演算法的核心技術是設計無碰撞的壓縮函式f,由於f是由若干輪處理過程組成的,所以對f的攻擊需要對各輪之間的位模式的分析來進行,常需要先找出f的碰撞
sha目前有5種演算法,sha1,sha224,sha256,sha284,sha512,後四者有時並稱為sha2
cbc-mac是一種經典的構造mac的方法,是最為廣泛的訊息認證演算法之一
安全協議的分類:
金鑰建立協議 diffle-hellman,blom,mqv,mti,端-端協議等
認證協議 rsa數字簽名演算法、dsa、不可否認的數字簽名協議,fail-stop數字簽名協議、群數字簽名協議
認證金鑰交換協議 網際網路金鑰交換ike協議、分布式認證安全服務dass協議、kerborous協議、x.509協議
電子商務協議 set協議、ikp協議和電子現金
安全通訊協議 pptp/l2tp協議、ipsec協議、ssl/tls協議,pgp協議,s\mime,s-http,snmpv3
安全多方計算協議 保證分布式環境中各參與方以安全的方式共同執行分布式的計算服務
如果需要同時使用加密和簽名時,應先對訊息進行簽名再對結果進行加密
常見的認證金鑰交換協議有網際網路金鑰交換ike協議、分布式認證安全服務dass協議、kerbrous協議、x.509協議
第四章、物聯網安全基礎設施
具有代表性的pki應用有tls/ssl,安全電子郵件s/mime,虛擬私有網路vpn(ipsec)
常用的加密及簽名的非對稱密碼演算法基於乙個簡單的數論事實:將兩個大素數相乘容易,但對其乘積分解難,因此可將乘積公開作為公鑰
dsa是基於證書有限域離散對數難題的演算法,重要特點是兩個素數公開
dsa簽名演算法也可以由橢圓曲線上的離散對數問題構建,即ecsda簽名演算法
數字簽名演算法是由基礎的公鑰演算法加上hash函式組合而成的
公鑰認證模型主要有兩種
pgp(pretty googprivacy)基於層面上的信任關係
認證機構certification authoring,ca 由可信賴的第三方機構ttp保證公鑰的所有者
公鑰證書的主要國際標準是x.509
證書的種類(按用途分):公鑰證書、屬性證書、特定證書
公鑰證書的種類(按類別分): ca證書、使用者證書
x.509將證書所有者和cn的名字,以dn(distinguished name)的形式來描述,dn世界唯一,由屬性attribute和屬性值attribute value依次排列而成
證書certificate中包含證書主體tbs certificate、簽名演算法signature algorithm及簽名值signature value
私鑰儲存時需要智慧卡或usb-key等有計算能力的專用硬體,這硬體通常稱為pki token
在使用證書通訊的協議中傳遞證書的方法在tls/ssl、ipsec中很常見,這種傳遞證書的方法稱為協議內傳輸方式典型應用:
ssl/tls (transportlayer security)常被用於http,ldap,ftp,telnet等應用協議中,前身為ssl(secure socket layer),ssl主要用於web環境中保護信用卡號、個人資訊等
s/mime(secure mime):主要利用pki證書對電子郵件進行加密簽名
ipsec主要由ike(internetkey exchange)決定sa(securityassociation),然後用esp(encapsulatingsecurity payload)或者ah(authentication header)來安全地傳輸資料報,ipsec根據加密資料的方式不同,分為只加密ip資料的透明模式(transparent mode)和ip資料頭(header)也加密的隧道模式(tunneling mode)
第五章、物聯網感知層安全關鍵技術
安全威脅:
被動攻擊:竊聽snooping 流量分析 trafficanalysis
主動攻擊: 節點俘獲攻擊node compromise attack
節點複製攻擊 node replication attack
黑洞攻擊 sinkhole attack
女巫攻擊:sybil attack
蟲洞攻擊 wormhole attack
拒絕服務攻擊 dos attack
選擇**攻擊 selectic forwarding attack
呼叫泛洪攻擊 hello flood attack
重放攻擊 replay attack
訊息篡改攻擊 message corruption attack和假訊息注入攻擊false data injection
合謀攻擊 collusion attack
對稱金鑰管理機制絕大部分採用金鑰預分配的方法
隨機金鑰預分配,隨機金鑰預分配模型的理論基礎是隨機圖理論
特點:節點僅存少量金鑰就可以從網路獲得較高的安全聯通概率;金鑰預分配時不需節點的任何先驗資訊,如節點的位置資訊、聯通關係等;部署後節點間進行高效的自組織的金鑰協商,無需基站參與,且直接金鑰建立通訊開銷較小,使得金鑰管理具有良好的分布特性
確定性金鑰預分配:將隨機圖替換為強正則圖、完全圖或者k維網格
橢圓曲線密碼體制的金鑰管理:
1. 基於merkle樹的金鑰管理方案
2. 基於ibc的金鑰管理方案(ibc:基於身份的公鑰密碼體制)
3. 基於群組的感測器網路金鑰管理
《物聯網安全基礎》筆記一
第二章 物聯網的安全架構 物聯網應用強調的是資訊共享,這是其區別於感測網的最大特點之一 物理安全,主要是感測器的安全,包括對感測器的干擾 遮蔽 電磁洩露攻擊 側通道攻擊等 第二是執行安全,主要存在於各個計算模組,包括嵌入式計算模組 伺服器的計算中心,包括密碼演算法的實現 黑盒或白盒的實現 金鑰管理 ...
《物聯網安全基礎》筆記三
utesla廣播認證協議對無線感測器網路廣播認證技術的貢獻在於,認證廣播過程使用對稱金鑰技術,通過推遲金鑰發布和單向雜湊函式實現了對稱金鑰技術的非對稱性,降低了廣播認證的強度,提高了廣播認證的速度 分布式感測器網路往往是多基站的 多基站分層utesla協議引入門限密碼的思想,將認證金鑰拆分成金鑰影子...
物聯網基礎(筆記)
泛在計算的世界是乙個所有的 物 都內建計算機中,隨時可以得到計算機幫助的世界。機器對機器的通訊是不經人為控制的,機器和機器之間的通訊,物聯網則含有給資訊接收者提供服務的含義,它比機器對機器的通訊概念範圍更廣。物聯網中的裝置指裝有感測器,並能與網際網路連線以實現與物聯網服務互動的裝置。其作用為感測和反...