第五章 物联网安全防护



                  二、物联网典型安全漏洞的防护

                  （一）应用通信加密技术
                  加密技术是解决物联网典型安全漏洞的重要措施，其原理是数据发送端利用
              某种密码算法，将明文信息转化为密文信息，数据接收端利用对应解密算法来还

              原为明文信息。当前，最具代表性的加密技术有：网络层安全协议 IPSec：IPSec
              应用的是封装安全载荷（ESP）、认证头（AH）、密钥管理协议（IKE）等技术，
              在通信环节中，数据发送方、接收方都可确认对方身份，在端到端传输中，对数

              据进行编码，确保通信数据的完整性与机密性。传输层安全协议 SSL/TLS：TLS
              建立在 SSL 规范基础上，SSL 是以 TCP 协议作为基础，比起来，TLS 协议规范
              更为安全、精确，提供加密数据、认证用户与服务器、维护数据完整性服务。

                  （二）应用身份认证技术
                  身份认证其目的是在通信双方间建立信任关系，通过认证方式来保证网络安
              全性，身份认证技术包括如下几类：

                  基于口令的身份认证技术：基于口令的身份认证技术是应用“用户名 + 密码”
              的方式实现，在登录系统时，系统会对输入的用户名、密码进行对比，如果通过
              认证，表示身份合法。但是，用户名、密码都是静态数据，很容易受到窃取、攻击，
              验证信息也很容易被攻击者拦截，因此基于口令的身份认证技术安全系数不高。

                  双因素身份认证技术：双因素身份认证技术属于基于口令的认证技术，在验
              证用户身份时，需要同时提供静态与动态口令，只有两者都通过，才能够登录系
              统，一般应用在网络游戏、电子等领域。这种认证技术是一种不可预测的随机数

              字组合，每次的口令不同，且只能够使用一次。
                  基于数字证书的身份认证技术：数字证书属于权威化的电子文档，包括多种
              数据，多应用在 Web 服务器、浏览器客户端的身份校验，该种认证方式依赖于
              CA 认证机构。数字证书应用的是非对称密码体制，也被称之为 X509 证书，可

              用于多种应用层协议身份认证。
                  （三）MQTT 通信加密技术
                  目前，应用最广泛的通信协议加密技术就是 IPSec 与 TLS，这两种技术具有

              几个差异：
                  在部署与管理成本上，IPSse 需要 IT 技术的支持，管理成本较高，TLS 则相反，


                                                                                  ·143·