁发机构生成证书给申请人A,形式如下:
图3公钥证书
在公钥密码中,完全分配公钥,用户可以使用公钥来维持通信的保密性,公共密钥加密比对称加密慢,然而,一般的通信用户提供不直接联系公共密钥加密系统,以维持通信的保密性,而是通过分配对称加密密钥,然后共享对称密钥进行安全通信的分配。
对称加密密钥的公开密钥加密分配可以保证密钥分发过程的保密性,同时提供认证,在实际通信过程中经常使用这种方法来分配所需共享的秘密对称加密密钥。
1.4安全传输模型
发件人首先生成数字签名与原始消息和他们共同的私钥对消息串起[10],并与对称加密算法进行加密,加密会话密钥,串联发送两个加密结果。
图4安全传输模型
①发送那里创建消息m和一次性的会话密钥Ks。
②选用一些对称加密算法的会话密钥Ks加密消息。
③用串联使用收件人的公共密钥加密的会话密钥PUBKS,以及密文消息发送。
④解密自己的私钥PRB恢复会话密钥Ks收件人。
⑤收件人解密会话密钥Ks。
压缩算法的位置是需要关注的问题,它的位置在签字后,这是由于:
无压缩,消息签名,供以后签名验证。
如果签名后压缩,需要存储压缩消息或压缩消息验证,导致加大处理工作量。
ZIP压缩算法是不确定性的,该算法在不同的实现中找到了计算速度和压缩比之间的平衡,导致不同的压缩结果(直接提取相同的结果),因此符号可能会导致无法实现识别。
第二章总结
近年,随着微电子技术和无线通信技术的进步,低功率,低价格的多功能传感器得以快速发展,从而也推动了无线传感器网络的发展。
无线传感器网络在军事,医疗,商用等区域有着广阔的应用前景。
针对无线传感器网络的特点,本文主要介绍在沟通过程中的安全威胁。
致谢
这项研究是由湖北省自然科学基金2010CDZ019,教育项目基金会Q20122703湖北省国土资源厅的优秀青年人才支持的。
参考文献
[1]GershenfeldN,KrikorianR,CohenD.TheInternetofthings[J].ScientificAmerican.2004,291(04);
76-81.
[2]PierredeLeusse,PanosPeriorellis,TheoDimitrakos,SrijithK.Nair.SelfManagedSecurityCell,asecuritymodelfortheInternetofThingsandServices[C].2009FirstInternationalConferenceonAdvancesinFutureInternet,2009:
47-52.
[3]ROMANR,ALCARAZC.Applicabilityofpublickeyinfrastructuresinwirelesssensornetworks[J].LectureNotesinComputerScience,2007,4582:
313-320.
[4]MAINWARINGA,POLASTREJ,SZEWCZYKR,etal.Wirelesssensornetworksforhabitatmonitoring[C].ACMinternationalworkshoponwirelesssensornetworksandapplications,2002.
[5]ZHUS,SETIAS,JAJODIAS.LEAP:
efficientsecuritymechanismsforlargescaledistributedsensornetworks[C].Inthe10thACMConferenceonComputerandCommunicationsSecurity(CCS03),2003:
62-72.
[6]SAVVIDESA,HANCC,SRIVASTAVAMB.Dynamicfinegrainedlocalizationinadhocnetworksofsensors[C].Rome:
InProceedingsofMobiCom2001,2001:
16-21.
[8]GanameAK,BourgeoisJ,BidouR,SpiesF.Aglobalsecurityarchitectureforintrusiondetectiononcomputernetworks[J].Computers&
Security,March2008,27:
30-47.
[9]FINKENZELLERK.RFIDhandbook:
radiofrequencyidentificationfundamentalsandapplications[M].JohnWileyandSons,2003:
187-193.
[10]AIBERTOLG,INDRAW.Communicationnetworksfundamentalconceptsandkeyarchitectures[M].NewYork:
McGrawHill,1999:
354-365
升级会员 