5物聯(lián)網(wǎng)安全教學(xué)目標(biāo)知道物聯(lián)網(wǎng)安全的特征與要求描述物聯(lián)網(wǎng)安全需求與目標(biāo)熟悉物聯(lián)網(wǎng)面臨的安全威脅與攻擊理解物聯(lián)網(wǎng)的安全層次結(jié)構(gòu)及關(guān)鍵技術(shù)掌握RFID安全和隱私保護(hù)機(jī)制掌握對稱加密算法和公開密鑰算法及應(yīng)用重點(diǎn)：RFID安全和隱私保護(hù)機(jī)制及數(shù)據(jù)加密的實(shí)現(xiàn)

難點(diǎn)：物聯(lián)網(wǎng)安全體系

15物聯(lián)網(wǎng)安全5.1物聯(lián)網(wǎng)安全特征與目標(biāo)5.1.1物聯(lián)網(wǎng)安全的特征從物聯(lián)網(wǎng)的信息處理過程來看，感知信息經(jīng)過采集、匯聚、融合、傳輸、決策與控制等過程，整個(gè)信息處理的過程體現(xiàn)了物聯(lián)網(wǎng)安全的特征與要求，也揭示了所面臨的安全問題。1.感知網(wǎng)絡(luò)的信息采集、傳輸與信息安全問題

感知節(jié)點(diǎn)呈現(xiàn)多源異構(gòu)性，沒法提供統(tǒng)一的安全保護(hù)體系。

2.核心網(wǎng)絡(luò)的傳輸與信息安全問題

核心網(wǎng)絡(luò)具有相對完整的安全保護(hù)能力,現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都是從人通信的角度設(shè)計(jì)的，對以物為主體的物聯(lián)網(wǎng)，要建立適合于感知信息傳輸與應(yīng)用的安全架構(gòu)。3.物聯(lián)網(wǎng)業(yè)務(wù)的安全問題

大規(guī)模、多平臺、多業(yè)務(wù)類型使物聯(lián)網(wǎng)業(yè)務(wù)層的安全面臨新的挑戰(zhàn)。

25.1物聯(lián)網(wǎng)安全特征與目標(biāo)5.1.2物聯(lián)網(wǎng)的安全需求

1.物聯(lián)網(wǎng)信息機(jī)密性

信息隱私是物聯(lián)網(wǎng)信息機(jī)密性的直接體現(xiàn)，如感知終端的位置信息。另外在數(shù)據(jù)處理過程中同樣存在隱私保護(hù)問題，如物聯(lián)網(wǎng)中信息采集、傳遞和查詢等操作，不會由于個(gè)人隱私或機(jī)構(gòu)秘密的泄露而造成對個(gè)人或機(jī)構(gòu)的傷害。信息的加密是實(shí)現(xiàn)機(jī)密性的重要手段，由于物聯(lián)網(wǎng)的多源異構(gòu)性，使密鑰管理顯得更為困難。

2.物聯(lián)網(wǎng)信息完整性和可用性

物聯(lián)網(wǎng)的信息完整性和可用性貫穿物聯(lián)網(wǎng)數(shù)據(jù)流的全過程，網(wǎng)絡(luò)入侵、拒絕攻擊服務(wù)、Sybil攻擊、路由攻擊等都使信息的完整性和可用性受到破壞。同時(shí)物聯(lián)網(wǎng)的感知互動過程也要求網(wǎng)絡(luò)具有高度的穩(wěn)定性和可靠性，如在倉儲物流應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須是穩(wěn)定的，不能出現(xiàn)互聯(lián)網(wǎng)中電子郵件時(shí)常丟失等問題，不然無法準(zhǔn)確檢測進(jìn)庫和出庫的物品。

35.1.3物聯(lián)網(wǎng)的安全目標(biāo)物聯(lián)網(wǎng)信息安全目標(biāo)與網(wǎng)絡(luò)信息安全目標(biāo)類似。通俗地說，保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險(xiǎn)、不受威脅、不出事故。1.可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性?？煽啃允窍到y(tǒng)安全的最基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測度主要有三種：抗毀性是指系統(tǒng)在人為破壞下的可靠性。比如，部分線路或節(jié)點(diǎn)（戰(zhàn)爭、地震等）失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。生存性是在隨機(jī)破壞下系統(tǒng)的可靠性。隨機(jī)性破壞是指系統(tǒng)部件因?yàn)樽匀焕匣仍斐傻淖匀皇?。有效性是一種基于業(yè)務(wù)性能的可靠性。如，網(wǎng)絡(luò)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標(biāo)下降、平均延時(shí)增加、線路阻塞等。可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。5.1物聯(lián)網(wǎng)安全特征與目標(biāo)45.1.3物聯(lián)網(wǎng)的安全目標(biāo)2.可用性可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性?？捎眯砸话阌孟到y(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量?？捎眯赃€應(yīng)該滿足以下要求：身份識別與確認(rèn)、訪問控制、業(yè)務(wù)流控制、路由選擇控制、審計(jì)跟蹤（把發(fā)生的所有安全事件情況存儲在安全審計(jì)跟蹤之中，以便分析原因，分清責(zé)任，及時(shí)采取相應(yīng)的措施。）。3.保密性

保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。

常用的保密技術(shù)包括：防偵收、防輻射、信息加密、物理保密。

5.1物聯(lián)網(wǎng)安全特征與目標(biāo)55.1.3物聯(lián)網(wǎng)的安全目標(biāo)4.完整性完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸。影響網(wǎng)絡(luò)信息完整性的主要因素有：設(shè)備故障、誤碼、人為攻擊、計(jì)算機(jī)病毒等。

保障網(wǎng)絡(luò)信息完整性的主要方法有：（1）協(xié)議：通過各種安全協(xié)議可以有效地檢測出被復(fù)制的信息、被刪除的字段、失效的字段和被修改的字段；（2）糾錯(cuò)編碼方法：完成檢錯(cuò)和糾錯(cuò)功能。如奇偶校驗(yàn)法；（3）密碼校驗(yàn)和方法：它是抗篡改和傳輸失敗的重要手段；（4）數(shù)字簽名：保障信息的真實(shí)性；（5）公證：請求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。

5.1物聯(lián)網(wǎng)安全特征與目標(biāo)65.1.3物聯(lián)網(wǎng)的安全目標(biāo)5.不可抵賴性不可抵賴性也稱作不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實(shí)同一性。即，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。6.可控性可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。

概括地說，網(wǎng)絡(luò)信息安全與保密的核心是通過計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲的消息的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等。

5.1物聯(lián)網(wǎng)安全特征與目標(biāo)75.1.3物聯(lián)網(wǎng)的安全目標(biāo)《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》中明確提出未來5年的發(fā)展目標(biāo)和重點(diǎn)任務(wù)，其中物聯(lián)網(wǎng)的信息安全保障問題是基本任務(wù)也是重要任務(wù)。一是高度重視物聯(lián)網(wǎng)信息安全問題，提倡安全發(fā)展。我國物聯(lián)網(wǎng)建設(shè)過程中，要做好物聯(lián)網(wǎng)信息安全頂層設(shè)計(jì)，加強(qiáng)物聯(lián)網(wǎng)信息安全技術(shù)的研發(fā)，有效保障物聯(lián)網(wǎng)的安全應(yīng)用，遵循“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的原則。二是構(gòu)建物聯(lián)網(wǎng)信息安全保障體系。建立以政府為主導(dǎo)，定點(diǎn)企事業(yè)為主體的物聯(lián)網(wǎng)信息安全管理機(jī)制；重點(diǎn)支持物聯(lián)網(wǎng)評估指標(biāo)體系研究、測評系統(tǒng)開發(fā)和專業(yè)評估團(tuán)隊(duì)的建設(shè)；支持應(yīng)用示范工程安全風(fēng)險(xiǎn)與系統(tǒng)可靠性評估機(jī)制建立，在物聯(lián)網(wǎng)示范工程的規(guī)劃、驗(yàn)證、監(jiān)理、驗(yàn)收、運(yùn)維全生命周期推行安全風(fēng)險(xiǎn)與系統(tǒng)可靠性評估，從源頭上保障物聯(lián)網(wǎng)的應(yīng)用安全。三是加大安全人才引進(jìn)和培養(yǎng)力度，并成立專門科研機(jī)構(gòu)。以開放合作的方式，推進(jìn)物聯(lián)網(wǎng)安全技術(shù)的發(fā)展。

5.1物聯(lián)網(wǎng)安全特征與目標(biāo)85物聯(lián)網(wǎng)安全5.2物聯(lián)網(wǎng)面臨的安全威脅與攻擊

5.2.1物聯(lián)網(wǎng)面臨的安全威脅物聯(lián)網(wǎng)大規(guī)模應(yīng)用面臨的安全問題遠(yuǎn)比互聯(lián)網(wǎng)復(fù)雜，其威脅是嚴(yán)重的。1.安全威脅由網(wǎng)絡(luò)世界延伸到物質(zhì)世界物聯(lián)網(wǎng)可以將洗衣機(jī)、電視、碎紙機(jī)、微波爐等家用電器連接成網(wǎng)，并能進(jìn)行遠(yuǎn)程操作。但威脅隨之而來。黑客可以通過物聯(lián)網(wǎng)對電冰箱發(fā)動攻擊，使其超頻工作，導(dǎo)致毀機(jī)，加大了防范的范圍和治理的難度。2.安全威脅由網(wǎng)絡(luò)擴(kuò)展到眾多節(jié)點(diǎn)許多大型項(xiàng)目的傳感節(jié)點(diǎn)都具有暴露性或被定位性，為入侵者提供了場所和機(jī)會。由于感知層嵌入了RFID芯片，不僅方便主人所感知，同時(shí)其他人也能進(jìn)行跟蹤或截獲。要讓其有效的安全保護(hù)，將是很困難的。3.安全威脅由物聯(lián)網(wǎng)自身放大到云計(jì)算服務(wù)體系云計(jì)算將核心的計(jì)算部分放置到一個(gè)中央服務(wù)器的集群中，若這個(gè)集群出了故障，對所有連接的客戶提供的服務(wù)將不能再被使用。

95.2.2物聯(lián)網(wǎng)面臨的安全攻擊１.阻塞干擾--攻擊者在獲取目標(biāo)網(wǎng)絡(luò)通信頻率的中心頻率后，通過在這個(gè)頻點(diǎn)附近發(fā)射無線電波進(jìn)行干擾，使得攻擊節(jié)點(diǎn)通信半徑內(nèi)的所有傳感器網(wǎng)絡(luò)節(jié)點(diǎn)不能正常工作，甚至使網(wǎng)絡(luò)癱瘓，是一種典型的DOS攻擊方法。２.碰撞攻擊--攻擊者連續(xù)發(fā)送數(shù)據(jù)包，在傳輸過程中和正常節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包發(fā)生沖突，導(dǎo)致正常節(jié)點(diǎn)發(fā)送的整個(gè)數(shù)據(jù)包因?yàn)樾ｒ?yàn)和不匹配被丟棄，是一種有效的DOS攻擊方法。３.耗盡攻擊--利用協(xié)議漏洞，通過持續(xù)通信的方式使節(jié)點(diǎn)能量耗盡，如利用鏈路層的錯(cuò)包重傳機(jī)制使節(jié)點(diǎn)不斷重復(fù)發(fā)送上一包，耗盡節(jié)點(diǎn)資源。４.非公平攻擊--攻擊者不斷地發(fā)送高優(yōu)先級的數(shù)據(jù)包從而占據(jù)信道。５.選擇轉(zhuǎn)發(fā)攻擊--物聯(lián)網(wǎng)是多跳傳輸，每一個(gè)傳感器既是終節(jié)點(diǎn)又是路由中繼點(diǎn)。這要求傳感器在收到報(bào)文時(shí)要無條件轉(zhuǎn)發(fā)。攻擊者利用這一特點(diǎn)拒絕轉(zhuǎn)發(fā)特定的消息并將其丟棄,達(dá)到攻擊目的。5.2物聯(lián)網(wǎng)面臨的安全威脅105.2.2物聯(lián)網(wǎng)面臨的安全攻擊６.陷洞攻擊--攻擊者通過一個(gè)危害點(diǎn)吸引某一特定區(qū)域的通信流量，形成以危害節(jié)點(diǎn)為中心的“陷洞”，處于陷洞附近的攻擊者就能相對容易地對數(shù)據(jù)進(jìn)行篡改。７.女巫攻擊--物聯(lián)網(wǎng)中每一個(gè)傳感器都應(yīng)有唯一的一個(gè)標(biāo)識與其他傳感器進(jìn)行區(qū)分，由于系統(tǒng)的開放性，攻擊者可以扮演或替代合法的節(jié)點(diǎn)，偽裝成具有多個(gè)身份標(biāo)識的節(jié)點(diǎn)，干擾分布式文件系統(tǒng)、路由算法、數(shù)據(jù)獲取、無線資源公平性使用、節(jié)點(diǎn)選舉流程等，從而達(dá)到攻擊網(wǎng)絡(luò)目的。８.洪泛攻擊--攻擊者通過發(fā)送大量攻擊報(bào)文，導(dǎo)致整個(gè)網(wǎng)絡(luò)性能下降，影響正常通信。９.信息篡改--攻擊者將竊聽到信息進(jìn)行修改（如刪除、替代全部或部分信息）之后再將信息傳送給原本的接收者，以達(dá)到攻擊目的。

5.2物聯(lián)網(wǎng)面臨的安全威脅115.3物聯(lián)網(wǎng)安全體系125.3.1感知層安全傳感技術(shù)及其聯(lián)網(wǎng)安全傳感網(wǎng)絡(luò)本身具有：無線鏈路比較脆弱、網(wǎng)絡(luò)拓?fù)鋭討B(tài)變化、節(jié)點(diǎn)計(jì)算能力、存儲能力和能源有限、無線通信過程中易受到干擾等特點(diǎn)，使得傳統(tǒng)的安全機(jī)制無法應(yīng)用到傳感網(wǎng)絡(luò)中。傳感技術(shù)的安全問題如表所示

目前傳感器網(wǎng)絡(luò)安全技術(shù)主要包括基本安全框架、密鑰分配、安全路由和入侵檢測和加密技術(shù)等。安全框架主要有SPIN，TinySec、參數(shù)化跳頻、Lisp、LEAP協(xié)議等。密鑰分配主要傾向于采用隨機(jī)預(yù)分配模型的密鑰分配方案。安全路由技術(shù)常采用的方法包括加入容侵策略。入侵檢測技術(shù)常常作為信息安全的第二道防線，主要包括被動監(jiān)聽檢測和主動檢測兩大類。5.3物聯(lián)網(wǎng)安全體系135.3.1感知層安全2.RFID相關(guān)安全問題如果說傳感技術(shù)是用來標(biāo)識物體的動態(tài)屬性，那么物聯(lián)網(wǎng)中采用RFID標(biāo)簽則是對物體靜態(tài)屬性的標(biāo)識，即構(gòu)成物體感知的前提。RFID是一種非接觸式的自動識別技術(shù)，它通過射頻信號自動識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)。識別工作無須人工干預(yù)。通常采用RFID技術(shù)的網(wǎng)絡(luò)涉及的主要安全問題有：(1)標(biāo)簽本身的訪問缺陷。任何用戶(授權(quán)以及未授權(quán)的)都可以通過合法的閱讀器讀取RFID標(biāo)簽。而且標(biāo)簽的可重寫性使得標(biāo)簽中數(shù)據(jù)的安全性、有效性和完整性都得不到保證。(2)通信鏈路的安全。(3)移動RFID的安全。主要存在假冒和非授權(quán)服務(wù)訪問問題。目前，實(shí)現(xiàn)RFID安全性機(jī)制所采用的方法主要有物理方法、密碼機(jī)制以及二者結(jié)合的方法。5.3物聯(lián)網(wǎng)安全體系145.3.2網(wǎng)絡(luò)層安全

物聯(lián)網(wǎng)的網(wǎng)絡(luò)層按功能可以大致分為接入層和核心層，因此物聯(lián)網(wǎng)的網(wǎng)絡(luò)層安全主要體現(xiàn)在兩個(gè)方面。1.來自物聯(lián)網(wǎng)本身的架構(gòu)、接入方式和各種設(shè)備的安全問題物聯(lián)網(wǎng)的接入層將采用如移動互聯(lián)網(wǎng)、有線網(wǎng)、Wi-Fi、WiMAX等各種無線接入技術(shù)。安全問題的解決將得益于切換技術(shù)和位置管理技術(shù)的進(jìn)一步研究。另外，由于物聯(lián)網(wǎng)接入方式將主要依靠移動通信網(wǎng)絡(luò)。移動通信網(wǎng)絡(luò)存在無線竊聽、身份假冒和數(shù)據(jù)篡改等不安全的因素。2.進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)相關(guān)安全問題物聯(lián)網(wǎng)的網(wǎng)絡(luò)核心層主要依賴于傳統(tǒng)網(wǎng)絡(luò)技術(shù)，其面臨的最大問題是現(xiàn)有的網(wǎng)絡(luò)地址空間短缺。主要的解決方法寄希望于正在推進(jìn)的IPv6技術(shù)。IPv6采納IPSec協(xié)議，在IP層上對數(shù)據(jù)包進(jìn)行了高強(qiáng)度的安全處理，提供數(shù)據(jù)源地址驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流加密等安全服務(wù)。但任何技術(shù)都不是完美的，實(shí)際上IPv4網(wǎng)絡(luò)環(huán)境中大部分安全風(fēng)險(xiǎn)在IPv6網(wǎng)絡(luò)環(huán)境中仍將存在，而且某些安全風(fēng)險(xiǎn)隨著IPv6新特性的引入將變得更加嚴(yán)重。

5.3物聯(lián)網(wǎng)安全體系155.3.3應(yīng)用層安全物聯(lián)網(wǎng)應(yīng)用層充分體現(xiàn)物聯(lián)網(wǎng)智能處理的特點(diǎn)，業(yè)務(wù)控制、管理和認(rèn)證機(jī)制、中間件以及隱私保護(hù)等安全問題顯得尤為突出。1.業(yè)務(wù)控制和管理由于物聯(lián)網(wǎng)設(shè)備可能是先部署后連網(wǎng)，而物聯(lián)網(wǎng)節(jié)點(diǎn)又無人值守，所以如何對物聯(lián)網(wǎng)設(shè)備遠(yuǎn)程簽約，如何對業(yè)務(wù)信息進(jìn)行配置就成了難題。另外，龐大且多樣化的物聯(lián)網(wǎng)必然需要一個(gè)強(qiáng)大而統(tǒng)一的安全管理平臺，如何對物聯(lián)網(wǎng)機(jī)器的日志等安全信息進(jìn)行管理成為新的問題。2.中間件是物聯(lián)網(wǎng)系統(tǒng)的靈魂和中樞神經(jīng)。特點(diǎn)是其固化了很多通用功能，但在具體應(yīng)用中多半需要二次開發(fā)來實(shí)現(xiàn)個(gè)性化的行業(yè)業(yè)務(wù)需求，因此物聯(lián)網(wǎng)中間件系統(tǒng)應(yīng)該具有較強(qiáng)的安全架構(gòu)，才能提供安全快速的開發(fā)工具。3.隱私保護(hù)在物聯(lián)網(wǎng)發(fā)展過程中，大量的數(shù)據(jù)涉及到個(gè)體隱私問題，因此隱私保護(hù)是必須考慮的一個(gè)問題。如何設(shè)計(jì)不同場景、不同等級的隱私保護(hù)技術(shù)將是為物聯(lián)網(wǎng)安全技術(shù)研究的熱點(diǎn)問題。

5.3物聯(lián)網(wǎng)安全體系165.3.4物聯(lián)網(wǎng)安全的非技術(shù)因素目前物聯(lián)網(wǎng)發(fā)展在中國表現(xiàn)為行業(yè)性太強(qiáng)，公眾性和公用性不足，重?cái)?shù)據(jù)收集、輕數(shù)據(jù)挖掘與智能處理，產(chǎn)業(yè)鏈長但每一環(huán)節(jié)規(guī)模效益不夠，商業(yè)模式不清晰。①物聯(lián)網(wǎng)是一種全新的應(yīng)用，要想得以快速發(fā)展一定要建立一個(gè)社會各方共同參與和協(xié)作的組織模式，集中優(yōu)勢資源，這樣物聯(lián)網(wǎng)應(yīng)用才會朝著規(guī)模化、智能化和協(xié)同化方向發(fā)展。②物聯(lián)網(wǎng)的普及，需要各方的協(xié)調(diào)配合及各種力量的整合，這就需要國家的政策以及相關(guān)立法走在前面，以便引導(dǎo)物聯(lián)網(wǎng)朝著健康穩(wěn)定快速的方向發(fā)展。③人們的安全意識教育也將是影響物聯(lián)網(wǎng)安全的一個(gè)重要因素。物聯(lián)網(wǎng)安全研究是一個(gè)新興的領(lǐng)域，任何安全技術(shù)都伴隨著具體的需求應(yīng)運(yùn)而生，因此物聯(lián)網(wǎng)的安全研究將始終貫穿于人們的生活之中。從技術(shù)角度來說，未來的物聯(lián)網(wǎng)安全研究將主要集中在開放的物聯(lián)網(wǎng)安全體系、物聯(lián)網(wǎng)個(gè)體隱私保護(hù)模式、終端安全功能、物聯(lián)網(wǎng)安全相關(guān)法律的制訂等幾個(gè)方面?！炯寄芫毩?xí)】搜索查看物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)或規(guī)范，用表格列出。5.3物聯(lián)網(wǎng)安全體系175.4.1RFID安全和隱私概述隨著RFID能力的提高和標(biāo)簽應(yīng)用的日益普及，安全問題，特別是用戶隱私問題變得日益嚴(yán)重。用戶如果帶有不安全的標(biāo)簽的產(chǎn)品，則在用戶沒有感知的情況下，被附近的閱讀器讀取，從而泄露個(gè)人的敏感信息，例如金錢、藥物(與特殊的疾病相關(guān)聯(lián))、書(可能包含個(gè)人的特殊喜好)等，特別是可能暴露用戶的位置隱私，使得用戶被跟蹤。因此，在RFID應(yīng)用時(shí)，必須仔細(xì)分析所存在的安全威脅，研究和采取適當(dāng)?shù)陌踩胧?，既需要技術(shù)方面的措施，也需要政策、法規(guī)方面的制約。5.4RFID安全和隱私185.4.1RFID安全和隱私概述1.主要安全隱患基本的RFID系統(tǒng)如圖

所示，電子標(biāo)簽中一般保存有約定格式的電子數(shù)據(jù)，在實(shí)際應(yīng)用中，電子標(biāo)簽附著在待識別物體的表面。讀寫器可無接觸地讀取并識別電子標(biāo)簽中所保存的電子數(shù)據(jù)，從而達(dá)到自動識別的目的。通常讀寫器與電腦相連，所讀取的標(biāo)簽信息被傳送到電腦上進(jìn)行下一步處理，在以上基本配置之外，還應(yīng)包括相應(yīng)的應(yīng)用軟件。5.4RFID安全和隱私195.4.1RFID安全和隱私概述1.主要安全隱患

(1)竊聽：即信息泄露如圖所示，在末端設(shè)備或RFID標(biāo)簽使用者不知情的情況下，信息被讀取(信息隱私泄露)。(2)追蹤：利用RFID標(biāo)簽上的固定信息，對RFID標(biāo)簽攜帶者進(jìn)行跟蹤。(3)欺騙、重放、克隆欺騙：攻擊者將獲取的標(biāo)簽數(shù)據(jù)發(fā)送給閱讀器，以此來騙過閱讀器。重放：攻擊者竊聽電子標(biāo)簽的響應(yīng)信息并將此信息重新傳給合法的讀寫器，以實(shí)現(xiàn)對系統(tǒng)的攻擊?？寺。嚎寺∧┒嗽O(shè)備，冒名頂替，對系統(tǒng)造成攻擊。(4)信息篡改：將竊聽到的信息進(jìn)行修改之后再將信息傳給原接收者。(5)中間人攻擊:攻擊者偽裝成合法的讀寫器獲得電子標(biāo)簽的響應(yīng)信息，并用這一信息偽裝成合法的電子標(biāo)簽來響應(yīng)讀寫器。5.4RFID安全和隱私205.4.1RFID安全和隱私概述1.主要安全隱患

【案例】“扒手”系統(tǒng)(中間人攻擊)2005年以色列特拉維夫大學(xué)的Ziv

Kfir

和AvishaiWool發(fā)表了一篇如何攻擊電子錢包的論文。在論文中，作者構(gòu)建了一個(gè)簡單的“扒手”系統(tǒng)。這個(gè)攻擊系統(tǒng)包含兩個(gè)RFID設(shè)備：“幽靈”和“吸血鬼”，如圖所示。“吸血鬼”距離受害者50cm左右，盜取受害者儲值卡的信息?！拔怼睂⒈I取來的信息通過某種方式快速直接的轉(zhuǎn)交給“幽靈”，“幽靈”進(jìn)而通過讀卡器盜刷儲值卡中的存款。使用“扒手”系統(tǒng)，“幽靈”和“吸血鬼”之間可以相距很遠(yuǎn)。這樣一來，即使受害者和讀卡器相距千里，儲值卡也存在被盜刷的危險(xiǎn)。中間人攻擊成本低廉，與使用的安全協(xié)議無關(guān)，是RFID系統(tǒng)面臨的重大挑戰(zhàn)之一。5.4RFID安全和隱私215.4.1RFID安全和隱私概述1.主要安全隱患（6）物理破解標(biāo)簽容易獲取；通過逆向工程等技術(shù)，標(biāo)簽容易被攻擊者破解，破解之后可以發(fā)起進(jìn)一步攻擊，推測此標(biāo)簽之前發(fā)送的消息內(nèi)容，推斷其他標(biāo)簽的秘密。（7）拒絕服務(wù)攻擊(DDoS)

通過不完整的交互請求消耗系統(tǒng)資源，如產(chǎn)生標(biāo)簽沖突，影響正常讀取；發(fā)起認(rèn)證消息，消耗系統(tǒng)計(jì)算資源；對標(biāo)簽的DDoS（DistributedDenialofService）；消耗有限標(biāo)簽內(nèi)部狀態(tài)，使之無法被正常識別等。（8）RFID病毒攻擊者可以事先把病毒代碼寫入到標(biāo)簽中，然后讓合法的閱讀器讀取其中的數(shù)據(jù)。這樣，病毒就有可能被注入到系統(tǒng)中。當(dāng)病毒、蠕蟲或惡意程序入侵?jǐn)?shù)據(jù)庫，還有可能迅速傳播并摧毀整個(gè)系統(tǒng)及重要資料。

2006年研究人員發(fā)現(xiàn)：病毒可以通過RFID標(biāo)簽從閱讀器傳播到中間件，進(jìn)而傳播到后臺數(shù)據(jù)庫和系統(tǒng)中。下面是一個(gè)例子：5.4RFID安全和隱私225.4.1RFID安全和隱私概述【案例】:機(jī)場在行李箱上附著一個(gè)標(biāo)簽，標(biāo)簽中的數(shù)據(jù)可能記載了目的地機(jī)場。攻擊者可能將標(biāo)簽數(shù)據(jù)從“SHA”改為“SHA；shutdown”。如果后臺數(shù)據(jù)庫發(fā)起查詢“select*fromdestine_tablewheredestine=<tagdata>”，這個(gè)查詢命令會變成“select*fromdestine_tablewheredestine=<SHA；shutdown>”。這就有可能導(dǎo)致數(shù)據(jù)庫系統(tǒng)關(guān)閉，從而造成機(jī)場混亂，如圖所示。標(biāo)簽中可以寫入一定量的代碼，讀取tag時(shí)，代碼被注入系統(tǒng)，如SQL注入等。5.4RFID安全和隱私235.4.1RFID安全和隱私概述1.主要安全隱患(9)其他隱患如電子破壞：攻擊者可以用物理或者電子的方法，未經(jīng)授權(quán)的破壞一個(gè)標(biāo)簽，此后此標(biāo)簽無法再為用戶提供服務(wù)。屏蔽干擾：攻擊者還有可能通過干擾或者屏蔽來破壞標(biāo)簽的正常訪問。干擾是使用電子設(shè)備來破壞閱讀器的正常訪問。屏蔽是指用機(jī)械的方法阻止標(biāo)簽的讀取。這兩種手段因?yàn)榭梢杂绊戦喿x器對標(biāo)簽的訪問，也能用來阻止非法閱讀器對標(biāo)簽的訪問。標(biāo)簽拆除：攻擊者可能將物品上附著的標(biāo)簽拆除。這樣，他可以帶走這個(gè)物品而不擔(dān)心被閱讀器發(fā)現(xiàn)。閱讀器可能會認(rèn)為標(biāo)簽所對應(yīng)的物品仍然存在，沒有丟失。5.4RFID安全和隱私245.4.1RFID安全和隱私概述【RFID破解案例】

（1）2008年8月，美國麻省理工學(xué)院的三名學(xué)生宣布成功破解了波士頓地鐵資費(fèi)卡。而世界各地的公共交通系統(tǒng)都采用幾乎同樣的智能卡技術(shù)，這意為著使用他們的破解方法可以“免費(fèi)搭車游世界”。（2）國內(nèi)某職業(yè)技術(shù)學(xué)院的學(xué)生破解了德克士消費(fèi)卡，可進(jìn)行不斷充值。（3）破解RFID芯片啟動汽車

捷克的RadkoSoucek是一個(gè)三十二歲的汽車竊賊。根據(jù)調(diào)查，他使用一個(gè)收訊器與一臺筆記本電腦，在布拉格市內(nèi)與郊區(qū)偷了數(shù)臺名貴的汽車。Soucek并不是個(gè)新手，他從十一歲時(shí)就開始偷車。但直到最近他發(fā)現(xiàn)，使用高科技來偷車是多么容易的事情。諷刺的事，讓他身陷囹圄的，也是他的筆記本電腦，因?yàn)槔锩娲嬗羞^去所有他嘗試解碼的證據(jù)。知名足球明星貝克漢姆曾被小偷偷走兩臺特制防盜的BMWX5SUV。那是發(fā)生在西班牙首都馬德里的事情。警方認(rèn)為小偷使用的是軟件解碼，而不是用工具把車撬開。5.4RFID安全和隱私255.4.1RFID安全和隱私概述2.主要隱私問題（1）隱私信息泄露信息泄露是指暴露標(biāo)簽發(fā)送的信息，該信息包括標(biāo)簽用戶或者是識別對象的相關(guān)信息。例如，當(dāng)RFID標(biāo)簽應(yīng)用于圖書館管理時(shí)，圖書館信息是公開的，讀者的讀書信息任何其他人都可以獲得。當(dāng)RFID標(biāo)簽應(yīng)用于醫(yī)院處方藥物管理時(shí)，很可能暴露藥物使用者的病理，隱私侵犯者可以通過掃描服用的藥物推斷出某人的健康狀況，如圖所示，黑客用筆記本電腦竊取信息。當(dāng)個(gè)人信息比如電子檔案、物理特征添加到RFID標(biāo)簽里時(shí)，標(biāo)簽信息泄露問題便會極大地危害個(gè)人隱私。如美國原計(jì)劃2005年8月在入境護(hù)照上裝備電子標(biāo)簽，因?yàn)榭紤]到信息泄露的安全問題而延遲。5.4RFID安全和隱私265.4.1RFID安全和隱私概述2.主要隱私問題（2）跟蹤

RFID系統(tǒng)后臺服務(wù)器提供有數(shù)據(jù)庫。通常情況下，標(biāo)簽只需要傳輸簡單的標(biāo)識符，然后，通過這個(gè)標(biāo)識符訪問數(shù)據(jù)庫獲得目標(biāo)對象的相關(guān)數(shù)據(jù)和信息。因此，可通過標(biāo)簽固定的標(biāo)識符實(shí)施跟蹤。也就是說，人們可以在不同的時(shí)間和不同的地點(diǎn)識別標(biāo)簽，獲取標(biāo)簽的位置信息。這樣，攻擊者可以通過標(biāo)簽的位置信息獲取標(biāo)簽攜帶者的行蹤。雖然利用其他的一些技術(shù)，如視頻監(jiān)視、全球移動通信系統(tǒng)(GSM)、藍(lán)牙等，也可進(jìn)行跟蹤。但是，RFID標(biāo)簽識別裝備相對低廉，尺寸很小易隱藏，使用壽命長，可自動識別和采集數(shù)據(jù)，從而使惡意跟蹤更容易。（3）效率和安全性的矛盾標(biāo)簽身份保密增加了標(biāo)簽檢索的代價(jià)，影響了系統(tǒng)的吞吐量。如何平衡安全、隱私和系統(tǒng)可用性，是所有RFID系統(tǒng)都必須考慮的問題。5.4RFID安全和隱私275.4.1RFID安全和隱私概述【RFID應(yīng)用失敗的案例分析】RFID技術(shù)激起了一小部分人的狂熱的反對，他們認(rèn)為RFID標(biāo)簽是“間諜芯片”（Spychip），這些芯片通過RFID侵犯人們的隱私權(quán)。（1）班尼騰（Benetton）

2003年，著名的半導(dǎo)體制造商菲利普宣布其將為著名的服裝制造商班尼騰（Benetton）實(shí)施服裝RFID管理。當(dāng)隱私權(quán)保護(hù)者組織得到這個(gè)消息后，他們發(fā)起了聯(lián)合抵制Benetton的運(yùn)動。他們甚至提出了一個(gè)更加露骨的口號：“我們寧愿裸體也不會穿戴采用間諜芯片的服裝?！泵鎸θ绱舜蟮墓妷毫?，Benetton最終退卻了，幾個(gè)星期后，Benetton宣布，他們?nèi)∠藢Ψb進(jìn)行單品級RFID管理的應(yīng)用項(xiàng)目。

（2）麥托集團(tuán)（Metro）麥托集團(tuán)，德國最大的零售商。2004年，麥托集團(tuán)在其會員卡中采用了RFID技術(shù)，但是，他們并沒有預(yù)先對消費(fèi)者進(jìn)行告知。隱私權(quán)保護(hù)主義者藉此大做文章，竭力反對，還積極準(zhǔn)備集會抵制。麥托讓步了。5.4RFID安全和隱私285.4.1RFID安全和隱私概述【RFID應(yīng)用失敗的案例分析】（3）總結(jié)Benetton和麥托兩個(gè)失敗的RFID應(yīng)用項(xiàng)目的經(jīng)驗(yàn)教訓(xùn)：對隱私權(quán)應(yīng)有足夠的重視。理解顧客對RFID的警覺性只是這項(xiàng)工作的第一步。還要坦誠面對消費(fèi)者，或者可以聘請消費(fèi)者代表組織參與RFID項(xiàng)目的實(shí)施。采取積極的措施，減輕對隱私權(quán)的侵犯。例如，可以采用可以“殺死”的RFID標(biāo)簽或者采用可以撕下的紙標(biāo)簽，提醒消費(fèi)者按照說明撕毀。面對面地為消費(fèi)者演示已經(jīng)采取了措施來保護(hù)隱私權(quán)，可以讓消費(fèi)者自己進(jìn)行測試。目的是為了向消費(fèi)者證明系統(tǒng)并沒有侵犯其隱私權(quán)。給RFID標(biāo)簽加上一個(gè)屏蔽封套。麥托在給消費(fèi)者發(fā)放RFID會員卡時(shí)犯了一個(gè)嚴(yán)重的錯(cuò)誤，它沒有給會員卡加上任何屏蔽封套。

Benetton和Metro是前車之鑒，制造商和零售商越來越關(guān)注消費(fèi)者隱私權(quán)的問題。他們在實(shí)施RFID項(xiàng)目之前，都會預(yù)先充分考慮對隱私權(quán)的保護(hù)問題，采取積極措施，減少對隱私權(quán)的侵犯，改善通信安全。5.4RFID安全和隱私295.4.2RFID安全和隱私保護(hù)機(jī)制1.早期物理安全機(jī)制（1）滅活(kill)：殺死標(biāo)簽，使標(biāo)簽喪失功能，不能響應(yīng)攻擊者的掃描。（2）法拉第網(wǎng)罩：屏蔽電磁波，阻止標(biāo)簽被掃描。（3）主動干擾：用戶可以主動廣播無線信號來阻止或者破壞對RFID閱讀器的讀取，從而確保消費(fèi)者隱私。（4）阻止標(biāo)簽(blocktag)：阻止標(biāo)簽（blocktag）又稱為鎖定者（blocker）。這種標(biāo)簽可以通過特殊的標(biāo)簽碰撞算法來阻止非授權(quán)的閱讀器讀取那些阻止標(biāo)簽預(yù)訂保護(hù)的標(biāo)簽。以上的這些物理安全機(jī)制通過犧牲標(biāo)簽的部分功能來滿足隱私保護(hù)的要求。這些方法可以一定程度上保護(hù)低成本的標(biāo)簽，但由于驗(yàn)證、成本和法律等約束，物理安全機(jī)制還存在各種各樣的缺點(diǎn)。

5.4RFID安全和隱私305.4.2RFID安全和隱私保護(hù)機(jī)制2.基于密碼學(xué)的安全機(jī)制（1）哈希鎖(hash-lock)

哈希鎖（hash-lock）是一個(gè)抵制標(biāo)簽未授權(quán)訪問的隱私增強(qiáng)協(xié)議，2003年由麻省理工學(xué)院和Auto-IDCenter提出。整個(gè)協(xié)議只需要采用單向密碼學(xué)哈希函數(shù)實(shí)現(xiàn)簡單的訪問控制，因此可以保證較低的標(biāo)簽成本。優(yōu)點(diǎn)：初步訪問控制威脅：偷聽，跟蹤5.4RFID安全和隱私315.4.2RFID安全和隱私保護(hù)機(jī)制2.基于密碼學(xué)的安全機(jī)制（2）隨機(jī)哈希鎖隨機(jī)哈希鎖（randomizedhashlock）是哈希鎖協(xié)議的擴(kuò)展，在這個(gè)協(xié)議中，閱讀器每次訪問標(biāo)簽得到的輸出信息都不同。優(yōu)點(diǎn)：增強(qiáng)的安全和隱私線性復(fù)雜度key-search:O(N)5.4RFID安全和隱私325.4.2RFID安全和隱私保護(hù)機(jī)制2.基于密碼學(xué)的安全機(jī)制（3）哈希鏈基于共享秘密的詢問應(yīng)答協(xié)議，哈希鏈（HashChainScheme）協(xié)議中，標(biāo)簽和閱讀器共享兩個(gè)單向密碼學(xué)哈希函數(shù)G(?)和H(?)，其中G(?)用來計(jì)算響應(yīng)消息，H(?)用來進(jìn)行更新；它們還共享一個(gè)初始的隨機(jī)化標(biāo)識符s。當(dāng)閱讀器查詢標(biāo)簽時(shí)，標(biāo)簽返回當(dāng)前標(biāo)識符si的哈希值ai=G(si)，同時(shí)標(biāo)簽更新當(dāng)前標(biāo)識符si至Si+1=G(si)。如圖所示。優(yōu)點(diǎn)：前向安全性威脅：DoS5.4RFID安全和隱私335.4.2RFID安全和隱私保護(hù)機(jī)制2.基于密碼學(xué)的安全機(jī)制（4）同步方法閱讀器可以將標(biāo)簽的所有可能回復(fù)（表示為一系列狀態(tài)）預(yù)先計(jì)算出來，并存儲到數(shù)據(jù)庫中。在收到標(biāo)簽的回復(fù)時(shí)，閱讀器直接在數(shù)據(jù)庫中進(jìn)行查找和匹配，達(dá)到快速認(rèn)證標(biāo)簽的目的。在這種方法中，閱讀器需要知道標(biāo)簽的狀態(tài)，即和標(biāo)簽保持狀態(tài)同步，以保證標(biāo)簽的回復(fù)可以根據(jù)其狀態(tài)預(yù)先計(jì)算和存儲，因此被稱為同步方法。高效key-search:O(1)威脅：回放，DoS5.4RFID安全和隱私345.4.2RFID安全和隱私保護(hù)機(jī)制2.基于密碼學(xué)的安全機(jī)制（5）樹形協(xié)議樹形協(xié)議（Tree-BasedProtocol）是一類重要的RFID認(rèn)證協(xié)議，在樹形協(xié)議中，標(biāo)簽含有多個(gè)密鑰，標(biāo)簽中的密鑰被組織在一個(gè)樹形結(jié)構(gòu)中，圖所示是一個(gè)有8個(gè)標(biāo)簽的系統(tǒng)，每個(gè)標(biāo)簽存儲log28=3個(gè)密鑰，對應(yīng)于從根節(jié)點(diǎn)到標(biāo)簽所在的葉節(jié)點(diǎn)的路徑。對數(shù)復(fù)雜度key-search:O(logN)；受破解攻擊威脅，攻擊成功率與分支數(shù)和標(biāo)簽數(shù)有關(guān)。5.4RFID安全和隱私355.4.2RFID安全和隱私保護(hù)機(jī)制3.其它方法物理不可克隆函數(shù)：利用制造過程中必然引入的隨機(jī)性，用物理特性實(shí)現(xiàn)函數(shù)。具有容易計(jì)算，難以特征化的掩碼：使用外加設(shè)備給閱讀器和標(biāo)簽之間的通信加入額外保護(hù)。通過網(wǎng)絡(luò)編碼(networkcoding)原理得到信息?？刹鹦短炀€。帶方向的標(biāo)簽。5.4RFID安全和隱私365.4.2RFID安全和隱私保護(hù)機(jī)制4.如何面對安全和隱私挑戰(zhàn)(1)可用性與安全的統(tǒng)一無需為所有信息提供安全和隱私保護(hù)，信息分級別管理。(2)與其他技術(shù)結(jié)合生物識別近場通信(NFC)(3)法律法規(guī)從法律法規(guī)角度增加通過RFID技術(shù)損害用戶安全與隱私的代價(jià)，并為如何防范做出明確指導(dǎo)。5.4RFID安全和隱私375.4.3位置信息與個(gè)人隱私隨著感知定位技術(shù)的發(fā)展，人們可以更加快速、精確地獲知自己的位置?；谖恢玫姆?wù)（Location-BasedService，LBS）應(yīng)運(yùn)而生。例如在逛街的時(shí)候餓了，可以快速地搜索出所在地點(diǎn)附近有哪些餐館，并獲取它們提供的菜單；又比如根據(jù)用戶的位置，推薦附近的旅游景點(diǎn)，并附上相關(guān)的介紹。這一類服務(wù)已經(jīng)在手機(jī)平臺大量應(yīng)用。然而新科技也同時(shí)帶來了新的隱患。隨著位置信息的精度變得越來越高，位置信息的使用變得越來越頻繁，用戶位置隱私受到侵害的隱憂也漸漸浮上水面。什么是位置隱私？為什么要保護(hù)用戶的位置隱私？位置隱私面臨哪些威脅？保護(hù)位置隱私有哪些方法？5.4RFID安全和隱私385.4.3位置信息與個(gè)人隱私1.位置隱私的定義用戶對自己位置信息的掌控能力，包括：是否發(fā)布發(fā)布給誰詳細(xì)程度2.保護(hù)位置隱私的重要性三要素：時(shí)間、地點(diǎn)、人物人身安全隱私泄露3.位置隱私面臨的威脅通信服務(wù)商攻擊者5.4RFID安全和隱私395.4.4保護(hù)位置隱私的手段1.制度約束5條原則（知情權(quán)、選擇權(quán)、參與權(quán)、采集者、強(qiáng)制性）優(yōu)點(diǎn)一切隱私保護(hù)的基礎(chǔ)有強(qiáng)制力確保實(shí)施缺點(diǎn)各國隱私法規(guī)不同，為服務(wù)跨區(qū)域運(yùn)營造成不便一刀切，難以針對不同人不同的隱私需求進(jìn)行定制只能在隱私被侵害后發(fā)揮作用立法耗時(shí)甚久，難以趕上最新的技術(shù)進(jìn)展5.4RFID安全和隱私405.4.4保護(hù)位置隱私的手段2.隱私方針：定制的針對性隱私保護(hù)分類用戶導(dǎo)向型服務(wù)提供商導(dǎo)向型優(yōu)點(diǎn)可定制性好，用戶可根據(jù)自身需要設(shè)置不同的隱私級別缺點(diǎn)缺乏強(qiáng)制力保障實(shí)施對采用隱私方針機(jī)制的服務(wù)商有效，對不采用該機(jī)制的服務(wù)商無效5.4RFID安全和隱私413.身份匿名認(rèn)為“一切服務(wù)商皆可疑”隱藏位置信息中的“身份”服務(wù)商能利用位置信息提供服務(wù)，但無法根據(jù)位置信息推斷用戶身份常用技術(shù)：K匿名5.4.4保護(hù)位置隱私的手段5.4RFID安全和隱私423.身份匿名（續(xù)）優(yōu)點(diǎn)不需要強(qiáng)制力保障實(shí)施對任何服務(wù)商均可使用在隱私被侵害前保護(hù)用戶隱私缺點(diǎn)犧牲服務(wù)質(zhì)量通常需要借助“中間層”保障隱私無法應(yīng)用于需要身份信息的服務(wù)5.4.4保護(hù)位置隱私的手段5.4RFID安全和隱私433.身份匿名（續(xù)）---K匿名基本思想：讓K個(gè)用戶的位置信息不可分辨兩種方式空間上：擴(kuò)大位置信息的覆蓋范圍時(shí)間上：延遲位置信息的發(fā)布例：3-匿綠點(diǎn)：用戶精確位置藍(lán)色方塊：向服務(wù)商匯報(bào)的位置信息5.4.4保護(hù)位置隱私的手段5.4RFID安全和隱私445.4.4保護(hù)位置隱私的手段4.數(shù)據(jù)混淆

保留身份，混淆位置信息中的其他部分，讓攻擊者無法得知用戶的確切位置三種方法模糊范圍：精確位置->區(qū)域聲東擊西：偏離精確位置含糊其辭：引入語義詞匯，例如“附近”優(yōu)點(diǎn)服務(wù)質(zhì)量損失相對較小不需中間層，可定制性好支持需要身份信息的服務(wù)缺點(diǎn)運(yùn)行效率低支持的服務(wù)有限5.4RFID安全和隱私454.數(shù)據(jù)混淆：模糊范圍5.4RFID安全和隱私46【技能練習(xí)】搜索查看并分析校園卡的安全隱患。要求:寫出分析報(bào)告，并闡述防范措施.5.4RFID安全和隱私475.5.1概述用戶在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行通信，一個(gè)主要的危險(xiǎn)是所傳送的數(shù)據(jù)被非法竊聽。例如搭線竊聽、電磁竊聽等。為了保證數(shù)據(jù)傳輸?shù)碾[蔽性，通常的做法是先采用一定的算法對要發(fā)送的數(shù)據(jù)進(jìn)行軟加密，這樣即使報(bào)文被截獲，也難以破譯其中的信息，從而保證信息的安全。

數(shù)據(jù)加密技術(shù)不僅具有對信息進(jìn)行加密的功能，還具有數(shù)字簽名、身份驗(yàn)證、秘密分存、系統(tǒng)安全等功能。所以使用數(shù)據(jù)加密技術(shù)不僅可以保證信息的安全性，還可以保證信息的完整性和正確性。密碼學(xué)是一門研究密碼技術(shù)的科學(xué)，現(xiàn)代加密學(xué)主要有兩種基于密鑰的加密算法，分別是對稱加密算法和公開密鑰算法。5.5數(shù)據(jù)加密的實(shí)現(xiàn)485.5.2對稱加密算法如果在一個(gè)密碼體系中，加密密鑰和解密密鑰相同，就稱為對稱加密算法。其通信模型如下圖所示。

典型的對稱加密算法主要有數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、高級加密標(biāo)準(zhǔn)（AES）和國際數(shù)據(jù)加密算法（IDEA）。其中DES（DataEncryptionStandard）算法是美國政府在1977年采納的數(shù)據(jù)加密標(biāo)準(zhǔn)，是由IBM公司為非機(jī)密數(shù)據(jù)加密所設(shè)計(jì)的方案，后來被國際標(biāo)準(zhǔn)局采納為國際標(biāo)準(zhǔn)。DES以算法實(shí)現(xiàn)快、密鑰簡短等特點(diǎn)成為現(xiàn)在使用非常廣泛的一種加密標(biāo)準(zhǔn)。5.5數(shù)據(jù)加密的實(shí)現(xiàn)49

對稱加密算法通信模型：在這種算法中，加密和解密的具體算法是公開的，要求信息的發(fā)送者和接收者在安全通信之前商定一個(gè)密鑰。因此，對稱加密算法的安全性完全依賴密鑰的安全性，如果密鑰丟失，就意味著任何人都能夠?qū)用苄畔⑦M(jìn)行解密了。

5.5數(shù)據(jù)加密的實(shí)現(xiàn)50在對稱加密算法中，加密算法簡單高效、密鑰簡短。但是，一方面由于對稱加密算法的安全性完全依賴于密鑰的保密性，在公開的計(jì)算機(jī)網(wǎng)絡(luò)上如何安全傳遞密鑰成為一個(gè)嚴(yán)峻的問題。另一方面，隨著用戶數(shù)量的增加，密鑰的數(shù)量也將急劇增加，如何管理龐大的密鑰是另外一個(gè)棘手的問題。公開密鑰算法很好地解決了這兩個(gè)問題。其加密密鑰和解密密鑰完全不同，而且解密密鑰不能根據(jù)加密密鑰推算出來。只所以稱為公開密鑰算法，是因?yàn)槠浼用苊荑€是公開的（PublicKey，簡稱公鑰），

任何人都能通過查找相應(yīng)的公開文檔得到，而解密密鑰是保密的（PrivateKey，簡稱私鑰）

，只有得到相應(yīng)的解密密鑰才能解密信息。公開密鑰算法的通信模型如下圖所示。5.5.3公開密鑰算法5.5數(shù)據(jù)加密的實(shí)現(xiàn)51公開密鑰算法通信模型

5.5數(shù)據(jù)加密的實(shí)現(xiàn)52由于用戶只需要保存好自己的私鑰，而對應(yīng)的公鑰無需保密，需要使用公鑰的用戶可以通過公開的途徑得到公鑰，因此不存在對稱加密算法中的密鑰傳送問題。同時(shí)，n個(gè)用戶相互之間采用公開密鑰算法進(jìn)行通信，需要的密鑰對數(shù)量也僅為n，密鑰的管理較對稱加密算法簡單得多。典型的公開密鑰算法主要有RSA、DSA、ElGamal算法等。其中RSA算法是由美國的3位教授R.L.Rivest、A.Shamirt和M.Adleman提出的，算法的名稱取自三位教授的名字。RSA算法是第一個(gè)提出的公開密鑰算法，是至今為止最為完善的公開密鑰算法之一。5.5數(shù)據(jù)加密的實(shí)現(xiàn)535.5.4數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它的實(shí)現(xiàn)基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。那么，如何對網(wǎng)絡(luò)上傳送的文件進(jìn)行身份驗(yàn)證呢？這就是數(shù)字簽名所要解決的問題。一個(gè)完善的數(shù)字簽名應(yīng)該解決好下面的3個(gè)問題：①接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名；②發(fā)送者事后不能否認(rèn)自己對報(bào)文的簽名；③除了發(fā)送者外，其他任何人不能偽造簽名，也不能對接收或者發(fā)送的信息進(jìn)行篡改、偽造。

5.5數(shù)據(jù)加密的實(shí)現(xiàn)54假定發(fā)送者A要發(fā)送報(bào)文信息給B，那么A采用自己的私鑰對報(bào)文進(jìn)行加密運(yùn)算，實(shí)現(xiàn)對報(bào)文的簽名。然后將結(jié)果發(fā)送給接收者B。B在收到簽名報(bào)文后，采用已知