5.1概述
芯片采購網專注于整合國內外授權IC代理商現貨資源,芯片庫存實時查詢,行業價格合理,采購方便IC芯片,國內專業芯片采購平臺。
?物聯網網絡層分為核心網絡和接入網絡。
?核心網絡是物聯網數據傳輸的主要載體,是物聯網網絡層的骨干和核心。
?接入網絡是從骨干網絡到用戶終端的通信網絡。
無線近距離接入網(如無線局域網)ZigBee、藍牙)
無線遠距離接入網(如4)G移動通信)
其他有線接入(如其他有線接入(如(如其他有線接入)PSTN、ADSL、寬帶、有線電視、現場總線)
5.1.2網絡層安全要求
(1)承載網絡中業務數據的傳輸安全
(2)承載網絡的安全防護
(3)終端和異構網絡的認證
(4)異構網絡下終端的安全接入
(5)物聯網應用網絡統一協議棧需求
(6)大規模終端分布式安全控制
5.1.三網絡層安全機制
(1)構建集物聯網、互聯網、移動通信網絡于一體的網絡安全體系結構
(2)建設物聯網網絡安全統一防護平臺
(3)提高物聯網系統各應用層次之間的安全應用和保障措施
(4)建立物聯網網絡安全接入和應用訪問控制機制
5.2核心網安全
核心網絡面臨的安全威脅:
(1)核心網絡應接收來自大量物聯網節點的傳輸信息和集群模式,容易導致網絡擁塞和接收DDoS攻擊是物聯網網絡層最常見的攻擊手段
(2)網絡層存在不同架構的網絡互聯問題,核心網絡將面臨異構網絡跨網認證等安全問題。它涉及到密鑰和認證機制的一致性和兼容性,可以抵抗DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等
(3)物聯網中的一些節點不固定,與鄰近節點的通信關系會發生變化,很難為節點建立信任關系,面臨虛擬節點、虛假路由等攻擊
5.2.2 IPSec安全協議與VPN
?以物聯網為核心TCP/IP協議為基礎
?在TCP/IP在協議中,網絡層協議IP它提供了跨越多個網絡終端系統(即跨網絡互聯網)的能力,IP是實現整個網絡互聯的核心。在這一層增加安全機制是確保整個網絡安全通信的重要手段
?IP層的安全機制稱為IPSec,它包括識別、機密性和密鑰管理三個功能域。
○識別機制確保收到的分組確實由分組第一部分的源站地址字段聲明的實體傳輸。該機制還可以確保分組在傳輸過程中不會被篡改
○機密機制使通信節點能夠對報紙進行加密
○密鑰管理機制主要完成密鑰的安全交換
IPSec(IP Security)是IETF公布于1998年11月IP目標是安全標準IPv4和IPv6.提供透明的安全服務。
IPSec通過對IP協議分組加密認證保護IP該協議的網絡傳輸協議系列用于確保數據的機密性、來源可靠性、無連接的完整性和抗重播服務。
?IPSec的優點
○由于IPSec位于傳輸層(TCP、UDP)因此,應用程序是透明的。因此,在防火墻、路由器或用戶終端系統中實現IPSec不會給應用程序帶來任何變化
○IPSec它可以為個人用戶提供安全性。這對于非本地工人(如商務旅行)或組織內部的敏感應用程序來說是必要的
○IPSec為穿越局域網邊界的通信量提供安全保障,但對于局域網內的通信,它不會帶來任何與安全相關的處理負荷
○IPSec對終端用戶透明
?IPSec的組成
○Authentication Header(AH,驗證報頭)協議
定義認證的應用方法,提供數據源認證和完整性保證
○Encapsulating Security Payload(ESP,協議包裝安全有效負荷
定義加密和可選認證的應用方法,提供可靠性保證
○Internet Key Exchange(IKE,密鑰交換標準)協議
用于密鑰交換
?IPSec的工作模式
○傳輸模式
傳輸模式用于保護兩個主機之間端對端的上層協議
○隧道模式
又稱通道模式,用于保護整個通道模式IP通常在數據報中SA安全網關使用的一端或兩端
?安全關聯(Security Association,SA)
正確包裝和提取IPsec對于數據包,有必要采取一套特殊的方案,將安全服務、密鑰等與要保護的通信數據聯系起來,這種構建方案稱為安全關聯。
SA發送者和接收者是兩個IPsec如果系統之間的單向邏輯連接需要對等系統之間的源和目的雙向安全通信SA。
安全關聯SA通過三元組(安全參數索引)SPI、目的IP地址和安全協議AH或ESP)唯一的標志。
?抗重播服務
IPSec協議使用序列號和滑動接收窗口通過數據包實現抗重播服務
每個IPSec頭部包含一個獨特而單調的序列號
接收窗口的大小可以超過32的任何值,但推薦為64。從性能上看,最好最終實施窗口大小IPSec計算機字長的整數倍
?ESP協議
ESP其功能是提供機密性保護、有限的流機密性保護、無連接的完整性保護、數據源認證抗重放攻擊等安全服務
ESP支持傳輸模式和隧道模式
ESP它可以單獨使用,也可以和解AH結合使用ESP不加密整個數據包,只加密IP包的有效載荷部分不包括IP但是在隧道通信的末端對端,ESP需要加密整個數據包
?AH協議
AH協議用于為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務
與ESP協議相比,AH對通信數據不提供加密服務,但可比ESP提供更廣泛的數據驗證服務
?IKE協議
IKE協議是IPSec目前正式確定的密鑰交換協議
IKE由混合協議組成ISAKMP、Oakley和SKEME組成,沿用ISAKMP的基礎,Oakley的模式以及SKEME共享和密鑰更新技術
建立了兩個交換階段IKE SA,已建立階段二利用IKE SA為IPsec協商具體的一個或多個安全關聯,即建立IPsec SA
IKE允許基于數字簽名、公鑰加密、修訂公鑰加密和預共享密鑰的四種認證方法
?VPN(Virtual Private Network,虛擬專用網絡)是一種保證遠程網絡之間安全通信的技術。
○VPN主要有三個應用領域:遠程接入網、內聯網和外聯網
○VPN的基本功能
加密數據
信息驗證和身份識別
訪問控制
地址管理
密鑰管理
多協議支持
?VPN安全技術
○隧道技術
§點到點隧道協議(PPTP)
§二層隧道協議(L2TP)
○加解密技術
○密鑰管理技術
○用戶和設備認證技術
○訪問控制技術
5.2.3 6LoWPAN安全
為了讓IPv6協議在IEEE 802.15.4協議以上工作,實現MAC提出了網絡適配層-6的無縫連接LoWPAN((IPv6 over low-power wireless personal area network),用于完成包頭壓縮、分片、重組狀路由轉發
1)MAC層安全
終端節點與數據收集點之間必須提供安全保障。MAC訪問控制可以引入層,MAC幀加密解密、幀完整性驗證、身份認證等安全機制,提供點到點的安全通信
2)適配層安全
可能存在的安全問題:分片重組攻擊、報頭壓縮攻擊(如錯誤壓縮、拒絕服務攻擊)、輕量級組播安全Mesh路由安全等。目前針對6LoWPAN適配CMLMicrocircuits代理層安全研究較少
可能會出現分片和重組IP碎片攻擊可能會導致DoS攻擊和重播攻擊。IP包碎片攻擊的一種方法是:6LoWPAN增加適配層的時間戳(Timestamp)和現時(Nonce)確保收到的數據包是最新的
3)網絡層安全
網絡層采用高級加密標準(AES)和CTR模式加密及CBC-MAC驗證等對稱加密算法加密大容量數據
4)應用層安全
應用層的安全主要集中在整個6LoWPAN網絡提供安全支持,即密鑰建立、密鑰傳輸和密鑰管理;應用層應能夠控制下層安全服務的某些參數
5.2.4 SSL/TLS
?避孕套連接字層協議(Secure Socket Layer,SSL)被設計成使用TCP在傳輸層提供可靠的端到端安全服務,是基于會話的加密和認證Internet協議在客戶和服務器之間提供安全的管道
?SSL在傳輸層和應用層之間工作與應用層協議無關(HTTP、FTP、TELNET等)可以透明放置SSL之上
?SSL不是單一協議,而是兩層協議
?SSL記錄協議為不同的高層協議提供基本的安全服務。三個高層協議(SSL握手協議、SSL修改密文規程協議,SSL報警協議)用于管理SSL交換(共4個協議)
?SSL記錄協議
SSL每個都有記錄協議SSL連接提供以下兩種服務
機密性(Confidentiality):SSL記錄協議將幫助雙方生成一個共同的密鑰,并使用這個密鑰SSL傳統加密傳輸的數據。
消息完整性(Message Integrity):SSL記錄協議將幫助雙方生成另一個共同的密鑰,并使用該密鑰計算信息認證碼。
?TLS協議
提供保密性和數據完整性
該協議由兩層組成
§TLS記錄協議
§TLS握手協議
5.2.5防火墻
?防火墻是設置在不同網絡之間的一系列安全部件的組合(典型的、可信的企業內部網絡和不可信的因特網)
?本組件性質:(1)雙向通信必須通過防火墻;(2)防火墻本身不影響信息流通;(3)只允許通過其自身安全策略授權的通信信息。
?防火墻是確定哪些內部服務對外開放,允許哪些外部服務對內開放的訪問控制機制。
?防火墻是不同網絡或網絡安全域之間的唯一出入口
?防火墻提供四種控制服務:
○服務控制:確定可訪問的因特網服務類型,包括入站和出站。這是因為防火墻可以基于IP地址和TCP端口號過濾通信量
○方向控制:確定允許特定服務請求的流向,即特定服務的方向流控制
○用戶控制:內部用戶和外部用戶所需的某種形式的認證機制。根據用戶試圖訪問的服務來控制服務訪問。典型的用戶控制防火墻內的用戶(本地用戶)
○行為控制:控制特定服務的使用。如果防火墻可以過濾電子郵件消除垃圾郵件
?防火墻主要有三種類型;不同類型的防火墻在不同層次的網絡中工作,常用于網絡層的分組過濾器和應用層的應用級網關
(1)分組(或包)過濾器
優點:價格低,應用透明,處理速度高
缺點:難以正確建立分組過濾規則(分組過濾配置復雜);無用戶記錄,不利于攻擊行為分析;攻擊相對容易實施
(2)應用級網關(也稱代理服務器)
優點:一般認為比分組過濾器更安全,因為它只檢查少數支持應用程序,只從外部看到代理服務器,沒有內部資源,代理服務器只允許代理服務通過
缺點:網關處于兩個串聯用戶的中間點,必須在兩個方向檢查和轉發所有通信量,每個連接都需要額外的處理負載,以減慢訪問速度;需要針對每個特定的Internet安裝相應的代理服務器軟件會帶來兼容性問題
(3)電路級網關
優點:基于TCP連接代理各種高層會話,具有隱藏內部網絡信息的能力,透明度高
缺點:如電路交換,不進一步分析會話建立后傳輸的具體內容,存在一定的安全風險
?防火墻的局限性:
(1)防火墻不能保護繞過它的攻擊(越窗不超過門)
(2)防火墻不能支持內部威脅(家賊難防)
(3)防火墻不能保護病毒感染程序或文件的傳輸(不檢查報告內容)
(4)物聯網感知層(物聯網感知層網絡邊界模糊)感知層網絡邊界模糊)
?異構網絡的信息交換將成為物聯網網絡層安全的脆弱點。
5.三是接入安全
泛在接入網絡安全包括遠程無線接入安全、近距離無線接入安全
5.3.遠距離無線接入安全
?(1)移動通信系統面臨的安全威脅
1)非授權訪問敏感數據(違反機密性)。包括:竊聽、偽裝、流量分析、瀏覽、泄漏和推論
2)非授權操作敏感數據(違反完整性)。包括被入侵者故意篡改、插入、刪除或重新的消息
3)濫用網絡服務(導致拒絕服務或降低可用性)。包括干預、資源耗盡、優先誤用和濫用服務
4)否認。用戶或網絡拒絕承認已執行的行為或行為。
5)非授權訪問服務。包括入侵者偽裝成合法用戶或網絡實體訪問服務;用戶或網絡實體可以濫用其訪問權限獲得非授權訪問
?(2)移動通信系統的安全特性要求
1)提供用戶身份的機密性
2)實體認證
3)數據傳輸的機密性
4)數據完整性
5)安全的能見度和可配置性
?(3)移動通信系統的安全架構
網絡接入安全
網絡域安全
用戶域安全
應用域安全
安全服務的可視性和可配置性
?(4)認證與密鑰協商(AKA)
5.3.近距離無線接入安全
?1.無線局域網安全
○可用于無線局域網的安全技術:
(1)物理地址(MAC)過濾
(2)服務區標識符(SSID)匹配
(3)有線對等保密(WEP)
(4)WAPI安全機制
(5)IEEE 802.1X EAP認證機制
(6)IEEE 802.11i安全機制
(7)IEEE 802.16d安全機制
?2.無線域網安全
○WPAN以個人為中心的無線個人區域網實際上是一種小范圍、低功率、低速率、低價格的電纜替代技術
○目前,藍牙是無線域網的主流技術ZigBee、超寬帶(UWB)等
○藍牙網絡安全模式
藍牙規定了三種網絡安全模式:非安全模式、業務層安全模式和鏈路層模式
○藍牙密鑰管理
三種密鑰主要用于藍牙安全系統:PIN鏈路密鑰和加密密鑰
○ZigBee安全服務內容
·訪問控制
·數據加密
·數據完整性
·序列抗重播保護
○ZigBee安全服務模式
不安全模式
ACL模式
安全模式
○UWB信息安全威脅,
·拒絕服務攻擊,UWB拒絕服務攻擊攻擊類型:MAC層攻擊和網絡層攻擊
·秘鑰泄露
·假冒攻擊
·路由攻擊
5.異構網絡安全
5.4.3異構網絡的安全機制
○異構網絡的路由安全
○異構網絡的接入認證機制
○異構網絡入侵檢測機制
○異構網絡節點信息傳輸安全
5.5路由安全
(1)欺騙、篡改或重放路由信息
(2)選擇性轉發(selective forwarding)
(3)污水池(sinkhole)攻擊
(4)女巫(sybil)攻擊
(5)蟲洞(wormhole)攻擊
(6)Hello洪泛攻擊
(7)應答欺騙
?(1)對外部攻擊的防御對策
?(2)內部攻擊的防御對策
————————————————
版權聲明:本文為CSDN博主「夢想摸魚」遵循原創文章CC 4.0 BY-SA版權協議,請附上原始來源鏈接和本聲明。
原文鏈接:https://blog.csdn.net/Tekapo_s/article/details/119278282
