物聯(lián)網(wǎng)信息安全第0章物聯(lián)網(wǎng)安全概述-1

物聯(lián)網(wǎng)信息平安李永忠江蘇科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院TEL：E-mal：第1章物聯(lián)網(wǎng)平安概述1.1物聯(lián)網(wǎng)平安概述1.1.1物聯(lián)網(wǎng)概念與開(kāi)展歷程物聯(lián)網(wǎng)〔InternetofThings〕是一個(gè)基于互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)等信息承載體，讓所有能夠被獨(dú)立尋址的普通物理對(duì)象實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)。它具有普通對(duì)象設(shè)備化、自治終端互聯(lián)化和普適效勞智能化3個(gè)重要特征。

[1]劉云浩.物聯(lián)網(wǎng)導(dǎo)論[M],北京:科學(xué)出版社,2021另外一個(gè)國(guó)內(nèi)被普遍引用的物聯(lián)網(wǎng)定義是來(lái)自百度百科和互動(dòng)百科的定義，雖然沒(méi)有經(jīng)過(guò)官方審定，但是傳播范圍很廣：通過(guò)RFID、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)連接起來(lái)，進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。下面先回憶一下物聯(lián)網(wǎng)的開(kāi)展歷程，然后介紹如何理解物聯(lián)網(wǎng)概念。括號(hào)局部是我們對(duì)事件的評(píng)論。后面的章節(jié)選材和內(nèi)容組織在某種程度上與這些事件相照應(yīng)。物聯(lián)網(wǎng)的特點(diǎn)是融合了無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)，擴(kuò)大了接入Internet網(wǎng)絡(luò)的設(shè)備的規(guī)?！渤擞?jì)算機(jī)外，還有大量的微型計(jì)算設(shè)備〕，使得網(wǎng)絡(luò)連接的范圍更廣。加上這些設(shè)備如傳感器節(jié)點(diǎn)具有感知外部環(huán)境的功能，有些設(shè)備如RFID具有標(biāo)識(shí)附著的物體的能力，這些設(shè)備還可以借助衛(wèi)星定位系統(tǒng)如GPS，可被定位和追蹤，這些都使得人類(lèi)具有比以前更加強(qiáng)大的獲取信息的能力。如果這些設(shè)備還能夠具備行動(dòng)能力，那么人類(lèi)具有比以前更加強(qiáng)大的控制能力。這些使得人類(lèi)具有前所未有的能力去感知、標(biāo)識(shí)、跟蹤、聯(lián)接、控制、管理地球上的物體的一舉一動(dòng)，好比給地球加上了一個(gè)神經(jīng)系統(tǒng)。這個(gè)神經(jīng)系統(tǒng)有末梢〔物聯(lián)網(wǎng)終端系統(tǒng)〕、有傳導(dǎo)〔網(wǎng)絡(luò)通信系統(tǒng)〕、以及處理〔如云計(jì)算、信息與網(wǎng)絡(luò)中心等〕。圖1.1物聯(lián)網(wǎng)體系架構(gòu)

感知層包括以傳感器為代表的感知設(shè)備、以RFID為代表的識(shí)別設(shè)備、GPS〔北斗系統(tǒng)〕等定位追蹤設(shè)備、以及可能融合局部或全部上述功能的智能終端〔〕等。大規(guī)模的感知那么構(gòu)成了無(wú)線傳感器網(wǎng)絡(luò)。另外，M2M的終端設(shè)備，智能物體都可視為感知層中的物體。感知層是物聯(lián)網(wǎng)信息和數(shù)據(jù)的來(lái)源。網(wǎng)絡(luò)層包括接入網(wǎng)、核心網(wǎng)以及效勞端系統(tǒng)〔云計(jì)算平臺(tái)、信息網(wǎng)絡(luò)中心、數(shù)據(jù)中心等〕。接入網(wǎng)可以是無(wú)線近距離接入，如無(wú)線局域網(wǎng)、Zigbee、Bluetooth、紅外。也可以是無(wú)線遠(yuǎn)距離接入，如移動(dòng)通信網(wǎng)絡(luò)、WiMAX等。也可能其他接入形式如有線網(wǎng)絡(luò)接入〔PSTN、ADSL、寬帶〕、有線電視、現(xiàn)場(chǎng)總線、衛(wèi)星通信等。網(wǎng)絡(luò)層的承載是核心網(wǎng)，通常是IPv6〔IPv4〕網(wǎng)絡(luò)。網(wǎng)絡(luò)層是物聯(lián)網(wǎng)信息和數(shù)據(jù)的傳輸層，此外，網(wǎng)絡(luò)層也包括信息存儲(chǔ)查詢(xún)、網(wǎng)絡(luò)管理等功能。云計(jì)算平臺(tái)作為海量感知數(shù)據(jù)的存儲(chǔ)、分析平臺(tái)，是物聯(lián)網(wǎng)網(wǎng)絡(luò)層的重要組成局部，也是應(yīng)用層眾多應(yīng)用的根底。應(yīng)用層利用經(jīng)過(guò)分析處理的感知數(shù)據(jù)為用戶(hù)提供豐富的特定效勞，這些效勞通常是在具備感知、識(shí)別、定位追蹤能力后新增加的功能，如智能電網(wǎng)、智能物流、遠(yuǎn)程醫(yī)療、智能交通、智能家居、環(huán)境監(jiān)控等。依靠感知層提供的數(shù)據(jù)和網(wǎng)絡(luò)層的傳輸，進(jìn)行相應(yīng)的處理后，可能再次通過(guò)網(wǎng)絡(luò)層反響給感知層。應(yīng)用層是物聯(lián)網(wǎng)信息和數(shù)據(jù)的融合處理和利用，是物聯(lián)網(wǎng)開(kāi)展的目的?！?〕M2M，通常是指通過(guò)遠(yuǎn)距離無(wú)線移動(dòng)通信網(wǎng)絡(luò)〔例如GPRS，TD-SCDMA等〕的設(shè)備間的通信，如終端設(shè)備與中心效勞器間通信的智能抄表，以及兩個(gè)廣域網(wǎng)的設(shè)備間的通信〔通過(guò)中心效勞器轉(zhuǎn)接〕。M2M的主要作用是為遠(yuǎn)端設(shè)備提供無(wú)線通信接入Internet的能力。M2M很多時(shí)候可視為一種接入方式，這種接入方式和無(wú)線移動(dòng)通信網(wǎng)中以人為中心的接入方式不同，M2M中接入的對(duì)象是設(shè)備，且這些設(shè)備通常是無(wú)人看守的〔因此M2M設(shè)備可能是機(jī)卡一體的〕。當(dāng)然，廣義上M2M可泛指所有機(jī)器之間的通信，涵蓋控制系統(tǒng)間的通信。M2M通常是移動(dòng)通信運(yùn)營(yíng)商在推動(dòng)，可視為遠(yuǎn)距離無(wú)線移動(dòng)通信網(wǎng)絡(luò)的接入端從以人為中心向以設(shè)備為中心演進(jìn)。國(guó)際電信聯(lián)盟〔ITU〕在2005年的物聯(lián)網(wǎng)報(bào)告中，描述了一個(gè)物聯(lián)網(wǎng)應(yīng)用場(chǎng)景。這是2021年日常生活的一天。一個(gè)來(lái)自西班牙的23歲名叫Rosa的學(xué)生，剛剛同男朋友吵完架，想要獨(dú)處一段時(shí)間。她決定私自駕駛自己的智能汽車(chē)去法國(guó)阿爾卑斯山的一個(gè)滑雪勝地度周末。但是她必須先去修理廠，因?yàn)槠?chē)的傳感系統(tǒng)提醒她輪胎可能壞了。當(dāng)她進(jìn)入修車(chē)廠入門(mén)通道的時(shí)候，基于傳感器的診斷工具已經(jīng)為她的車(chē)作了全面檢查，并根據(jù)檢查的結(jié)果引導(dǎo)她的車(chē)開(kāi)進(jìn)一個(gè)配備有自動(dòng)機(jī)器人手的專(zhuān)門(mén)修理站點(diǎn)。Rosa下車(chē)后去喝杯咖啡，飲料自動(dòng)售貨機(jī)知道Rosa喜歡冰咖啡，所以在Rosa揮舞網(wǎng)絡(luò)手表付賬后得到了一杯她想要的冰咖啡。當(dāng)Rosa回來(lái)時(shí)，一對(duì)新的后輪胎〔裝有傳感器和RFID〕已經(jīng)安裝好了。機(jī)器人然后提示Rosa新輪胎上與隱私有關(guān)的選項(xiàng)，存儲(chǔ)在汽車(chē)控制系統(tǒng)中的信息是為維護(hù)和維修用的，但在汽車(chē)行駛中如果周?chē)蠷FID讀寫(xiě)器，這些信息將被讀取到。Rosa不想任何人知道〔特別是她男友〕知道她去哪里，所以她選擇把這些信息設(shè)為被保護(hù)，防止被無(wú)權(quán)限的人看到。終于，Rosa可以開(kāi)車(chē)去最近的商業(yè)街購(gòu)物了。她想買(mǎi)有內(nèi)嵌媒體播放器和溫度調(diào)節(jié)功能的單板滑雪服。由于她要去的滑雪場(chǎng)已經(jīng)通過(guò)無(wú)線傳感器網(wǎng)絡(luò)監(jiān)測(cè)到雪崩的可能性很小，所以她感到去那里很平安。在通過(guò)法國(guó)和西班牙邊境時(shí)，她不需要停留，因?yàn)樗能?chē)?yán)锉４娣帕怂鸟{照和護(hù)照，在越過(guò)邊境的時(shí)候，這些信息被自動(dòng)傳輸?shù)竭吘晨刂蒲b置中自動(dòng)檢查放行。突然，Rosa從她的太陽(yáng)鏡上收到一個(gè)視頻尋呼，她趕緊把車(chē)停到路邊，她看到男友正請(qǐng)求原諒并問(wèn)她是否想一起度周末。這時(shí)她心情正好不錯(cuò)，于是她脫口而出，對(duì)導(dǎo)航系統(tǒng)發(fā)出了撤銷(xiāo)隱私保護(hù)的語(yǔ)音命令，這樣她的男友就可以看到她現(xiàn)在位置趕過(guò)來(lái)。圖1.2物聯(lián)網(wǎng)平安的總體概貌從物聯(lián)網(wǎng)的架構(gòu)出發(fā)，進(jìn)行物聯(lián)網(wǎng)平安的分類(lèi)，可給出一個(gè)物聯(lián)網(wǎng)平安架構(gòu)的層次模型，如圖1.3所示。這也是本書(shū)將要論述的主要內(nèi)容，在每個(gè)論題中盡量選取了典型的網(wǎng)絡(luò)情形和有代表性的平安問(wèn)題。圖1.3物聯(lián)網(wǎng)平安架構(gòu)的層次模型

下面給出一個(gè)物聯(lián)網(wǎng)平安分析與設(shè)計(jì)的參考流程圖，如圖1.4所示。該流程圖從感知層需求出發(fā)，根據(jù)網(wǎng)絡(luò)架構(gòu)的選擇，確定相應(yīng)的平安問(wèn)題及其解決方案的范圍。其中有些步驟不是嚴(yán)格區(qū)分的，但總體流程可作為實(shí)際中物聯(lián)網(wǎng)平安分析和設(shè)計(jì)的參考。圖1.4物聯(lián)網(wǎng)平安設(shè)計(jì)的參考流程圖1.2網(wǎng)絡(luò)平安問(wèn)題的一般性討論1.2.1物聯(lián)網(wǎng)平安與相關(guān)學(xué)科的關(guān)聯(lián)為便于了解物聯(lián)網(wǎng)平安的學(xué)科全貌，本節(jié)討論物聯(lián)網(wǎng)平安與相關(guān)學(xué)科的關(guān)聯(lián)。依據(jù)?信息平安專(zhuān)業(yè)指導(dǎo)性專(zhuān)業(yè)標(biāo)準(zhǔn)?，信息平安專(zhuān)業(yè)的研究?jī)?nèi)容可劃分為四個(gè)領(lǐng)域：密碼學(xué)、網(wǎng)絡(luò)平安、信息系統(tǒng)平安和信息內(nèi)容平安。物聯(lián)網(wǎng)平安應(yīng)主要屬于信息平安中的網(wǎng)絡(luò)平安領(lǐng)域，特別是無(wú)線網(wǎng)絡(luò)〔含通信網(wǎng)〕平安的范疇，但是，由于物聯(lián)網(wǎng)的概念涵蓋的范圍非常廣泛，例如包括了物聯(lián)網(wǎng)的終端系統(tǒng)〔如RFID、傳感器節(jié)點(diǎn)、數(shù)據(jù)庫(kù)系統(tǒng)以及效勞器等〕，于是信息系統(tǒng)平安的內(nèi)容如操作系統(tǒng)平安〔如嵌入式操作系統(tǒng)、操作系統(tǒng)平安〕、軟件平安〔智能病毒〕、數(shù)據(jù)庫(kù)平安等也會(huì)涉及。本書(shū)將重點(diǎn)討論物聯(lián)網(wǎng)平安的網(wǎng)絡(luò)平安局部，包括無(wú)線網(wǎng)絡(luò)〔如大局部接入網(wǎng)的平安〕和有線網(wǎng)絡(luò)平安〔如IP核心網(wǎng)平安〕，特別是具有物聯(lián)網(wǎng)平安自身特色的內(nèi)容，如6LoWPAN平安、智能電網(wǎng)、EPCglobal網(wǎng)絡(luò)以及M2M，以區(qū)別一般的網(wǎng)絡(luò)平安和無(wú)線網(wǎng)絡(luò)平安。圖1.5在文獻(xiàn)[2]的根底上進(jìn)行了修改，標(biāo)明了物聯(lián)網(wǎng)平安課程在信息平安專(zhuān)業(yè)中的位置。圖1.5物聯(lián)網(wǎng)平安在信息平安中的位置〔側(cè)重于網(wǎng)絡(luò)平安方向〕[2]杜瑞穎,張煥國(guó),王麗娜,陳晶,本科信息平安專(zhuān)業(yè)課程體系研究[J],計(jì)算機(jī)教育，2021年18期這里簡(jiǎn)要回憶一下相關(guān)學(xué)科的全貌。1．信息平安針對(duì)信息平安的攻擊，主要包括主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊主要是信息的截取〔Interception〕，指未授權(quán)地竊聽(tīng)傳輸?shù)男畔?，企圖分析出消息內(nèi)容或者是通信模式。主動(dòng)攻擊包括：〔1〕中斷〔Interruption〕，阻止通信設(shè)施的正常工作，破壞可用性?！?〕篡改〔Modification〕，更改數(shù)據(jù)流。〔3〕偽造〔Fabrication〕，將一個(gè)非法實(shí)體偽裝成一個(gè)合法的實(shí)體?！?〕重放〔Replay〕攻擊，將一個(gè)數(shù)據(jù)單元截獲后進(jìn)行重傳?！?〕認(rèn)證性〔Authentication〕。指確保一個(gè)消息的來(lái)源或者消息本身被正確地標(biāo)識(shí)，同時(shí)確保該標(biāo)識(shí)沒(méi)有被偽造，認(rèn)證分為消息鑒別和實(shí)體認(rèn)證。消息鑒別是指接收方保證消息確實(shí)來(lái)自于所聲稱(chēng)的來(lái)源；實(shí)體認(rèn)證指能確保被認(rèn)證實(shí)體是所聲稱(chēng)的實(shí)體，第三方不能假冒被認(rèn)證的實(shí)體?！?〕不可否認(rèn)性〔Non-Repudiation〕。指能保證用戶(hù)無(wú)法事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為。當(dāng)發(fā)送一個(gè)消息時(shí)，接收方能證實(shí)該消息確實(shí)是由既定的發(fā)送方發(fā)來(lái)的，稱(chēng)為源不可否認(rèn)性；同樣，當(dāng)接收方收到一個(gè)消息時(shí)，發(fā)送方能夠證實(shí)該消息確實(shí)已經(jīng)送到了指定的接收方，稱(chēng)為宿不可否認(rèn)性。一般通過(guò)數(shù)字簽名來(lái)提供不可否認(rèn)效勞。圍繞著密碼學(xué)要到達(dá)的目標(biāo)，可以將密碼學(xué)的實(shí)現(xiàn)方案分類(lèi)成各種工具。圖1.6給出了密碼學(xué)內(nèi)容的構(gòu)成，并圍繞著平安目標(biāo)給出了各內(nèi)容間的聯(lián)系。圖1.6密碼學(xué)的內(nèi)容構(gòu)成以及密碼學(xué)研究?jī)?nèi)容間的關(guān)系1.2.2一般性平安威脅及其具體表現(xiàn)從信息平安角度來(lái)說(shuō)，平安威脅是指某個(gè)人、物體或事件對(duì)某一資源的保密性、完整性、可用性或合法使用性所造成的危險(xiǎn)。平安威脅可分為成心的和偶然的，成心的威脅又可進(jìn)一步分為主動(dòng)的和被動(dòng)的。偶然的威脅是隨機(jī)的，通常從可靠性和容錯(cuò)性角度進(jìn)行分析；成心的威脅具有智能性，危害性更大，通常是平安分析中的主要內(nèi)容。被動(dòng)威脅只對(duì)信息進(jìn)行監(jiān)聽(tīng)，而不進(jìn)行修改。主動(dòng)威脅包括對(duì)信息進(jìn)行成心篡改〔包含插入、刪減、添加等〕、偽造虛假信息等。對(duì)每一種可能的攻擊行為都要從攻擊方法、攻擊可能導(dǎo)致的后果、攻擊者的數(shù)量與位置、實(shí)施這種攻擊的可能性、攻擊產(chǎn)生的先決條件和特征等方面進(jìn)行分析，以便采取相應(yīng)的平安對(duì)策。通常，網(wǎng)絡(luò)環(huán)境中平安威脅的具體表現(xiàn)主要有以下３個(gè)方面。〔1〕無(wú)線以及有線鏈路上存在的平安威脅：通常在制定網(wǎng)絡(luò)平安方案時(shí)，無(wú)線鏈路的平安威脅都需要得到充分的考慮，此外，與無(wú)線鏈路相連的有線鏈路〔可能是骨干核心網(wǎng)〕也需要同時(shí)加以考慮?？紤]鏈路中的平安邊界。由于先前一些無(wú)線網(wǎng)絡(luò)中的有線鏈路局部可視為不開(kāi)放的獨(dú)立網(wǎng)絡(luò)，其平安隱患往往被無(wú)視，但隨著無(wú)線網(wǎng)絡(luò)的不斷開(kāi)展和互連，先前的有線骨干核心網(wǎng)絡(luò)局部可能不再是孤立和封閉的，有線鏈路受到的威脅也需要加以考慮。具體表現(xiàn)如下:①攻擊者被動(dòng)竊聽(tīng)鏈路上的未加密信息，或者收集并分析使用弱密碼體制加密的信息。②攻擊者篡改、插入、添加或刪除鏈路上的數(shù)據(jù)。攻擊者重放截獲的信息已到達(dá)欺騙的目的。③因鏈路被干擾或攻擊而導(dǎo)致移動(dòng)終端和無(wú)線網(wǎng)絡(luò)的信息不同步或者效勞中斷。④攻擊者從鏈路上非法獲取用戶(hù)的隱私，包括定位、追蹤合法用戶(hù)的位置、記錄用戶(hù)使用過(guò)的效勞、根據(jù)鏈路流量特征推測(cè)用戶(hù)個(gè)人行為的隱私等?！?〕網(wǎng)絡(luò)實(shí)體上存在的平安威脅：具體表現(xiàn)如下。①攻擊者偽裝成合法用戶(hù)使用網(wǎng)絡(luò)效勞。攻擊者偽裝成合法網(wǎng)絡(luò)實(shí)體欺騙用戶(hù)使其接入，或者與其他網(wǎng)絡(luò)實(shí)體進(jìn)行通信，從而獲取有效的用戶(hù)信息，便于展開(kāi)進(jìn)一步攻擊。②合法用戶(hù)超越原有權(quán)限使用網(wǎng)絡(luò)效勞。③攻擊者針對(duì)無(wú)線網(wǎng)絡(luò)實(shí)施阻塞、干擾等攻擊。④用戶(hù)否認(rèn)其使用過(guò)某種效勞、資源、或完成的某種行為。表1.1具體平安威脅與根本平安威脅的對(duì)應(yīng)關(guān)系從網(wǎng)絡(luò)通信效勞〔通信網(wǎng)平安〕的角度來(lái)看，平安防護(hù)措施通常稱(chēng)為平安業(yè)務(wù)，具體如表1.2所示。表1.2與平安威脅相對(duì)應(yīng)的平安業(yè)務(wù)表1.2的平安業(yè)務(wù)主要來(lái)自信息平安中的密碼學(xué)角度，如果加上計(jì)算機(jī)網(wǎng)絡(luò)平安的效勞那么還包括平安報(bào)警、平安響應(yīng)和平安審計(jì)等平安效勞。1.2.3*解決物聯(lián)網(wǎng)網(wǎng)絡(luò)平安問(wèn)題的一般思路物聯(lián)網(wǎng)平安問(wèn)題應(yīng)該通過(guò)分析物聯(lián)網(wǎng)的特點(diǎn)和特征入手，緊密結(jié)合具體實(shí)際應(yīng)用分析平安需求，其討論空間涵蓋了無(wú)線網(wǎng)絡(luò)平安和有線網(wǎng)絡(luò)的平安，需要兼顧的知識(shí)面更為寬泛。由于本書(shū)的側(cè)重點(diǎn)是物聯(lián)網(wǎng)平安的網(wǎng)絡(luò)平安局部，因此，很大程度上可以借鑒針對(duì)無(wú)線網(wǎng)絡(luò)平安的研究方法。在具體分析物聯(lián)網(wǎng)平安問(wèn)題時(shí)，可參考的一般思路如下〔如圖1.7所示〕。圖1.7解決物聯(lián)網(wǎng)平安問(wèn)題的一般思路〔1〕分析對(duì)系統(tǒng)的假設(shè)和約定?！?〕分析網(wǎng)絡(luò)的體系結(jié)構(gòu)，明確網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)〔星形、網(wǎng)狀、分層樹(shù)狀、單跳還是多跳網(wǎng)絡(luò)、拓?fù)浣Y(jié)構(gòu)是否變化、節(jié)點(diǎn)是否移動(dòng)、節(jié)點(diǎn)移動(dòng)的速度范圍〕、通信類(lèi)型〔單播、組播、播送等〕、鏈路特征參數(shù)〔帶寬、吞吐率、延遲〕、網(wǎng)絡(luò)規(guī)?！补?jié)點(diǎn)數(shù)量、網(wǎng)絡(luò)覆蓋面積〕、業(yè)務(wù)數(shù)據(jù)類(lèi)型〔語(yǔ)音、數(shù)據(jù)、多媒體、控制指令〕等?！?〕分析網(wǎng)絡(luò)的業(yè)務(wù)構(gòu)成〔工作流程、操作過(guò)程〕，涉及的實(shí)體〔角色〕、業(yè)務(wù)通信的根本內(nèi)容等，思考這些實(shí)體和通信內(nèi)容可能面臨的平安威脅。〔4〕分析網(wǎng)絡(luò)和系統(tǒng)中的信任模型，明確方案涉及的相關(guān)實(shí)體和通信鏈路的信任程度，即通信鏈路或者實(shí)體是可信、半可信還是不可信的，思考并確定平安的邊界。〔5〕分析攻擊網(wǎng)絡(luò)和系統(tǒng)的敵手模型：是內(nèi)部還是外部攻擊，是主動(dòng)還是被動(dòng)攻擊，思考對(duì)敵手能力的設(shè)定〔固定敵手還是移動(dòng)敵手〕，給出一些典型的攻擊場(chǎng)景，以及對(duì)這些攻擊可能導(dǎo)致的后果?！?〕從存在的威脅中歸納出共性的平安需求。通常的思路是從信息平安根本平安需求的角度來(lái)分析，包括保密性、認(rèn)證性、完整性、可用性