1. 两种认证方式:单向认证(IoT设备和安全芯片之间单向认证),双向认证(IoT云服务、IoT、IoT设备之间)。
2. 传输加密涉及:传输层安全(Transport Layer Security,TLS),证书,身份认证。常见的加密方法主要基于3种算法:SSL(安全套接字,IoT规模大,难以直接用),TLS和HTTPS。
在 TLS 通信中,建立用户与服务器之间的 TLS 连接需要握手,
握手流程如下:
(1) 用户(客户端)向服务器请求。
(2)服务器将其证书发送给用户。
(3)用户通过加密一个新的随机数( Premaster Secret )确保 HTTP 服务器身份的正确性,若服务器可以正确解密,则用户可知道服务器端在 HTTP 服务器的证书当中具有与公钥匹配的私钥。
(4)用户和服务器都发送一条最终的结束消息来验证双方使用相同的会话密钥。
SSL连接涉及以下四个基本步骤:
(1)用户(客户端)发送安全连接请求。(2)服务器响应安全请求。
(3)用户(客户端)响应。
(4)建立安全通道。
SSL 协议可为物联网提供足够的传输安全性。
HTTPS 也称为 HTTP over TLS / SSL 或者安全 HTTP 。 HTTPS 是一种提供安全 HTTP 连接的协议,是专为网站访问身份认证和保护信息交换过程中的隐私安全和完整性而设计的。
HTTPS 能够抵御诸如中间人( MITM )、窃听、篡改、伪造内谷等攻击,并为发送者和接收者之间提供双向加密。
3. 消息队列遥测传输(Message Queuing Telemetry Transport)和受限应用协议(CoAP)是IoT最有前景的应用于资源有限IoT设备的两种协议。
4. IoT环境中,终端节点受限于:① 处理能力,CPU(MCU)处理器,RAM;② 存储空间;③ 网络容量;④ 用户接口和显示;⑤ 能耗。
5. IoT环境中的攻击技术:① 物理攻击;② 窃听:反窃听的典型手段是加密,安全的密钥交换算法,如DH(Difffie-Hellman,DH)密钥交换;③ 假冒:如中间人攻击(MIMT);④ MIMT攻击;⑤ DoS(拒绝服务)攻击;⑥ 访问攻击;⑦ 其他攻击:如“bad USB”的固件攻击,隐私攻击,RAM攻击,侧信道攻击,勒索软件等。
6. 对称密码算法分为流密码和分组密码。
7. 提供机密性和认证的两种有效方式是 PKC 和非对称密码。
8. 公钥的使用方式有两种:① 公钥加密:任何人都可以用实体的公钥加密一个消息,但只有拥有对应私钥的实体才能解密密文;② 数字签名:任何拥有公钥的人都可以解密私钥生成的密文。此验证证明发送者已访问过私钥,因此很可能是与公钥关联的人。
9. ECC的基本思想是假定椭圆曲线离散对数问题在合理的时间内不可行或至少不能解决。ECC运算较小,能在资源受限环境下执行。
10. 访问控制的3个步骤:身份识别(一种身份证明)→ 身份认证→ 授权。
11. 可以在不同的消息交换中引入随机数(Nonce),这些随机数可以使用以下策略之一:① 随机数字(Random Number):需要一定的存储空间;② 序列号:不需要任何数据存储,在消息重放的情况下,其计数器值会小于或者等于当前的计数器值,因此,该消息会被丢弃。如果一个实体出现故障(如重启、硬件故障等),那么此保护不再有效;③ 时间戳:保证消息的时效性,但在受限制的实体上非常耗能,因为必须保持时钟的同步。
12. OpenID 是分散认证协议的一个开放标准,它允许用户通过使用第三方服务的合作站点进行身份认证。在物联网中, OpenID 是一种较具有前瞻性的设备认证方式。
对于 OpenID 和 OAuth ,身份认证的基本过程类似:
● 请求登录
● 检查请求方是否被认证● 重定向身份提供方 URL
● 身份提供方验证用户
● 身份提供方通过向请求方发送返回的重定向 URL 来处理请求和响应
● 请求方响应
