物聯(lián)網(wǎng)安全—應(yīng)用層安全

應(yīng)用層面臨的安全威脅

　　○應(yīng)用層數(shù)據(jù)被攻擊

　　○業(yè)務(wù)濫用

　　○身份冒充

　　○隱私威脅

　　○抵賴和否認(rèn)

　　○重放攻擊

　　○信令擁塞

　　○計(jì)算機(jī)病毒和蠕蟲

　　○網(wǎng)絡(luò)釣魚

　　○DoS/DDoS攻擊

應(yīng)用層關(guān)鍵技術(shù)

　1.身份認(rèn)證

　　身份認(rèn)證是指通過一定的手段，完成對用戶身份的確認(rèn)。身份認(rèn)證的目的是驗(yàn)證消息的發(fā)送者是真的而非冒充的，包括信源和信宿，即確認(rèn)當(dāng)前所聲稱為某種身份的用戶，確實(shí)是所聲稱的用戶

　　?幾種身份認(rèn)證的方法：

　?。?）基于共享秘密的身份認(rèn)證

　?。?）基于智能卡的身份認(rèn)證

　?。?）基于數(shù)字證書的身份認(rèn)證

　?。?）基于個(gè)人特征的身份認(rèn)證

　2.訪問控制

　　?應(yīng)用中的服務(wù)授權(quán)是確保物聯(lián)網(wǎng)應(yīng)用層安全的核心機(jī)制，這要通過訪問控制來實(shí)現(xiàn)

　　?訪問控制的含義:是對用戶合法使用資源的認(rèn)證和控制。

　　?訪問控制包括三個(gè)要素：主體、客體和訪問控制策略

　　?訪問控制的功能：①防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源；②允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源；③防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問

　　?訪問控制的目的:阻止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用

　　?訪問控制的類型:自主訪問控制（DAC)、強(qiáng)制訪問控制（MAC）

　　?訪問控制策略：

　?、倩谏矸莸脑L問控制

　　②基于規(guī)則的訪問控制

　?、刍诮巧脑L問控制

　?、芑趯傩缘脑L問控制

　?、莼谌蝿?wù)的訪問控制

　　⑥基于對象的訪問控制

　3.數(shù)據(jù)加密

　　密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的核心技術(shù)，是保護(hù)數(shù)據(jù)最重要的工具之一，對于物聯(lián)網(wǎng)安全而言，密碼技術(shù)的核心地位更加突出

　4.入侵檢測

　　?入侵檢測（Intrusion Detection）是指在網(wǎng)絡(luò)中發(fā)現(xiàn)入侵行為及入侵企圖，以便采取有效的措施來堵塞漏洞和修復(fù)系統(tǒng)的技術(shù)

　　?入侵檢測是對入侵行為的發(fā)現(xiàn)，并及時(shí)予以響應(yīng)，是一種主動(dòng)安全防護(hù)技術(shù)

　　?作為防火墻技術(shù)的補(bǔ)充，入侵檢測技術(shù)提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)發(fā)現(xiàn)

　　入侵檢測擴(kuò)展了系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)能力

　　?入侵檢測的作用

　　a.識別入侵者

　　b.識別入侵行為

　　c.檢測和監(jiān)視已成功的安全突破

　　d.為對抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大

　　?入侵檢測的基本檢測方法：

　　1、特征檢測 2、異常檢測

　　?入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是一種對網(wǎng)絡(luò)活動(dòng)進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)

　　?入侵檢測系統(tǒng)的功能：

　　（1）監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)；

　　（2）核查系統(tǒng)配置和漏洞；

　?。?）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

　?。?）識別已知的攻擊行為；

　?。?）統(tǒng)計(jì)分析異常行為；

　?。?）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動(dòng)

　　?一個(gè)入侵檢測系統(tǒng)分為四個(gè)組件：

　　事件產(chǎn)生器（Event Generators）

　　事件分析器（Event Analyzers）

　　響應(yīng)單元（Response Units）

　　事件數(shù)據(jù)庫（Event Databases）

　　?入侵檢測系統(tǒng)的工作步驟：

　　（1）信息收集

　?。?）數(shù)據(jù)分析

　　模式匹配

　　統(tǒng)計(jì)分析

　　完整性分析

　?。?）結(jié)果處理

　3.應(yīng)用層安全核心內(nèi)容

　　3.1數(shù)據(jù)安全

　　?從技術(shù)的層面分析，保障數(shù)據(jù)安全的方法主要有以下幾種：

　　（1）訪問控制

　?。?）數(shù)據(jù)加密

　?。?）物理層數(shù)據(jù)保護(hù)

　　（4）消息認(rèn)證

　?。?）數(shù)據(jù)容災(zāi)

　　3.2隱私安全（個(gè)人隱私，共同隱私）

　　?網(wǎng)絡(luò)個(gè)人信息隱私權(quán)的內(nèi)容具體包括：

　　·知情權(quán)

　　·選擇權(quán)

　　·控制權(quán)

　　·安全請求權(quán)

　　?隱私保護(hù)技術(shù)分為：

　　基于數(shù)據(jù)加密的技術(shù)

　　基于限制發(fā)布的技術(shù)

　　基于數(shù)據(jù)失真的技術(shù)

　　3.3定位安全

　　定位是指一個(gè)信息源點(diǎn)（如物聯(lián)網(wǎng)傳感器節(jié)點(diǎn)）確定自己的空間地理位置的操作

　　?物聯(lián)網(wǎng)定位中考慮的主要因素包括：精度、能耗、安全

　　?三角定位法

　　3.4云計(jì)算安全

　　云計(jì)算的特征體現(xiàn)為虛擬化、分布式和動(dòng)態(tài)可擴(kuò)展

　　?云計(jì)算的主要服務(wù)形式有三種

　　1）軟件即服務(wù)(Software as a Service，SaaS)

　　2）平臺即服務(wù)(Platform as a Service,PaaS)

　　3）基礎(chǔ)設(shè)施服務(wù)(Infrastructure as a Service,IaaS)

　　?云安全關(guān)鍵技術(shù)：

　　1）數(shù)據(jù)存儲(chǔ)安全

　　·同態(tài)加密

　　2）云應(yīng)用安全

　　·IaaS層安全

　　·PaaS層安全

　　·SaaS層安全

　　3）虛擬計(jì)算安全

　　4）可信的訪問控制

　4物聯(lián)網(wǎng)安全管理

　   4.1物聯(lián)網(wǎng)安全管理的要求

　?。?）明確安全管理目標(biāo)

　　（2）能夠提供有效的安全管理手段

　?。?）建立統(tǒng)一的安全管理策略

　?。?）實(shí)時(shí)監(jiān)控與安全預(yù)警相結(jié)合

　?。?）強(qiáng)化信息技術(shù)對安全管理的有效支撐

　　4.2物聯(lián)網(wǎng)安全管理的內(nèi)容和對象

　　?物聯(lián)網(wǎng)安全管理的內(nèi)容：

　　a.明確物聯(lián)網(wǎng)安全管理目標(biāo)

　　b.評估物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

　　c.建立安全基線

　　d.制定物聯(lián)網(wǎng)安全管理措施及規(guī)范標(biāo)準(zhǔn)

　　e.建立物聯(lián)網(wǎng)安全管理體系

　　f.評估物聯(lián)網(wǎng)安全管理效能

　　?物聯(lián)網(wǎng)安全管理的對象：內(nèi)容、行為、流量。

　　4.3物聯(lián)網(wǎng)安全管理框架

　　?根據(jù)物聯(lián)網(wǎng)的分層結(jié)構(gòu)和安全威脅來源，對應(yīng)的物聯(lián)網(wǎng)安全管理框架可分為感知安全、網(wǎng)絡(luò)安全、應(yīng)用安全和安全管理四個(gè)方面，其中安全管理（涉及設(shè)備管理、拓?fù)涔芾?、事件管理、策略管理和?yīng)急管理等）是基礎(chǔ)，其余三個(gè)是安全管理支撐的目標(biāo)。

　　4.4物聯(lián)網(wǎng)安全管理體系

　　?基于ISO270001的物聯(lián)網(wǎng)安全管理體系以信息安全策略為中心，綜合運(yùn)用防護(hù)、檢測、響應(yīng)三位一體的管理體系為信息安全策略的實(shí)施提供支撐

　　————————————————

　　版權(quán)聲明：本文為CSDN博主「夢想摸魚」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

　　原文鏈接：https://blog.csdn.net/Tekapo_s/article/details/119293738