| 作者 |
| [美] 阿迪蒂亚·古普塔(Aditya Gupta) 等 |
| 丛书名 |
| 网络空间安全技术丛书 |
| 出版社 |
| 机械工业出版社 |
| ISBN |
| 9782112151820 |
| 简要 |
| 简介 |
| 内容简介书籍计算机书籍 ---------------------------8084956 - 物联网安全实战--------------------------- 本书涉及物联网的多个主题,涵盖硬件开发、嵌入式开发、固件开发和无线电开发(如BLE和ZigBee)等物联网开发技术,还介绍了物联网设备中的常见漏洞,并讲述使用安全工具进行安全防护的方法。读者可以用本书介绍的方法解决实际的物联网安全问题,维护物联网环境的安全。 ---------------------------8067794 - 物联网安全(原书第2版)--------------------------- 本书可以分为四部分,第一部分(第1章和第2章)主要介绍物联网基本概念、面对的威胁,以及主要分析方法;第二部分(第3~5章)分别从开发、设计、运维角度对如何保障物联网安全进行了介绍;第三部分(第6章和第7章)介绍应用密码学基础知识及其在物联网中的应用;第四部分(第8~11章)针对物联网特点,从隐私保护、合规性监管、云安全、安全事件响应与取证等人们较为关心的问题进行了专门的介绍。 |
| 目录 |
| [套装书具体书目] 8067794 - 物联网安全(原书第2版) - 9787111647850 - 机械工业出版社 - 定价 79 8084956 - 物联网安全实战 - 9787111695233 - 机械工业出版社 - 定价 79 ---------------------------8084956 - 物联网安全实战--------------------------- 译者序 前言 关于作者 第1章 物联网概述 1 1.1 早期的物联网安全问题 3 1.1.1 Nest恒温器 3 1.1.2 飞利浦智能家电 3 1.1.3 Lifx智能灯泡 4 1.1.4 智能汽车 5 1.1.5 Belkin Wemo 5 1.1.6 胰岛素泵 6 1.1.7 智能门锁 6 1.1.8 智能手枪 7 1.2 物联网系统框架 8 1.3 物联网存在安全漏洞的原因 10 1.3.1 开发人员缺乏安全意识 10 1.3.2 宏观视角不足 10 1.3.3 供应链带来的安全问题 10 1.3.4 使用不安全的开发框架和第三方库 11 1.4 小结 11 第2章 物联网渗透测试 12 2.1 什么是物联网渗透测试 12 2.2 攻击面映射 13 2.3 如何实施攻击面映射 13 2.3.1 嵌入式设备 14 2.3.2 固件、软件和应用程序 15 2.3.3 无线电通信 17 2.3.4 创建攻击面映射图 19 2.4 构建渗透测试 22 2.4.1 客户参与和初步讨论 23 2.4.2 更多的技术讨论和信息通报 23 2.4.3 攻击者模拟利用 24 2.4.4 补救措施 24 2.4.5 重新评估 24 2.5 小结 25 第3章 硬件分析 26 3.1 外观检查 26 3.1.1 实例 27 3.1.2 找到输入和输出端口 28 3.1.3 内部检查 29 3.1.4 分析数据手册 32 3.1.5 什么是FCC ID 33 3.1.6 组件封装 36 3.2 无线电芯片组 37 3.3 小结 37 第4章 UART通信 38 4.1 串行通信 38 4.2 UART概述 40 4.3 UART数据包 40 4.4 波特率 42 4.5 用于UART开发的连接 43 4.5.1 确定UART引脚 45 4.5.2 Attify Badge 46 4.5.3 建立最终连接 48 4.5.4 确定波特率 48 4.5.5 设备交互 49 4.6 小结 52 第5章 基于I2C和SPI的设备固件获取 53 5.1 I2C 53 5.2 为什么不使用SPI或者UART 54 5.3 串行外设接口SPI 54 5.4 了解EEPROM 55 5.5 基于I2C的设备分析 56 5.6 I2C和Attify Badge的连接应用 58 5.7 深入了解SPI 61 5.8 从SPI EEPROM读写数据 62 5.9 使用SPI和Attify Badge转储固件 68 5.10 小结 71 第6章 JTAG调试分析 72 6.1 边界扫描 72 6.2 测试访问口 74 6.3 边界扫描指令 74 6.4 JTAG调试 75 6.5 识别JTAG的引脚 76 6.5.1 使用JTAGulator 77 6.5.2 使用带有JTAGEnum的Arduino 79 6.6 OpenOCD 81 6.6.1 安装用于JTAG调试的软件 81 6.6.2 用于JTAG调试的硬件 82 6.7 JTAG调试前的准备 83 6.8 基于JTAG的固件读写 86 6.8.1 将数据和固件的内容写入设备 87 6.8.2 从设备中转储数据和固件 87 6.8.3 从设备中读取数据 88 6.8.4 使用GDB调试JTAG 88 6.9 小结 93 第7章 固件逆向分析 94 7.1 固件分析所需的工具 94 7.2 了解固件 95 7.3 如何获取固件的二进制文件 96 7.4 固件内部的情况 102 7.5 加密的固件 106 7.6 模拟固件二进制文件 111 7.7 模拟完整固件 114 7.8 固件后门 117 7.8.1 创建和编译后门并在MIPS架构上运行 118 7.8.2 修改entries文件并在某个位置设置后门,以便启动时自动加载 122 7.9 运行自动化固件扫描工具 126 7.10 小结 128 第8章 物联网中的移动、Web和网络漏洞利用 129 8.1 物联网中的移动应用程序漏洞 129 8.2 深入了解安卓应用程序 130 8.3 逆向分析安卓应用程序 130 8.4 硬编码的敏感信息 133 8.5 逆向加密 139 8.6 基于网络的漏洞利用 143 8.7 物联网中Web应用程序的安全性 145 8.7.1 访问Web接口 145 8.7.2 利用命令注入 149 8.7.3 固件版本差异比对 153 8.8 小结 155 第9章 软件无线电 156 9.1 SDR所需的硬件和软件 157 9.2 SDR 157 9.3 建立实验环境 157 9.4 SDR的相关知识 159 9.4.1 调幅 159 9.4.2 调频 160 9.4.3 调相 161 9.5 常用术语 161 9.5.1 发送器 161 9.5.2 模拟-数字转换器 161 9.5.3 采样率 162 9.5.4 快速傅里叶变换 162 9.5.5 带宽 162 9.5.6 波长 162 9.5.7 频率 162 9.5.8 天线 163 9.5.9 增益 164 9.5.10 滤波器 165 9.6 用于无线电信号处理的GNURadio 165 9.7 确定目标设备的频率 173 9.8 数据分析 176 9.9 使用GNURadio解码数据 178 9.10 重放无线电包 182 9.11 小结 184 第10章 基于ZigBee和BLE的漏洞利用 185 10.1 ZigBee基本知识 185 10.1.1 了解ZigBee通信 186 10.1.2 ZigBee所需硬件 187 10.1.3 ZigBee安全 187 10.2 低功耗蓝牙 196 10.2.1 BLE内部结构和关联 197 10.2.2 与BLE设备交互 200 10.2.3 基于BLE智能灯泡的漏洞利用 207 10.2.4 嗅探BLE数据包 208 10.2.5 基于BLE智能锁的漏洞利用 214 10.2.6 重放BLE数据包 215 10.3 小结 216 ---------------------------8067794 - 物联网安全(原书第2版)--------------------------- 译者序 关于作者 关于审校人员 前言 第1章 勇敢的新世界 1 1.1 物联网的定义 2 1.2 网络安全与物联网安全 4 1.3 物联网的现状 5 1.3.1 基于物联网赋能的电网 6 1.3.2 交通运输系统的现代化 7 1.3.3 智能制造 8 1.3.4 遍布全球的智慧城市 8 1.3.5 跨行业协作的重要性 9 1.4 物联网生态系统 10 1.4.1 物理设备与控制器 11 1.4.2 互联互通 14 1.4.3 消息传输协议 17 1.4.4 数据汇聚 20 1.4.5 数据抽象 21 1.4.6 应用 21 1.4.7 协作与处理 23 1.5 物联网的未来 24 1.5.1 自治系统 24 1.5.2 认知系统 24 1.6 本章小结 25 第2章 漏洞、攻击及应对措施 26 2.1 威胁、漏洞和风险概述 26 2.1.1 信息保障的经典核心要求 26 2.1.2 威胁 28 2.1.3 漏洞 28 2.1.4 风险 29 2.2 攻击与应对措施概述 30 2.2.1 常见的物联网攻击类型 30 2.2.2 攻击树 32 2.2.3 故障树和信息物理系统 36 2.2.4 针对信息物理系统的攻击实例剖析 38 2.3 当前针对物联网的攻击手段 40 2.4 经验教训以及系统化方法的运用 44 2.5 本章小结 53 第3章 物联网设备的安全开发方法 54 3.1 安全开发生命周期 54 3.1.1 瀑布式开发 55 3.1.2 螺旋式开发 58 3.1.3 敏捷开发 60 3.1.4 DevOps 63 3.2 非功能性需求的处理 65 3.2.1 信息安全 66 3.2.2 功能安全 69 3.2.3 韧性 70 3.3 软件透明性需求 71 3.3.1 自动化的安全分析 71 3.3.2 研究团体的参与 72 3.4 本章小结 73 第4章 物联网设备的安全设计 74 4.1 物联网安全开发所面临的挑战 74 4.1.1 加快上市速度带来的影响 75 4.1.2 联网设备面临着纷至沓来的攻击 75 4.1.3 物联网设备给用户隐私带来了新的威胁 76 4.1.4 物联网产品与系统可能遭受物理入侵 76 4.1.5 经验丰富的安全工程师一将难求 77 4.2 安全设计的目标 77 4.2.1 设计能够抵御自动化攻击的物联网系统 78 4.2.2 设计能够保证连接点安全的物联网系统 78 4.2.3 设计能够保障机密性与完整性的物联网系统 80 4.2.4 设计功能安全的物联网系统 82 4.2.5 设计采用硬件保护措施的物联网系统 83 4.2.6 设计能够保证可用性的物联网系统 85 4.2.7 设计具备韧性的物联网系统 86 4.2.8 设计合规的物联网系统 90 4.3 本章小结 92 第5章 物联网安全运维生命周期 93 5.1 制定安全策略 94 5.2 定义系统角色 95 5.3 网关与网络的安全配置 96 5.3.1 确保WSN的安全 96 5.3.2 端口、协议与服务 97 5.3.3 网关 99 5.3.4 网络服务 100 5.3.5 网络分段与网络访问控制 100 5.4 设备引导与安全配置 100 5.5 威胁情报与漏洞跟踪体系的构建 102 5.5.1 漏洞跟踪 102 5.5.2 威胁情报 102 5.5.3 蜜罐 103 5.6 资产管理 103 5.7 密钥与证书的管理 104 5.8 账户、口令与授权的管理 105 5.9 固件管理与补丁更新 106 5.10 系统监控 106 5.11 相关人员的安全培训 108 5.11.1 面向员工的安全意识培训 108 5.11.2 针对物联网的安全管理培训 108 5.12 开展渗透测试 109 5.13 合规性管理 112 5.13.1 HIPAA 114 5.13.2 GDPR 114 5.13.3 合规性监控 114 5.14 安全事件管理 115 5.15 末期维护 116 5.16 本章小结 117 第6章 物联网安全工程中的密码学基础 118 6.1 密码学及其在保障物联网安全方面的作用 119 6.1.1 物联网中密码学基础算法的类型及用途 120 6.1.2 加密与解密算法 120 6.1.3 散列算法 124 6.1.4 数字签名算法 125 6.1.5 随机数生成算法 129 6.1.6 密码套件 130 6.2 密码模块原理 131 6.3 密钥管理基础 136 6.3.1 密钥生成 137 6.3.2 密钥建立 137 6.3.3 密钥导出 138 6.3.4 密钥存储 139 6.3.5 密钥托管 140 6.3.6 密钥生命周期 140 6.3.7 密钥清零 140 6.3.8 登记和管理 141 6.3.9 密钥管理相关建议总结 142 6.4 针对物联网协议加密控制措施的分析 143 6.4.1 物联网通信协议中的加密控制措施 143 6.4.2 物联网消息传输协议中的加密控制措施 146 6.5 物联网密码学的未来走向 147 6.5.1 加密的灵活性 148 6.5.2 后量子时代的加密技术 149 6.6 本章小结 149 第7章 物联网的身份标识与访问控制管理解决方案 150 7.1 物联网IAM介绍 150 7.2 身份标识生命周期 153 7.2.1 建立命名规则和唯一性要求 153 7.2.2 安全引导 155 7.2.3 认证信息和属性分发 157 7.2.4 账户监视和控制 158 7.2.5 账户更新 158 7.2.6 账户停用 158 7.2.7 账户或认证信息的撤销或删除 159 7.3 认证信息 159 7.3.1 口令 159 7.3.2 对称密钥 160 7.3.3 证书 160 7.3.4 生物特征 162 7.3.5 对物联网设备的授权 162 7.4 物联网IAM基础架构 163 7.4.1 802.1x 163 7.4.2 物联网PKI 163 7.5 授权和访问控制 168 7.5.1 OAuth 2.0 168 7.5.2 发布或订阅协议中的授权和访问控制 169 7.5.3 通信协议内的访问控制 170 7.5.4 基于区块链账本的去中心化信任 170 7.6 本章小结 172 第8章 物联网设备隐私泄露风险的缓解 173 8.1 物联网带来的隐私泄露挑战 174 8.1.1 复杂的共享环境 174 8.1.2 元数据中隐私信息的泄露 175 8.1.3 针对证书的新型隐私保护方法 176 8.1.4 隐私保护对物联网安全系统的影响 177 8.1.5 新型监控手段 177 8.2 物联网隐私影响评估指南 178 8.2.1 概述 178 8.2.2 政府部门 180 8.2.3 采集信息的刻画 180 8.2.4 采集信息的使用 182 8.2.5 安全 183 8.2.6 通知 184 8.2.7 数据驻留 184 8.2.8 信息共享 184 8.2.9 补救措施 185 8.2.10 审计和问责 185 8.3 隐私保护设计 186 8.4 隐私工程建议 188 8.4.1 机构中的隐私保护 188 8.4.2 隐私工程专家 189 8.4.3 隐私工程工作内容 189 8.4.4 隐私保护现状 190 8.5 本章小结 192 第9章 制定物联网合规性监管程序 193 9.1 物联网的合规性 194 9.1.1 以合规方式开展物联网系统的构建 195 9.1.2 物联网合规性监管程序实例 196 9.2 复杂合规环境 208 9.2.1 物联网合规面临的挑战 208 9.2.2 现有物联网合规性标准的分析 208 9.3 本章小结 211 第10章 物联网的云端安全 212 10.1 云在物联网系统中的作用 212 10.1.1 保障云端安全的理论方法 213 10.1.2 重回边缘 214 10.2 雾计算的概念 215 10.3 物联网云服务面临的威胁 216 10.4 物联网系统的云端安全服务 218 10.4.1 设备加载 218 10.4.2 密钥与证书管理 224 10.4.3 策略管理 225 10.4.4 持久化配置管理 227 10.4.5 网关安全 228 10.4.6 设备管理 229 10.4.7 合规监管 230 10.4.8 安全监控 230 10.5 本章小结 231 第11章 物联网安全事件响应与取证分析 232 11.1 功能安全和信息安全面临的威胁 233 11.2 物联网事件响应方案的制定、规划与实施 235 11.2.1 事件响应计划 235 11.2.2 云服务供应商所扮演的角色 238 11.2.3 物联网事件响应团队的构成 239 11.2.4 沟通计划 239 11.2.5 机构中事件响应计划的演练 240 11.3 检测与分析 240 11.3.1 对已遭受入侵系统的分析 242 11.3.2 涉及物联网设备的分析 243 11.3.3 响应等级提升与监控 243 11.3.4 抑制、消除与恢复 244 11.3.5 事后工作(恢复) 245 11.4 物联网取证 245 11.4.1 事后的设备取证 246 11.4.2 用于破案的新兴数据源 248 11.5 本章小结 249 |