信息安全复习

admin管理员组

文章数量:1576776

以ppt分类，ppt中看到的可能会考的重点语句，以及老师明确画出的13个重点简单写在对应的ppt下

首先要知道信息安全有五个重要基本属性性质：保密性，完整性，可用性，真实性，不可抵赖性。
攻击的主要形式也是针对性质进行的。
截取——破坏保密性
中断——破坏可用性
篡改——针对完整性
伪造——针对真实性
之后的攻击花里胡哨的其实本质上基本就是这四类
目录：

CONTENTS

• ppt1 爬虫
• ppt2 加解密
• • 重点一、加解密原理分类（加解密体制）
• ppt3消息摘要，数字签名
• • 重点二、消息摘要的含义、特征、用途
  • 重点三、数字签名的含义、特征、用途
• ppt4 身份认证
• • 重点四、加密解密、消息摘要、数字签名实际中的运用。
  • 重点五、身份认证单向鉴别，双向鉴别流程和运用
• ppt5 无线网络安全技术
• • 重点六、无线局域网开放性特点，安全问题，常见几种协议，以及几种协议的流程和缺陷。
  • WEP
  • WPA2
• ppt6 以太网安全技术
• ppt7 网络安全
• • 重点七、网络安全中常见的攻击形式，原理，流程。
• ppt8 病毒，蠕虫，木马
• • 重点八、恶意软件分类，主要特点。
• ppt9 防火墙
• • 重点九、防火墙概念，规则，过滤集的设置方法。
• ppt10安全协议
• • 重点十、安全协议的含义，模式类型，VPN和NAT的原理。
  • 模式类型
  • 虚拟专用网VPN
  • 网络地址转换NAT
• 十一、物联网应用层安全
• • 重点十一：物联网应用层访问控制的主要功能以及内容
• 十二、物联网网络层安全
• • 重点十二：物联网网络层基本功能及内容
• 十三、物联网感知层安全
• • 重点十三物联网感知层的安全机制及基本内容，功能。

ppt1 爬虫

网络爬虫模拟了人们浏览网页的行为，只是用程序代替了人类的操作，在广度和深度上遍历网页。

网络爬虫的礼仪
礼仪一：robots.txt文件
如果一个网站上没有robots.txt，是被认为默许爬虫爬取所有信息。
礼仪二：爬取吞吐量的控制
不要对被爬取的网站DDOS攻击
礼仪三：做一个优雅的爬虫

反爬虫技术介绍
滑动拼图、文字点选、图标点选
反爬虫技术的核心在于不断变更规则，变换各类验证手段。
1、图片/Flash 将关键数据转为图片，并添加上水印，
2、java script混淆技术
使用java script程序来动态加载的，爬虫在抓取这样的网页数据时，需
要了解网页是如何加载该数据的，这个过程被称为逆向工程。
3、验证码

ppt2 加解密

密钥：加密和解密用的密钥K (key) 是一串秘密的字符串（即比特串）。
对称加密的保密性依赖于密钥
明文通过加密算法 E 和加密密钥 K 变成密文
接收端利用解密算法 D 运算和解密密钥 K 解出明文 X

分组密码： 黑客无法在知道加密解密算法的情况下，通过有限的密文Y及对应的明文P推导出密钥K，算法复杂。
序列密码： 每一个密钥只进行一次加密运算，而且每一个密钥都是从一个足够大的密钥集中随机产生，密钥之间没有任何相关性 。序列密码（也称流密码）体制就是一次一密钥的加密运算过程。

数据加密标准 DES 属于对称密钥密码体制，是一种分组密码。目前已不再安全。
使用的密钥为 64 位（实际密钥长度为 56 位，有 8 位用于奇偶校验)。

任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。

重点一、加解密原理分类（加解密体制）

详细见下列博客：https://blog.csdn/hxl517116279/article/details/108338735

数据加密指一个信息（或明文）经过密钥及加密函数转换，变成无意义的密文，而接收方将此密文经过解密函数、密钥还原成明文的过程。

对称加密体制
即加密密钥与解密密钥是相同的密码体制
如：DES，三重DES（使用两个56位密钥），AES
优点：算法运算速度快；密钥相对较短；密文明文长度相同
缺点：1.密钥分发需要安全的通道 2.密钥量大，密钥难于管理 3.难以解决不可否认问题

不对称密码体制
不对称密码体制（又称为公开密钥密码体制）使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
公钥公开，私钥不公开，由私钥不可逆的计算出公钥。加密算法 E 和解密算法 D 也都是公开的
例如：RSA
优点：1.密钥分发管理比较简单 2.支持数字签名（解决了不可否认问题）
缺点：算法复杂，处理速度慢

ppt3消息摘要，数字签名

散列函数特点：
散列函数的输入长度可以很长，但其输出长度则是固定的，并且较短。
不同的散列值肯定对应于不同的输入，但不同的输入却可能得出相同的散列值。

通过密码散列函数可以实现保护明文X的完整性，防止报文被篡改。MD5 实现的报文鉴别可以防篡改，但不能防伪造，因而不能真正实现报文鉴别，所以需要报文鉴别码MAC。
报文鉴别码MAC指对散列进行一次加密后的结果，对称加密体制下可以防伪造，非对称加密体制下可以防伪造，防否认（ppt3）

数字签名的实现过程：（ppt3）

重点二、消息摘要的含义、特征、用途

含义：消息摘要是给定某个任意的报文，通过一种特定的算法对报文进行计算，产生的有限位数信息。就像指纹一样，具有确定性和唯一性。
特征：能够作用于任意长度的报文；
产生有限位数的标识信息；
易于实现；
具有单向性，只能通过报文x求出MD（x），无法根据标识信息得到报文；
具有抗碰撞性，既无法找到两条消息它们的摘要相同；
及即使只改变报文中的一位二进制位，重新计算后的摘要MD(X)变化也很大。
主要用途：
（1）消息完整性检测

（2）验证密码信息—身份鉴别

重点三、数字签名的含义、特征、用途

含义：数字签名就是只有信息发送者才能产生的、别人无法伪造的一段数字串，这段数字串同时也是对信息发送者发送信息真实性的一个有效证明。
特征：
(1) 报文鉴别——接收者能够核实发送者对报文的签名（证明来源）；
(2) 报文的完整性——发送者事后不能抵赖对报文的签名（防否认）；
(3) 不可否认——接收者不能伪造对报文的签名（防伪造）。
数字签名必须保证唯一性、关联性和可证明性：
唯一性保证只有特定发送者能生成数字签名
关联性保证是对特定报文的数字签名
可证明性表明该数字签名的唯一性和与特定报文的关联性可以得到证明

用途
防重放攻击，身份认证，防伪造，防篡改，防否认，保证数据来源的真实性。

ppt4 身份认证

如何解决重放攻击？（ppt4-12）
引入随机数，登录时验证随机数和密码，随机数已经被用过，登录不成功。
进一步地，引入消息摘要和加解密。

IP 欺骗：A和B通信，C 可以截获 A 的 IP 地址，然后把 A 的 IP 地址冒充为自己的 IP 地址发送给B。
这个之后的smurf攻击中有所体现。（ppt4-18）

密码在数据库中应该加密存储（ppt4-24）

重点四、加密解密、消息摘要、数字签名实际中的运用。

加密解密：HTTP保密通信（RSA），实际项目中的登录认证等。
消息摘要：数字签名，验证数据完整性，用户身份鉴别，安全储存口令，等需要防止数据被篡改的地方。
数字签名：电子现金，加密货币，淘宝，网上银行等电子商务，电子政务电子签名。
.为了保护信息内容的隐私，产生的盲签名。

重点五、身份认证单向鉴别，双向鉴别流程和运用

单向鉴别：只有一方发送随机数

双向鉴别流程：两方都发送随机数

ppt5 无线网络安全技术

因为无线局域网的开放性，任何终端均可对局域网内的其他终端发送接收，于是产生了冒充授权终端，窃取数据，和篡改数据的三个问题，所以无线局域网安全技术就是实现终端身份鉴别、数据加密和完整性检测的技术（ppt5-9）
冒充授权终端：接入控制功能
窃取数据： 加密数据
篡改数据： 检测数据完整性

伪随机数生成器（ PRNG）的特性：（ppt5-19）
一是不同的输入产生不同的一次性密钥
二是伪随机数生成器（ PRNG）是一个单向函数

重点六、无线局域网开放性特点，安全问题，常见几种协议，以及几种协议的流程和缺陷。

无线局域网的开放性特点：（1）频段开放性（2）空间开放性

安全问题：
一是任何终端均可向无线局域网中的其他终端发送数据
二是任何位于某个终端电磁波传播范围内的其他终端均可接收该终端发送的数据。
于是就有了冒充授权终端，窃取数据，篡改数据

无线局域网安全协议：
WEP 进化WPA 进化 WPA2
WAPI

WEP

在WEP机制中
WEP使用了一次一密的对称加解密机制，这个密钥既用来验证身份，允许PC接入，又用来加密传输的数据

流程：
加密流程：1、初始向量IV和密钥连接一起通过伪随机数生成器，生成本次的密钥，要保证密钥每次不同初始向量IV每次都需要更换。
2、对要加密的数据明文P用CRC算法生成完整性校验值ICV，和被加密的数据连接起来。
3两步得到的数据异或得到密文，用初始向量和密文连接起来发送出去。

解密流程：1、取出初始向量IV和密钥连接，伪随机数生成器生成密钥KE。
2、用密钥KE异或密文，得到（明文P，ICV）。
3.对明文P进行CRC生成校验值ICV’比较和ICV是否相等。相等说明明文P就是传输的数据。

WEP安全缺陷:
同一BSS中的终端使用相同密钥，无法确保数据的保密性。
一次性密钥集有限，很容易发生重复使用一次性密钥的情况。
循环冗余检验的方法计算完整性检验值，完整性检测能力有限。
鉴别身份过程存在缺陷。（简要概括就是如果入侵终端也接入了无线网络，那么根据无线通信的开放性，该入侵设备可以侦听到鉴别过程中的全部请求和响应，就可以通过监听到的P和Y异或得到一次性密钥K和初始向量IV。）
可以详细见这篇博客https://www.jianshu/p/b75740a6ca2c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

WPA2

WPA2体制：
WPA2两种模式
企业模式 ： 基于用户接入控制，每个用户有独立的用户名和口令
个人模式：基于终端接入控制
WPA2个人模式下：
属于相同BSS的终端配置相同的预共享密钥（Pre-Shared Key，PSK）
每一个终端与AP（无线接入点）之间有着独立的密钥，称为成对过渡密钥（PairwiseTransient Key， PTK）
PTK是PSK的派生密钥

加密过程：
终端与AP之间以128位的TKIP TK或者是128位的AES- CCMP TK作为加密密钥，对终端与AP之间传输的数据进行加密
由于每一个终端与AP之间的密钥是不同的，同一BSS中的其他终端无法解密某个终端与AP之间传输的加密数据
TKIP和AES-CCMP加密过程和完整性检测过程是不一样的，AES-CCMP的安全性更高
备注：WPA2几个密钥之间的关系：PSK->PMK->PTK（包括TKIP和AES-CCMP）

ppt6 以太网安全技术

只允许授权用户接入以太网是抵御黑客攻击的关键步骤。

以太网交换机（作用于数据链路层） ppt6
以太网交换机实质上就是一个多接口的网桥。
每个接口都直接与一个单台主机或另一个以太网交换机相连，并且一般都工作在全双工方式
以太网交换机具有并行性。
相互通信的主机都是独占传输媒体，无碰撞地传输数据。
以太网交换机的接口有存储器，能在输出端口
繁忙时把到来的帧进行缓存。
以太网交换机是一种即插即用设备，其内部的帧交换表（又称为地址表）是通过自学习算法自动地逐渐建立起来的。
以太网交换机使用了专用的交换结构芯片，用硬件转发，其转发速率要比使用软件转发的网桥快很多。

交换方式：存储转发方式把整个数据帧先缓存后再进行处理。
直通 (cut-through) 方式 接收数据帧的同时就立即按数据帧的目的 MAC 地址决定该帧的转发接口，因而提高了帧的转发速度。
缺点是它不检查差错就直接将帧转发出去，因此有可能也将一些无效帧转发给其他的站。

动态主机配置协议 DHCP ppt6-15 参考链接：https://blog.csdn/wangzhen_csdn/article/details/80855261
作用：分配IP地址
需要 IP 地址的主机在启动时就向 DHCP 服务器广播发送发现报文（DHCPDISCOVER），这时该主机就成为 DHCP 客户。
分配的IP是临时的，有租用期

地址解析协议ARP ppt6-27
作用：从网络层使用的 IP 地址，解析出在数据链路层使用的硬件地址MAC。
不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。
每一个主机都设有一个 ARP 高速缓存 (ARPcache)，里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表。

以太网是直接连接终端和服务器的网络。通过以太网实现终端的接入控制，通过以太网防止伪造的服务器接入，交换机可以将侦听到的MAC地址，IP地址，端口绑定到一起。

ppt7 网络安全

网际控制报文协议 ICMP ppt7
ICMP 不是高层协议（看起来好像是高层协议，因为 ICMP 报文是装在 IP 数据报中，作为其中的数据部分），而是 IP 层的协议。
应用：PING通过发送回送请求报文和回送回答报文来检测源主机到目的主机的链路是否有问题，目的地是否可达，以及通信的延迟情况。
traceroute：通过发送探测报文来获取链路地址信息。
ICMP 报文的种类有两种，即 ICMP 差错报告报文和 ICMP 询问报文。

内部网关协议 RIP ppt7-104
RIP 是一种分布式的、基于距离向量的路由选择协议。
RIP 认为一个好的路由就是它通过的路由器的
数目少，即“距离短”
RIP 允许一条路径最多只能包含 15 个路由器。
“距离”的最大值为 16 时即相当于不可达。可见 RIP 只适用于小型互联网。

流水线 ARQ 协议
滑动窗口

重点七、网络安全中常见的攻击形式，原理，流程。

两大类：被动攻击，主动攻击
被动攻击指攻击者从网络上窃听他人的通信内容。 通常把这类攻击称为截获。被动攻击又称为流量分析
主动攻击主要有： (1) 篡改——故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。 (2) 恶意程序——种类繁多，对网络安全威胁较大的主要包括：计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。 (3) 拒绝服务——指攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。

分布式拒绝服务 DDoS
若从互联网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS。有时也把这种攻击称为网络带宽攻击或连通性攻击。

SYN泛洪攻击
原理：TCP三次握手，就是通过快速消耗掉web服务器TCP会话表中的连接项，使得正常的TCP连接建立过程无法正常进行的攻击行为。DDOS的一种
过程：持续的发送TCPSYN连接数据包，但是并不对发回来的确认包进行应答。

Smurf攻击：
原理：ICMP协议的PING过程，间接攻击过程，放大攻击效果
过程：黑客终端，以攻击目标的IP地址为源地址发送ICMP报文
黑客终端发送的请求以攻击目标地址为源地址，以广播地址为目的地址。

DHCP欺骗攻击：
原理：DHCP是分配IP地址的协议，终端自动获取的网络信息来自DHCP服务器；黑客可以伪造一个DHCP服务器，并将其接入网络中；当终端从伪造的DHCP服务器获取错误的默认网关地址或是错误的本地域名服务器地址时，后续访问网络资源的行为将被黑客所控制 。
过程：钓鱼网站欺骗，用一个错误的IP地址来替换正确网站的IP地址

ARP欺骗攻击：
原理：ARP协议用于查找IP地址对应的MAC地址 ，每台主机上都有一个ARP缓存表用于存储IP地址和MAC地址的对应关系，局域网数据传输依靠的是MAC地址。
过程：黑客终端用自己的MAC地址冒充其他的IP地址。

路由项欺骗攻击
原理：RIP协议更新路由表，利用路由算法来进行欺骗
过程：黑客将正确的路由表替换为错误的路由表

ppt8 病毒，蠕虫，木马

分类恶意代码的标准主要是代码的独立性和自我复制性
独立的恶意代码是指具备一个完整程序所应该具有的全部功能，能够独立传播、运行的恶意代码，这样的恶意代码不需要寄宿在另一个程序中。

病毒的检测与防御技术有两种
主动性的：基于行为的检测技术、基于模拟运行环境的检测技术
被动性的：基于特征的扫描技术、基于完整性检测的扫描技术、基于线索的扫描技术

重点八、恶意软件分类，主要特点。

分类：后门程序，逻辑炸弹，病毒
后门程序是某个程序的秘密入口，通过该入口启动程序，可以绕过正常的访问控制过程。
后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。

逻辑炸弹是包含在正常应用程序中的一段恶意代码，当某种条件出现，如到达某个特定日期，增加或删除某个特定文件等，将激发这一段恶意代码，执行这一段恶意代码将导致非常严重的后果。
病毒特点：隐蔽性，潜伏性，可触发性，传染性，表现性破坏性
狭义上的病毒是单指那种既具有自我复制能力，又必须寄生在其他实用程序中的恶意代码。

蠕虫：高速自我复制，是自包含程序（或者是一套程序），他能传播自身功能的拷贝或自身的某些部分到其他计算机系统中。主要特征是自我复制传播。

木马：与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至程序的瘫痪。功能主要在于削弱系统的安全控制机制。主要特征是里应外合
特点 一：欺骗性的隐藏下载；二：自动运行里应外合；三：远程控制攻击系统

Zombie（俗称僵尸）是一种具有秘密接管其他连接在网络上的系统，并以此系统为平台发起对某个特定系统的攻击的功能的恶意代码

ppt9 防火墙

无状态分组过滤器：只根据单个IP分组携带的信息确定是否过滤掉该IP。
有状态分组过滤器：不仅根据IP分组携带的信息，而且还根据IP分组所属的会话的状态确定是否过滤掉该IP分组。

重点九、防火墙概念，规则，过滤集的设置方法。

防火墙：是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施访问控制策略。
防火墙技术分为两类：
应用网关也称为代理服务器：可以实现基于应用层数据的过滤和高层用户鉴别。所有进出网络的应用程序报文都必须通过应用网关。
分组过滤路由器它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。过滤规则基于分组的网络层或运输层首部的信息，例如：源/目的 IP 地址、源/目的端口、协议类型（TCP 或 UDP）等。
分组过滤可以是无状态的，即独立地处理每一个分组。也可以是有状态的，即要跟踪每个连接或会话的通信状态，并根据这些状态信息来决定是否转发分组。
无状态指每一个IP分组都是独立的，不考虑IP分组之间的联系，无状态分组过滤器对每一个IP分组独立进行处理
有状态分组过滤器：根据会话的属性和状态，对属于同一会话的IP分组进行传输过程控制的过滤器。

过滤规则：
规则由一组属性值（源IP地址、目的IP地址、源和目的端口号、协议类型）和操作组成，如果某个IP分组携带的信息和构成规则的一组属性值匹配，意味着该IP分组和规则匹配，对该IP分组实施规则制定的操作
过滤规则格式：
协议类型= ，源IP地址= ，源端口号= ，目的IP地址= ，目的端口号= ；操作。
过滤规则按顺序逐项匹配

过滤规则集设置方法：
黑名单列出所有禁止通过的IP分组类型，其他允许通过。
白名单列出所有允许通过的IP分组类型，其他禁止通过。

ppt10安全协议

TCP/IP的安全缺陷（ppt10-5）
初始用于实现终端间数据传输过程的协议逐渐暴露出安全问题：
源端鉴别问题，数据传输的保密性问题，数据传输的完整性问题，身份鉴别问题需要一种对访问的网站，或者数据接收端的身份进行鉴别的机制
为了解决这些问题引出了安全协议

重点十、安全协议的含义，模式类型，VPN和NAT的原理。

**安全协议：**安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标，其目的是在网络环境中提供各种安全服务

例如：IP Sec IP Security ，IP安全协议，包括AH协议和ESP协议
IP层的安全机制称为IPSec，包括了三个功能域：鉴别、机密性和密钥管理。
AH（是由协议的首部即鉴别首部(AH)指明的鉴别协议）：数据完整性检测，IP分组源端鉴别，防重放攻击
ESP （一个是由协议的分组协议即封装安全有效载荷(ESP)指明的加密/鉴别混合协议）：数据加密，数据完整性检测，IP分组源端鉴别，防重放攻击

模式类型

2种安全协议模式：
（1）传输模式：传输模式用于保证数据端到端安全传输，并对数据源端进行鉴别。
IP Sec所保护的数据就是作为IP分组净荷的上层协议数据
安全关联建立在数据源端和目的端之间
传输模式的ESP对IP有效载荷而不是IP首部加密并可选地鉴别；传输模式的AH对IP有效载荷和IP首部的精选部分进行鉴别
（2）隧道模式 隧道模式下安全关联的两端是隧道的两端
**隧道模式对整个IP分组提供保护。**为了实现这一点，在AH和ESP字段加入到IP分组之后，整个分组加上安全字段被看成是带有新的输出IP首部的新的IP分组的有效载荷。整个原来的(即内部的)分组通过一个“隧道”从IP网络的一点传输到另一点。

虚拟专用网VPN

简而言之就是专用网络
利用公共网络（如 Internet）来构建的专用网络技术，保证了VPN中任何一对计算机之间的通信对外界是隐藏的。
原理
VPN的实现主要使用了两种基本技术：隧道传输 和 加密技术
• VPN定义了两个网络的路由器之间通过Internet的一个隧道，并使用IP-in-IP封装通过隧道转发数据报。
• 为了保证保密性，VPN把外发的数据报加密后，封装在另一个数据报中传输。
• 隧道接收路由器将数据报解密，还原出内层数据报，然后转发该数据报。

网络地址转换NAT

网络地址转换NAT 简而言之就是让专用网络可以访问外界网络
所有使用本地地址的主机在和外界通信时，都要在 NAT 路由器上将其本地地址转换成全球 IP 地址，才能和互联网连接。
原理
数据包的地址转换
NAT 路由器将数据报的源地址 IPA转换成全球地址 IPG，并把转换结果记录到NAT地址转换表中，目的地址 IPB保持不变，然后发送到互联网。
NAT 路由器收到主机 B 发回的数据报时，知道数据报中的源地址是 IPB而目的地址是 IPG。
根据 NAT 转换表，NAT 路由器将目的地址 IPG转换为 IPA，转发给最终的内部主机 A。

当 NAT 路由器具有 n 个全球 IP 地址时，专用网内最多可以同时有n 台主机接入到互联网。
为了更加有效地利用 NAT 路由器上的全球IP地址，现在常用的NAT 转换表把运输层的端口号也利用上。这样，就可以使多个拥有本地地址的主机，共用一个 NAT 路由器上的全球 IP 地址，因而可以同时和互联网上的不同主机进行通信。
使用端口号的 NAT 叫做网络地址与端口号转换NAPT (NetworkAddress and Port Translation)，而不使用端口号的 NAT 就叫做传统的 NAT (traditional NAT)。

接下来的部分主要是物联网安全，物联网的基本架构有三部分，感知层，网络层，和应用层。

十一、物联网应用层安全

应用中的服务授权是确保物联网应用层安全的核心机制，这要通过访问控制来实现。

面临的安全问题：
应用层安全关键技术
身份认证、访问控制、数据加密、入侵检测

访问控制包括三个要素：主体、客体和访问控制策略

重点十一：物联网应用层访问控制的主要功能以及内容

应用中的服务授权是确保物联网应用层安全的核心机制，这要通过访问控制来实现。

访问控制的功能：
①防止非法的主体进入受保护的网络资源；
②允许合法用户访问受保护的网络资源；
③防止合法的用户对受保护的网络资源进行非授权的访问

内容
是对用户合法使用资源的认证和控制。按用户身份及其所归属的某预设的定义组限制用户对某些信息项的访问，或限制对某些控制功能的使用(系统管理员控制用户对服务器、目录、文件等网络资源的访问)
访问控制的类型:自主访问控制（DAC)、强制访问控制（MAC）
访问控制策略：
①基于身份的访问控制
②基于规则的访问控制
③基于角色的访问控制
④基于属性的访问控制
⑤基于任务的访问控制
⑥基于对象的访问控制

十二、物联网网络层安全

网络层是实现万物互连的核心

VPN主要有三个应用领域：远程接入网、内联网和外联网
物联网感知层节点使用IEEE 802.15.4协议等，为了能够与其他IP设备互操作，物联网网关需要使用IP协议作为网络层协议
无线局域网信道开放的特点潜藏着窃听、未经授权使用网络服务、地址欺骗和会话拦截等多种信息安全风险

重点十二：物联网网络层基本功能及内容

网络层基本功能：依托网络实现端到端或节点到节点的信息转发和传输，从而将物联网感知层获取的信息及时、准确、可靠、安全地传输给目标用户或汇聚节点，或者将控制中心的检测命令等传输给感知层节点，为基于数据的分析、处理、决策与应用提供支持。
简而言之，网络层位于物联网三层结构中的第二层，其功能主要为传送。

内容
物联网的网络层可分为业务网、核心网、接入网
核心网是物联网数据传输的主要载体， 是物联网网络层的骨干和核心，通常由互联网、移动通信网、卫星通信网或某些专用网络充当，一般采用光纤结构，具有传输速度快、传播距离远等特点
接入网则是骨干网络到用户终端之间的通信网络，其长度一般在几千米范围以内，俗称“最后一公里”。

网络层安全机制应包括以下几方面内容。
（1）构建物联网与互联网、移动通信网络等相融合的网络安
全体系结构
（2）建设物联网网络安全统一防护平台
（3）提高物联网系统各应用层次之间的安全应用与保障措施
（4）建立全面的物联网网络安全接入与应用访问控制机制

十三、物联网感知层安全

感知层概念
感知层位于整个物联网体系结构的最底层，是物联网的核心和基础，其基本任务是全面感知外界信息，是整个物联网的信息源。
感知层主要涉及各种传感器及其所组成的无线传感器网络、无线射频识别、条形码、激光扫描、卫星定位等信息感知与采集技术，用以完成对目标对象或环境的信息感知。

物联网感知层面临的安全威胁主要表现为
– 感知层中节点自身故障（如节点被捕获、被控制、功能失效或服务中断、身份伪造等）
– 节点间的链接关系不正常（如选择性转发、路由欺骗、集团式作弊等）
– 感知层所采集原始数据的机密性、真实性、完整性或新鲜性等属性受到破坏（如数据被非法访问、虚假数据注入、数据被篡改、数据传输被延迟等）
– 感知层中的“物”被错误地标识或被非授权的定位与跟踪等

感知层数据信息的安全保障是整个物联网信息安全的基础。

RFID安全脆弱性
（1）电子标签
容易被攻击者获取、分析、破坏，另一方面，不容易加载强大的安全机制
标签的安全性、有效性、完整性、可用性和真实性都难以保障，是RFID系统安全最薄弱的环节
（2）阅读器
阅读器连接着电子标签和后台数据库系统，具有更大的攻击价值，如果设计不当，对阅读器的破解可能危及整个系统
的安全
（3）空中接口
RFID空中接口面临的主要威胁分为恶意搜集信息式威胁、伪装式威胁及拒绝服务威胁三大类

物联网往往采用密钥预分配和密钥在线分发相结合的机制
由于存在不可靠的通信和节点容易被攻陷的特点，还要能及时撤销被截获、被冒领或者被攻陷节点的密钥

重点十三物联网感知层的安全机制及基本内容，功能。

物理安全机制：常用的RFID标签具有价格低、安全性差等特点。这种安全机制主要通过牺牲部分标签的功能来实现安全控制。
认证授权机制：主要用于证实身份的合法性，以及被交换数据的有效性和真实性。主要包括内部节点间的认证授权管理和节点对用户的认证授权管理。在感知层，RFID标签需要通过认证授权机制实现身份认证。
访问控制机制：保护体现在用户对于节点自身信息的访问控制和对节点所采集数据信息的访问控制，以防止未授权的用户对感知层进行访问。常见的访问控制机制包括强制访问控制、自主访问控制、基于角色的访问控制和基于属性的访问控制。
加密机制和密钥管理：这是所有安全机制的基础，是实现感知信息隐私保护的重要手段之一。密钥管理需要实现密钥的生成、分配以及更新和传播。RFID标签身份认证机制的成功运行需要加密机制来保证。
安全路由机制：保证当网络受到攻击时，仍能正确地进行路由发现、构建，主要包括数据保密和鉴别机制、数据完整性和新鲜性校验机制、设备和身份鉴别机制以及路由消息广播鉴别机制。

物联网感知层的安全目标主要体现为：
（1）强调基于WSN（无线传感器网络）的感知中的信任管理，确保所采集数据的真实和有效性
（2）确保基于RFID（射频识别）的感知层中对象的隐私保护，包括“物”的标识与定位等
感知层能否抗DoS攻击是衡量物联网是否健康的重要指标
感知层安全机制的建立离不开轻量级密码算法和轻量级安全认证协议的支持

最后押个题看看
盲猜综合应用题可能考一个设计，比如说给a和b之间设计一个安全传输的方法。
然后可能考防火墙的过滤集设置，给一个访问要求，具体设置一下。
然后毕竟是物联网专业，把信息安全和物联网结合的应该还是有一个的。

本文标签： 信息安全