物聯網安全 物聯網伺服器以及雲端安全.

Slides:



Advertisements
Similar presentations
103 學年度縣內介聘申請說明會 南郭國小 教務主任張妙芬.  重要作業日程 : 1 、 5/1( 四 ) 前超額學校 ( 含移撥超額 ) 備文函報縣府教 育處輔導介聘教師名單 2 、 5/7( 三 ) 超額教師積分審查( 9 : : 00 、 13 : : 00 )。 3.
Advertisements

金融一班 王亚飞 王亚飞 王浩浩 王浩浩 吴海玥 吴海玥 我 连云港 的 家 乡 连云港 连云港,位于东经118°24′~119°48′和北纬 34°~35°07′之间,古称郁洲、海州,民国时称 连云市,建国后称新海连市,别称“港城”。东 西长129公里,南北宽约132公里,水域面积 平方公里。连云港市也是我国于1984年.
配备计算机教室、多媒体教室、图书室、卫生室、 实验室、仪器室、音体美劳器材室、心理咨询室、少先 队活动室、教师集体备课室等专用教室。实验室、仪器 室全部按照省标准配备器材,演示实验开设率达 100% 。 学校现有图书 6050 册,生均 40 册。有一个 200 米环形跑 道的运动场地。 学校基本情况.
第二章 中药药性理论的现代研究 掌握中药四性的现代研究 掌握中药五味的现代研究 掌握中药毒性的现代研究 了解中药归经的现代研究.
《可能性大小》的教学比较 一、介绍两个版本的教材 · 北师大版(七上) 第7.1节 一定摸到地球吗 摸球游戏——体验事件发生的可能是有大小的
長得像的圖形 設計者:嘉義縣興中國小 侯雪卿老師 分享者:高雄市中山國小 江民瑜老師 高雄市勝利國小 許嘉凌老師.
课例评析—— 《回乡偶书》和《渔歌子》 评课人:冯琴.
就作文本身而言,题目堪称“眉目”,是作文的“眼睛”,从某种程度上说,它是作文材料和主题的浓缩或概括。
文化创新的途径.
全面推进基础教育综合改革 ——在基础教育综合改革推进暨“1751”工程总结会上的讲话
浙江省深化高校考试招生制度综合改革试点方案(2017新方案)
2009—2010学年第一学期 小学品德与社会课程教学监控情况分析 潘诗求 2010年3月
15世纪欧洲人绘制的世界地图.
淡江大學 管理科學學系 經營管理全英語碩士學位學程甄試招生
市场营销类流程化系列教材 市场营销综合实训 主编:渤海大学 单凤儒 教授 科学出版社.
採購規範運用實務(含履約管理) 主講人:新北市政府採購處 勞務採購科 陳佑民.
说课课件 感悟工业革命力量,闪耀科技创新光辉 ----《走向整体的世界》教学设计及反思 爱迪生 西门子 卡尔·本茨 诺贝尔 学军中学 颜先辉.
北京中医药大学东直门医院 把握“癌”的命脉 祁烁 血液肿瘤科.
老子的素朴 厦门大学计算机科学系 庄朝晖.
校园信息管理系统 河北科技大学网络中心 2000/4/10.
快乐魔法精灵之万圣节狂欢夜 去除PPT模板上的--无忧PPT整理发布的文字 首先打开PPT模板,选择视图,然后选择幻灯片母版
第7课 新航路的开辟 第7课 新航路的开辟.
第一节: 食物中的营养物质.
挖掘市场预期分布 建立有效投资策略 权证市场2006年中期投资策略
股票、债券、和保险 投资理财的话题.
Starter Unit Good Morning!
走进物联网世界.
摇摆的中东地区 永嘉县实验中学 张 杰.
摇摆的中东地区 永嘉县实验中学 张 杰.
消防安全知识 昆明市公安消防支队 盘龙区大队.
美国史 美利坚合众国创造了一个人类建国史的奇迹,在短短230年的时间从一个被英帝国奴役的殖民地到成为驾驭全世界的“超级大国”、“世界警察”,美国的探索为人类的发展提供了很宝贵的经验。
作精純的鹽 馬太福音五:13.
RFID材料與製程 系級 : 通訊工程系 三年甲班 學號 : B 學生 : 顏得洋.
老年性皮肤瘙痒的防治.
徵收苗栗市福全段147、1588及文心段10、11地號等4筆土地之
电阻 新疆兵团四师76团中学.
Module 10-2:網路銀行應用範例.
外貌和能力哪个更重要.
我們最常去的地方還是我的故鄉苗栗, 您知道春天的樟樹是什麼香味嗎?
讲 义 大家好!根据局领导的指示,在局会计科和各业务科室的安排下,我给各位简要介绍支付中心的工作职能和集中支付的业务流程。这样使我们之间沟通更融洽,便于我们为预算单位提供更优质的服务。 下面我主要从三方面介绍集中支付业务,一是网上支付系统,二是集中支付业务流程及规定等,
Unit One Good morning! period1 马 玉 阜阳市第十五中学.
从此,我不在沉默寡言 那一刻 就在这一刻 世上还有爸爸好 我 长 大 了 张绅 4 文苑芬芳
中国人民公安大学经费管理办法(试行) 第一章总则 第四条:“一支笔” “一支笔”--仅指单位主要负责人。负责对本 单位的经费进行审核审批。
Information Security Fundamentals and Practices 資訊安全概論與實務
你不得不知的几件事 2、图书《10天行测通关特训》 3、网络课程 《网校9元课程系列》《考前强化夜校班》 4、地面课程 《10天10晚名师密授营》《考前预测集训营》
从容行走,优雅为师 江苏省梁丰高级中学 任小文
初三历史复习课 八上第一单元 侵略与反抗 草桥实验中学 朱萍.
在 线 考 试 系 统 的 设 计 学 生: 班 级: 指导老师:.
觀察內容: 時間 作息 觀察內容 9:30~9:40 角落分享
新北市政府所屬各機關辦理採購規範 主講人:新北市政府採購處 李佳航、黃建中、陳佑民.
RFID電磁相容與檢測期中報告– RFID技術提昇醫療作業管理品質
导入 21世纪教育网经纬社会思品工作室制作 我们可以通过哪些媒介(途径)获知这些消息?.
資訊安全-資料加解密 主講:陳建民.
房地产业营改增税制变革 知 识 讲 座 二0一五年四月二十日.
第一章 線性方程組.
指導老師: 楊金山 班級: 電商四乙 姓名: 劉丞哲 學號: 4A155097
课 堂 练 习.
负数.
学习中苦多?乐多? ——高二(1)班主题班会.
無線射頻辨識系統 RFID.
編者:左瑞麟 副教授 國立政治大學資訊科學系
RFID應用 紅綠燈自動轉換 基本系統 成果發表(實作)
微信商城系统操作说明 色卡会智能门店.
你没看到的开幕式 超越电视画面 来自现场的照片.
搞創意、玩點子…未來等於無限大 陳博鍊 時間: 心情:快快樂樂.
第13课 东汉的兴亡.
最容易被破解的25個密碼.
大綱 一.受試者之禮券/禮品所得稅規範 二.範例介紹 三.自主管理 四.財務室提醒.
繁星推薦系統 楊曉婷 副理 教育的服務 是我們的責任.
單元主題名: 大家都是好朋友 設計者:柯淑惠、林雨欣.
Presentation transcript:

物聯網安全 物聯網伺服器以及雲端安全

大綱 本章重點 認證 物聯網使用者之身份認證 身份認證流程 利用通行碼進行使用者身份認證 利用對稱式密碼系統進行使用者身份認證 利用數位簽章進行使用者身份認證 輕量級認證協定 結論 https://en.wikipedia.org/wiki/Internet_of_Things

本章重點 IoT感測層所蒐集到的資訊會透過網路傳送到後端的雲端伺服器。伺服器需對使用者的身份進行確認,確保唯有通過認證之合法使用者才能對伺服器進行資料的存取。另外,伺服器亦需對不同使用者之資訊依使用者帳號進行分類儲存,並確保唯有經過授權的使用者才能對收集到的資訊進行讀取或分析等動作,且需透過存取控管確保不同權限使用者具有不同之存取權限。本單元將探討在物聯網中使用者身份鑑別的各種機制。

認證(1/3) 認證的目的,在確認使用者之身份 物聯網系統安全之基礎 通過認證之合法用戶,才可以存取後端伺服器之資源 確保資料安全以及使用者隱私 防止資料外洩

認證(2/3) 三要素 你所擁有的資訊(something you have) 你所知道的資訊(something you know) 卡片、鑰匙、各式證明文件 有被竊取的風險 你所知道的資訊(something you know) 通行碼(password ; PW) 有被竊取或密碼猜測的風險 屬於你的資訊(something you are) 生物特徵 指紋,聲紋、瞳孔虹膜特徵 如外洩了對個人隱私影響極大

認證(3/3) 三要素可合併驗證組合成兩要素認證機制 卡片+通行碼 指紋特徵+通行碼

物聯網使用者之身分認證 物聯網安全的重要議題之一 惠普科技(HP)於2014年公布了物聯網裝置10大安全問題 每個物聯網設備平均存在25個資安漏洞 身分認證機制的安全性不足是其中的一項

身份認證流程 輸入註冊時建立的帳戶ID 提供註冊時預先建立的認證資訊(此ID所有者才知的認證資訊) Something you know Something you have Something you are

認證方式 使用者帳號/通行碼 網路位址/網域名稱 共享密鑰 公開金鑰認證 數位簽章、數位憑證

利用通行碼 進行使用者身份認證(1/2) 一般利用多以單向認證為主(One-way Authentication) 使用者登入伺服器系統,因此只有伺服器能確認使用者身份 使用者可以利用網路位址確認伺服器

利用通行碼 進行使用者身份認證(2/2) 伺服器儲存使用者ID與通行碼(PW)的驗證表(Verification Table) 伺服器透過關連表比對帳號與通行碼正確性 如提供之通行碼與伺服器所儲存之通行碼相同,則通過認證,並接受其登入系統之要求 又稱『基於通行碼之認證協議』;Password Based Authentication Protocol ID PW Alice Abcde!@# Bob @#EDSW … ….. Cindy Tt125#$

基於通行碼之 身份驗證系統安全性(1/10) 處理通行碼之重點 通行碼不可以明文方式傳送 通行碼不可以明文方式儲存於伺服器 通行碼強度需夠強以抵擋密碼猜測攻擊

基於通行碼之 身份驗證系統安全性(2/10) 通行碼不可以明文方式傳送 利用伺服器之公鑰 𝑃𝐾 𝑆𝑒𝑟 加密通行碼後再行傳送 發起者Bob利用伺服器公鑰 𝑃𝐾 𝑆𝑒𝑟 加密通行碼 𝑃𝑊 𝐵 得密文 C(= 𝐸 𝑃𝐾 𝑆𝑒𝑟 (𝑃𝑊 𝐵 ) ) Bob傳送 𝐼𝐷 𝐵 以及C給伺服器進行認證 伺服器利用私鑰 𝑆𝐾 𝑆𝑒𝑟 解密C得 𝑃𝑊 𝐵 (= 𝐷 𝑆𝐾 𝑆𝑒𝑟 (𝐶)) 將 𝑃𝐾 𝐵 與驗證表中Bob之通行碼進行比對 若相符則通過認證,否則未通過驗證

Authentication Server 基於通行碼之 身份驗證系統安全性(3/10) 利用伺服器之公鑰 𝑃𝐾 𝑆𝑒𝑟 加密通行碼後再行傳送 (PKSer, SKSer) pwB 𝑃𝑊 𝐵 = 𝐷 𝑆𝐾 𝑆𝑒𝑟 (C) C= 𝐸 𝑃𝐾 𝑆𝑒𝑟 ( 𝑃𝑊 𝐵 ) 𝑃𝑊 𝐵 ≜@#EDSW 𝐼𝐷 𝐵𝑜𝑏 , C Accept or reject Authentication Server Bob ID PW Alice Abcde!@# Bob @#EDSW … ….. Cindy Tt125#$

基於通行碼之 身份驗證系統安全性(4/10) 通行碼不可以明文方式傳送 利用挑戰/回應(Challenge/Response)方式進行驗證 發起者Bob首先傳送IDB給伺服器進行認證要求 伺服器回應挑戰訊息c Bob利用密碼函數f對c及通行碼PWB進行運算得R=f(c,PWB)並送出R 伺服器利用同樣方式計算得出R’並與R進行比對 若相符則通過認證,否則未通過驗證

Authentication Server 基於通行碼之 身份驗證系統安全性(5/10) 利用挑戰/回應(Challenge/Response)方式進行驗證 ID PW Alice Abcde!@# Bob @#EDSW … ….. Cindy Tt125#$ R′=𝑓(𝑐, 𝑃𝑊 𝐵 ) R’≜R 𝐼𝐷 𝐵𝑜𝑏 , pwB R=𝑓(𝑐, 𝑃𝑊 𝐵 ) c R Accept or reject Bob Authentication Server

基於通行碼之 身份驗證系統安全性(6/10) 通行碼不可以明文方式傳送 一次性密碼 提供有限次數的認證 利用單向雜湊函數(Hash Function)之單向行

基於通行碼之 身份驗證系統安全性(7/10) 通行碼不可以明文方式傳送 一次性密碼 EX. 提供Bob進行100次認證之一次性密碼產生方式 Bob與伺服器雙方皆利用單向雜湊函數f()與通行碼PWB進行以下運算 𝑥 1 =𝑓 𝑃𝑊 𝐵 𝑥 2 =𝑓 𝑥 1 =𝑓(𝑓 𝑃𝑊 𝐵 ) 𝑥 3 =𝑓 𝑥 2 =𝑓 𝑓 𝑓 𝑃𝑊 𝐵 …… ……. 𝑥 100 =𝑓 𝑥 99 =𝑓(…𝑓 𝑓 𝑓 𝑃𝑊 𝐵 )

基於通行碼之 身份驗證系統安全性(8/10) 通行碼不可以明文方式傳送 一次性密碼 EX. 提供Bob進行100次認證之一次性密碼產生方式 當需要進行認證時 第一次Bob送出x100進行身份認證 第二次Bob送出x99進行身份認證 …. …. 第100次Bob送出x1進行身份認證

基於通行碼之 身份驗證系統安全性(9/10) 通行碼不可以明文方式儲存於伺服器 避免駭客偷取或修改原來的通行碼 一般利用加鹽(Salt)方式以及單向雜湊函數進行儲存 當需進行使用者身份認證時,透過挑戰/回應方式,以salt為挑戰值進行驗證 ID Salt Password Alice 2569 H(PWA,2569) Bob 1234 H(PWB,1234) … …. Cindy 16852 H(PWC,16852)

基於通行碼之 身份驗證系統安全性(10/10) 通行碼強度需夠強以抵擋密碼猜測攻擊 長度需為八碼以上 需包含英文字母大小寫、數字以及特殊符號 勿設定任何和帳號有關之資訊為通行碼 勿設定任何如生日、姓名等和自己個人資訊有關之資訊為通行碼 確認通行碼可以記憶,勿以便條紙或任何方式儲存於個人記憶以外 定期更換通行碼

2014年最不安全之25組密碼 Rank Password Change from2013 1 123456 No Change 2 Up 17 4 12345678 Down 1 5 qwerty 6 123456789 7 1234 Up 9 8 baseball New 9 dragon 10 football 11 1234567 Down 4 12 monkey Up 5 13 letmein Up 1 Rank Password Change from2013 14 abc123 Down 9 15 111111 Down 8 16 mustang New 17 access 18 shadow No Change 19 master 20 michael 21 superman 22 696969 23 123123 Down12 24 batman 25 trustno1 Down 1

利用對稱式密碼系統 進行使用者身份認證 使用者與伺服器兩方事先共享高熵值(High Entropy)之對稱式密鑰 利用對稱式密碼系統如AES或3DES 基本運作利用挑戰/回應方式 可分為單向認證與雙向認證

單向認證(1/5) One-Way Authentication 僅提供伺服器確認登入者身份 登入者如有需要,可以網路位址確認伺服器之正確性

單向認證(2/5) 使用者與伺服器共享高熵值密鑰k 使用者Bob送出身份資訊IDB 伺服器提出挑戰訊息r 使用者利用對稱式密碼系統E以及共享密鑰k加密r得C= E k (r)並送出C 伺服器解密C回復r 若r能被正確回復,則使用者通過認證

Authentication Server 單向認證(3/5) 利用挑戰/回應(Challenge/Response)方式進行驗證 ID PW Alice k A Bob k B … ….. Cindy k C r′=D k B (C) r’≜r 𝐼𝐷 𝐵𝑜𝑏 , k B C= E k B (r) r C Accept or reject Bob Authentication Server

單向認證(4/5) 挑戰訊息r可利用公開訊息如時間戳記(Time Stamp)代替 使用者與伺服器共享高熵值密鑰k 使用者Bob利用對稱式密碼系統E以及共享密鑰k加密目前時戳 T 1 得C= E k ( T 1 )並送出身份資訊IDB以及C 伺服器解密C得 T 1 T 2 為目前時戳。 T 2 − T 1 若在可容許範圍( T 2 − T 1 <∆T),則使用者通過認證

Authentication Server 單向認證(5/5) 以時戳利用挑戰/回應(Challenge/Response)方式進行驗證 ID PW Alice k A Bob k B … ….. Cindy k C T 1 = D k B (C) T 2 − T 1 <∆T? k B ( 𝐼𝐷 𝐵𝑜𝑏 ,C) C= E k B ( 𝑇 1 ) Accept or reject Bob Authentication Server

雙向認證(1/4) 使用者與伺服器共享高熵值密鑰k 使用者Bob送出身份資訊IDB 伺服器提出挑戰訊息 r 1 使用者利用對稱式密碼系統E以及共享密鑰k加密r得 𝐶 1 = E k ( r 1 )。 使用者產生另一挑戰訊息 r 2 並送出(C, r 2 ) 伺服器解密C確認 r 1 ,若 r 1 能被正確回覆,則使用者通過認證 伺服器計算 𝐶 2 = E k ( r 2 )並送出 𝐶 2 使用者解密 𝐶 2 回復 r 2 。若 r 2 能被正確回復則伺服器通過認證

Authentication Server 雙向認證(2/4) 利用挑戰/回應(Challenge/Response)方式進行雙向驗證 ID PW Alice k A Bob k B … ….. Cindy k C r 1 ′= D k B ( C 1 ) r 1 ’≜ r 1 𝐼𝐷 𝐵𝑜𝑏 , k B 𝐶 1 = E k B ( r 1 ) r 1 (C, r 2 ) r 2 ′= D k B ( C 2 ) 𝐶 2 = E k B ( r 2 ) r 2 ’≜ r 2 Bob Authentication Server

雙向認證(3/4) 挑戰訊息r可利用公開訊息如時間戳記(Time Stamp)代替 使用者與伺服器共享高熵值密鑰k 使用者Bob利用對稱式密碼系統E以及共享密鑰k加密目前時戳 T 1 得 C 1 = E k ( T 1 )並送出身份資訊IDB以及 𝐶 1 伺服器解密 𝐶 1 得 T 1 。 T 2 為目前時戳。 T 2 − T 1 若在可容許範圍( T 2 − T 1 <∆T),則使用者通過認證 伺服器利用k加密目前時戳 T 2 得 C 2 = E k ( T 2 )並送出 𝐶 2 Bob解密 𝐶 2 得 T 2 。 T 3 為目前時戳。 T 3 − T 2 若在可容許範圍( T 3 − T 2 <∆T),則伺服器通過認證

Authentication Server 雙向認證(4/4) 以時戳利用挑戰/回應(Challenge/Response)方式進行驗證 ID PW Alice k A Bob k B … ….. Cindy k C T 1 = D k B ( C 1 ) T 2 − T 1 <∆T? 𝐶 2 = E k B ( 𝑇 2 ) k B ( 𝐼𝐷 𝐵𝑜𝑏 , C 1 ) 𝐶 1 = E k B ( 𝑇 1 ) T 2 = D k B ( C 2 ) T 3 − T 2 <∆T? C 2 Bob Authentication Server

利用數位簽章 進行使用者身份認證 使用者Bob擁有公鑰/私鑰對( PK B , SK B )並有可信賴機關所發行之公鑰憑證 Cert Bob 使用者Bob送出身份資訊IDB 伺服器提出挑戰訊息r 使用者利用私鑰 SK B 簽署訊息r得S= Sign SK B (r)並送出S及公鑰憑證 Cert Bob 伺服器利用 Cert PK 確認公鑰正確性 利用公鑰 PK B 驗證數位簽章之有效性 若簽章通過驗證,則使用者通過認證 利用相同方式,使用者亦可對伺服器進行認證

利用數位簽章進行認證 利用數位簽章進行使用者身份驗證 T 1 = D k B (C) T 2 − T 1 <∆T? ( PK B , SK B ) Verify(S)=(true, false) 𝐼𝐷 𝐵𝑜𝑏 S= Sign S k B (r) r ( Cert 𝐵𝑜𝑏 , S) Bob Authentication Server

輕量級認證協定 有些物聯網裝置如RFID標籤(Tag)或傳感器(Sensor)等,由於儲存空間以及計算量有限,因此無法支援一般的認證方式 一般可利用基於通行碼之認證系統方式 加解密機制以及密碼函數為輕量級密碼機制或輕量級單向雜湊函數 加解密及雜湊僅包含簡單的邏輯運算 安全性較一般認證方式低