密码学在物联网中的应用.docx
《密码学在物联网中的应用.docx》由会员分享,可在线阅读,更多相关《密码学在物联网中的应用.docx(9页珍藏版)》请在冰点文库上搜索。
密码学在物联网领域的应用
密码学与信息安全基础
密码学在物联网领域的应用
学生姓名:
某某
专业:
软件工程
学号:
1xxxxxxx
1
摘要
随着计算机网络技术、电子通信技术的飞速发展,信息安全保密问题越来越突出,难度也随之增大。
密码学作为实现信息安全保密最核心的技术手段,一直在信息安全保密领域发挥着不可替代的作用,并且也在最新最热的领域中起着举足轻重的作用。
在信息产业的浪潮中,物联网这一新兴事物也渐渐崭露头角。
物联网致力于解决物品到物品、人到物品、人到人之间的互连问题,本质上是指通过射频识别、全球定位系统等信息传感设备,按约定的协议,把物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。
物联网用途广泛,发展机会巨大,市场前景广阔,然而也存在着安全隐患。
密码学正可以解决这些安全问题,促进物联网的发展。
关键词:
物联网,密码学,信息安全
Abstract
Withtherapiddevelopmentofcomputernetworktechnologyandelectroniccommunicationtechnology,theissueofinformationsecurityandconfidentialityhasbecomemoreandmoreprominent,andthedifficultyhasalsoincreased.Cryptography,asthecoretechnicalmeanstoachieveinformationsecurityandconfidentiality,hasalwaysplayedanirreplaceableroleinthefieldofinformationsecurityandconfidentiality,anditalsoplaysapivotalroleinthelatestandhottestareas.
Inthewaveoftheinformationindustry,thisemergingthingintheInternetofThingsisgraduallyemerging.TheInternetofThingsisdedicatedtosolvingtheproblemofobject-to-item,person-to-item,andperson-to-personconnectivity.Itessentiallyreferstoinformation-sensingdevicessuchasradiofrequencyidentificationandglobalpositioningsystems.Accordingtotheagreement,connecttheitemstotheInternet,exchangeinformationandcommunication,andrealizeanetworkthatintelligentlyidentifies,locates,tracks,monitors,andmanages.TheInternetofThingshasawiderangeofapplications,hugedevelopmentopportunitiesandbroadmarketprospects.However,therearealsosecurityrisks.CryptographycansolvethesesecurityproblemsandpromotethedevelopmentoftheInternetofThings.
Keywords:
theInternetofThings,cryptography,informationsecurity
2
一、物联网的相关问题
1.1物联网的架构
物联网的架构如图1所示[1],主要包括三个逻辑层:
感知层、网络层和应用层。
图1
感知层:
感知层的主要功能是将感知设备(如传感器、RFID等)所采集的数据传输到数据处理中心。
简单的感知层网关只是对感知数据的转发,而智能的感知层网关可以对数据进行适当处理、数据融合等。
网络层:
网络层也被称为传输层,包括各种类型的网络,主要实现物联网数据信息和控制信息的双向传递。
应用层:
应用层指对感知数据进行集中处理的平台,主要任务包括收集合法感知网络的真实数据,管理终端用户对这些数据的访问和使用等,其中应用支撑是为应用服务提供基础支撑服务的系统,包括标识解析、数据存储、数据处理、数据管理等功能。
1.2可能的安全隐患
物联网系统的安全主要有八个尺度[2]:
读取控制、隐私保护、用户认证、不可抵赖性、数据保密性、通信层安全、数据完整性、随时可用性。
其中前4项主要处在物联网架构的应用层,后4项主要位于网络层和感知层。
1.2.1感知层
感知层主要通过RFID、条形码和GPS定位等对物品进行识别,获取数据信息并将信息传输到网络层。
首先,要对感知设备进行防护,定期进行安全校验,以免设备被攻击者入侵。
其次,感知设备传输数据时大多通过无线网络,需要在各传感器节点间构建数据信息安全传输机制,保障数据信息在传输过程中不被未经授权的节点获取。
1.2.2网络层
网络层主要是通过移动通信网、计算机网络和无线网络等传输数据信息,需要和计算机网络相关技术结合,依赖于网络的安全状态。
当前网络层主要传输技术有:
长距离有线技术、无线通信技术和网络通信技术等。
主要可能的安全隐患在于虚假路由信息的传播、选择性转发、黑洞攻击等攻击,导致数据不能有效传输到目的地。
1.2.3应用层
网络层传输到应用层的海量数据,常常来源复杂,结构多样。
对于应用层的大量异构数据的处理需要依托云计算平台,借助大数据的相关技术。
为了提高应用层的安全性,就必须构建起标准统一的体系,尤其要加强对数据信息的访问权限和授权管理,通过这些措施来加强对各类数据信息的保护。
1.3安全中间件结构设计
根据以上分析,可以设计中间件结构如图2.
图2
二、密码学的技术支持
2.1密码服务
密码服务主要实现信息安全中的加密功能,数据在网络层传输的过程中不能直接以明文形式传输,需要各种加密算法进行加密,然后再进行传输。
由于应用层大多依托于云计算平台,因此存储也需要以密文形式进行。
2.1.1对称加密算法
对称机密算法具有计算速度快的优势,因此可以用于应用层海量数据的加密。
此处采用AES算法[3]。
AES算法将明文分组为128比特,密钥长度为128/192/256比特,与密钥相关的迭代轮数为10/12/14轮。
此处采用128位密钥,10轮迭代即可。
AES的基本运算包括字节代换运算、行移位运算、列混合运算和轮密钥加运算四种。
除了最后一轮没有列混合运算,每一轮都使用这四种运算处理数据分组。
解密时进行逆运算并将轮密钥颠倒顺序使用。
2.1.2非对称加密算法
非对称加密算法运算速度比对称加密算法慢一个数量级左右,因此不适合加密大量数据,可用于加密对称加密算法的密钥。
此处采用RSA算法。
RSA加密算法基于大整数因式分解的困难性,主要包括密钥生成、加密和解密三个组成部分。
公钥为e,私钥为d,公开的部分包括n和e,不公开的部分包括p,q,φn,d.对于明文m,加密和解密分别如公式
(1)和公式
(2)所示。
c=memodn
(1)
m=cdmodn
(2)
2.1.3单向hash
hash函数是一个单向函数,其功能是将一个任意长度的消息变换为一个较短的固定长度的输出串,该输出串通常被称为消息摘要,主要用于验证传输数据的完整性。
为了抵抗生日攻击,hash函数必须满足以下两点:
(1)弱抗碰撞性。
对于任意给定的消息m,找到另一个不同的消息m’,使得hm=h(m')在计算上是不可行的。
(2)强抗碰撞性。
找到任何一对满足hm1=h(m2)的二元组(m1,m2)在计算上不可行。
常用的hash算法包括MD5,SHA-512等。
此处采用安全hash函数算法SHA-512,用于生成消息摘要以验证消息的完整性。
SHA-512算法可以对小于2128比特的任意消息输出512比特的消息摘要。
2.1.4消息认证码MAC
消息认证码MAC是一种带密钥的hash函数,一般可以采用两种方法实现。
一种方法是基于hash函数构造MAC,如HAMC算法;另一种方法是基于分组密码的CBC工作模式构造,如CMAC算法。
消息认证码和hash函数作用基本相同。
2.2认证服务
认证服务主要实现信息安全中的身份认证、消息认证、数字签名等,可以用于感知层识别所接收的消息是否为合法消息。
此外,在网络层和应用层中也需要认证服务标识传输数据是否可靠等。
2.2.1消息加密认证函数
消息加密方案是一种认证函数,将整个需要认证的消息加密,加密的密文作为认证标志。
消息加密的方式有两种:
对称密码加密和公钥加密。
采用如公式(3)所示的方式可以实现提供保密、提供认证和提供数字签名的效果。
A→B:
ePUbePRam(3)
2.1.2RSA数字签名方案
RSA数字签名方案是公钥体制应用的第一个数字签名方案,其安全性基于大整数因式分解的困难性。
签名过程可分为初始过程、签名过程和验证过程三个部分。
初始过程主要作用是生成密钥,和RSA加密算法中的密钥生成相同。
由于在数字签名算法中是用私钥加密、公钥验证,因此签名过程和验证过程与RSA加密算法中的解密和加密过程相同,可以分别用公式(4)和公式(5)表示:
s=mdmodn(4)
m=semodn(5)
2.1.3认证协议
一个安全的认证系统,除了通过底层的认证函数对消息进行认证外,还需要上层的认证协议来配合进行消息来源的可靠性、通信实体的真实性认证,以防止欺骗、伪装等攻击。
此处根据需要采取Kehn92双向认证协议,具体过程如下所示:
1A→B:
IDa||Na
2B→KDC:
IDb|Nb|ekb(IDaNaTb)
3KDC→A:
eka(IDbNaks||Tb)||ekbIDaksTb||Nb
4A→B:
ekb(IDa||ks||Tb)||eksNb
采用此协议可以在Tb未过期时使通信双方A和B越过KDC进行会话,大大提升了便利性。
具体过程如下所示:
1A→B:
ekbIDaksTb||Na'
2B→A:
Nb'||eks(Na')
3A→B:
eks(Nb')
三、密钥管理
3.1密钥管理的可能问题
密钥系统是安全的基础,是实现感知信息隐私保护的手段之一。
对于物联网来说,主要组成部分为移动通信网和无线传感器网,主要特点为没有严格的管理中心,并且计算资源较小,这就对密钥系统提出了更多的要求。
因此,物联网密钥管理系统面临两个主要问题:
一是如何构建一个贯穿多个网络的统一密钥管理系统并与物联网的体系结构相适应;二是如何解决传感网的密钥管理问题[4]。
3.2IBE加密算法
基于以上问题,可以采用目前流行的IBE加密算法进行物联网中的密钥管理。
IBE加密算法是基于身份标识的加密算法。
该算法的主要思想是加密的公钥不需要从公钥证书中获得,而是直接使用标识用户身份的字符串。
3.2.1算法描述
IBE加密方案的安全性建立在CDH困难问题的一个变形之上,被称之BDH问题。
IBE的核心是使用了超奇异椭圆曲线上的一个双线性映射[5]。
IBE加密算法一般由四部分组成:
系统参数建立、密钥提取、加密和解密。
只要保证感知层中传感器网络的节点具有身份标识,采用基于身份的密钥系统,就可以以此为公钥,实现感知信息的加密和解密。
3.2.2算法优势
采用IBE算法可以具有以下的特点和优势:
(1)它的公钥可以是任何唯一的字符串,如E-mail、身份证或者其它标识,不需要PKI系统的证书发放。
使用起来简单。
(2)由于公钥是身份等标识,所以IBE加密算法解决了密钥分配的问题。
(3)在同等安全级别条件下,IBE算法比其它公钥密算法有更小的参数,因而具有更快的计算速度,占据更小的存储空间。
四、结论
密码学是一门理论和实践并重的科学,因此在运用到实际中时,需要结合场景和已有的各种协议与策略,考虑不同逻辑层的特征,选择最为有效的方案。
本文主要针对加密和认证问题选择了一些可行的经典算法以便保护用户信息和抵抗主动攻击,同时简单考虑了密钥管理的问题,然而在实际应用中情况可能更加复杂,需要对方案进行不断的测试与完善。
参考文献
[1]李强.网络安全等级保护物联网安全防护技术体系设计[J].警察技术,2017(05):
15-18.
[2]宋永国.浅析物联网安全[J].电脑知识与技术,2011,7(11):
2528-2530+2534.
[3]邓元庆,龚晶,石会.密码学简明教程[M].清华大学出版社.2011.
[4]杨庚,许建,陈伟,祁正华,王海勇.物联网安全特征与关键技术[J].南京邮电大学学报(自然科学版),2010,30(04):
20-29.
[5]杨庚,余晓捷,王江涛,程宏兵.基于IBE算法的无线传感器网络加密方法研究[J].南京邮电大学学报(自然科学版),2007(04):
1-7+23.
7