课程介绍分身术水彩小物团练2023年第1期文件目录课件.zi1-水彩花卉植物示范01.m42-水彩花卉植物示范02.m43-作业讲解-3.m44-【甜品＋动物】主题示范.m45-【甜品+动物】主题示范2.m46-【甜品+动物】主题示范3.m47-【甜品+动物】主题示范4-2.m47-【甜品+动物】主题示范4.m48-魔法主题-1.m49-魔法主题-2.m410-魔法主题--排版5.m411-作业修改.m412-主题示范—中秋（草稿篇）.m413-主题中秋古风（线稿篇）.m414-魔法主题上色4.m415-魔法主题上色3.m416-自选主题中秋（铺色篇）.m417-自选中秋主题（细化篇）.m418-作业修改.m419-中秋主题（小物篇）.m420-【加课】随性小物-2.m420-【加课】随性小物-3.m420-【加课】随性小物.m421-【加课】随性小物2-1.m421-【加课】随性小物2-2.m421-【加课】随性小物2-3.m422-作业修改-2.zi22-作业修改.m4...

2024-02-21 小物set 小物物图片

...

2023-12-30 薄膜材料表面电阻测试 薄膜材料表面溅射镀膜哪个好一点

...

2023-12-28 发电机租赁 24小时提供服务

...

2023-12-27 储物柜 公司成立条件 储物柜 公司成立时间

...

2023-12-27 储物柜 智能快递柜怎么用 储物柜 智能快递柜是什么

...

2023-12-27

...

2023-12-27 汽车租赁公司租车流程 汽车租赁公司租车给无证驾驶人员该怎么处理

图书名称：《STM32库开发与物联网编程实战》【作者】苏渤力主编【页数】255【出版社】北京：中国铁道出版社,2021.12【ISBN号】978-7-113-28447-3【价格】56.00【分类】微控制器-系统设计-高等学校-教材-物联网-程序设计-高等学校-教材【参考文献】苏渤力主编.STM32库开发与物联网编程实战.北京：中国铁道出版社,2021.12.图书封面：《STM32库开发与物联网编程实战》内容提要：本教材围绕“全面振兴本科教育”的任务而编写。教材分两大部分来编写，第一部分为第一章到第九章，介绍32位微控制器的结构原理和各种外设（GPIOx、EXTI、TIM基本定时器和高级定时器、USART星通信、I2C接口、SPI接口、模数转换器ADC和数模转换器DAC）的原理及如何编程使用，同时采用固件库编程方法，编写大量程序设计案例。第二部分为第十章和第十一章，介绍终端设备的实时监测数据，如何上传到物联网云平台。第十章介绍EDP协议、HTTP协议以及MQTT协议。第十一章“端+云”案例设计，介绍了WiFi通信联网模式，案例为大棚远程实时温湿度传感系统设计和实时计步器设计。介绍了4G通信联网模式，案例为危化品运输卫星定位追踪系统设计。...

2023-12-21 epub电子书下载网 epub电子书下载

经营租赁（OeratigLeae）经营租赁是指出租人将资产出租给承租人使用，并收取租金。出租人保留资产的所有权，承租人则获得使用权。经营租赁通常是短期租赁，期限为一年或几年。融资租赁（FiaceLeae）融资租赁是指出租人将资产出售给承租人，但由承租人分期支付租金。承租人在租赁期内获得资产的所有权，并在租赁期结束时拥有该资产。融资租赁通常是长期租赁，期限为五年或更长。经营租赁与融资租赁的区别|特征|经营租赁|融资租赁||---|---|---||所有权|出租人|承租人||租赁期限|短期（一年或几年）|长期（五年或更长）||租金|租金通常是基于资产的市场价值和租赁期限|租金通常是基于资产的购买价格和租赁期限||税收处理|租金作为费用计入承租人的损益表|租金作为资产计入承租人的资产负债表，并作为折旧费用计入损益表||资产负债表影响|不对承租人的资产负债表产生影响|对承租人的资产负债表产生影响|经营租赁和融资租赁的优缺点经营租赁的优点不会增加承租人的债务可以提高承租人的财务灵活性可以帮助承租人跟上最新的技术经营租赁的缺点租金通常比融资租赁的租金更高承租人不能在租赁期内出售或处置资产承租人不能在租赁期内对资产进行修改或改进融资租赁的优点租金通常比经营租赁的租金更低承租人可以在租赁期内出售或处置资产承租人可以对资产进行修改或改进融资租赁的缺点会增加承租人的债务会降低承租人的财务灵活性承租人可能无法跟上最新的技术...

2023-12-21 承租人经营租赁会计分录 承租人经营租赁和融资租赁会计处理

地下城称号附魔宝珠主要有以下几种：物攻宝珠：力量：增加角色的基础力量属性，提升物理攻击力。攻击力：直接增加角色的物理攻击力。物理暴击：增加角色的物理暴击率。物理暴击伤害：增加角色的物理暴击伤害。独立攻击力：增加角色的独立攻击力，不受力量属性影响。魔法宝珠：智力：增加角色的基础智力属性，提升魔法攻击力。魔法攻击力：直接增加角色的魔法攻击力。魔法暴击：增加角色的魔法暴击率。魔法暴击伤害：增加角色的魔法暴击伤害。独立魔法攻击力：增加角色的独立魔法攻击力，不受智力属性影响。辅助宝珠：生命值：增加角色的最大生命值。物理防御力：增加角色的物理防御力。魔法防御力：增加角色的魔法防御力。回避率：增加角色的回避率，降低被敌人攻击命中的几率。移动速度：增加角色的移动速度。特殊宝珠：技能攻击力：增加角色特定技能的攻击力。技能冷却时间减少：减少角色特定技能的冷却时间。技能消耗MP减少：减少角色特定技能消耗的MP。抗性：增加角色对特定属性攻击的抗性。异常状态抗性：增加角色对特定异常状态的抗性。需要注意的是，不同职业和角色的最佳附魔宝珠搭配可能会有所不同。玩家需要根据自己的职业和角色特点，选择最适合自己的附魔宝珠。...

2023-12-20 附魔宝珠魔法石 附魔宝珠 魔法有什么用

课程介绍课程来自于2023好物短视频带货班，主要内容包括:带货账号定位、带货选品、账号运营、账号管理等。学完你将懂的短视频带货底层逻辑,做出能表现的短视频,且懂账号运营,能独立运营账号文件目录第一节，什么是好物分享.m4第二节，好物分享的类型.m4第三节，短视频带货核心原理.m4第四节，如何定位赛道.m4第五节，如何选品.m4第六节，如何搭建账号.m4第七节，如何找对标账号+如何拆解对标.m4第九节，如何利用热点宝拆解对标.m4第十节，关于养号.m4第十一节，怎样看短视频流量是否精准.m4第十二节，如何精准流量.m4第十三节，拍摄+短视频制作核心技巧.m4第十四节，短视频上热门核心.m4第十五节，关于流量.m4第十六节，十八种热门标题公式.m4第十七节，新人避坑误区.m4第十八节，推流逻辑.m4第十九节，如何起号.m4第二十节，选品定赛道5要素.m4...

2023-05-20 chillchill短视频2023 升级版抖音短视频2023

图书名称：《漫画金钱简史从物物交换到数字货币》【作者】（英）克莱夫·吉福德文；（英）罗伯·弗劳尔斯图；鸿雁译【页数】121【出版社】广州：广东人民出版社,2022.06【ISBN号】978-7-218-15768-9【价格】49.80【分类】货币史-世界-通俗读物【参考文献】（英）克莱夫·吉福德文；（英）罗伯·弗劳尔斯图；鸿雁译.漫画金钱简史从物物交换到数字货币.广州：广东人民出版社,2022.06.图书封面：图书目录：《漫画金钱简史从物物交换到数字货币》内容提要：1.有趣的漫画，幽默的叙述方式，贴近孩子的认知水平和审美趣味，让金钱、数学、宇宙的历史不再枯燥乏味。2.专注于孩子感兴趣的问题，融汇历史事件，展示更多真实、有趣的历史细节。3.时间轴的方式梳理，直观地帮助读者了解重大发展节点。4.书后附拓展阅读和知识问答，帮助孩子巩固知识，提高记忆力。5.专家审读，为内容的准确度提供有力保证。6.绿色环保印刷，高品质装帧，带给读者舒适安全的阅读体验。《漫画金钱简史从物物交换到数字货币》内容试读登乐乐趣漫画金蹶钱简史从物物交换到数字货币[英]克莱夫·吉福德文【英]罗伯·弗劳尔斯图鸿雁译广东人A社·广州目录4引言32经费斗争罗马的货币6钱出现之前34崛起与衰落没钱的古人如何生活罗马的劣币8接受馈赠36罚款的时代远古时期的礼物黑暗时代的“偿命金”10物物交换38中国古代的货币切关于以物易物形状各异的铸币12价值多少头牛？40飞钱贮藏起来的价值纸币的发明14亮闪闪的货币42冷冰冰的财富金和银雅浦岛的巨大石币16贝壳货币44史上最富有的人用贝壳来买东西曼萨·穆萨腰缠万金18美索不达米亚达人秀46方便记账乌尔第三王朝的白银货币阿拉伯数字和意大利的银行20不要欠债！48美第奇家族和弗罗林硬币黏土、祭司和还款承诺美第奇家族发了大财22一本万利50股票出现啦！单利和复利股票是怎么回事24制造硬币52可可豆、棉布和铜世界上第一批硬币阿兹特克和印加帝国的“钱”26硬币大行其道54超级白银风靡于众多国家西班牙帝国的白银掠夺28早期的“银行家”56欧洲的纸币古希腊银行家纸币救急30金钱的奴隶58偷削硬币的人古代世界的债务奴隶货币犯罪60国家银行88绕过银行去筹钱世界上第一个中央银行众筹和P2P62罗斯柴尔德家族90欧元最受欢迎他们如何赚取财富货币联盟和欧元64造币工厂92花样繁多的硬币第一批铸币机器纪念币66硬币是如何制造的？94银行准备金现代化铸币流程保守一些更安全68昵称“绿背”的钞票96全球金融危机1美元2008年世界经济的大衰退70恶性通货膨胀98比特币来了战争后的灾难加密货币的世界72造币大盗100贫富差距用真钱造假财富与不平等74大崩盘和大萧条102现金将被终结？华尔街浩劫祸及全球电子货币和非接触式支付76国家的财富104未来的货币说说GDP以后怎么使用钱78诺克斯堡金库106货币发展时间线美国用重兵守护黄金110金钱和你80有魔力的塑料卡史上第一张信用卡112花钱要理性82塑料钞票114金钱灾祸澳大利亚开先河116金钱小测验84墙上的吐钞机关于ATM118术语解释86微型银行120索引伟大理想从小处入手引言现金、钞票、金钱…不管我们如何称呼货币，生活中都离不开它。我们常常因为它而发愁，发愁自己拥有的货币不够多。全世界到底有多少钱？据估计，2015年，全世界流通中的货币有36800000000000（即36.8万亿)美元，包括纸币、硬币，以及银行活期存款。而这只是冰山一角…世界上大部分货币是以电子货币的形式存在的，它们被储存在计算机系统中或流通于计算机网络系统中。总之，货币是一项极富想象力的非凡的人类发明。通过使用被人们共同接受的、其价值得到认可的某样东西，从而使买卖变得容易。这个“某样东西”可以是各种各样的，比如茶叶、奶酪、珠子、牛、布料，或者灰暗的大岩石、鲸的牙齿，甚至是孩子（阿兹特克人就这么干过)。一个孩子换一个冰激凌怎么样？听上去挺公平的。这是违法的」4货币还使得度量和对比更为容易，人们可以给物品或自己的工作成果定价。老爸，我想和你金钱重新商量下我的简史零花钱。从不使用货币的强大帝国到价值超过4亿美元的比萨产业，本书将带你踏上探索货币发展历史的旅程。在阅读之旅中，你将接触到历史上富可敌国的那些人，了解到银行是怎样用钱来赚钱的，你还可以思索货币在未来社会的发展趋势。那么，金钱的故事要开始了。现在，让我们穿越到很久很久以前不存在货币的时代。我来自无现金社会哦！俺也是！5钱出现之前没有钱，日子该怎么过？这个问题真让人头疼。只是随便想想，就有一大堆问题冒了出来。商店该怎样营业？工作怎么获取报酬？怎么采自己想要的东西呢？不能使用钱的话，怎平时该存点啥以么知道不同东西的价备不时之需？值？一个西葫芦会和-台电脑等价吗？政府要怎么征税？大约12000年前，没有西葫芦、电脑，也没有市集、税收以及商店，去超市或商场采购这种事也根本不会发生。6···试读结束···...

2023-04-07

图书名称：《物联网与电子商务》【作者】邵泽华【页数】314【出版社】北京：中国经济出版社,2021.10【ISBN号】978-7-5136-6735-7【价格】128.00【分类】物联网-研究-电子商务-研究【参考文献】邵泽华.物联网与电子商务.北京：中国经济出版社,2021.10.图书封面：《物联网与电子商务》内容提要：本书以物联网理论为基础，分析了七种不同类型的电子商务物联网的形成、结构、信息运行和功能表现，阐释了电子商务物联网是以用户平台需求为主导、其他各平台需求参与下，形成的能够同时满足各平台需求的物联网。电子商务业务物联网的运行需要电子商务监管物联网的监管，只有当两者用户一致时，电子商务业务物联网才能合理、有序、有效地运行，真正实现为人民服务、为消费者服务，满足人民的美好生活需要，使人民享受到电子商务的服务，促进社会和谐稳定发展。...

2023-03-01 epub电子书下载 epub电子书网站

3D扫描仪的工作原理是通过使用激光来捕捉物体的表面细节，并将其转换成3D数据。激光扫描仪会将激光束扫描到物体表面，并记录激光束与物体表面的交点，从而构建出物体的3D模型。激光扫描仪还可以捕捉物体表面的细节，如表面纹理、凹凸等。说到3d电影，相信大家都非常了解。更准确的说，情侣们喜欢逛街、吃饭、看3d电影。我看过很多电影，知道它有多厉害，视野有多好，但是你知道原理吗？作为现代人，你不知道会被淘汰。现在很多东西都是基于3d的原理，3d电影都看过。3d扫描呢？你知道多少？你见过或接触过3d扫描或实际使用过它吗？三维扫描仪是一种科学仪器，用于检测和分析现实世界中物体或环境的形状(几何结构)和外观数据(如颜色、表面反照率等属性)。收集的数据通常用于3D重建计算，并且在虚拟世界中创建真实物体的数字模型。这些模型有着广泛的应用，如工业设计、缺陷检测、逆向工程、机器人引导、地貌测量、医学信息、生物信息、刑事鉴定、数字文物收藏、电影制作、游戏创作素材等等。3d扫描仪的生产并不依赖于单一的技术。不同的重建技术各有利弊，成本和价格也不同。目前还没有通用的重建技术，仪器和方法往往受到物体表面特征的限制。例如，光学技术不容易处理有光泽(高反照率)、镜面或半透明的表面，而激光技术不适合易碎或易腐的表面。3d扫描仪分类和功能编辑一般分为接触式3d扫描仪和非接触式3d扫描仪。其中，非接触式三维扫描仪可分为光栅式三维扫描仪(也称摄影式三维绘图仪)和激光扫描仪。光栅三维扫描有白光扫描或蓝光扫描，激光扫描仪与激光、线激光、面激光略有不同。3d扫描仪功能：1.3d扫描仪的目的是在物体的几何表面上创建点云，用于插值物体的表面形状。点云越密集，就可以创建越精确的模型(这个过程称为3D重建)。如果扫描仪可以得到表面颜色，它可以进一步在重建的表面上粘贴一个纹理图，这就是所谓的纹理映射。2.3d扫描仪可以模拟成相机，它们的视线是圆锥形的，信息采集被限制在一定范围内。两者的区别在于摄像头捕捉的是颜色信息，而3d扫描仪测量的是距离。摄影三维扫描仪摄影3d扫描仪扫描的原理类似于用相机拍照。是为满足工业设计行业应用需求而开发的产品。它结合了高速扫描和高精度的优点，可以根据需要自由调整测量范围。从小零件扫描到车身整体测量都能完美胜任，性价比极高。目前已广泛应用于工业设计行业，真正为客户实现‘一机在手，设计无忧’！摄影结构光三维扫描仪是一种高速高精度三维扫描测量设备，采用了国际上最先进的结构光非接触摄影测量原理。结构光三维扫描仪的基本原理是采用结构光技术、相位测量技术和计算机视觉技术相结合的复合三维非接触测量技术。利用这种测量原理，可以对物体进行照相测量。所谓摄影测量，类似于摄像机对视野内的物体拍照，只不过摄像机拍的是物体的二维图像，而研制的测量仪器获得的是物体的三维信息。与传统的3d扫描仪不同，该扫描仪可以同时测量一个表面。测量时，光栅投影装置将几束经过特殊编码的结构光投射到待测物体上，具有一定夹角的两台摄像机同步采集相应的图像，然后解码计算图像的相位，利用匹配技术和三角测量原理，计算出两台摄像机共同视场内像素的三维坐标。摄影式3d扫描仪可以随意移动到工件的位置进行现场测量，可以调整到任意角度进行全方位测量。大型工件可以分块测量，测量数据可以实时自动组装，非常适合各种尺寸和形状的物体(如汽车、摩托车外壳和内饰、家用电器、雕塑等)的测量。).摄影光学三维扫描仪的结构原理主要由光栅投影设备和两台工业级CCD相机组成。光栅投射到被测物体上，厚度发生变化和位移。在CCD相机的帮助下，通过计算机操作可以知道被测物体的实际三维外观。摄影3d扫描仪采用非接触式白光技术，避免与物体表面接触，可以测量各种材料的模型。在测量过程中，被测物体可以随意翻转移动，可以从多个角度测量物体。系统全自动拼接，可轻松实现物体的360高精度测量。而且可以在获取表面三维数据的同时快速获取纹理信息，得到逼真的物体形状，可以快速应用于制造业的扫描。仅此而已。现在你终于对3d扫描有点了解了。3d扫描的应用范围很广，功能也没有你想象的那么强大。有人说，在不久的将来，所有的建筑装修工人将被解雇。因为3d扫描的出现，所有的房子都将直接3d扫描，节省人力物力。建筑工地上只有一个人操作机器是很好的。你相信吗？我觉得这个奇迹还是会发生的。今天本文讲解到此结束，希望对你有所帮助。点评：...

2023-02-22 三维扫描仪光栅是什么加上去的 三维扫描仪 光栅怎么调

图书名称：《网络空间安全技术丛书物联网安全实战》【作者】（美）阿迪蒂亚·古普塔作；舒辉，康绯，杨巨，朱玛译【丛书名】网络空间安全技术丛书【页数】216【出版社】北京：机械工业出版社,2022.01【ISBN号】978-7-111-69523-3【价格】79.00【分类】物联网-安全技术【参考文献】（美）阿迪蒂亚·古普塔作；舒辉，康绯，杨巨，朱玛译.网络空间安全技术丛书物联网安全实战.北京：机械工业出版社,2022.01.图书封面：图书目录：《网络空间安全技术丛书物联网安全实战》内容提要：随着物联网的崛起，我们已经进入万物互联的时代，以智能家居、智能仪表、无人驾驶汽车等为代表的物联网产品已出现在日常生活中。物联网拥有繁杂多样的终端、复杂异构的网络连接，因此引入了更多不确定性映射，也带来了更多的安全风险。本书从硬件开发、嵌入式开发、固件开发和无线电开发（如BLE和ZigBee）等物联网开发技术入手，介绍了物联网设备中的常见漏洞，讲述了使用安全工具进行安全防护的方法。书中不仅包含详细的技术解释，还包含大量实践案例，让读者能够快速进入物联网安全领域，掌握常用的物联网渗透测试技术，更好地保障物联网安全。《网络空间安全技术丛书物联网安全实战》内容试读第1章物联网概述在通信技术领域，有两件事的意义非同寻常：一件是互联网(ARPANET)的发明，另一件则是物联网(IteretofThig,IoT)的崛起。前者使位于不同地理位置的计算机能够彼此交换数据：后者并不是一个单一事件，而是一个不断演进的过程。IoT概念最早的实现可以追溯到美国卡耐基梅隆大学的几个大学生，他们发现如果利用售卖机设备与外界通信，就可以监测到自动售卖机里还剩几瓶饮料。于是他们给售卖机加了一个传感器，每当售卖机售出饮料时就会进行统计，这样就能知道还剩下多少瓶饮料。如今，IoT设备可以监控心率，甚至还能在情况不妙的时候控制心率。此外，有些IoT设备还能作为庭审时的呈堂证据。例如在2015年年底，一位妇女的可穿戴设备数据就被用作一起案件中的证据。其他一些在庭审中的应用案例还包括心脏起搏器、亚马逊的Eco智能音箱等。毫不夸张地说，从一间大学宿舍到被植入人体，I0T设备的发展历程令人叹为观止！凯文·阿斯顿(KeviAto)第一次提出“物联网”概念时，可能也想不到这个概念会很快席卷人类社会。阿斯顿在一篇关于射频识别(RFID)技术的文章里提到了这个词，指利用该技术将设备连接在一起。自此以后，【oT的定义发生了变化，不同组织给这个概念赋予了他们自己的含义。高通（Qualcomm)和思科(Cico)公司后来提出了一个词一万物互联(IteretofEverythig,IoE),但有些人认为这不过是一种营销手段。据说，这个词的意思是将IoT的概念从机器与机器之间的通信，进一步延伸至机器与现实世界的连接。IoT设备的首次亮相是在2000年6月，当时LG推出了第一代连接互联网的冰箱(IteretDigitalDIOS)。这款冰箱有一个多功能的高清TFT-LCD屏幕，能显示冰箱内部2第1章温度、所储藏物品的新鲜度，并可以利用网络摄像头跟踪被存储的物品。早期可能最受媒体和消费者关注的IoT设备在2011年10月面世，Net公司发布了一个具有自我学习功能的智能温控装置。这个设备能够学习用户的日程表，并根据用户的习惯和要求调节一天内不同时段的温度。这家公司后来被谷歌公司以32亿美元收购，让全世界都意识到了即将到来的技术革命。很快，数百家后起之秀开始研究现实世界的万物与设备之间的连接，有些大型机构成立了专门的工作组来开发他们自己的IoT设备，以便尽快进入市场。这场新“智能设备”创新竞赛一直持续到今天。利用IoT技术可以控制家里的智能电视，能品尝一杯由互联网控制的咖啡机制作出来的咖啡，还可以利用智能助手播放的音乐来控制灯光。IoT不只在我们生活的空间有大量应用，在企业、零售店、医院、工业、电网甚至高新科研领域也能看到其诸多的应用。数字领域的决策制定者们面对0T设备的迅速崛起显得有些措手不及，没能及时出台严格的质量控制和安全规范。这一点在最近才有所改善，全球移动通信系统协会(GSMA)为IoT设备制定了安全和隐私指南，联邦贸易委员会(FederalTradcCommiio,FTC)也制定了保证安全的有关规定。但是，政策出台的延迟导致很多未考虑安全设计的物联网设备在各类垂直行业市场中已被广泛使用，直到Miri僵尸网络爆发，这些设备的安全弱点才得到关注。Mirai僵尸网络专门攻击IoT设备（大多数是联网的摄像机)，通过查看端口23和2323，暴力破解那些使用简单凭据的身份验证。很多暴露在互联网上的P摄像机都开启了telet.,使用过于简单的用户名和密码的设备就很容易成为靶子。这种僵尸网络曾攻击了数个知名网站，其中包括GitHu、Twitter、Reddit和Netflix过去几年来，虽然这些设备的安全状况在缓慢改进，但仍未达到非常安全的地步2016年11月，四位安全研究人员(EyalRoe、ColiO'Fy、AdiShamir和Achi-OrWeigarte)开发了一种值得注意的概念验证性(Proof-of-Cocet,PoC)蠕虫，它利用无人机发起攻击并控制了一座办公楼上的飞利浦无线智能照明系统。不过此次攻击只是为了验证概念，并不是说已经出现了类似于WaaCry的智能设备勒索软件，要求付钱后才能打开门锁或开启心脏起搏器。可以确定的是，几乎所有智能设备都存在严重的安全和隐私问题，包括智能家庭自动化系统、可穿戴设备、儿童监视设备。考虑到这些设物联网概述3备收集了大量私密数据，人们一旦遭受网络攻击，后果将让人不寒而栗。不断发生的IoT设备的安全事故导致对IoT安全技术人才的需求增加。有了安全技术，各个机构才能确保他们的设备得到保护，避免被恶意攻击者利用漏洞来攻击系统。一些公司推出了“漏洞奖励”(BugBouty)计划，鼓励研究人员评估其IoT设备的安全性，有些公司甚至为研究人员免费赠送硬件设备。这个趋势在未来会有增无减，而且随着市场上IoT产品的不断丰富，对IoT专业安全技术人才的需求只会水涨船高。1.1早期的物联网安全问题要了解物联网设备的安全性，最好的办法就是去看一下过去发生了什么。通过了解过去那些其他产品开发人员犯过的安全错误，可以知道我们正在评估的产品可能会碰到哪些安全问题。本节会出现一些比较陌生的专业词汇，在后续章节会有更详细的讨论。1.1.1Net恒温器在一篇名为SmartNetThermotat：ASmartSyiYourHome的文章里（作者为GratHeradez、OrladoAria、DaielBuetello和YierJi),提到了谷歌Net设备的一些安全缺陷，可能会被用来给设备安装某些恶意固件。只需要按Nt上的键10秒，就能引起整个系统重置。此时，设备就会通过与yoot:5i通信查找USB上的恶意固件。如果USB设备上有恶意固件，设备在启动系统的时候就会加载执行该固件。詹森·多伊尔发现了Net产品上的另一个漏洞，即利用蓝牙将Wi-Fi服务集标识符(ServiceSetIdetifier,SSID)中的一个特定的值发送给目标设备，就能让设备崩遗并重启。在设备重启时（大约需要90秒），盗贼就有足够的时间闯进受害人家里，而不会被Net安全摄像头拍到1.1.2飞利浦智能家电飞利浦家用设备中有很多都存在安全问题，其中包括由安全研究人员构造的、众所周知的飞利浦Hue蠕虫。研究人员通过PoC(ProofofCocet)证实，飞利浦设备所采用的硬编码的对称加密密钥可以被破解，因而设备可以通过ZigBee被控制。另外如果飞利浦Hue灯泡彼此间距离较近，还会自动传染病毒。第1章2013年8月，安全研究员NitehDhajai发现了一种新攻击技术，它能利用重放攻击控制飞利浦Hue设备，并造成永久性熄灯。他发现，飞利浦Hue智能设备只把媒体访问控制(MediaAcceCotrol,MAC)地址的MD5当作唯一的身份验证信息，从而产生了漏洞。由于攻击者能很容易地找到合法主机的MAC地址，因此能构造一个恶意数据包，并伪造数据表示它来自真正的主机，利用数据包里的命令就可以关掉灯泡。攻击者重复这个动作，就会造成永久性熄灯，而用户除了更换灯泡外别无选择。由于资源消耗量很小，飞利浦的Hue系列以及很多智能设备都利用一种叫作ZigBee的无线技术在设备间交换数据。对Wi-Fi数据包实施的攻击，同样也适用于ZigBee。如果使用的是ZigBee技术，攻击者只需要捕获ZigBee数据包，发出一个合法请求，并简单地回放同一个操作，一段时间以后就能控制设备。在第10章将讲述安全研究人员如何在渗透测试中捕获和重放ZigBee数据包。1.1.3Lifx智能灯泡智能家用设备是安全人员最为关注的研究目标之一。另一个早期的案例是来自Cotext公司的安全研究员亚历克斯·查普曼在Lifx智能灯泡上发现的严重安全漏洞。攻击者可以利用漏洞向网络里注人恶意数据包，获得解密后的Wⅵ-Fi凭据，从而不需要任何身份验证就能接管智能灯泡。在这个案例里，设备利用6LoWPAN进行通信，这是另一种建立在802.15.4上的网络通信协议（像ZigBee一样）。为了嗅探6LoWPAN数据包，查普曼使用了AtmelRzRave(一种无线收发器与AURI微控制器的开发套件)刷入Cotiki6LoWPAN固件镜像，用这个工具可以查看设备间的通信数据。网络上大多数敏感数据都是加密后进行传输交换的，所以产品看起来很安全。在IoT渗透测试中，最重要的一件事是在查找安全问题时要查看整个产品，而不能只看某个部件。这就意味着要找出数据包在无线电通信中是如何加密的，一般来说答案都在固件里。获得设备固件二进制文件的一种方法是，利用硬件开发技术（如JTAG)进行转储，这一点将在第6章详述。在Lfx灯泡的案例中可以通过JTAG访问固件，逆向后则可确认加密类型，也就是高级加密标准(AdvacedEcrytioStadard,AES)、加密密钥、初始化向量和加密所用的块模式。因为这些信息对每一个Lfx智能灯泡都一物联网概述5样，且设备之间通过W-Fi凭据在无线网络中进行通信，而通信数据可以被破解，所以一旦攻击者入侵Wi-Fi,控制了其中任何一个Lifx智能灯泡，就控制了所有智能灯泡。1.1.4智能汽车对智能汽车的入侵可能是最广为人知的IoT入侵。2015年，两名安全研究员（查理·米勒博士和克里斯·瓦拉赛克)演示了他们利用克莱斯勒Ucoect系统上的安全漏洞，远程接管并控制一辆汽车的实验，导致克莱斯勒不得不召回140万辆汽车。针对智能汽车的一次完整攻击过程需要利用各种漏洞，包括通过逆向工程在各种单个二进制文件和网络协议中获得的漏洞。早期被攻击者利用的一个漏洞来自Ucoect软件，利用该软件漏洞，任何人都可以用手机远程连接智能汽车。该软件允许匿名验证后访问端口6667，该端口上运行着负责进程间通信的D-Bu程序。在与D-Bu程序进行交互，获得一系列服务信息后，NavTrailService服务被发现存在一种漏洞，即允许安全研究员在设备上运行任意代码。图1-1显示了在设备上开启远程Roothell程序所用的漏洞入侵代码。!ythoimortduu_oj-du.u.BuCoectio("tc:hot=192.168.5.1,ort=6667")roxyoject"uoj.getoject('com.harma.ervice.NavTrailervice','/com/harma/ervice/NavTrailervice')layeregieiface-du.Iterface(roxyoject,duiterface='com.harma.ServiceIc')ritlayeregie_iface.Ivoke('execute','("cmd":"etcat-1-6666I/1/h1etcat192.168.5.1096666"1')图1-1漏洞入侵代码资料来源：选自官方白皮书htt:/illmatic.com/Remote%20Car%20Hackig.df一旦获得任意命令执行权，就可以单方面行动并发送CAN信息，从而控制车辆的各个功能，比如转向、刹车、开关前灯等。1.1.5BelkiWemoBelkiWemo是为消费者提供全屋自动化服务的一系列产品。在这个产品系列里，开发人员已采取了一些预防措施，防止攻击者在设备上安装恶意固件。但是BelkiWmo的固件更新是在一个未加密的通信通道里进行的，攻击者可以在更新时篡改固件6第1章二进制文件包。为了进行保护，BelkiWemo采取了基于GNU隐私保护(GNUPrivacyGuard,GPG)的加密通信机制，因此设备不会接收攻击者插入的恶意固件数据包。然而，这种安全防护措施很容易被攻克，因为设备在更新固件时，会在未加密的通道里发送固件自带的签名密钥，所以攻击者很容易修改数据包，并用合法的签名密钥进行签名，这个固件自然就会被设备接受。这个漏洞是IOActive网络安全公司的迈克·戴维斯在2014年初发现的，其漏洞严重性被评级为10.0(CVSS标准)。后来，人们发现Belki还存在其他一些安全问题，包括SQL注入漏洞、通过修改设备允许在Adroid手机上任意执行JavaScrit脚本等。火眼公司(FireEye)还对BelkiWemo进行了进一步研究（参见htt:/www.fireeye.com/log/threat-reearch/20l6/08/emedded-hardwareha.html),包括利用通用异步收发传输器(UiveralAychroouReceiverTramitter,UART)和串行外设接口(SerialPeriheralIterface,SPI)硬件技术来访问固件和调试控制台。通过这些研究，他们发现利用硬件访问可以轻易地修改引导装载程序参数，从而导致设备固件签名认证检查无效。1.1.6胰岛素泵Raid7公司的一位安全研究员杰·莱德克里夫发现一些医疗设备也存在重放攻击的漏洞，特别是胰岛素泵。莱德克里夫本人就是一位I型糖尿病患者，他对市面上流行的一款胰岛素泵进行了研究，即Aima公司生产的OeTouchPig胰岛素泵。在对产品进行分析的过程中，他发现胰岛素泵使用明文信息进行通信，很容易被人截获通信内容、修改发送数据中的胰岛素剂量并重新发送数据包。他对OeTouchPig胰岛素泵进行攻击试验，结果不出预料，在攻击过程中，人们无法知道被传送的胰岛素剂量已被篡改。Aima公司在五个月后修补了这个漏洞，说明至少有些公司比较重视安全报告，并愿意采取行动保证消费者安全。1.1.7智能门锁Augut智能门锁是一款流行且号称很安全的门锁，被家庭用户和Air(全球民宿短租公寓预订平台)业主广泛使用（民宿主人为了方便让客人入住而使用这种智能门锁）。一名安全研究员对其安全性进行了研究。他发现的漏洞包括：客人只要把网络数据流里···试读结束···...

2023-02-08 物联网安全网关 物联网安全技术