物联网信息安全 课件 第2章 物联网安全体系、 网络层安全协议 IPsec、 嵌入式系统安全.ppt

在IP数据报中的ESP的各字段

IP首部ESP首部TCP/UDP报文段协议=50可鉴别的保密的IP数据报原数据报的数据部分ESP尾部ESP鉴别数据加密的部分鉴别的部分安全策略——概念

安全策略SP：指定用于到达或源自特定主机/网络的数据流的策略，即SP指定了对于给定的外出数据流需要使用那些需要使用SA进行保护，那些不需要，那些丢弃；同时指定了对输入流的数据包需要进行怎样的处理。安全策略数据库SPD：包含策略条目的有序列表，用于指定数据流中的某一特定输出数据包使用什么SA，指定输入数据流中的某一特定输入包怎样处理。通过使用一个或多个选择符来确定每个条目IPsec优点机密性：IKE使用D-H组中的加密算法。IKE定义了5个D-H组，其中3个组使用乘幂算法（模数位数分别是768、1024、1680位），另两个组使用椭圆曲线算法（字段长度分别是155、185位）。因此，IKE的加密算法强度高，密钥长度大。完整性：在阶段1和2交换中，IKE通过交换验证载荷（包含散列值或数字签名）保护交换消息的完整性，并提供对数据源的身份验证。IKE列举了4种验证方法：预共享密钥、数字签名、公钥加密和改进的公钥加密。IPsec优点

抗DOS：对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供了一定程度的抗拒绝服务攻击的能力。对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供一定程度抗拒绝服务攻击的能力。防中间人攻击：中间人攻击包括窃听、插入、删除、修改报文、反射报文回到发送者、重放旧报文以及重定向报文。ISAKMP的特征能阻止这些攻击。IPsec优点

完美的向前保密：完美向前保密（PFS），指即使攻击者破解了一个密钥，也只能还原这个密钥加密的数据，而不能还原其他的加密数据。要达到理想的PFS，一个密钥只能用于一种用途，生成一个密钥的素材也不能用来生成其他的密钥。可以把采用短暂的一次性密钥的系统称为“PFS”。IPsec的解释域DOI

DOI专用协议标识的一套命名方案；域的解释；??安全策略集合；??DOI专用安全载荷内容的语法；??DOI专用安全关联特性的语法；??额外的密钥交换类型；??附加的提示信息类型*2.4物联网应用层安全2.4.3位置服务安全与隐私保护方法制度约束隐私方针身份隐匿数据混淆*2.4物联网应用层安全2.4.4云安全与隐私云计算的概念模型云终端云服务数据中心*2.4物联网应用层安全2.4.4云安全与隐私基于云计算的物联网系统云基础设施云平台云应用云管理*2.4物联网应用层安全2.4.4云安全与隐私基于云计算的物联网系统云基础设施云平台云应用云管理*2.4物联网应用层安全2.4.4云安全与隐私云计算与物联网融合模式单中心-多终端模式多中心-大量终端模式信息应用分层处理-海量终端模式*2.4物联网应用层安全2.4.4云安全与隐私云计算面临的安全问题多服务模式带来的安全问题多租户跨域共享带来的安全问题服务外包带来的安全问题资源虚拟化带来的安全问题*2.4物联网应用层安全2.4.5信息隐藏和版权保护信息隐藏概述“隐藏”的意思是，有效的模块化通过定义一组相互独立的模块来实现，这些独立的模块彼此之间仅仅交换那些为了完成系统功能所必需的信息，而将那些自身的实现细节与数据“隐藏”起来。通过信息隐藏，可以定义和实施对模块的过程细节和局部数据结构的存取限制。*2.4物联网应用层安全2.4.5信息隐藏和版权保护信息隐藏技术在以下几个方面可以得到应用：（1）隐蔽通信（2）数据保密（3）数据的完整性（4）版权保护（5）数字指纹（6）使用控制（7）内容保护（8）票据防伪（9）真实性鉴别（10）不可抵赖性（11）数字水印与数字签名相结合*2.4物联网应用层安全2.4.5信息隐藏和版权保护版权保护以及拷贝控制和操作跟踪等领域主要使用信息隐藏技术中的数字水印技术，而网络信息安全则主要使用信息隐藏的另一个分支隐藏通信技术。数字水印技术是指将创作者的创作信息和个人标志通过数字水印系统以人所不可感知的水印形式嵌入在多媒体中。*2.4物联网应用层安全2.4.5信息隐藏和版权保护人们无法从表面上感知水印，只有专用的检测器或计算机软件才可以检测出隐藏的数字水印，从