国产精品久久精品牛牛影视-国产精品久久精品视-国产精品久久九九-国产精品久久久-国产精品久久久99

5.1概述

芯片采購(gòu)網(wǎng)專(zhuān)注于整合國(guó)內(nèi)外授權(quán)IC代理商現(xiàn)貨資源，芯片庫(kù)存實(shí)時(shí)查詢(xún)，行業(yè)價(jià)格合理，采購(gòu)方便IC芯片，國(guó)內(nèi)專(zhuān)業(yè)芯片采購(gòu)平臺(tái)。

?物聯(lián)網(wǎng)網(wǎng)絡(luò)層分為核心網(wǎng)絡(luò)和接入網(wǎng)絡(luò)。

?核心網(wǎng)絡(luò)是物聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)闹饕�載體，是物聯(lián)網(wǎng)網(wǎng)絡(luò)層的骨干和核心。

?接入網(wǎng)絡(luò)是從骨干網(wǎng)絡(luò)到用戶終端的通信網(wǎng)絡(luò)。

無(wú)線近距離接入網(wǎng)(如無(wú)線局域網(wǎng))ZigBee、藍(lán)牙）

無(wú)線遠(yuǎn)距離接入網(wǎng)(如4)G移動(dòng)通信）

其他有線接入(如其他有線接入(如(如其他有線接入)PSTN、ADSL、寬帶、有線電視、現(xiàn)場(chǎng)總線)

5.1.2網(wǎng)絡(luò)層安全要求

(1)承載網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)的傳輸安全

(2)承載網(wǎng)絡(luò)的安全防護(hù)

(3)終端和異構(gòu)網(wǎng)絡(luò)的認(rèn)證

(4)異構(gòu)網(wǎng)絡(luò)下終端的安全接入

(5)物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求

(6)大規(guī)模終端分布式安全控制

5.1.三網(wǎng)絡(luò)層安全機(jī)制

(1)構(gòu)建集物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)于一體的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

(2)建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺(tái)

(3)提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用和保障措施

(4)建立物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入和應(yīng)用訪問(wèn)控制機(jī)制

5.2核心網(wǎng)安全

核心網(wǎng)絡(luò)面臨的安全威脅：

（1）核心網(wǎng)絡(luò)應(yīng)接收來(lái)自大量物聯(lián)網(wǎng)節(jié)點(diǎn)的傳輸信息和集群模式，容易導(dǎo)致網(wǎng)絡(luò)擁塞和接收DDoS攻擊是物聯(lián)網(wǎng)網(wǎng)絡(luò)層最常見(jiàn)的攻擊手段

(2)網(wǎng)絡(luò)層存在不同架構(gòu)的網(wǎng)絡(luò)互聯(lián)問(wèn)題，核心網(wǎng)絡(luò)將面臨異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認(rèn)證等安全問(wèn)題。它涉及到密鑰和認(rèn)證機(jī)制的一致性和兼容性，可以抵抗DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等

(3)物聯(lián)網(wǎng)中的一些節(jié)點(diǎn)不固定，與鄰近節(jié)點(diǎn)的通信關(guān)系會(huì)發(fā)生變化，很難為節(jié)點(diǎn)建立信任關(guān)系，面臨虛擬節(jié)點(diǎn)、虛假路由等攻擊

5.2.2 IPSec安全協(xié)議與VPN

?以物聯(lián)網(wǎng)為核心TCP/IP協(xié)議為基礎(chǔ)

?在TCP/IP在協(xié)議中，網(wǎng)絡(luò)層協(xié)議IP它提供了跨越多個(gè)網(wǎng)絡(luò)終端系統(tǒng)(即跨網(wǎng)絡(luò)互聯(lián)網(wǎng))的能力，IP是實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)互聯(lián)的核心。在這一層增加安全機(jī)制是確保整個(gè)網(wǎng)絡(luò)安全通信的重要手段

?IP層的安全機(jī)制稱(chēng)為IPSec，它包括識(shí)別、機(jī)密性和密鑰管理三個(gè)功能域。

○識(shí)別機(jī)制確保收到的分組確實(shí)由分組第一部分的源站地址字段聲明的實(shí)體傳輸。該機(jī)制還可以確保分組在傳輸過(guò)程中不會(huì)被篡改

○機(jī)密機(jī)制使通信節(jié)點(diǎn)能夠?qū)��?bào)紙進(jìn)行加密

○密鑰管理機(jī)制主要完成密鑰的安全交換

IPSec（IP Security）是IETF公布于1998年11月IP目標(biāo)是安全標(biāo)準(zhǔn)IPv4和IPv6.提供透明的安全服務(wù)。

IPSec通過(guò)對(duì)IP協(xié)議分組加密認(rèn)證保護(hù)IP該協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議系列用于確保數(shù)據(jù)的機(jī)密性、來(lái)源可靠性、無(wú)連接的完整性和抗重播服務(wù)。

?IPSec的優(yōu)點(diǎn)

○由于IPSec位于傳輸層(TCP、UDP)因此，應(yīng)用程序是透明的。因此，在防火墻、路由器或用戶終端系統(tǒng)中實(shí)現(xiàn)IPSec不會(huì)給應(yīng)用程序帶來(lái)任何變化

○IPSec它可以為個(gè)人用戶提供安全性。這對(duì)于非本地工人（如商務(wù)旅行）或組織內(nèi)部的敏感應(yīng)用程序來(lái)說(shuō)是必要的

○IPSec為穿越局域網(wǎng)邊界的通信量提供安全保障，但對(duì)于局域網(wǎng)內(nèi)的通信，它不會(huì)帶來(lái)任何與安全相關(guān)的處理負(fù)荷

○IPSec對(duì)終端用戶透明

?IPSec的組成

○Authentication Header（AH，驗(yàn)證報(bào)頭)協(xié)議

定義認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證

○Encapsulating Security Payload（ESP，協(xié)議包裝安全有效負(fù)荷

定義加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證

○Internet Key Exchange（IKE，密鑰交換標(biāo)準(zhǔn))協(xié)議

用于密鑰交換

?IPSec的工作模式

○傳輸模式

傳輸模式用于保護(hù)兩個(gè)主機(jī)之間端對(duì)端的上層協(xié)議

○隧道模式

又稱(chēng)通道模式，用于保護(hù)整個(gè)通道模式IP通常在數(shù)據(jù)報(bào)中SA安全網(wǎng)關(guān)使用的一端或兩端

?安全關(guān)聯(lián)(Security Association，SA)

正確包裝和提取IPsec對(duì)于數(shù)據(jù)包，有必要采取一套特殊的方案，將安全服務(wù)、密鑰等與要保護(hù)的通信數(shù)據(jù)聯(lián)系起來(lái)，這種構(gòu)建方案稱(chēng)為安全關(guān)聯(lián)。

SA發(fā)送者和接收者是兩個(gè)IPsec如果系統(tǒng)之間的單向邏輯連接需要對(duì)等系統(tǒng)之間的源和目的雙向安全通信SA。

安全關(guān)聯(lián)SA通過(guò)三元組(安全參數(shù)索引)SPI、目的IP地址和安全協(xié)議AH或ESP）唯一的標(biāo)志。

?抗重播服務(wù)

IPSec協(xié)議使用序列號(hào)和滑動(dòng)接收窗口通過(guò)數(shù)據(jù)包實(shí)現(xiàn)抗重播服務(wù)

每個(gè)IPSec頭部包含一個(gè)獨(dú)特而單調(diào)的序列號(hào)

接收窗口的大小可以超過(guò)32的任何值，但推薦為64。從性能上看，最好最終實(shí)施窗口大小IPSec計(jì)算機(jī)字長(zhǎng)的整數(shù)倍

?ESP協(xié)議

ESP其功能是提供機(jī)密性保護(hù)、有限的流機(jī)密性保護(hù)、無(wú)連接的完整性保護(hù)、數(shù)據(jù)源認(rèn)證抗重放攻擊等安全服務(wù)

ESP支持傳輸模式和隧道模式

ESP它可以單獨(dú)使用，也可以和解AH結(jié)合使用ESP不加密整個(gè)數(shù)據(jù)包，只加密IP包的有效載荷部分不包括IP但是在隧道通信的末端對(duì)端，ESP需要加密整個(gè)數(shù)據(jù)包

?AH協(xié)議

AH協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)

與ESP協(xié)議相比，AH對(duì)通信數(shù)據(jù)不提供加密服務(wù)，但可比ESP提供更廣泛的數(shù)據(jù)驗(yàn)證服務(wù)

?IKE協(xié)議

IKE協(xié)議是IPSec目前正式確定的密鑰交換協(xié)議

IKE由混合協(xié)議組成ISAKMP、Oakley和SKEME組成，沿用ISAKMP的基礎(chǔ)，Oakley的模式以及SKEME共享和密鑰更新技術(shù)

建立了兩個(gè)交換階段IKE SA，已建立階段二利用IKE SA為IPsec協(xié)商具體的一個(gè)或多個(gè)安全關(guān)聯(lián)，即建立IPsec SA

IKE允許基于數(shù)字簽名、公鑰加密、修訂公鑰加密和預(yù)共享密鑰的四種認(rèn)證方法

?VPN(Virtual Private Network，虛擬專(zhuān)用網(wǎng)絡(luò))是一種保證遠(yuǎn)程網(wǎng)絡(luò)之間安全通信的技術(shù)。

○VPN主要有三個(gè)應(yīng)用領(lǐng)域：遠(yuǎn)程接入網(wǎng)、內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)

○VPN的基本功能

加密數(shù)據(jù)

信息驗(yàn)證和身份識(shí)別

訪問(wèn)控制

地址管理

密鑰管理

多協(xié)議支持

?VPN安全技術(shù)

○隧道技術(shù)

§點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）

§二層隧道協(xié)議（L2TP）

○加解密技術(shù)

○密鑰管理技術(shù)

○用戶和設(shè)備認(rèn)證技術(shù)

○訪問(wèn)控制技術(shù)

5.2.3 6LoWPAN安全

為了讓IPv6協(xié)議在IEEE 802.15.4協(xié)議以上工作，實(shí)現(xiàn)MAC提出了網(wǎng)絡(luò)適配層-6的無(wú)縫連接LoWPAN（（IPv6 over low-power wireless personal area network），用于完成包頭壓縮、分片、重組狀路由轉(zhuǎn)發(fā)

1）MAC層安全

終端節(jié)點(diǎn)與數(shù)據(jù)收集點(diǎn)之間必須提供安全保障。MAC訪問(wèn)控制可以引入層，MAC幀加密解密、幀完整性驗(yàn)證、身份認(rèn)證等安全機(jī)制，提供點(diǎn)到點(diǎn)的安全通信

2)適配層安全

可能存在的安全問(wèn)題：分片重組攻擊、報(bào)頭壓縮攻擊（如錯(cuò)誤壓縮、拒絕服務(wù)攻擊）、輕量級(jí)組播安全Mesh路由安全等。目前針對(duì)6LoWPAN適配CMLMicrocircuits代理層安全研究較少

可能會(huì)出現(xiàn)分片和重組IP碎片攻擊可能會(huì)導(dǎo)致DoS攻擊和重播攻擊。IP包碎片攻擊的一種方法是:6LoWPAN增加適配層的時(shí)間戳（Timestamp）和現(xiàn)時(shí)（Nonce）確保收到的數(shù)據(jù)包是最新的

3)網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層采用高級(jí)加密標(biāo)準(zhǔn)(AES)和CTR模式加密及CBC-MAC驗(yàn)證等對(duì)稱(chēng)加密算法加密大容量數(shù)據(jù)

4)應(yīng)用層安全

應(yīng)用層的安全主要集中在整個(gè)6LoWPAN網(wǎng)絡(luò)提供安全支持，即密鑰建立、密鑰傳輸和密鑰管理；應(yīng)用層應(yīng)能夠控制下層安全服務(wù)的某些參數(shù)

5.2.4 SSL/TLS

?避孕套連接字層協(xié)議（Secure Socket Layer,SSL）被設(shè)計(jì)成使用TCP在傳輸層提供可靠的端到端安全服務(wù)，是基于會(huì)話的加密和認(rèn)證Internet協(xié)議在客戶和服務(wù)器之間提供安全的管道

?SSL在傳輸層和應(yīng)用層之間工作與應(yīng)用層協(xié)議無(wú)關(guān)（HTTP、FTP、TELNET等)可以透明放置SSL之上

?SSL不是單一協(xié)議，而是兩層協(xié)議

?SSL記錄協(xié)議為不同的高層協(xié)議提供基本的安全服務(wù)。三個(gè)高層協(xié)議(SSL握手協(xié)議、SSL修改密文規(guī)程協(xié)議，SSL報(bào)警協(xié)議)用于管理SSL交換(共4個(gè)協(xié)議)

?SSL記錄協(xié)議

SSL每個(gè)都有記錄協(xié)議SSL連接提供以下兩種服務(wù)

機(jī)密性(Confidentiality)：SSL記錄協(xié)議將幫助雙方生成一個(gè)共同的密鑰，并使用這個(gè)密鑰SSL傳統(tǒng)加密傳輸?shù)臄?shù)據(jù)。

消息完整性(Message Integrity)：SSL記錄協(xié)議將幫助雙方生成另一個(gè)共同的密鑰，并使用該密鑰計(jì)算信息認(rèn)證碼。

?TLS協(xié)議

提供保密性和數(shù)據(jù)完整性

該協(xié)議由兩層組成

§TLS記錄協(xié)議

§TLS握手協(xié)議

5.2.5防火墻

?防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列安全部件的組合(典型的、可信的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的因特網(wǎng))

?本組件性質(zhì)：（1）雙向通信必須通過(guò)防火墻；（2）防火墻本身不影響信息流通；（3）只允許通過(guò)其自身安全策略授權(quán)的通信信息。

?防火墻是確定哪些內(nèi)部服務(wù)對(duì)外開(kāi)放，允許哪些外部服務(wù)對(duì)內(nèi)開(kāi)放的訪問(wèn)控制機(jī)制。

?防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的唯一出入口

?防火墻提供四種控制服務(wù)：

○服務(wù)控制：確定可訪問(wèn)的因特網(wǎng)服務(wù)類(lèi)型，包括入站和出站。這是因?yàn)榉阑饓�可以基于IP地址和TCP端口號(hào)過(guò)濾通信量

○方向控制：確定允許特定服務(wù)請(qǐng)求的流向，即特定服務(wù)的方向流控制

○用戶控制：內(nèi)部用戶和外部用戶所需的某種形式的認(rèn)證機(jī)制。根據(jù)用戶試圖訪問(wèn)的服務(wù)來(lái)控制服務(wù)訪問(wèn)。典型的用戶控制防火墻內(nèi)的用戶（本地用戶）

○行為控制：控制特定服務(wù)的使用。如果防火墻可以過(guò)濾電子郵件消除垃圾郵件

?防火墻主要有三種類(lèi)型；不同類(lèi)型的防火墻在不同層次的網(wǎng)絡(luò)中工作，常用于網(wǎng)絡(luò)層的分組過(guò)濾器和應(yīng)用層的應(yīng)用級(jí)網(wǎng)關(guān)

(1)分組(或包)過(guò)濾器

優(yōu)點(diǎn)：價(jià)格低，應(yīng)用透明，處理速度高

缺點(diǎn)：難以正確建立分組過(guò)濾規(guī)則（分組過(guò)濾配置復(fù)雜）；無(wú)用戶記錄，不利于攻擊行為分析；攻擊相對(duì)容易實(shí)施

(2)應(yīng)用級(jí)網(wǎng)關(guān)(也稱(chēng)代理服務(wù)器)

優(yōu)點(diǎn)：一般認(rèn)為比分組過(guò)濾器更安全，因?yàn)樗�只檢查少數(shù)支持應(yīng)用程序，只從外部看到代理服務(wù)器，沒(méi)有內(nèi)部資源，代理服務(wù)器只允許代理服務(wù)通過(guò)

缺點(diǎn)：網(wǎng)關(guān)處于兩個(gè)串聯(lián)用戶的中間點(diǎn)，必須在兩個(gè)方向檢查和轉(zhuǎn)發(fā)所有通信量，每個(gè)連接都需要額外的處理負(fù)載，以減慢訪問(wèn)速度；需要針對(duì)每個(gè)特定的Internet安裝相應(yīng)的代理服務(wù)器軟件會(huì)帶來(lái)兼容性問(wèn)題

(3)電路級(jí)網(wǎng)關(guān)

優(yōu)點(diǎn)：基于TCP連接代理各種高層會(huì)話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，透明度高

缺點(diǎn)：如電路交換，不進(jìn)一步分析會(huì)話建立后傳輸?shù)木唧w內(nèi)容，存在一定的安全風(fēng)險(xiǎn)

?防火墻的局限性：

(1)防火墻不能保護(hù)繞過(guò)它的攻擊(越窗不超過(guò)門(mén))

(2)防火墻不能支持內(nèi)部威脅(家賊難防)

(3)防火墻不能保護(hù)病毒感染程序或文件的傳輸(不檢查報(bào)告內(nèi)容)

(4)物聯(lián)網(wǎng)感知層(物聯(lián)網(wǎng)感知層網(wǎng)絡(luò)邊界模糊)感知層網(wǎng)絡(luò)邊界模糊)

?異構(gòu)網(wǎng)絡(luò)的信息交換將成為物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全的脆弱點(diǎn)。

5.三是接入安全

泛在接入網(wǎng)絡(luò)安全包括遠(yuǎn)程無(wú)線接入安全、近距離無(wú)線接入安全

5.3.遠(yuǎn)距離無(wú)線接入安全

?(1)移動(dòng)通信系統(tǒng)面臨的安全威脅

1)非授權(quán)訪問(wèn)敏感數(shù)據(jù)(違反機(jī)密性)。包括:竊聽(tīng)、偽裝、流量分析、瀏覽、泄漏和推論

2)非授權(quán)操作敏感數(shù)據(jù)(違反完整性)。包括被入侵者故意篡改、插入、刪除或重新的消息

3)濫用網(wǎng)絡(luò)服務(wù)(導(dǎo)致拒絕服務(wù)或降低可用性)。包括干預(yù)、資源耗盡、優(yōu)先誤用和濫用服務(wù)

4)否認(rèn)。用戶或網(wǎng)絡(luò)拒絕承認(rèn)已執(zhí)行的行為或行為。

5）非授權(quán)訪問(wèn)服務(wù)。包括入侵者偽裝成合法用戶或網(wǎng)絡(luò)實(shí)體訪問(wèn)服務(wù)；用戶或網(wǎng)絡(luò)實(shí)體可以濫用其訪問(wèn)權(quán)限獲得非授權(quán)訪問(wèn)

?(2)移動(dòng)通信系統(tǒng)的安全特性要求

1)提供用戶身份的機(jī)密性

2）實(shí)體認(rèn)證

3)數(shù)據(jù)傳輸?shù)臋C(jī)密性

4)數(shù)據(jù)完整性

5)安全的能見(jiàn)度和可配置性

?(3)移動(dòng)通信系統(tǒng)的安全架構(gòu)

網(wǎng)絡(luò)接入安全

網(wǎng)絡(luò)域安全

用戶域安全

應(yīng)用域安全

安全服務(wù)的可視性和可配置性

?(4)認(rèn)證與密鑰協(xié)商（AKA）

5.3.近距離無(wú)線接入安全

?1.無(wú)線局域網(wǎng)安全

○可用于無(wú)線局域網(wǎng)的安全技術(shù)：

(1)物理地址（MAC）過(guò)濾

(2)服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配

(3)有線對(duì)等保密（WEP）

（4）WAPI安全機(jī)制

（5）IEEE 802.1X EAP認(rèn)證機(jī)制

（6）IEEE 802.11i安全機(jī)制

（7）IEEE 802.16d安全機(jī)制

?2.無(wú)線域網(wǎng)安全

○WPAN以個(gè)人為中心的無(wú)線個(gè)人區(qū)域網(wǎng)實(shí)際上是一種小范圍、低功率、低速率、低價(jià)格的電纜替代技術(shù)

○目前，藍(lán)牙是無(wú)線域網(wǎng)的主流技術(shù)ZigBee、超寬帶（UWB）等

○藍(lán)牙網(wǎng)絡(luò)安全模式

藍(lán)牙規(guī)定了三種網(wǎng)絡(luò)安全模式：非安全模式、業(yè)務(wù)層安全模式和鏈路層模式

○藍(lán)牙密鑰管理

三種密鑰主要用于藍(lán)牙安全系統(tǒng)：PIN鏈路密鑰和加密密鑰

○ZigBee安全服務(wù)內(nèi)容

·訪問(wèn)控制

·數(shù)據(jù)加密

·數(shù)據(jù)完整性

·序列抗重播保護(hù)

○ZigBee安全服務(wù)模式

不安全模式

ACL模式

安全模式

○UWB信息安全威脅，

·拒絕服務(wù)攻擊，UWB拒絕服務(wù)攻擊攻擊類(lèi)型：MAC層攻擊和網(wǎng)絡(luò)層攻擊

·秘鑰泄露

·假冒攻擊

·路由攻擊

5.異構(gòu)網(wǎng)絡(luò)安全

5.4.3異構(gòu)網(wǎng)絡(luò)的安全機(jī)制

○異構(gòu)網(wǎng)絡(luò)的路由安全

○異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證機(jī)制

○異構(gòu)網(wǎng)絡(luò)入侵檢測(cè)機(jī)制

○異構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)信息傳輸安全

5.5路由安全

(1)欺騙、篡改或重放路由信息

(2)選擇性轉(zhuǎn)發(fā)（selective forwarding）

(3)污水池（sinkhole）攻擊

(4)女巫（sybil）攻擊

(5)蟲(chóng)洞（wormhole）攻擊

(6)Hello洪泛攻擊

(7)應(yīng)答欺騙

?(1)對(duì)外部攻擊的防御對(duì)策

?(2)內(nèi)部攻擊的防御對(duì)策

————————————————

版權(quán)聲明：本文為CSDN博主「夢(mèng)想摸魚(yú)」遵循原創(chuàng)文章CC 4.0 BY-SA版權(quán)協(xié)議，請(qǐng)附上原始來(lái)源鏈接和本聲明。

原文鏈接：https://blog.csdn.net/Tekapo_s/article/details/119278282