物聯網夢/第7章：物聯網與安全

物聯網安全介紹

物聯網 (IoT) 可以描述為各種唯一標識的獨立和嵌入式計算裝置之間的互連，這些裝置可以在網路上自動傳輸資料。物聯網有可能透過允許虛擬環境、物件和資料相互連線，讓人們以更高的效率生活，從而使人們的生活更加輕鬆。然而，隨著物聯網裝置數量的增加，這些系統為使用者提供高水平安全性的挑戰也越來越大。物聯網網路的管理考慮了不同的優先順序，每個網路都有不同的安全需求。IT 網路的優先順序是保護資料機密性。物聯網網路的重點是物理安全和安全訪問，以確保正常和安全的執行。因此，在實現“智慧”生活時，必須解決幾個安全問題。

網路層安全

通常，物聯網的網路層安全通常涉及針對資源受限的感測應用和裝置的安全機制，這些應用和裝置透過其與網際網路的整合提供了重要貢獻。在這種情況下，我們針對網路層與使用標準 IPv6 協議的感測裝置（智慧物件）的通訊安全機制的設計和實驗評估。雖然可以肯定的是，並非所有物聯網上的智慧物件都將具有或需要支援 IPv6，但網路層上與其他感測裝置或與網際網路主機之間的安全端到端通訊的可用性可能實現更豐富的感測應用與網際網路的整合。它還可以啟用新型感測應用程式，在這些應用程式中，智慧物件能夠使用網際網路通訊遠端安全地協作。^[1]

網路層安全與傳輸層安全之間存在差異。兩者都是通用的，這意味著它們獨立於層工作。在網路層，IPsec 並非特定於 TCP、UDP 和 IP 之上的其他協議。這使得 IPsec 更靈活，並且能夠在更高層執行，因為它對終端使用者和應用程式而言是透明的，透過所謂的“全面覆蓋”。因此，當在防火牆或路由器上實施 IPsec 時，我們無需更改使用者或伺服器系統上的軟體。我們也不需要培訓使用者，也不需要為每個使用者提供金鑰材料，或者在使用者離開組織時撤銷金鑰材料。在傳輸層，TLS（傳輸層安全）適用於其 HTTP、FTP 和 SMTP 的應用程式，但不適用於 TCP。^[2]

保護 TCP 連線

TCP/IP（傳輸控制協議/網際網路協議）是所有型別計算機相互通訊的常用方式。TCP/IP 應用程式在整個“資訊高速公路”中是眾所周知的，並且被廣泛使用。TCP 與網際網路協議 (IP) 協同工作，IP 定義了計算機如何將資料包相互發送。TCP 和 IP 共同構成了定義網際網路的基本規則。

使用資料包規則保護 TCP/IP 流量

資料包規則代表 IP 過濾和網路地址轉換 (NAT) 的組合，充當防火牆以保護內部網路免受入侵者攻擊。IP 過濾控制允許進入和離開網路的 IP 流量。基本上，它透過根據它定義的規則過濾資料包來保護網路。另一方面，NAT 被允許將未註冊的私有 IP 地址隱藏在已註冊的 IP 地址集中。這有助於保護內部網路免受外部網路的攻擊。NAT 還幫助緩解 IP 地址枯竭問題，因為許多私有地址可以用一組較小的已註冊地址表示。^[3]

SSL 和 TCP/IP

安全套接字層 (SSL) 和傳輸層安全 (TLS) 是當今使用最廣泛的安全協議。它本質上是一個協議，它在透過網際網路或內部網路執行的兩臺機器之間提供一個安全通道。在當今以網際網路為中心的時代，當 Web 瀏覽器需要透過本質上不安全的網際網路安全地連線到 Web 伺服器時，通常會使用 SSL 協議。

從技術上講，SSL 是一種透明協議，在建立安全會話時需要很少的終端使用者互動。例如，在瀏覽器的情況下，使用者會在瀏覽器顯示掛鎖時被提醒 SSL 的存在，或者在擴充套件驗證 SSL 的情況下，當地址欄同時顯示掛鎖和綠色條時，使用者會被提醒 SSL 的存在。這是 SSL 成功的主要關鍵，因為它對終端使用者來說是一種非常簡單的體驗。^[4]

使用 SSL 的示例應用程式：“Toy SSL”，一個簡單的安全通道原則

握手：Alice 和 Bob 使用他們的證書和私鑰相互認證並交換共享金鑰
金鑰推導：Alice 和 Bob 使用共享金鑰來推匯出金鑰集
資料傳輸：要傳輸的資料被分成一系列記錄
連線關閉：用於安全關閉連線的特殊訊息

WLAN 安全

無線區域網 (WLAN) 在許多行業中使用。WLAN 仍然很流行，因為它具有許多優勢，包括

安裝靈活；
移動性；
降低擁有成本；
可擴充套件性；以及
易於安裝。

但是，無論這些好處如何，WLAN 都有其安全問題。為了保護 WLAN 免受拒絕服務 (DoS)、欺騙和會話劫持以及竊聽等威脅，應使用有線等效隱私。^[5]^[6]

有線等效隱私

有線等效隱私（WEP）是一種用於無線網路的標準加密型別。它是一種來自 IEEE 802.11 的使用者身份驗證和資料加密系統，用於消除安全威脅。基本上，WEP 透過對無線傳輸的資訊進行加密來為 WLAN 提供安全性，因此只有擁有正確加密金鑰的接收者才能解密資訊。

WEP 的工作原理

WEP 利用一個稱為“基本金鑰”的金鑰，該金鑰包含 RC4 加密演算法和 CRC-32（迴圈冗餘校驗）校驗和演算法作為其基本構建塊。^[7] WEP 試圖以一種非常簡單的方式實現其安全性：它在 MAC 協議資料單元 (MPDU) 上執行，即 802.11 資料包片段。為了提供 MPDU 中資料的安全性，WEP 首先計算 MPDU 資料的完整性校驗值 (ICV)。此值是資料的 CRC-32。WEP 將 ICV 新增到資料的末尾，使該欄位擴充套件 4 個位元組。藉助 ICV，接收器能夠檢測到廣播期間資料的完全偽造和更改。接下來，WEP 選擇一個基本金鑰和一個初始化向量 (IV)，這是一個 24 位的值。WEP 透過組合 IV 值和所選的基本金鑰來確定每個資料包的 RC4 金鑰。然後，WEP 使用每個資料包的金鑰對 RC4 進行加密，並加密資料和 ICV。^[8]

保護 WLAN 的工具

AirDefense：這是一種 WLAN 入侵防禦和管理系統，它可以檢測網路漏洞，檢測並保護 WLAN 免受入侵者和攻擊，並支援 WLAN 的管理。

Isomair Wireless Sentry：它會觀察空中空間以識別不安全的接入點 (AP)、安全威脅和無線網路問題。Isomair Wireless Sentry 正在使用智慧傳送引擎 (ICE) 被動地觀察無線網路的威脅，並在發生威脅時通知安全管理員。這是一個完全自動化的系統，並且集中管理。^[9]

防火牆和入侵檢測系統

物聯網是我們生活中全球化的體現。從智慧冰箱到智慧服裝，物聯網裝置承諾使我們的日常生活更加實用，但操作安全是最關心的問題。操作安全涉及流程的分析部分，並區分資訊資產。它還控制在網路世界中進行各自旅程的資產或資料。有兩種廣為人知的操作安全型別：防火牆和入侵檢測系統。兩者都旨在防止未經授權的訪問計算機網路。

在此任務中，防火牆為智慧裝置提供了一個簡單有效的安全層。工程師構建了此安全系統以防止我們的資料因未經授權的訪問而被損壞或丟失。閘門設計通常用於透過防火牆保護智慧裝置。它具有佔地面積小和 CPU 處理能力低的特點。它提供靜態過濾、基於閾值的過濾和 SPI，以保護嵌入式裝置免受網際網路威脅。即使智慧裝置透過加密和身份驗證來保護，但由於它們使用無線系統，它們仍然會受到外部攻擊的暴露。^[10]

入侵檢測系統 (IDS) 對於智慧裝置來說是必要的，可以防止來自 6lowPAN 網路（IPV6 over low power wireless personal area network）內部或網際網路的入侵。例如，Raza 等人討論了旨在保護物聯網系統免受攻擊、利用偽造或更改的資訊進行路由攻擊、陷井和選擇性轉發的 SVELTE。它們的原型功能並非 100%，但前景光明。該產品體積小巧，可以為能量供應和記憶體容量有限的裝置帶來益處。^[11]

結論

物聯網對公眾和企業都有巨大的潛力，但它並非沒有風險，需要大量的思考、計劃和行動。資訊安全組織必須開始準備從保護 PC、伺服器、移動裝置和傳統 IT 基礎設施過渡到管理更廣泛的互聯專案，包括可穿戴裝置、感測器和技術。因此，網路安全團隊應主動尋找最佳實踐來保護這些新興裝置，並準備好隨著這些裝置進入企業網路來更新風險問題和安全策略。

參考文獻

↑ Granjal, J.; Monteiro, E.; Silva, J.S. (2014). "網路層安全性：使用 TinyOS 和 BLIP 實現物聯網". 國際通訊系統雜誌. 27 (10): 1938–1963. doi:10.1002/dac.2444.{{cite journal}}: CS1 維護：多名：作者列表 (連結)
↑ Grau, A. (2013 年 3 月 21 日). "“物聯網也需要防火牆”". 電子設計. Penton. 檢索於 2016 年 6 月 7 日.
↑ Rashid, F.Y. (2014 年 11 月 5 日). "“如何保護你的物聯網”". PC 雜誌. Ziff Davis, LLC. 檢索於 2016 年 6 月 7 日.
↑ 通訊與外部關係部 (2013 年 6 月 4 日). "“為未來網際網路提供安全的通訊”". 梅拉達倫大學. 檢索於 2016 年 6 月 7 日.
↑ Kurose, J.F.; Ross, K.W. (2012). 計算機網路：自頂向下方法 (第 6 版). Pearson. 第 864 頁. ISBN 9780132856201.{{cite book}}: CS1 維護：多名：作者列表 (連結)
↑ Leduc, G. (2016). "第 5 章：網路層安全性". 管理和保護計算機網路 (PDF). 列日大學. 第 62 頁.
↑ Reno, J. (2013). "物聯網的安全". CA Technologies. 檢索於 2016 年 6 月 7 日.
↑ Happich, J. (2013 年 9 月 22 日). "低佔用空間的軟體防火牆保護物聯網裝置". EDN 網路. UBM. 檢索於 2016 年 6 月 7 日.
↑ Biskup, J. (2009). 計算機系統安全：挑戰、方法和解決方案. 施普林格出版社柏林海德堡. 第 694 頁. ISBN 9783642097195.
↑ "防火牆（計算）". 維基媒體基金會. 檢索於 2016 年 6 月 7 日.
↑ Raza, S.; Wallgren, L.; Voigt, T. (2013). "SVELTE：物聯網中的即時入侵檢測". 自組織網路. 11 (8). doi:10.1016/j.adhoc.2013.04.014.{{cite journal}}: CS1 維護: 多個名稱: 作者列表 (連結)

[GranjalNet14-1] Granjal, J.; Monteiro, E.; Silva, J.S. (2014). "網路層安全性：使用 TinyOS 和 BLIP 實現物聯網". 國際通訊系統雜誌. 27 (10): 1938–1963. doi:10.1002/dac.2444.{{cite journal}}: CS1 維護：多名：作者列表 (連結)

[GrauTheInt13-2] Grau, A. (2013 年 3 月 21 日). "“物聯網也需要防火牆”". 電子設計. Penton. 檢索於 2016 年 6 月 7 日.

[RashidHowTo14-3] Rashid, F.Y. (2014 年 11 月 5 日). "“如何保護你的物聯網”". PC 雜誌. Ziff Davis, LLC. 檢索於 2016 年 6 月 7 日.

[DivisionEnables13-4] 通訊與外部關係部 (2013 年 6 月 4 日). "“為未來網際網路提供安全的通訊”". 梅拉達倫大學. 檢索於 2016 年 6 月 7 日.

[KuroseComp12-5] Kurose, J.F.; Ross, K.W. (2012). 計算機網路：自頂向下方法 (第 6 版). Pearson. 第 864 頁. ISBN 9780132856201.{{cite book}}: CS1 維護：多名：作者列表 (連結)

[LeducNet16-6] Leduc, G. (2016). "第 5 章：網路層安全性". 管理和保護計算機網路 (PDF). 列日大學. 第 62 頁.

[RenoSec13-7] Reno, J. (2013). "物聯網的安全". CA Technologies. 檢索於 2016 年 6 月 7 日.

[HappichLow13-8] Happich, J. (2013 年 9 月 22 日). "低佔用空間的軟體防火牆保護物聯網裝置". EDN 網路. UBM. 檢索於 2016 年 6 月 7 日.

[BiskupSec09-9] Biskup, J. (2009). 計算機系統安全：挑戰、方法和解決方案. 施普林格出版社柏林海德堡. 第 694 頁. ISBN 9783642097195.

[WPFirewall-10] "防火牆（計算）". 維基媒體基金會. 檢索於 2016 年 6 月 7 日.

[RazaSVELTE13-11] Raza, S.; Wallgren, L.; Voigt, T. (2013). "SVELTE：物聯網中的即時入侵檢測". 自組織網路. 11 (8). doi:10.1016/j.adhoc.2013.04.014.{{cite journal}}: CS1 維護: 多個名稱: 作者列表 (連結)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]