admin 物联网技术在迅速发展且逐渐扩大应用范闱的时候,安全问题也逐渐暴露出来。其中一方面包括EPC标签读取出现的安令问题,另一方面则是如何保证信息在EPCglobal网络中安今地传输,包括对象名称服务信息劫持等,其中第一二方面的安全问题随着物联网的广泛应用已成为重要课题。目前的现有的研究中提出了一些研究方案,但大多与VPN技术结合紧密或无法保证ONS与EPC系统中其他组件交互是的安伞性,而其加密算法难以满足带的标签读取和查询所带来的效率问题。为此,我们将椭圆曲线加密算法应用与EPCglobal网络安全相结合,来解决物联网网络安全问题的方案。
一、EPCglobal网络的体系结构
EPCglobal网络主要组成部件包括3个层次的系统,如图1所示。
其中包括:EPC编码体系、射频识别系统、信息网络系统。
其中的信息网络系统包含EPC中间件,应用层事件,EPC信息服务,和ONS。EPC中间件让用户可以根据某种应用需求定制和集成EPC中间件中的不同功能部件;ALE用于处理应用层相火的事件;EPCIS存储EPC中间件处理的信息,以及查询相关的信息:ONS,类似于域名服务器(DNS),其中的信息可用于指I句某个存放EPC中间件信息的EPCIS器。这些都是EPC系统的软件支持系统。
二、椭圆曲线加密体制
椭圆曲线加密体制(ECC)是被实践证明安全有效的三类公钥密码体制之一,以高效性著称。ECC的依据是定义在椭恻曲线点群上的离散对数问题的解雌性,它用少得多的比特大小能够取得和RSA同等强度的安全性,因此减少了处理开销,具有存储效率、计算效牢和通信带宽的节约等方面的优势。椭圆曲线上的密码算法速度很快,分别在32位的PC机上和16位微处理器上实现了快速的椭圆曲线加密算法,其中16位微处理器上的EDSA数字签名不足500ms。
其安全等方面的比较如表1所示。
三、EPCglobal网络的安全协议设计
1、针对EPCglobal网络安全和效率问题的设计
EPCglobal网络中存在的安全问题主要体现在ONS与客户端应用程序在通信时所存在的安全隐患以及ONS内部的安全。
ONS的查询步骤如图2所示。
其中,(1)、(6)是客户端应用程序和ONS进行信息交互,即客户端应用程序产生食询请求发送给ONS。而ONS再查询相关的EPCIS地址信息等返网给客户端。
(2)、(3)是ONS和域名系统进行信息交互,主要是由于物联网网络依赖于互联网,ONS首先在本地查询是否存在该EPC编码对成的EPCIS地址信息。如果是,即立即返回EPCIS地址如步骤(6);如
果否,在DNS巾搜索相应的根ONS地址,并将其返网给,ONS。
(4)、(5)则是子ONS和根ONS之间的信息交互。
(7)是客户端应用程序在得到EPCIS地址之后对由此可见ONS的A询过程会存在ONS信息劫持。
首先,ONS与客户端应用程序n:请求和返回答复的时候数据容易被劫持,一些敏感信息将披泄漏,从图2可见,其中的,第(1)、(6)步均被牵涉到:而这些泄漏的信息将仃可能会被篡改并重新发送,导致整个系统出现错误。再来如果攻击者获取了一个EPC标签,则可通过伪装身份的方式,从ONS查询这个产品的详细信息,导致更多的敏感信息放泄露。同时在ONS内部,还需要保征ONS予服务器与根服务器的通信安全及可信。
同时,由于物联网的特点,往往客户端程序的在一个较短的时间内有大量的查询请求,每次加密将带来巨人的传输延迟,信息交互效率、存储效率等大大降低,所以需要有一种高效且安全的协议性支持。
本文设计了一个基于椭圆曲线加密算法的方案,解决物联网l网络安全和效率问题,进一步针对ONS,应用于ONS与客户端应用程序交互中,以防止这一环节可能遭受的安全威胁。系统设计包括:
(1)客户端应用程序与ONS之间的通信协议
该协议利用椭圆曲线加密算法的安全性,和多次握手的协议,协议先要针对系统中如图2中(1)、(6)的步骤,避免攻击者可能截获ONS与客户端应用程序通信的数据,其中包括EPC编码等敏感信息;同时,协议中包含ONS针对客户端的身份验证过程,椭圆曲线加密算法的密钥是用ONS随机产生的整数计算得到,而客户端在加密过程中也使用随机数进行加密,使用一次即丢弃作废,每次的加密密钥都不相同。这些机制都防止了攻击耆利用非法得到的信息进行伪装攻击。避免攻击者利用伪装,以伪装的身份欺骗ONS。从而进行查询服务;
另外,协议中包含客户端对每一次完整的通信成功性的验证,以及对获取的信息的验证,保证企业的身份的正确性。
整个系统设计中,包含安全套接协议层安伞隧道协议,当出现任何错误,如密钥错误而无法解密客户端加密的数据,客户端ID错误,客户端退出等事件,状念机自动进入初始状态,即等待连接状态。这有效地避免了攻击者可以篡改截获的信息并发送,或者进行拒绝服务(DoS.Denial ofServicc)攻击以导致的ONS与客户端应用程序交互出现错误,避免给氽业的信息交互带来损失。
另外由于椭圆曲线加密算法减少了处理开销,具有存储效率、计算等效率和通信带宽的节约等方面的优势,且协议中将客户端应用程序的请求批量操作,以解决效率问题。
(2)在ONS上引入DNSScc
利用了ONS与DNS的相似性,引入了DNSSec安全机制,在ONS内部,还需保证ONS子服务器与根服务器通信的安全性和可信度。
在设计中除了,下述安全的通信系统协议和DNSSec安全机制等核心的设计之外,还可引入其他安全防范,以保证接个ONS咨询系统安全,包括物理安全、系统平台安全、数据安全、通信安全、应用安全、运行安全及管理安全等等。
2、安全的客户端与ONS间的通信协议
本文提出的基于椭圆曲线加密算法解决EPCglobal网络安全的设计主要应用在ONS与客户端应用程序交互中。其流程如图3所示。
具体的协议步骤如下:
(1)客户端应用程序产生查询请求,请求中包含客户端应用程序ID号,并发送给ONS。
(2) ONS根据获取的客户端应用程序ID号,根据ID在后台数据库中选取有限域GF(p)上的一条椭圆曲线E:y2=x3+ax+b.给出一组参数(a,b,p,g)。a.beGF(p)定义了一条曲线,整数p表示有限域GF(p)t的特征;g∈E表示一个基点。各参数满足:p>216o,4a2+27b2(modp)#0。这些参数事先都与客户端协商好,并公布在椭圆曲线参数文件之中,可以披指定ID的客户端应用程序使用。
(3)ONS在[1,P-1]中选取一个随机整数x,作为私钥,并由基点得到公钥X=xg。ONS将X发送给客户端应用程序。
(4)查询信息中包含EPC编码等敏感信息,常用的EPC编码为64位、96位或者256位。将客户端应用程序ID号+EPC编码得到M。如果批量查询EPC编码,可将ID号放在信息首部,将批量查询的EPC编码接在ID号之后。M将被嵌入到椭圆曲线上一点P。
(5)客户端程序选取随机数,在[1,P-1]中的yg,P+yX,并向ONS发送yg,P+yX。
(6) ONS接收到客户端应用程序发送过来的密文,使用私钥x进行解密解密,即(P+yX)-xyg=P+yxg-xyg=P得到的P,经过转换可得到M。由于客户端应用程序ID号位数已知,可直接对数据截断得到客户端应用程序ID号和EPC编码等敏感信息,并可以对ID号和先前获取的ID号进行比对。
(7)ONS将客户端ID号和杏询结果发送给用户。查询结果即EPCIS的地址信息,在ONS上引入DNSSec进行数据管理,保证安全性。
(8)客户端将接收到的ID号和自己的ID号进行对比验证,如果匹配这表示收到的是自己需要的查询结果,否则丢弃。
3、在ONSE引入DNSSec
DNSScc是在DNS协议中增加的一种安全机制,其主要内容包括:密钥的分发和管理、原始数据的认证和完整性检验、传输和请求的认证。这些服务能够防止大部分针对DNS的安全威胁。
由于ONS层次结构与DNS十分相似,因此在DNS中存在的安全问题在ONS中也存在,于是本文的设计引入DNSSec到ONS上。
利用DNSSec安全机制,依靠椭圆曲线加密算法对包含在ONS中的EPCIS的地址信息和EPC信息创建密码签名。密码签名通过计算出一个密码hash数来提供ONS中数据的完整性,并将该hash数封装进行保护。利用椭圆曲线加密算法中的私/公钥对中的私钥来封装hash数,然后可以用公钥把hash数译出来。如果这个译出的hash值匹配接受这刚刚计算出来的hash数,那么表明数据是完整的。
在ONS内部,还需保证ONS子服务器与根服务器通信的安全性和可信度。从DNSScc机制中,可看到,当本地ONS在本地的缓存之中未查询到相关的记录的时候,向根ONS发送百俐请求,进向根据根ONS返回的相关ONS地址和访问权限,去访问相关的ONS。这个机制的关键在于,所有相关ONS的访问必须经过根ONS,需由根ONS提供相关的ONS查询地址,并且提供访问权限。而根ONS中需要预先保存好所有待查询的ONS的地址,并具有授权权限。
四、系统设计实验示例及分析
1、实验示例及系统可行性分析
常见的EPC编码有64bit、96bit、256bit乏种。本实验中,假设客户端应用程序向ONS查询EPC编码为EPC-641型,即64bit。假设客户端ID为4bit。实现算法的编程工具为Iava JDK l.6.实验按照方案,实验数据如表2所示。
加密信息时间开销为0.472s,解密时间为0.488s。如增加处理数据量,即同时处理105个EPC编码数据请求,加密整个过程的时间开销为3.314s,解密的时间为3.340s。本实验是一台普通的PC机上完成,而如果硬件条件进一步提高,将大大提高此方案设计的效率。满足传输效率、存储成本、传输可靠性等设计需求。解决加密协议的效率问题。
2、系统安全性的分析
(1)防伪装攻击
即防止传送数据被中间人伪造,且避免重放攻击等安全威胁。此方案中,客户端数据将自己的客户端ID嵌入在传输信息中,并用椭圆曲线加密算法进行加密。同时采用了DNSSec机制后台的数据库管理密钥信息,ONS根据客户端ID在后台数据库中查找相应的公钥和加密算法,包括椭圆曲线函数等加密参数,并对接收到的信息进行解密。如果客户端的ID不正确或者相应的密钥无法成功解密数据,则说明用户非法。
同时,由于传输的查询信息是通过椭圆函数加密算法进行加密的,而密钥又是用ONS随机产生的整数计算得到,而客户端在加密过程中也使用随机数进行加密,使用一次即丢弃作废,每次的加密密钥都不相同。这些机制都防止了攻击者利用非法得到的信息进行伪装攻击,综上所述,可防止中间人攻击。
(2)防篡改攻击
即保障数据完整性,防止数据被篡改。此协议中,数据传输中进行密钥加密,加密密钥由通信双方每次会话协商获得,每次的加密密钥都不相同,第三方不可知。同时利用DNSSec机制通过计算出一个密码hash数来提供ONS中数据的完整性,防止篡改攻击。
(3)防DoS攻击
此方案采用安全套接协议层安全隧道协议,当出现任何错误,如密钥错误而无法解密客户端加密的数据,客户端ID错误,客户端退出等事件,状态机自动进入初始状态,即等待连接状态。避免DoS攻击ONS造成的损害。
(4)其他安全防范
保证整个ONS查询系统安全,包括物理安全、系统平台安全、数据安全、通信安全、应用安全、运行安全及管理安全等,需采用其他安全防范措施,如检查设备可靠,防火墙,以及如IDS(入侵检测系统,IntrusionDetection Sy8tcm)等被动式安全防范等措施。
小知识之物联网
物联网是新一代信息技术的重要组成部分。其英文名称是“The Internet of things”。由此,顾名思义,“物联网就是物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。物联网就是“物物相连的互联网”。物联网通过智能感知、识别技术与普适计算、泛在网络的融合应用,被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网是互联网的应用拓展,与其说物联网是网络,不如说物联网是业务和应用。因此,应用创新是物联网发展的核心,以用户体验为核心的创新2.0是物联网发展的灵魂。
