论文部分内容阅读
随着网络技术、计算机技术、智能芯片等技术的高速发展,以智能手机为代表的智能终端得到普及,作为物理世界和网络世界纽带的物联网应运而生。自诞生之日起,物联网受到世界各国政府以及专家学者的高度重视并取得瞩目的成果。物联网取得飞速发展的同时,其引发的安全问题日益突出:物联网用户身份安全认证问题,感知数据的数字完整性保护问题和感知层网络入侵问题等。
为了感知物理世界,物联网需要部署海量异构的感知节点以周期的形式获取物理世界物体的状态信息。物联网通过感知节点采集的数据称作感知数据。由物联网体系结构可知,物联网感知层位于物联网体系结构的最底层,是物联网应用的基础,物联网感知层是大量感知节点通过无线自组织形式构成。为了满足不同应用的需要,感知节点的种类多种多样,感知节点的主要特点:感知节点成本低、计算能力和存储空间有限;感知节点具备自组织能力;通信距离小;感知节点由电池供能等。传统的网络安全技术并不完全适用于物联网感知层,为此本文从被动防御技术和主动防御技术入手,重点研究物联网感知层安全防御技术。本文主要研究内容包括:
身份认证技术能够有效保证数据来源的可靠性。本文针对Naresh认证协议的缺陷,以及基于椭圆加密认证协议计算复杂度高的问题,提出一种适用于物联网感知层环境的基于混沌映射的多因子身份认证协议。本文提出的协议引入生物特征作为第三认证因子,极大提高认证协议的安全性。在网关节点的协助下,实现用户与感知节点之间的双向身份认证,协商出一个安全的会话密钥,使得用户能够直接访问感知节点获取感知数据。BAN逻辑证明和AVISPA仿真实验,有力证明该协议对已知攻击具有较好的抵抗作用,能够解决Naresh认证协议的缺陷。与基于椭圆加密的认证协议相比,本协议的计算复杂度较低,既能保证安全性,又能符合物联网感知层的应用要求。
数字水印技术能够有效保证感知数据在开放链路传输过程中的数字完整性。感知节点采集的感知数据需要经过通过无线链路以多跳的形式进行传递,由于无线链路的开放性,感知节点自身资源受限的特点,感知数据在传输过程中容易遭受篡改以至其数字完整性被破坏,对物联网应用产生巨大影响,甚至影响物联网应用决策的正确性。脆弱水印因为其透明性和实现简单等特点在保护数据完整性方面具有明显优势。鉴于传统加密技术计算复杂度高,资源耗费巨大等问题,本文提出一种基于脆弱数字水印的感知数据完整性保护方法。第一,该方案使用分段Logistic混沌映射进行数字水印序列的生成,利用混沌序列的初值敏感性和不可预测性保证数字水印的安全;第二,该方案针对现有水印技术嵌入位置固定这一安全漏洞,提出了水印嵌入位置随机化策略,增加了攻击者发动攻击的难度。第三,本文所提出方案是一种可逆的数字水印算法,能够保证数据无损还原,满足特殊应用场景对数据高精度要求。实验结果证明,本文提出算法既能保证数据完整性,又能节约计算开销,适用于感知层网络环境。
入侵检测技术作为第二道防线,能够抵抗内部攻击,从根源上保护感知数据的安全。身份认证技术和数字水印技术是感知层网络中有效的被动防御技术,通过验证数据来源和数据内容来保障认证身份合法性和数据的数字完整性,作为安全体系的第一道防线,可以有效的防御外部攻击。由于感知层网络自身的限制,仅仅靠被动防御机制抵御攻击远远不够,攻击者通过入侵或者妥协网络内部的合法节点获取安全密钥,导致被动防御机制的失效,被妥协的内部节点能够发起拒绝服务攻击或者通过生成错误的路由信息破坏路由机制对感知节点甚至整个网络造成巨大破坏。为此,本文提出一种基于模糊理论的混合入侵检测方法,该方法是一种主动防御技术作为被动防御技术的重要补充。本文提出的入侵检测方法首先使用基于密度感知的模糊聚类算法实现数据集的初始划分,然后根据聚类数目要求合并临时类;最后将模糊聚类算法计算的模糊隶属度应用于模糊支持向量机模型提高分类准确性。仿真结果表明本文提出的基于模糊理论的混合入侵检测方法对不平衡数据集、噪声数据等情况均有较为理想的检测效果,实验结果表明本算法具有较强的实用性。
为了感知物理世界,物联网需要部署海量异构的感知节点以周期的形式获取物理世界物体的状态信息。物联网通过感知节点采集的数据称作感知数据。由物联网体系结构可知,物联网感知层位于物联网体系结构的最底层,是物联网应用的基础,物联网感知层是大量感知节点通过无线自组织形式构成。为了满足不同应用的需要,感知节点的种类多种多样,感知节点的主要特点:感知节点成本低、计算能力和存储空间有限;感知节点具备自组织能力;通信距离小;感知节点由电池供能等。传统的网络安全技术并不完全适用于物联网感知层,为此本文从被动防御技术和主动防御技术入手,重点研究物联网感知层安全防御技术。本文主要研究内容包括:
身份认证技术能够有效保证数据来源的可靠性。本文针对Naresh认证协议的缺陷,以及基于椭圆加密认证协议计算复杂度高的问题,提出一种适用于物联网感知层环境的基于混沌映射的多因子身份认证协议。本文提出的协议引入生物特征作为第三认证因子,极大提高认证协议的安全性。在网关节点的协助下,实现用户与感知节点之间的双向身份认证,协商出一个安全的会话密钥,使得用户能够直接访问感知节点获取感知数据。BAN逻辑证明和AVISPA仿真实验,有力证明该协议对已知攻击具有较好的抵抗作用,能够解决Naresh认证协议的缺陷。与基于椭圆加密的认证协议相比,本协议的计算复杂度较低,既能保证安全性,又能符合物联网感知层的应用要求。
数字水印技术能够有效保证感知数据在开放链路传输过程中的数字完整性。感知节点采集的感知数据需要经过通过无线链路以多跳的形式进行传递,由于无线链路的开放性,感知节点自身资源受限的特点,感知数据在传输过程中容易遭受篡改以至其数字完整性被破坏,对物联网应用产生巨大影响,甚至影响物联网应用决策的正确性。脆弱水印因为其透明性和实现简单等特点在保护数据完整性方面具有明显优势。鉴于传统加密技术计算复杂度高,资源耗费巨大等问题,本文提出一种基于脆弱数字水印的感知数据完整性保护方法。第一,该方案使用分段Logistic混沌映射进行数字水印序列的生成,利用混沌序列的初值敏感性和不可预测性保证数字水印的安全;第二,该方案针对现有水印技术嵌入位置固定这一安全漏洞,提出了水印嵌入位置随机化策略,增加了攻击者发动攻击的难度。第三,本文所提出方案是一种可逆的数字水印算法,能够保证数据无损还原,满足特殊应用场景对数据高精度要求。实验结果证明,本文提出算法既能保证数据完整性,又能节约计算开销,适用于感知层网络环境。
入侵检测技术作为第二道防线,能够抵抗内部攻击,从根源上保护感知数据的安全。身份认证技术和数字水印技术是感知层网络中有效的被动防御技术,通过验证数据来源和数据内容来保障认证身份合法性和数据的数字完整性,作为安全体系的第一道防线,可以有效的防御外部攻击。由于感知层网络自身的限制,仅仅靠被动防御机制抵御攻击远远不够,攻击者通过入侵或者妥协网络内部的合法节点获取安全密钥,导致被动防御机制的失效,被妥协的内部节点能够发起拒绝服务攻击或者通过生成错误的路由信息破坏路由机制对感知节点甚至整个网络造成巨大破坏。为此,本文提出一种基于模糊理论的混合入侵检测方法,该方法是一种主动防御技术作为被动防御技术的重要补充。本文提出的入侵检测方法首先使用基于密度感知的模糊聚类算法实现数据集的初始划分,然后根据聚类数目要求合并临时类;最后将模糊聚类算法计算的模糊隶属度应用于模糊支持向量机模型提高分类准确性。仿真结果表明本文提出的基于模糊理论的混合入侵检测方法对不平衡数据集、噪声数据等情况均有较为理想的检测效果,实验结果表明本算法具有较强的实用性。