5.1概述

?物聯(lián)網(wǎng)網(wǎng)絡(luò)層分為核心網(wǎng)和接入網(wǎng)。

?核心網(wǎng)是物聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)闹饕d體，是物聯(lián)網(wǎng)網(wǎng)絡(luò)層的骨干和核心。

?接入網(wǎng)則是骨干網(wǎng)絡(luò)到用戶終端之間的通信網(wǎng)絡(luò)。

無線近距離接入網(wǎng)（如無線局域網(wǎng)、ZigBee、藍(lán)牙）

無線遠(yuǎn)距離接入網(wǎng)（如4G移動(dòng)通信）

其他有線接入方式（如PSTN、ADSL、寬帶、有線電視、現(xiàn)場總線）

5.1.2網(wǎng)絡(luò)層安全需求

（1）業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全

（2）承載網(wǎng)絡(luò)的安全防護(hù)

（3）終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證

（4）異構(gòu)網(wǎng)絡(luò)下終端的安全接入

（5）物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求

（6）大規(guī)模終端分布式安全管控

5.1.3網(wǎng)絡(luò)層安全機(jī)制

（1）構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)等相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

（2）建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺(tái)

（3）提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用與保障措施

（4）建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問控制機(jī)制

5.2核心網(wǎng)安全

核心網(wǎng)面臨的安全威脅：

（1）核心網(wǎng)要接收來自海量、集群方式存在的物聯(lián)網(wǎng)節(jié)點(diǎn)的傳輸信息，很容易導(dǎo)致網(wǎng)絡(luò)擁塞，極易受到DDoS攻擊，這是物聯(lián)網(wǎng)網(wǎng)絡(luò)層最常見的攻擊手段

（2）網(wǎng)絡(luò)層存在不同架構(gòu)的網(wǎng)絡(luò)互聯(lián)互通問題，核心網(wǎng)將面臨異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認(rèn)證等安全問題。涉及密鑰和認(rèn)證機(jī)制的一致性和兼容性，能抵抗DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等

（3）物聯(lián)網(wǎng)中一些節(jié)點(diǎn)不固定，與鄰近節(jié)點(diǎn)的通信關(guān)系會(huì)發(fā)生改變，很難為節(jié)點(diǎn)建立信任關(guān)系，面臨著虛擬節(jié)點(diǎn)、虛假路由等攻擊

5.2.2 IPSec安全協(xié)議與VPN

?物聯(lián)網(wǎng)的核心網(wǎng)以TCP/IP協(xié)議為基礎(chǔ)

?在TCP/IP協(xié)議中，網(wǎng)絡(luò)層協(xié)議IP提供了互連跨越多個(gè)網(wǎng)絡(luò)終端系統(tǒng)(即跨網(wǎng)互聯(lián))的能力，IP是實(shí)現(xiàn)整個(gè)網(wǎng)際互聯(lián)的核心，在該層加入安全機(jī)制是保證整個(gè)網(wǎng)絡(luò)安全通信的重要手段

?IP層的安全機(jī)制稱為IPSec，包括了三個(gè)功能域：鑒別、機(jī)密性和密鑰管理。

○鑒別機(jī)制保證收到的分組確實(shí)是由分組首部的源站地址字段聲明的實(shí)體傳輸過來的，該機(jī)制還能保證分組在傳輸過程中沒有被篡改

○機(jī)密性機(jī)制使得通信節(jié)點(diǎn)可以對報(bào)文加密

○密鑰管理機(jī)制主要完成密鑰的安全交換

IPSec（IP Security）是IETF于1998年11月公布的IP安全標(biāo)準(zhǔn)，目標(biāo)是為IPv4和IPv6提供透明的安全服務(wù)。

IPSec通過對IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族，用于保證數(shù)據(jù)的機(jī)密性、來源可靠性、無連接的完整性并提供抗重播服務(wù)。

?IPSec的優(yōu)點(diǎn)

○由于IPSec位于傳輸層(TCP、UDP)之下，因此對于應(yīng)用是透明的。所以當(dāng)在防火墻、路由器或用戶終端系統(tǒng)上實(shí)現(xiàn)IPSec時(shí)，并不會(huì)對應(yīng)用程序帶來任何的改變

○IPSec可以對個(gè)人用戶提供安全性。這對于不在本地的工作者(如出差)，或者對于一個(gè)組織內(nèi)部，為敏感的應(yīng)用建立只有少數(shù)人才能使用的虛擬子網(wǎng)是必要的

○IPSec為穿越局域網(wǎng)邊界的通信量提供安全保障，但對于局域網(wǎng)內(nèi)部的通信，它不會(huì)帶來任何與安全有關(guān)的處理負(fù)荷

○IPSec對終端用戶是透明的

?IPSec的組成

○Authentication Header（AH，驗(yàn)證報(bào)頭）協(xié)議

定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證

○Encapsulating Security Payload（ESP，封裝安全有效負(fù)載）協(xié)議

定義了加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證

○Internet Key Exchange（IKE，密鑰的交換標(biāo)準(zhǔn)）協(xié)議

用于密鑰交換

?IPSec的工作模式

○傳輸模式

傳送模式用來保護(hù)上層協(xié)議，用于兩個(gè)主機(jī)之間端對端的通信

○隧道模式

也稱通道模式，是用來保護(hù)整個(gè)IP數(shù)據(jù)報(bào)，通常在SA的一端或是兩端都是安全網(wǎng)關(guān)時(shí)使用

?安全關(guān)聯(lián)(Security Association，SA)

為了正確封裝和提取IPsec的數(shù)據(jù)包，有必要采取一套專門的方案，將安全服務(wù)、密鑰等與要保護(hù)的通信數(shù)據(jù)聯(lián)系在一起，這樣的構(gòu)建方案稱為安全關(guān)聯(lián)。

SA是發(fā)送者和接收者兩個(gè)IPsec系統(tǒng)之間的一個(gè)單向邏輯連接，若要在一個(gè)對等系統(tǒng)間進(jìn)行源和目的的雙向安全通信，則需要兩個(gè)SA。

安全關(guān)聯(lián)SA通過一個(gè)三元組（安全參數(shù)索引SPI、目的IP地址和安全協(xié)議AH或ESP）來唯一標(biāo)識(shí)。

?抗重播服務(wù)

IPSec協(xié)議通過數(shù)據(jù)包使用一個(gè)序列號(hào)和一個(gè)滑動(dòng)的接收窗口實(shí)現(xiàn)抗重播服務(wù)

每個(gè)IPSec頭內(nèi)，都包含了一個(gè)獨(dú)一無二、且單調(diào)遞增的序列號(hào)

接收窗口的大小可為大于32的任何值，但推薦為64。從性能考慮，窗口大小最好是最終實(shí)施IPSec的那臺(tái)計(jì)算機(jī)的字長度的整數(shù)倍

?ESP協(xié)議

ESP的作用是提供機(jī)密性保護(hù)、有限的流機(jī)密性保護(hù)、無連接的完整性保護(hù)、數(shù)據(jù)源認(rèn)證和抗重放攻擊等安全服務(wù)

ESP支持傳輸模式和隧道模式

ESP可以單獨(dú)使用，也可以和AH結(jié)合使用。一般ESP不對整個(gè)數(shù)據(jù)包加密，而是只加密IP包的有效載荷部分，不包括IP頭。但在端對端的隧道通信中，ESP需要對整個(gè)數(shù)據(jù)包加密

?AH協(xié)議

AH協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)

與ESP協(xié)議相比，AH不提供對通信數(shù)據(jù)的加密服務(wù)，但能比ESP提供更加廣的數(shù)據(jù)驗(yàn)證服務(wù)

?IKE協(xié)議

IKE協(xié)議是IPSec目前正式確定的密鑰交換協(xié)議

IKE是一種混合型協(xié)議，由ISAKMP、Oakley和SKEME組成，沿用了ISAKMP的基礎(chǔ)，Oakley的模式以及SKEME的共享和密鑰更新技術(shù)

使用了兩個(gè)交換階段，階段一用于建立IKE SA，階段二利用已建立的IKE SA為IPsec協(xié)商具體的一個(gè)或多個(gè)安全關(guān)聯(lián)，即建立IPsec SA

IKE允許四種認(rèn)證方法，分別是基于數(shù)字簽名的認(rèn)證、基于公鑰加密的認(rèn)證、基于修訂的公鑰加密的認(rèn)證和基于預(yù)共享密鑰的認(rèn)證

?VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))是一種確保遠(yuǎn)程網(wǎng)絡(luò)之間能夠安全通信的技術(shù)。

○VPN主要有三個(gè)應(yīng)用領(lǐng)域：遠(yuǎn)程接入網(wǎng)、內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)

○VPN的基本功能

加密數(shù)據(jù)

信息驗(yàn)證和身份識(shí)別

訪問控制

地址管理

密鑰管理

多協(xié)議支持

?VPN采用的安全技術(shù)

○隧道技術(shù)

§點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）

§第二層隧道協(xié)議（L2TP）

○加解密技術(shù)

○密鑰管理技術(shù)

○使用者與設(shè)備身份認(rèn)證技術(shù)

○訪問控制技術(shù)

5.2.3 6LoWPAN安全

為了讓IPv6協(xié)議在IEEE 802.15.4協(xié)議之上工作，實(shí)現(xiàn)MAC層和網(wǎng)絡(luò)層之間的無縫連接,提出一個(gè)網(wǎng)絡(luò)適配層-6LoWPAN（（IPv6 over low-power wireless personal area network），用來完成包頭壓縮、分片、重組和網(wǎng)狀路由轉(zhuǎn)發(fā)等

1）MAC層安全

必須提供終端節(jié)點(diǎn)和數(shù)據(jù)匯聚點(diǎn)間的安全保證。在MAC層可以引入訪問控制、MAC幀加密與解密、幀完整性驗(yàn)證、身份認(rèn)證等安全機(jī)制,提供點(diǎn)到點(diǎn)的安全通信

2）適配層安全

可能存在的安全問題：分片與重組攻擊，報(bào)頭壓縮攻擊（如錯(cuò)誤的壓縮、拒絕服務(wù)攻擊），輕量級(jí)組播安全和Mesh路由安全等。目前針對6LoWPAN適配層安全的研究還較少

分片與重組可能出現(xiàn)IP包碎片攻擊，進(jìn)而可能引起DoS攻擊和重播攻擊。應(yīng)對IP包碎片攻擊的一種方法是：在6LoWPAN適配層增加時(shí)間戳（Timestamp）和現(xiàn)時(shí)（Nonce）選項(xiàng)來保證收到的數(shù)據(jù)包是最新的

3）網(wǎng)絡(luò)層安全

在網(wǎng)絡(luò)層采用高級(jí)加密標(biāo)準(zhǔn)(AES)和CTR模式加密及CBC-MAC驗(yàn)證等對稱加密算法對大容量數(shù)據(jù)進(jìn)行加密

4）應(yīng)用層安全

應(yīng)用層的安全主要集中在為整個(gè)6LoWPAN網(wǎng)絡(luò)提供安全支持,即密鑰建立、密鑰傳輸和密鑰管理等；而且應(yīng)用層要能夠控制下層安全服務(wù)的某些參數(shù)

5.2.4 SSL/TLS

?安全套接字層協(xié)議（Secure Socket Layer,SSL）被設(shè)計(jì)成使用TCP在傳輸層提供一種可靠的端到端的安全服務(wù)，是一種用于基于會(huì)話的加密和認(rèn)證的Internet協(xié)議，它在客戶和服務(wù)器之間提供一個(gè)安全的管道

?SSL工作在傳輸層和應(yīng)用層之間，與應(yīng)用層協(xié)議無關(guān)，應(yīng)用層數(shù)據(jù)（HTTP、FTP、TELNET等）可以透明地置于SSL之上

?SSL不是單個(gè)的協(xié)議，而是兩層協(xié)議

?SSL記錄協(xié)議為不同的更高層協(xié)議提供基本的安全服務(wù)。3個(gè)高層協(xié)議(SSL握手協(xié)議、SSL修改密文規(guī)程協(xié)議、SSL告警協(xié)議)用于管理SSL交換（一共4個(gè)協(xié)議）

?SSL記錄協(xié)議

SSL記錄協(xié)議為每一個(gè)SSL連接提供以下兩種服務(wù)

機(jī)密性(Confidentiality)：SSL記錄協(xié)議會(huì)協(xié)助雙方產(chǎn)生一把共有的密鑰，利用這把密鑰來對SSL所傳送的數(shù)據(jù)做傳統(tǒng)式加密。

消息完整性(Message Integrity)：SSL記錄協(xié)議會(huì)協(xié)助雙方產(chǎn)生另一把共有的密鑰，利用這把密鑰來計(jì)算出消息認(rèn)證碼。

?TLS協(xié)議

提供保密性和數(shù)據(jù)完整性

該協(xié)議由兩層組成

§TLS記錄協(xié)議

§TLS握手協(xié)議

5.2.5防火墻

?防火墻是設(shè)置在不同網(wǎng)絡(luò)（典型地，可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的因特網(wǎng)）間的一系列安全部件的組合

?這組部件具有性質(zhì)：(1)雙向通信必須通過防火墻；(2)防火墻本身不會(huì)影響信息的流通；(3)只允許本身安全策略授權(quán)的通信信息通過。

?防火墻是一種訪問控制機(jī)制，用于確定哪些內(nèi)部服務(wù)對外開放，以及允許哪些外部服務(wù)對內(nèi)部開放。

?防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口

?防火墻提供四種控制服務(wù)：

○服務(wù)控制：確定可以訪問的因特網(wǎng)服務(wù)的類型，包括入站的和出站的。這是因?yàn)榉阑饓梢曰贗P地址和TCP端口號(hào)對通信量進(jìn)行過濾

○方向控制：確定特定的服務(wù)請求被允許流動(dòng)的方向，即特定服務(wù)的方向流控制

○用戶控制：內(nèi)部用戶、外部用戶所需的某種形式的認(rèn)證機(jī)制。根據(jù)用戶試圖訪問的服務(wù)來控制對服務(wù)的訪問。典型地用戶控制防火墻以內(nèi)的用戶（本地用戶）

○行為控制：對特定服務(wù)的使用方式進(jìn)行控制。如防火墻可以過濾電子郵件來消除垃圾郵件

?防火墻有3種主要類型；不同類型的防火墻工作于網(wǎng)絡(luò)的不同層次，以工作于網(wǎng)絡(luò)層的分組過濾器和工作于應(yīng)用層的應(yīng)用級(jí)網(wǎng)關(guān)為常見

（1）分組（或包）過濾器

優(yōu)點(diǎn)：價(jià)格低，對應(yīng)用透明和高的處理速度

缺點(diǎn)：正確建立分組過濾規(guī)則是一件困難的事（分組過濾配置較復(fù)雜）；無用戶使用記錄，不利于分析攻擊行為；攻擊相對容易實(shí)施

（2）應(yīng)用級(jí)網(wǎng)關(guān)（也叫代理服務(wù)器）

優(yōu)點(diǎn)：一般認(rèn)為比分組過濾器更安全，因?yàn)樗粚ι贁?shù)幾個(gè)支持的應(yīng)用進(jìn)行檢查，從外面只看到代理服務(wù)器，而看不到任何內(nèi)部資源，而且代理服務(wù)器只允許被代理的服務(wù)通過

缺點(diǎn)：網(wǎng)關(guān)處于兩個(gè)串接用戶的中間點(diǎn)，必須在兩個(gè)方向上檢查和轉(zhuǎn)發(fā)所有通信量，對每個(gè)連接都需要有額外的處理負(fù)載，使訪問速度變慢；需要針對每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，這會(huì)帶來兼容性問題

（3）電路級(jí)網(wǎng)關(guān)

優(yōu)點(diǎn)：基于TCP連接代理各種高層會(huì)話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，透明性高

缺點(diǎn)：像電路交換，其對會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不作進(jìn)一步分析，存在一定安全隱患

?防火墻的局限性：

（1）防火墻不能對繞過它的攻擊進(jìn)行保護(hù)（越窗而不逾門)

（2）防火墻不能對內(nèi)部的威脅提供支持（“家賊難防”）

（3）防火墻不能對病毒感染的程序或文件的傳輸提供保護(hù)（不對報(bào)文內(nèi)容進(jìn)行檢查）

(4)防火墻機(jī)制難以應(yīng)用于物聯(lián)網(wǎng)感知層（物聯(lián)網(wǎng)感知層網(wǎng)絡(luò)邊界模糊性）

?在物聯(lián)網(wǎng)網(wǎng)絡(luò)層，異構(gòu)網(wǎng)絡(luò)的信息交換將成為網(wǎng)絡(luò)層安全性的脆弱點(diǎn)。

5.3泛在接入安全

泛在接入網(wǎng)安全包括遠(yuǎn)距離無線接入安全、近距離無線接入安全

5.3.1遠(yuǎn)距離無線接入安全

?（1）移動(dòng)通信系統(tǒng)面臨的安全威脅

1）對敏感數(shù)據(jù)的非授權(quán)訪問（違反機(jī)密性）。包括：竊聽、偽裝、流量分析、瀏覽、泄漏和推論

2）對敏感數(shù)據(jù)的非授權(quán)操作（違反完整性）。包括消息被入侵者故意篡改、插入、刪除或重放

3）濫用網(wǎng)絡(luò)服務(wù)（導(dǎo)致拒絕服務(wù)或可用性降低）。包括干涉、資源耗盡、優(yōu)先權(quán)的誤用和服務(wù)的濫用

4）否認(rèn)。用戶或網(wǎng)絡(luò)拒絕承認(rèn)已執(zhí)行過的行為或動(dòng)作。

5）非授權(quán)接入服務(wù)。包括入侵者偽裝成合法用戶或網(wǎng)絡(luò)實(shí)體來訪問服務(wù)；用戶或網(wǎng)絡(luò)實(shí)體能濫用它們的訪問權(quán)限來獲得非授權(quán)的訪問

?(2)移動(dòng)通信系統(tǒng)的安全特性要求

1）提供用戶身份機(jī)密性

2）實(shí)體認(rèn)證

3）數(shù)據(jù)傳輸機(jī)密性

4）數(shù)據(jù)完整性

5）安全的能見度和可配置性

?（3）移動(dòng)通信系統(tǒng)的安全架構(gòu)

網(wǎng)絡(luò)接入安全

網(wǎng)絡(luò)域安全

用戶域安全

應(yīng)用域安全

安全服務(wù)的可視性和可配置性

?（4）認(rèn)證與密鑰協(xié)商（AKA）

5.3.2近距離無線接入安全

?1、無線局域網(wǎng)安全

○無線局域網(wǎng)可用的安全技術(shù)：

（1）物理地址（MAC）過濾

（2）服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配

（3）有線對等保密（WEP）

（4）WAPI安全機(jī)制

（5）IEEE 802.1X EAP認(rèn)證機(jī)制

（6）IEEE 802.11i安全機(jī)制

（7）IEEE 802.16d安全機(jī)制

?2、無線個(gè)域網(wǎng)安全

○WPAN是以個(gè)人為中心的無線個(gè)人區(qū)域網(wǎng)，實(shí)際上是一個(gè)小范圍、低功率、低速率、低價(jià)格的電纜替代技術(shù)

○無線個(gè)域網(wǎng)目前包括的主流技術(shù)有藍(lán)牙、ZigBee、超寬帶（UWB）等

○藍(lán)牙的網(wǎng)絡(luò)安全模式

藍(lán)牙規(guī)定了三種網(wǎng)絡(luò)安全模式：非安全模式、業(yè)務(wù)層安全模式和鏈路層模式

○藍(lán)牙的密鑰管理

藍(lán)牙安全體系中主要用到3種密鑰：PIN碼、鏈路密鑰和加密密鑰

○ZigBee安全服務(wù)的內(nèi)容

·訪問控制

·數(shù)據(jù)加密

·數(shù)據(jù)完整性

·序列抗重播保護(hù)

○ZigBee安全服務(wù)的模式

不安全模式

ACL模式

安全模式

○UWB面臨的信息安全威脅，

·拒絕服務(wù)攻擊，UWB網(wǎng)絡(luò)中拒絕服務(wù)攻擊類型：MAC層攻擊和網(wǎng)絡(luò)層攻擊

·秘鑰泄露

·假冒攻擊

·路由攻擊

5.4異構(gòu)網(wǎng)絡(luò)安全

5.4.3異構(gòu)網(wǎng)絡(luò)的安全機(jī)制

○異構(gòu)網(wǎng)絡(luò)的路由安全

○異構(gòu)網(wǎng)絡(luò)的接入認(rèn)證機(jī)制

○異構(gòu)網(wǎng)絡(luò)的入侵檢測機(jī)制

○異構(gòu)網(wǎng)絡(luò)的節(jié)點(diǎn)信息傳輸安全

5.5路由安全

(1)哄騙、篡改或重放路由信息

(2)選擇性轉(zhuǎn)發(fā)（selective forwarding）

(3)污水池（sinkhole）攻擊

(4)女巫（sybil）攻擊

(5)蟲洞（wormhole）攻擊

(6)Hello洪泛攻擊

(7)應(yīng)答欺騙

?（1）針對外部攻擊的防御對策

?（2）針對內(nèi)部攻擊的防御對策

————————————————

版權(quán)聲明：本文為CSDN博主「夢想摸魚」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/Tekapo_s/article/details/119278282