物聯(lián)網(wǎng)安全—應用層安全

應用層面臨的安全威脅

　　○應用層數(shù)據(jù)被攻擊

　　○業(yè)務濫用

　　○身份冒充

　　○隱私威脅

　　○抵賴和否認

　　○重放攻擊

　　○信令擁塞

　　○計算機病毒和蠕蟲

　　○網(wǎng)絡(luò)釣魚

　　○DoS/DDoS攻擊

應用層關(guān)鍵技術(shù)

　1.身份認證

　　身份認證是指通過一定的手段，完成對用戶身份的確認。身份認證的目的是驗證消息的發(fā)送者是真的而非冒充的，包括信源和信宿，即確認當前所聲稱為某種身份的用戶，確實是所聲稱的用戶

　　?幾種身份認證的方法：

　　（1）基于共享秘密的身份認證

　?。?）基于智能卡的身份認證

　　（3）基于數(shù)字證書的身份認證

　?。?）基于個人特征的身份認證

　2.訪問控制

　　?應用中的服務授權(quán)是確保物聯(lián)網(wǎng)應用層安全的核心機制，這要通過訪問控制來實現(xiàn)

　　?訪問控制的含義:是對用戶合法使用資源的認證和控制。

　　?訪問控制包括三個要素：主體、客體和訪問控制策略

　　?訪問控制的功能：①防止非法的主體進入受保護的網(wǎng)絡(luò)資源；②允許合法用戶訪問受保護的網(wǎng)絡(luò)資源；③防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問

　　?訪問控制的目的:阻止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用

　　?訪問控制的類型:自主訪問控制（DAC)、強制訪問控制（MAC）

　　?訪問控制策略：

　　①基于身份的訪問控制

　?、诨谝?guī)則的訪問控制

　?、刍诮巧脑L問控制

　?、芑趯傩缘脑L問控制

　?、莼谌蝿盏脑L問控制

　?、藁趯ο蟮脑L問控制

　3.數(shù)據(jù)加密

　　密碼技術(shù)是實現(xiàn)網(wǎng)絡(luò)信息安全的核心技術(shù)，是保護數(shù)據(jù)最重要的工具之一，對于物聯(lián)網(wǎng)安全而言，密碼技術(shù)的核心地位更加突出

　4.入侵檢測

　　?入侵檢測（Intrusion Detection）是指在網(wǎng)絡(luò)中發(fā)現(xiàn)入侵行為及入侵企圖，以便采取有效的措施來堵塞漏洞和修復系統(tǒng)的技術(shù)

　　?入侵檢測是對入侵行為的發(fā)現(xiàn)，并及時予以響應，是一種主動安全防護技術(shù)

　　?作為防火墻技術(shù)的補充，入侵檢測技術(shù)提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時發(fā)現(xiàn)

　　入侵檢測擴展了系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、攻擊識別和響應能力

　　?入侵檢測的作用

　　a.識別入侵者

　　b.識別入侵行為

　　c.檢測和監(jiān)視已成功的安全突破

　　d.為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大

　　?入侵檢測的基本檢測方法：

　　1、特征檢測 2、異常檢測

　　?入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是一種對網(wǎng)絡(luò)活動進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)

　　?入侵檢測系統(tǒng)的功能：

　　（1）監(jiān)測并分析用戶和系統(tǒng)的活動；

　?。?）核查系統(tǒng)配置和漏洞；

　?。?）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

　?。?）識別已知的攻擊行為；

　?。?）統(tǒng)計分析異常行為；

　　（6）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動

　　?一個入侵檢測系統(tǒng)分為四個組件：

　　事件產(chǎn)生器（Event Generators）

　　事件分析器（Event Analyzers）

　　響應單元（Response Units）

　　事件數(shù)據(jù)庫（Event Databases）

　　?入侵檢測系統(tǒng)的工作步驟：

　?。?）信息收集

　　（2）數(shù)據(jù)分析

　　模式匹配

　　統(tǒng)計分析

　　完整性分析

　?。?）結(jié)果處理

　3.應用層安全核心內(nèi)容

　　3.1數(shù)據(jù)安全

　　?從技術(shù)的層面分析，保障數(shù)據(jù)安全的方法主要有以下幾種：

　　（1）訪問控制

　?。?）數(shù)據(jù)加密

　?。?）物理層數(shù)據(jù)保護

　?。?）消息認證

　　（5）數(shù)據(jù)容災

　　3.2隱私安全（個人隱私，共同隱私）

　　?網(wǎng)絡(luò)個人信息隱私權(quán)的內(nèi)容具體包括：

　　·知情權(quán)

　　·選擇權(quán)

　　·控制權(quán)

　　·安全請求權(quán)

　　?隱私保護技術(shù)分為：

　　基于數(shù)據(jù)加密的技術(shù)

　　基于限制發(fā)布的技術(shù)

　　基于數(shù)據(jù)失真的技術(shù)

　　3.3定位安全

　　定位是指一個信息源點（如物聯(lián)網(wǎng)傳感器節(jié)點）確定自己的空間地理位置的操作

　　?物聯(lián)網(wǎng)定位中考慮的主要因素包括：精度、能耗、安全

　　?三角定位法

　　3.4云計算安全

　　云計算的特征體現(xiàn)為虛擬化、分布式和動態(tài)可擴展

　　?云計算的主要服務形式有三種

　　1）軟件即服務(Software as a Service，SaaS)

　　2）平臺即服務(Platform as a Service,PaaS)

　　3）基礎(chǔ)設(shè)施服務(Infrastructure as a Service,IaaS)

　　?云安全關(guān)鍵技術(shù)：

　　1）數(shù)據(jù)存儲安全

　　·同態(tài)加密

　　2）云應用安全

　　·IaaS層安全

　　·PaaS層安全

　　·SaaS層安全

　　3）虛擬計算安全

　　4）可信的訪問控制

　4物聯(lián)網(wǎng)安全管理

　   4.1物聯(lián)網(wǎng)安全管理的要求

　?。?）明確安全管理目標

　?。?）能夠提供有效的安全管理手段

　　（3）建立統(tǒng)一的安全管理策略

　?。?）實時監(jiān)控與安全預警相結(jié)合

　　（5）強化信息技術(shù)對安全管理的有效支撐

　　4.2物聯(lián)網(wǎng)安全管理的內(nèi)容和對象

　　?物聯(lián)網(wǎng)安全管理的內(nèi)容：

　　a.明確物聯(lián)網(wǎng)安全管理目標

　　b.評估物聯(lián)網(wǎng)安全風險

　　c.建立安全基線

　　d.制定物聯(lián)網(wǎng)安全管理措施及規(guī)范標準

　　e.建立物聯(lián)網(wǎng)安全管理體系

　　f.評估物聯(lián)網(wǎng)安全管理效能

　　?物聯(lián)網(wǎng)安全管理的對象：內(nèi)容、行為、流量。

　　4.3物聯(lián)網(wǎng)安全管理框架

　　?根據(jù)物聯(lián)網(wǎng)的分層結(jié)構(gòu)和安全威脅來源，對應的物聯(lián)網(wǎng)安全管理框架可分為感知安全、網(wǎng)絡(luò)安全、應用安全和安全管理四個方面，其中安全管理（涉及設(shè)備管理、拓撲管理、事件管理、策略管理和應急管理等）是基礎(chǔ)，其余三個是安全管理支撐的目標。

　　4.4物聯(lián)網(wǎng)安全管理體系

　　?基于ISO270001的物聯(lián)網(wǎng)安全管理體系以信息安全策略為中心，綜合運用防護、檢測、響應三位一體的管理體系為信息安全策略的實施提供支撐

　　————————————————

　　版權(quán)聲明：本文為CSDN博主「夢想摸魚」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

　　原文鏈接：https://blog.csdn.net/Tekapo_s/article/details/119293738