M2M安全1.1M2M概述M2M起源上世紀(jì)90年代中后期，隨著各種信息通訊手段（如Internet、遙感勘測(cè)、遠(yuǎn)程信息處理、遠(yuǎn)程控制等）的發(fā)展，加之地球上各類設(shè)備的不斷增加，人們開始越來越多的關(guān)注于如何對(duì)設(shè)備和資產(chǎn)進(jìn)行有效監(jiān)視和控制，甚至如何用設(shè)備控制設(shè)備——“M2M”理念由此起源。1.1M2M概述

M2M是現(xiàn)階段物聯(lián)網(wǎng)最普遍的應(yīng)用形式，是實(shí)現(xiàn)物聯(lián)網(wǎng)的第一步。未來的物聯(lián)網(wǎng)將是由無數(shù)個(gè)M2M系統(tǒng)構(gòu)成，不同的M2M系統(tǒng)會(huì)負(fù)責(zé)不同的功能處理，通過中央處理單元協(xié)同運(yùn)作，最終組成智能化的社會(huì)系統(tǒng)。相關(guān)概念M2M傳感網(wǎng)物聯(lián)網(wǎng)泛在網(wǎng)絡(luò)智慧地球應(yīng)用層通信對(duì)象網(wǎng)絡(luò)層傳感器+近距離無線通信（低速、低功耗）傳感器網(wǎng)+近距離無線通信RFID、二維碼近距離中高速通信內(nèi)置移動(dòng)通信模塊各種終端傳感器網(wǎng)+近距離無線通信RFID、二維碼近距離中高速通信內(nèi)置移動(dòng)通信模塊各種終端通信終端：手機(jī)、上網(wǎng)卡等物-物物-物人-物物-物人-物人-人不包括一個(gè)或幾個(gè)網(wǎng)絡(luò)初期：傳輸后期：融合，協(xié)同多網(wǎng)絡(luò)、多技術(shù)異構(gòu)協(xié)同智能：跨技術(shù)、跨網(wǎng)絡(luò)、跨行業(yè)、跨應(yīng)用末端網(wǎng)/終端基礎(chǔ)網(wǎng)絡(luò)1.1M2M概述M2M表達(dá)的是多種不同類型的通信技術(shù)有機(jī)的結(jié)合在一起機(jī)器對(duì)機(jī)器（MachinetoMachine）人對(duì)機(jī)器（MantoMachine）機(jī)器對(duì)人（MachinetoMan）移動(dòng)網(wǎng)絡(luò)對(duì)機(jī)器（MobiletoMachine）M2M讓機(jī)器，設(shè)備，應(yīng)用處理過程與后臺(tái)信息系統(tǒng)共享信息，并與操作者共享信息。1.1M2M概述M2M（Machine/Man-to-Machine/Man）是一種以機(jī)器智能交互為核心的、網(wǎng)絡(luò)化的應(yīng)用與服務(wù)。簡(jiǎn)單地說，M2M是指機(jī)器之間的互聯(lián)互通。M2M技術(shù)使所有機(jī)器設(shè)備都具備連網(wǎng)和通信能力，它讓機(jī)器、人與系統(tǒng)之間實(shí)現(xiàn)超時(shí)空的無縫連接。M2M通信技術(shù)綜合了通信和網(wǎng)絡(luò)技術(shù)，將遍布在日常生產(chǎn)生活中的機(jī)器設(shè)備連接成網(wǎng)絡(luò)，使這些設(shè)備變得更加“智能”，從而可以創(chuàng)造出豐富的應(yīng)用，給人們的日常生活、工業(yè)生產(chǎn)等帶來新一輪的變革。M2M示意圖1.1M2M概述M2M（MachinetoMachine）機(jī)器與機(jī)器之間自動(dòng)的數(shù)據(jù)交換。包括傳統(tǒng)意義上的機(jī)器，如汽車、自動(dòng)售貨機(jī)等也包括虛擬意義上的機(jī)器，如軟件等1.2M2M安全

1對(duì)終端的安全威脅與對(duì)策1)盜取M2M設(shè)備或簽約信息。M2M設(shè)備在一般情況下是無專人看管的，這就可能導(dǎo)致攻擊者破壞M2M設(shè)備，盜取USIM(UniversalSubscriberIdentitvModule)或UICC(UniversalIntegratedCircuitCard)，從而竊取M2M設(shè)備中的用戶簽約信息對(duì)策：采取機(jī)卡一體方案機(jī)卡一體1.2M2M安全

2)破壞或篡改M2M設(shè)備或簽約信息。攻擊者可能會(huì)采用物理或邏輯方法改變TRE(TRustedexecutionEnvironment)的功能、改變TRE與M2M設(shè)備間的控制信息或MCIM中的信息，造成用戶無法接入網(wǎng)絡(luò)或丟失個(gè)約信息或M2M設(shè)備不可用。對(duì)策：M2M設(shè)備應(yīng)具備較強(qiáng)的抗輻射、耐高低溫、抗物理破壞等能力，并為M2M設(shè)備中的功能實(shí)體提供可靠的執(zhí)行環(huán)境。1.2M2M安全

2無線鏈路的安全威脅1)非授權(quán)訪問數(shù)據(jù)。攻擊者可以竊聽無線鏈路上的用戶數(shù)據(jù)、信令數(shù)據(jù)和控制數(shù)據(jù)，進(jìn)行流量分析，從而獲取M2M用戶密鑰或控制數(shù)據(jù)等機(jī)密信息。非法訪問M2M設(shè)備上的數(shù)據(jù)。對(duì)策：是在終端設(shè)備與服務(wù)網(wǎng)之間使用雙向認(rèn)證機(jī)制以及采取相應(yīng)的數(shù)據(jù)加密算法。如通過VPN對(duì)整個(gè)數(shù)據(jù)傳送過程進(jìn)行加密。1.2M2M安全

2)對(duì)數(shù)據(jù)完整性的威脅。攻擊者可以修改、插入、重放或者刪除無線鏈路上傳輸?shù)暮戏∕2M用戶數(shù)據(jù)或信令數(shù)據(jù)，對(duì)M2M用戶的交易信息造成破壞。對(duì)策：可以通過完整性保護(hù)方法如使用具有完整性密鑰的Hash算法來保護(hù)。1.2M2M安全

3)拒絕服務(wù)攻擊。攻擊者通過在物理層或協(xié)議層干擾用戶數(shù)據(jù)、信令數(shù)據(jù)或控制數(shù)據(jù)在無線鏈路上的正確傳輸，實(shí)現(xiàn)無線鏈路上的拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是攻擊無線鏈路的常見攻擊，目前沒有特別好的方法。1.2M2M安全3對(duì)服務(wù)網(wǎng)的安全威脅對(duì)服務(wù)網(wǎng)的安全威脅主要來自非授權(quán)訪問數(shù)據(jù)和服務(wù)。攻擊者冒充合法用戶使用網(wǎng)絡(luò)服務(wù)，解決這一問題的方式是采取用接入認(rèn)證(鑒權(quán))機(jī)制。還可對(duì)SIM卡號(hào)和APN(AccessPointName)進(jìn)行綁定，劃定用戶可以接入某系統(tǒng)的范圍，只有屬于指定行業(yè)的SIM卡號(hào)才能訪問專用APN。M2M設(shè)備應(yīng)能夠定期更新防病毒軟件，若采取遠(yuǎn)程軟件更新需經(jīng)過簽名，M2M設(shè)備應(yīng)能驗(yàn)證遠(yuǎn)程更新的軟件的合法性。1.2M2M安全4M2M的安全研究1)M2M中對(duì)設(shè)備的認(rèn)證。特別是遠(yuǎn)程服務(wù)器對(duì)M2M設(shè)備認(rèn)證機(jī)制。由于M2M設(shè)備以及簽約信息可被攻擊，于是認(rèn)證機(jī)制顯得尤為重要。2)M2M中設(shè)備的安全性。M2M通信中工業(yè)控制系統(tǒng)的安全問題日益突出。1.2M2M安全

3)移動(dòng)M2M系統(tǒng)的安全和隱私保護(hù)問題。例如車輛M2M系統(tǒng)的位置隱私問題。4)M2M的設(shè)備安全問題。包括可信執(zhí)行的安全證明及M2M嵌入式軟件安全。總結(jié)隨著物聯(lián)網(wǎng)、移動(dòng)通信、自動(dòng)控制、CPS等技術(shù)越來越廣泛的應(yīng)用，M2M在相關(guān)領(lǐng)域的應(yīng)用將不斷深化，并影響到更多人的生活。在這一背景下，M2M的安全問題將變得日益重要。然而，M2M安全技術(shù)的研究工作才剛剛開始，還有更多的安全問題等待研究者去發(fā)現(xiàn)和解決。THANKS物聯(lián)網(wǎng)信息安全——EPCGlobal安全物聯(lián)網(wǎng)工程010203EPCglobal基本簡(jiǎn)介網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)安全01基本簡(jiǎn)介本質(zhì)它是一個(gè)受業(yè)界委托而成立的非盈利組織，負(fù)責(zé)EPC網(wǎng)絡(luò)的全球化標(biāo)準(zhǔn)，以便更加快速、自動(dòng)準(zhǔn)確地識(shí)別供應(yīng)鏈中商品。EPCglobal目的Auto-ID中心以美國(guó)麻省理工大學(xué)（MIT）為領(lǐng)隊(duì)，在全球擁有實(shí)驗(yàn)室。Auto-ID中心構(gòu)想了物聯(lián)網(wǎng)的概念，這方面的研究得到100多家國(guó)際大公司的通力支持。促進(jìn)EPC網(wǎng)絡(luò)在全球范圍內(nèi)更加廣泛地應(yīng)用。EPC網(wǎng)絡(luò)由自動(dòng)識(shí)別中心開發(fā)，其研究總部設(shè)在麻省理工學(xué)院，并且還有全球頂尖的5所研究型大學(xué)的實(shí)驗(yàn)室參與。2003年10月31日以后，自動(dòng)識(shí)別中心的管理職能正式停止，其研究功能并入自動(dòng)識(shí)別實(shí)驗(yàn)室。在全球范圍內(nèi)對(duì)各個(gè)行業(yè)建立和維護(hù)EPC網(wǎng)絡(luò)，保證供應(yīng)鏈各環(huán)節(jié)信息的自動(dòng)、實(shí)時(shí)識(shí)別采用全球統(tǒng)一標(biāo)準(zhǔn)。通過發(fā)展和管理EPC網(wǎng)絡(luò)標(biāo)準(zhǔn)來提高供應(yīng)鏈上貿(mào)易單元信息的透明度與可視性，以此來提高全球供應(yīng)鏈的運(yùn)作效率。職責(zé)景背EPCglobal提供的服務(wù)分配、維護(hù)和注冊(cè)EPC管理者代碼；對(duì)用戶進(jìn)行EPC技術(shù)和EPC網(wǎng)絡(luò)相關(guān)內(nèi)容的教育和培訓(xùn)；1參與EPC商業(yè)應(yīng)用案例實(shí)施和EPCglobal網(wǎng)絡(luò)標(biāo)準(zhǔn)的制訂；參與EPCglobal網(wǎng)絡(luò)、網(wǎng)絡(luò)組成、研究開發(fā)和軟件系統(tǒng)等的規(guī)范制訂和實(shí)施。引領(lǐng)EPC研究方向；認(rèn)證和測(cè)試；與其他用戶共同進(jìn)行試點(diǎn)和測(cè)試。系統(tǒng)成員EPCglobal將系統(tǒng)成員大體分為兩類：終端成員和系統(tǒng)服務(wù)商；終端成員包括制造商、零售商、批發(fā)商、運(yùn)輸企業(yè)和政府組織。一般來說，終端成員就是在供應(yīng)鏈中有物流活動(dòng)的組織。2345EPCglobal合作研發(fā)英國(guó)劍橋大學(xué)1澳大利亞阿德萊德大學(xué)日本慶應(yīng)大學(xué)中國(guó)復(fù)旦大學(xué)瑞士圣加侖大學(xué)2345EPCglobal

由來自UCC、EAN、MIT、終端用戶和系統(tǒng)集成商的代表組成

作為EPCglobal管理委員會(huì)的技術(shù)支持，向EPCglobal主席做出報(bào)告，從整個(gè)EPCglobal的相關(guān)構(gòu)架來評(píng)價(jià)和推薦重要的需求

對(duì)所有行為組和工作組的國(guó)家政策發(fā)布（例如安全隱私等）進(jìn)行籌劃和指導(dǎo)。技術(shù)推動(dòng)

對(duì)所有工作組所從事的軟件、硬件和技術(shù)活動(dòng)進(jìn)行籌劃和指導(dǎo)管理架構(gòu)評(píng)估商務(wù)推動(dòng)EPCglobal相關(guān)英文消息EPCglobal?isaGS1initativetoinnovateanddevelopindustry-drivenstandardsfortheElectronicProductCode?(EPC)tosupporttheuseofRadioFrequencyIdentificationEPCglobalalsohostsGS1'sInnovationNetwork.TheNetworkleveragestheinnovativespiritofEPCglobalacrossabroaderrangeofbusinesschallengesandtechnologysolutions.02網(wǎng)絡(luò)架構(gòu)系統(tǒng)組成信息采集系統(tǒng)PML信息服務(wù)器對(duì)象名解析服務(wù)器（ONS) Savant信息采集系統(tǒng)信息采集系統(tǒng)由產(chǎn)品電子標(biāo)簽、讀寫器、駐留有信息采集軟件的上位機(jī)組成，主要完成產(chǎn)品的識(shí)別和EPC的采集與處理。PML信息服務(wù)器由產(chǎn)品生產(chǎn)商建立并維護(hù)，儲(chǔ)存著該生產(chǎn)商生產(chǎn)的所有商品的文件信息。根據(jù)事先規(guī)定的原則對(duì)產(chǎn)品進(jìn)行編碼，并利用標(biāo)準(zhǔn)的PML對(duì)產(chǎn)品的名稱、生產(chǎn)廠家、生產(chǎn)日期、重量體積、性能等詳細(xì)信息進(jìn)行描述，從而生成PML文件。PML服務(wù)器WEB服務(wù)器1SOAP引擎服務(wù)器處理程序數(shù)據(jù)存儲(chǔ)單元2341、WEB服務(wù)器它是PML信息服務(wù)中唯一直接與客戶端交互的模塊，位于整個(gè)PML信息服務(wù)的最前端，可以接收客戶端的請(qǐng)求，進(jìn)行解析、驗(yàn)證、確認(rèn)無誤后發(fā)送給SOAP引擎，并將結(jié)果返回給WEB客戶端。2、SOAP引擎它是PML信息服務(wù)器上所有已部署服務(wù)的注冊(cè)中心，可以對(duì)所有已部署的服務(wù)進(jìn)行注冊(cè)，提供相應(yīng)的組件的注冊(cè)信息，將來自WEB服務(wù)器的請(qǐng)求定位到相應(yīng)的服務(wù)器處理程序，并將處理結(jié)果返回給WEB服務(wù)器。3、服務(wù)器處理程序它是客戶端請(qǐng)求服務(wù)的實(shí)現(xiàn)程序，包括實(shí)時(shí)路徑更新程序、路徑查詢程序和原始信息查詢程序等。4、數(shù)據(jù)存儲(chǔ)單元它用于PML信息服務(wù)器端數(shù)據(jù)的存儲(chǔ)，主要用于客戶端請(qǐng)求數(shù)據(jù)的存儲(chǔ)，存儲(chǔ)介質(zhì)包括各種關(guān)系數(shù)據(jù)庫或者一字哦中間文件，如PML文件。ONSONS的作用是在各信息采集節(jié)點(diǎn)與PML信息服務(wù)器之間建立聯(lián)系，實(shí)現(xiàn)從EPC到PML信息之間的映射。讀寫器識(shí)別REID標(biāo)簽中的EPC編碼，ONS則為帶有射頻識(shí)別的物理對(duì)象定位網(wǎng)絡(luò)服務(wù)，這些網(wǎng)絡(luò)服務(wù)是一種基于INTERNET或者VPN專線的遠(yuǎn)程服務(wù)，可以提供和存儲(chǔ)制定對(duì)象的相關(guān)信息。ONS組成映射信息映射信息已記錄的形式表達(dá)了EPC編碼的PML信息服務(wù)器之間的一種映射，它分布式地存儲(chǔ)在不同層次的ONS服務(wù)器里面。ONS服務(wù)器如果某個(gè)請(qǐng)求要求查詢一個(gè)EPC對(duì)應(yīng)的PML信息服務(wù)器的IP地址，則ONS服務(wù)器可以對(duì)此作出相應(yīng)。每一臺(tái)ONS服務(wù)器擁有一些EPC的授權(quán)映射信息和EPC的緩沖存儲(chǔ)映射信息。ONS解析器負(fù)責(zé)ONS查詢前的編碼和查詢語句格式化工作，它將需要查詢的EPC轉(zhuǎn)換為EPC域前綴名，再將EPC域前綴名與EPC域后綴名結(jié)合在一個(gè)完整的EPC域名，最后由ONS解析器發(fā)出對(duì)這個(gè)完整的EPC域名進(jìn)行查詢請(qǐng)求和定位。ONS本地緩存可以將經(jīng)常查詢和最近查詢的“查詢-應(yīng)答”之保存其內(nèi)，作為ONS查詢的第一入口，這樣可以減少對(duì)外查詢的數(shù)量，提高本地效率，減少ONS服務(wù)器的查詢壓力。Savant系統(tǒng)該系統(tǒng)在物聯(lián)網(wǎng)中處于讀寫器和企業(yè)應(yīng)用程序之間，相當(dāng)于物聯(lián)網(wǎng)的神經(jīng)系統(tǒng)。Savant系統(tǒng)采用分布式結(jié)構(gòu)和層次化組織管理數(shù)據(jù)流，具有數(shù)據(jù)搜集、過濾、整合與傳遞等功能。因此，能將有用的信息傳送到企業(yè)后端的應(yīng)用系統(tǒng)或者其他Savant系統(tǒng)中。03EPCglobal網(wǎng)絡(luò)安全EPCglobal網(wǎng)絡(luò)安全性分析REID標(biāo)簽EPCglobalREID標(biāo)簽的安全在REID標(biāo)簽與閱讀器研究方面，設(shè)計(jì)出了一種RFID標(biāo)簽和讀寫器之間的雙向認(rèn)證協(xié)議，且該協(xié)議可以在EPCglobal兼容的標(biāo)簽上使用。該協(xié)議可以提供前向安全。還提出了一種P2P發(fā)現(xiàn)服務(wù)的EPC數(shù)據(jù)訪問方法，該方法比基于中央數(shù)據(jù)庫的方法具有更好的可擴(kuò)展性。EPCglobal網(wǎng)絡(luò)安全EPCglobal的1類2代標(biāo)簽中，標(biāo)簽的標(biāo)識(shí)是以明文進(jìn)行傳輸?shù)?，于是很容易被追蹤惡化克隆。通過對(duì)稱和