物联网网络层安全培训课件

第5章物联网网络层安全第5章物联网网络层安全2023/1/12/49学习目标本章介绍物联网网络层面临的安全威胁和安全需求，实现物联网网络层安全保护的机制。

网络层安全概述近距离无线接入（WLAN）安全远距离无线接入（3G，4G）安全物联网核心网安全2022/12/232/49学习目标本章介绍物联网网络层面临2023/1/13/49课前回顾5.2WLAN安全5.2.3健壮网络安全RSN5.2.4WLAN鉴别与保密基础结构WAPI5.33G/4G安全2022/12/233/49课前回顾5.2WLAN安全2023/1/14/49本节课学习内容5.4网络层核心网安全5.4.1核心IP骨干网安全5.4.26LoWPAN适配层的安全2022/12/234/49本节课学习内容5.4网络层核心3G（UMTS）认证与密钥协商协议3G认证和密钥协商过程如下：⑴移动终端(ME/USIM)向网络发出呼叫接入请求，把身份标识(IMSI)发给VLR。⑵VLR收到该注册请求后，向用户的HLR发送该用户的IMSI，请求对该用户进行认证。⑶HLR收到VLR的认证请求后，生成序列号SQN和随机数RAND，计算认证向量AV发送给VLR。其中，AV=RAND||XRES||CK||IK||AUTN。

如何计算AV各字段？3G（UMTS）认证与密钥协商协议3G认证和密钥协商过程如下3G（UMTS）认证与密钥协商协议①XRES=f2K(RAND)，期望的应答(eXpectedRESponse)。②CK=f3K(RAND)，加密密钥：IK=f4K(RAND)，完整性密钥。③AUTN=SQNAK||AMF||MAC，认证令牌。生成认证向量AV的过程3G（UMTS）认证与密钥协商协议①XRES=f2K(RAN3G（UMTS）认证与密钥协商协议④SQN：序列号。⑤AK=f5K(RAND)，匿名密钥，用于隐蔽序列号。⑥AMF：鉴别管理字段(AuthenticationManagementField)。⑦MAC=f1K(SQN||RAND||AMF)，消息鉴别码。3G（UMTS）认证与密钥协商协议④SQN：序列号。3G（UMTS）认证与密钥协商协议(4)VLR接收到认证向量后，将RAND及AUTN发送给ME，请求用户产生认证数据。(5)ME收到认证请求后，首先计算XMAC并与AUTN中的MAC进行比较，若不同则向VLR发送拒接认证消息，并放弃该过程。同时，ME验证接收到的SQN是否在有效的范围内，若不在有效的范围内，ME则向VLR发送“同步失败”消息，并放弃该过程。RES计算如下：消息鉴别码：XMAC=f1K(SQN||RAND||AMF)用户认证应答：RES=f2K(RAND)3G（UMTS）认证与密钥协商协议(4)VLR接收到认证向量3G（UMTS）认证与密钥协商协议(6)VLR接收到来自ME的RES后，将RES与认证向量AV中的XRES进行比较，若相同则ME的认证成功，否则ME认证失败。最后，ME与VLR建立的共享加密密钥是CK,数据完整性密钥是IK。3G（UMTS）认证与密钥协商协议(6)VLR接收到来自ME3G系统安全特性优缺点3G系统在密钥长度、算法选定、实体认证个身份保密性检验等方面，3G的安全性能远远优于2G1.没有建立公钥密码体制，难以实现用户数字签名2.密码学的最新成果（如ECC椭圆曲线密码算法）并未在3G中得到应用3.密钥产生机制和认证协议仍有一定的安全隐患优点：缺点：3G系统安全特性优缺点优点：缺点：5.4物联网核心网安全5.4物联网核心网安全一、核心IP骨干网的安全二、6LoWPAN适配层的安全一、核心IP骨干网的安全一、核心IP骨干网的安全目前，以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性，成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在，1994年7月，IETF决定以SIPP作为IPng的基础，同时把地址数由64位增加到128位。新的Ip协议称为IPv6[4]

[5]。IPv6继承了IPv4的优点，摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。一、核心IP骨干网的安全目前，以TCP/IP协议

安全机制可以处在协议栈的不同层次，通常密钥协商和认证协议在应用层定义，而保密性和完整性可在不同的层次完成，下图为不同层次的安全协议。这里主讲SSL/TLS安全机制表5-6分层安全协议一、核心IP骨干网的安全安全机制可以处在协议栈的不同层次，通常密钥协商SSL/TLS安全协议分为两个部分，SSL是套接层安全协议；TLS为安全传输层协议。传输层安全协议通常指的是套接层安全协议SSL和传输层安全协议TLS两个协议。SSL是美国Netscape公司于1994年设计的，为应用层数据提供安全服务和压缩服务。SSL虽然通常是从HTTP接收数据，但SSL其实可以从任何应用层协议接收数据。IETF于1999年将SSL的第3版进行了标准化，确定为传输层标准安全协议TLS。TLS和SSL第3版只有微小的差别，故人们通常把它们一起表示为SSL/TLS。另外，在无线环境下，由于手机及手持设备的处理和存储能力有限，原WAP论坛在TLS的基础上做了简化，提出了WTLS协议(WirelessTransportLayerSecurity)，以适应无线网络的特殊环境。一、核心IP骨干网的安全SSL/TLS安全协议分为两个部分，SSL是套接层安全协SSL由两部分组成，第一部分称为SSL记录协议，置于传输协议之上：第二部分由SSL握手协议、SSL密钥更新协议和SSL提醒协议组成，置于SSL记录协议之上和应用程序（如HITP)之下。下表显示了SSL协议在应用层和传输层之间的位置。一、核心IP骨干网的安全HTTPSSL握手协议SSL密钥更新协议SSL提醒协议SSL记录协议TCPIP表5-7SSL协议结构SSL由两部分组成，第一部分称为SSL记录协议，置于1）SSL握手协议 SSL握手协议用于给通信双方约定使用哪个加密算法、哪个数据压缩算法以及些参数。在算法确定了加密算法、压缩算法和参数以后，SSL记录协议将接管双方的通信,包括将大数据分割成块、压缩每个数据块、给每个压缩后的数据块签名、在数据块前加上记录协议包头并传送给对方。SSL密钥更新协议允许通信双方在一个会话阶段中更换算法或参数。SSL提醒协议是管理协议，用于通知对方在通信中出现的问题以及异常情况。一、核心IP骨干网的安全1）SSL握手协议一、核心IP骨干网的安全SSL握手协议是SSL各协议中最复杂的协议，它提供客户和服务器认证并允许双方协商使用哪一组密码算法，交换加密密钥等。它分四个阶段，SSL握手协议的工作过程如图5-31.图中带*号是可选的，括号[]中不是TLS消息。一、核心IP骨干网的安全SSL握手协议是SSL各协议中最复第1阶段：协商确定双方将要使用的密码算法。这一阶段的目的是客户端和服务器各自宣布自己的安全能力，从而双方可以建立共同支持的安全参数。客户端首先向服务器发送问候信息，包括：客户端主机安装的SSL最高版本号，客户端伪随机数生成器秘密产生的一个随机串rc防止重放攻击，会话标志，密码算法组，压缩算法（ZIP、PKZIP等）。其中密码算法组是指客户端主机支持的所有公钥密码算法、对称加密算法和Hash函数算法。按优先顺序排列，排在第一位的算法是客户主机最希望使用的算法。例如，客户的三种算法分别为

公钥密码算法：RSA、Ecc、Diffie-Hellman;

对称密码算法：AES·128、3DES/3、Rc5; Hash函数算法：SHA巧12、SHA-I、MD50然后，服务器向客户端回送问候信息。包括：服务器主机安全的SSL最高版本号，服务器伪随机数生成器秘密产生的随机串RS，会话标识，密码算法组（例如RSA、3DES/3、SHA-1),压缩算法。一、核心IP骨干网的安全第1阶段：协商确定双方将要使用第2阶段：对服务器的认证和密钥交换

服务器程序向客户程序发送如下信息：(1)服务器的公钥证书。包含x.509类型的证书列表，如果密钥交换算法是匿名Diffie-blellman‘就不需要证书。(2)服务器端的密钥交换信息。包括对预备主密钥的分配。如果密钥交换方法是RSA或者固定Diffie-Hellmam就不需要这个信息。

(3)询问客户端的公钥证书。向客户端请求第3阶段的证书。如果给客户使用的是匿名Diffie-Hellman,服务器就不向客户端请求证书。

(4)完成服务器问候。该信息用ServerHelloDone表示，表示阶段2结束，阶段3开始。一、核心IP骨干网的安全第2阶段：对服务器的认证和密钥第3阶段：对客户端的认证和密钥交换客户程序向服务器程序发送如下信息：

(1)客户公钥证书。和第2阶段第(1)步信息格式相同，但内容不同,它包含证明客户的证书链。只有在第2阶段第(3)步请求了客户端的证书，才发送这个信息。如果有证书请求，但客户没有可发送的证书，它就发送一个SSL提醒信息（携带一个没有证书的警告）服务器也许会继续这个会话，也可能会决定终止。(2)客户端密钥交换信息。用于产生双方将使用的主密钥,包含对预备主密钥的贡献。信息的内容基于所用的密钥交换算法。如果密钥交换算法是RSA,客户就创建完整的预备主密钥并用服务器RSA公钥进行加密。如果是匿名Diffie-Hellman,客户就发送Diffie-Hellman半密钥，等等。

一、核心IP骨干网的安全第3阶段：对客户端的认证和密钥(3)证书验证。如果客户发送了一个证书，宣布它拥有证书中的公钥，就需要证实它知道相关的私钥。这对于阻止一个发送了证书并声称该证书来自客户的假冒者是必需的。通过创建一个信息并用私钥对该信息进行签名，可证明它拥有私钥。例如客户用私钥对前面发送的明文的Hash值进行签名。假设服务器在第1阶段选取了RSA作为密钥交换手段，则客户程序用如下方法产生密钥交换信息：客户程序验证服务器公钥证书的服务器公钥，然后用伪随机数生成器产生一个48字节长的比特字符串Spm，称为前主密钥。然后用服务器公钥加密Spm将密文作为密钥交换信息传给服务器。这时，客户端和服务器端均拥有rc、rs、Spm，且Spm仅仅被客户和服务器所拥有。此后，双方计算主密钥如下图其中，H1和H2是Hash函数(SSL用MD5作为H1的默认Hash函数，用SHA-I作为的默认Hash函数），'A','BB',‘CCC’分别表示A、BB、CCC的ASCII码。一、核心IP骨干网的安全(3)证书验证。如果客户发送了一第4阶段：结束双方互送结束信息完成握手协议，并确认双方计算的主密钥相同。为达到此目的，结束信息将包含双方计算的主密钥的Hash值。握手协议完成后，双方用产生主密钥Sm的方法，用Sm取代Spm并根据双方商定的密码算法，产生一个足够长的密钥块如下：然后SSL将分割成6段，每一段自成一个密钥。这6个密钥分成如下两组：第1组为（Kc1,Kc2,kc3）；第2组为（Ks1,Ks2,Ks3）。每组3个密钥，即：Kb=Kc1||Kc2||Kc3||Ks1||Ks2||Ks3||Z,其中z是剩余的字符串。第1组密钥用于客户到服务器的通信，记（Kc1,Kc2,kc3=(Kchmac,Kce,IVc),分别为认证密钥、加密密钥和初始向量。第2组用于服务器到客户的通信，记为：（Ks1,Ks2,Ks3）=(Kshmac,Kse,IVs)和第1组类似。

此后，客户和服务器将转用SSL记录协议进行后续的通信。

一、核心IP骨干网的安全第4阶段：结束一、核心IP骨干网的安全2）SSL记录协议

执行完握手协议之后，客户和服务器双方统一了密码算法、算法参数、密钥及压缩算法。SSL记录协议便可使用这些算法、参数和密钥对数据进行保密和认证处理。令M为客户希望传送给服务器的数据。客户端SSL记录协议首先将M分成若干长度不超过214字节的分段：M1,M2,…,Mk。令cx、H和E分别为客户端和服务器双方在ssl握手协议中选定的压缩函数、HMAC算法和加密算法。客户端SSL记录协议按如下步骤将每段Mi进行压缩、认证和加密处理，然后将其发送给服务器,i=1,2……,k,如下图2）SSL记录协议（1）将Mi进行压缩得到M’i=CX(Mi)。（2）将M’i进行认证得到M’’i=M’||HkcHMAC(M’)（3）将M”加密得ci=Ekc(M“i)

（4）将Ci封裝得Pi=[SSL录协议包头]llCi（5）将Pi发给服务器。服务器收到客户送来的SSL记录协议包后，首先将Ci解密得M‘iIlHKcHMAC(M’i)，验证HMAC，然后将M’解压还原成Mi.。同理，从服务器发送给客户的数据也按上述方式处理。双方间的通信保密性和完整性由此得到保护。2）SSL记录协议（1）将Mi进行压缩得到M’i=CX(Mi)。2）SSLSSL/TLS协议实现的安全机制包括身份验证机制和数据传输的机密性与完整性的控制。（1）身份验证机制。SSL/TLS协议基于证书并利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证可选。在该协议机制中，客户端必须验证SSL/TLS服务器的身份，SSL/TLS服务器是否验证客户端身份，自行决定。SSL/TLS利用PK提供的机制保证公钥的真实性。

(2)数据传输的机密性。可以利用对称密钥算法对传输的数据进行加密。网络上传输的数据很容易被非法用户窃取,SSL/TLS协议采用在通信双方之间建立加密通道的方法保证数据传输的机密性。所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文,从而保证数据传输的机密性。3）SSL/TLS协议的安全机制SSL/TLS协议实现的安全机制包括没有解密密钥的第三方,无法将密文恢复为明文。SSL/TLS加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效防止交互数据被窃听。（3）消息完整性验证。消息传输过程中使用MAC算法来检验消息的完整性。为了避免网络中传输的数据被非法篡改，SSL/TLS利用基于MD5或SHA的MAC算法来保证消息的完整性。MAC算法可以将任意长度的数据转换为固定长度的数据。发送者利用己知密钥和MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变；否则，报文在传输过程中被修改。3）SSL/TLS协议的安全机制没有解密密钥的第三方,无法将密为了让IPv6协议能在IEEE802.15.4协议之上工作，导致了6LoWPAN适配层的提出。这一解决方法正在被IPSO联盟所推广，是IPSO提出的智能物体（smartObject)、基于Internet(lnternet-based，Web·enabled）的无线传感器网络等应用的基本技术。由27个公司发起的针对智能对象联网的IP标准协作组织--IPSO(IPforSmartObjectalliance)，目前己有45个成员，包括Cisco、SAP、SUN、Bosch、Intel等，该组织提出的IPv6协议栈ulPv6可以和主流厂商的协议栈互操作，其轻量级的代码只需要111.5kB的内存。二、

6LoWPAN适配层的安全为了让IPv6协议能在IEEE802.15IETF于2004年成立6LoWPAN(IPv6overLow-powerWirelessPersonalAreaNetwork)工作组，致力于将TCP/IPv6协议栈构建于IEEE802.15.4标准之上，并且通过路由协议构建起自组织方式的低功耗、低速率的6LoWPAN网络。第一个6LoWPAN规范RFC4919给出了标准的基本目标和需求，然后RFC4944中规范了6LoWPAN的格式和功能。通过部署和实现的经验，6LoWPAN工作组进一步公布了包头压缩（HeaderCompression)、邻居发现(NeighborDiscovery)、用例(Usecase）及路由需求等文档。2008年IETF成立了一个新的工作组：ROLL(RoutingOverLow-powerandLossyNetworks)，规范了低功耗有损网络(Low-powerandLossyNetwork，LLN）中路由的需求及解决方案。在6LoWPAN提出后，很多组织、标准或联盟都提出了相应的兼容性方案。

在2008年，ISA开始为无线工业自动化控制系统制定标准，称为SP100.11a（也称为ISA100),该标准基于6LoWPAN。同样是2008年，IPSO联盟成立，推动在智能物体上使用IP协议。1·6LoWPAN协议简介IETF于2004年成立6LoWPAIP500联盟主要致力于针对商业和企业建筑自动化及过程控制系统的开放无线Mesh网络，是一个在IEEE802.15.4（sub一GHz）无线电通信上建立6LoWPAN的联盟，sub-GHzISM频段是433MHz、868MHz和915MHz，使用该频段的原因是当2.4GHzISM频段变得拥挤时，sub-GHz比2·4GHz有更好的低频穿透能力，导致更大的传输距离。开放地理空间论坛（openGeospatialConsortium，OGC)规范了一个基于IP的地理空间和感知应用的解决方案。

1·6LoWPAN协议简介IP500联盟主要致力于针对商业和2009年，欧洲通信标准研究院（EuropeanTelecommunicationStandardsInstitute，ETSI)成立了一个工作组，制定M2M标准，其中包括端到端的与6LoWPAN兼容的架构。如下图所示给出了6LoWPAN与相关标准和联盟的关系。1·6LoWPAN协议简介2009年，欧洲通信标准研究院（E

物联网中特别是可通过Internet访问的传感器网络，其节点数目巨大，分布在户外并且位置可能是动态变化的。IPv6由于具有地址空间大、地址自动配置、邻居发现等特性，因此特别适合作为此类物联网的网络层。同时在技术上，IPv6的巨大地址空间能够满足节点数量庞大的网络地址需求；IPv6的一些新技术（如邻居发现、无状态的地址自动配置等技术）使自动构建网络时要相对容易一些。IPv6与IEEE802.15.4的MAC层的结合，可以轻松实现大规模传感器（智能物体）网络与Internet的互连，并能够远程访问这些传感器（智能物体）节点的数据。6LoWPAN就是介于IPv6和IEEE802.15.4之间的一个适配层，其协议栈如右图所示。应用层传输层精简IPv6协议层6LOWPAN适配层IEEE802.15.4MAC层IEEE802.15.4PHY层1·6LoWPAN协议简介物联网中特别是可通过Inte

在构造物联网时，往往涉及传统IP网络和基于IP的WPAN（无线个域网）的互连。具有6LoWPAN的协议栈和传统IP协议栈的比较如下图IP和6LoWPAN协议栈的比较。1·6LoWPAN协议简介在构造物联网时，往往涉及相应地,在传统IP网络和物联网之间的边界路由器上，需要实现两类数据包的处理和转发，下图-支持6LoWPAN的IPv6边界路由器协议栈IPv6以太网MAC6LOWPAN802.15.4MAC以太网PHY802.15.4PHY1·6LoWPAN协议简介相应地,在传统IP网络和物联网之间IETF6LoWPAN草案标准是专门为将IP扩展到低速率有损无线网络而设计的，其在整个TCP/IP协议栈中的位置如图5-37所示，是处于IP和802.15.4之间的一个适配层。该适配层的功能包括包的分片/组装、试运行/启动（自动配置）、邻居发现的优化、Mesh路由等功能。下图--

6LoWPAN节点协议架构在TCP/IP协议栈中的位置SNMP管理服务命名与发现传感器应用轻量级套接字APITCP/UDPIPICMP适配层分片/组装试运行/启动邻居发现的优化Mesh路由802.15.4传感器节点硬件2、6LoWPAN要解决的问题IETF6LoWPAN草案标准是专门为将具体而言，6LOWPAN需要解决的问题包括：（1）、IP连接向题。（2）、网络拓扑。（3）、报文长度限制。（4）、有限的配置和管理。（5）、组播限制。（6）、安全问题。2、6LoWPAN要解决的问题具体而言，6LOWPAN需要解决的问题6LoWPAN工作组提出了一些解决方案，解决方案的性能评价指标主要是报文消耗、带宽消耗、处理需求及能量消耗，这四个方面也是影响6LoWPAN网络性能的主要因素。下面简介该解决方案。（1）、分片与重组。为了解决IPv6最小MTU为1280字节与IEEE802.15.4Payload长度仅有81字节冲突的问题，6LoWPAN需要对IPv6报文进行链路层的分片和重组。（2）、报头压缩。在使用IEEE802.15.4安全机制时，IP报文只有81字节的空间，而IPv6头部需要40字节，传输层的UDP和TCP头部分别为8和20字节，这就只留给了上层数据33或21字节。如果不对这些报头进行压缩的话，6LoWPAN数据传输的效率将是非常低的。（3）、组播支持。IEEE802.15.4并不支持组播也不提供可靠的广播，6LoWPAN需要提供额外的机制以支持IPv6在这方面的需要。（4）、网络拓扑管理。IEEE802.15.4MAC层协议仅提供基本的点对点的传输，无法很好地支持IPv6。因此必须在IP层以下、MAC层以上构建一定的网络拓扑，形成合适的拓扑结构，如星形、树形或者Mesho6LowPAN负责调用MAC层提供的原语，以形成正确的多跳拓扑。6LOWPAN需要解决的问题6LoWPAN工作组提出了一些解决方（5）、Mesh路由。一个支持多跳的Mesh路由协议是必要的，但现有的一些无线网络路由协议（如AODV等）并不能很好地适应LoWPAN的特殊情况，这些路由协议大多是通过广播方式进行路由询问，对于能量供应相当有限的节点来讲是很不现实的。（6）、安全性。

6LoWPAN需要考虑安全性。这一方面还有很多工作要开展。对应于上面的6LoWPAN引入的新处理，可能存在的安全问题包括：分片与重组攻击，报头压缩相关的攻击（如错误的压缩、拒绝服务攻击），轻量级组播安全，Mesh路由安全等。

6LOWPAN需要解决的问题（5）、Mesh路由。6LOWPAN需要因为分片与重组的存在，报文中与分片/重组过程相关的参数有可能会被攻击者修改或重构，如数据长度(datagram-size)、数据标签(datagram-tag)、数据偏移(datagram-offset)等，从而引起意外重组、重组溢出、重组乱序等问题，进而使节点资源被消耗、停止工作、重启等，以这些现象为表现的攻击被称为IP包碎片攻击（IPPacketFragmentationAttack)，进而可引发Dos攻击和重播攻击。所以，H.Kim等人提出了在6LoWPAN适配层增加时间戳（Timestamp）和随机序列（Nonce）选项来保证收到的数据包是最新的，从而防止数据包在传输过程被攻击者修改或重构，进而有效地防止IP包碎片攻击。w.Jung等人提出并实现了一整套在6LoWPAN网络中实现SSL(SecuresocketsLayer,安全套接层）的方案，他们在密钥分发上对ECC和RSA做了比较，在密码算法上对RC4、DES、3DES做了比较，在消息认证上使用MD5和SHAI函数，最后发现ECC-RC4-MD5的组合消耗的资源最小，分别占用64KB的Flash和7KB的RAM，实现一次完整的SSL握手需要2s。3，6LoWPAN的安全性分析因为分片与重组的存在，报文中与RFC工作文档给出了一些对6LoWPAN安全的分析。

关于IEEE802.15.4的安全性。IEEE802.15.4MAC层提供了安全服务，由MACPIB控制，MAC子层在PIB中维护一个访问控制列表（ACL）。通过针对某个通信方设定一个ACL中的安全套件(Securitysuite)，设备可以确定使用什么安全级别（即无安全、访问控制、数据加密、帧完整性等）与该通信方通信。

IEEE802.15.4MAC的一个关键功能就是提供了帧安全性。帧安全性其实是MAC层提供给上层的可选服务。取决于应用的需求，若应用并没有设定任何安全参数，则这一安全功能缺省是中止的。IEEE802.15.4定义了四种包类型：Beacon包、数据包、确认包以及控制包。对于确认包没有安全机制，其他的包类型可以选择是否需要完整性保护或者保密性保护。山于IEEE802.15.4的应用十分广泛，因此认证和密钥交换机制在标准中并没有定义，留给上层应用来定义。3，6LoWPAN的安全性分析RFC工作文档给出了一些对6LoWPA关于密钥管理方面，指出由于节点资源受限，缺乏物理保护，无人值守操作，且与物理环境的密切交互，这些都使得在6LoWPAN中使用常用的密钥交换技术变得不太可行。常见的三种密钥管理技术，如基于可信第三方的密钥分配技术、密钥预分配技术、基于公钥密码的技术均面临一些困难。基于可信第三方的技术，如Kerberos，具有单一失效点，这一方法不适合6LoWPAN，因为不能保证和可信第三方的连接总是可用的，特别是在LLN网络中。基于密钥预分配的技术需要网络部署者事先知道节点的布局，节点之间的相邻关系，但是，由于节点部署的随机性，这种相邻关系可能无法事先获得。而且，若节点可能在网络部署时被入侵者攻击，动态在线密钥管理技术比起密钥预分配要更加有利于处理网络的动态性。基于公钥密码的密钥分配技术，如数字证书，在6LoWPAN节点上可能计算能耗较高，如DH密钥协商、RSA或者ECC等，但是有研究表明ECC可在传感器节点上实现。3，6LoWPAN的安全性分析关于密钥管理方面，指出由于节点演讲完毕，谢谢观看！演讲完毕，谢谢观看！第5章物联网网络层安全第5章物联网网络层安全2023/1/144/49学习目标本章介绍物联网网络层面临的安全威胁和安全需求，实现物联网网络层安全保护的机制。

网络层安全概述近距离无线接入（WLAN）安全远距离无线接入（3G，4G）安全物联网核心网安全2022/12/232/49学习目标本章介绍物联网网络层面临2023/1/145/49课前回顾5.2WLAN安全5.2.3健壮网络安全RSN5.2.4WLAN鉴别与保密基础结构WAPI5.33G/4G安全2022/12/233/49课前回顾5.2WLAN安全2023/1/146/49本节课学习内容5.4网络层核心网安全5.4.1核心IP骨干网安全5.4.26LoWPAN适配层的安全2022/12/234/49本节课学习内容5.4网络层核心3G（UMTS）认证与密钥协商协议3G认证和密钥协商过程如下：⑴移动终端(ME/USIM)向网络发出呼叫接入请求，把身份标识(IMSI)发给VLR。⑵VLR收到该注册请求后，向用户的HLR发送该用户的IMSI，请求对该用户进行认证。⑶HLR收到VLR的认证请求后，生成序列号SQN和随机数RAND，计算认证向量AV发送给VLR。其中，AV=RAND||XRES||CK||IK||AUTN。

如何计算AV各字段？3G（UMTS）认证与密钥协商协议3G认证和密钥协商过程如下3G（UMTS）认证与密钥协商协议①XRES=f2K(RAND)，期望的应答(eXpectedRESponse)。②CK=f3K(RAND)，加密密钥：IK=f4K(RAND)，完整性密钥。③AUTN=SQNAK||AMF||MAC，认证令牌。生成认证向量AV的过程3G（UMTS）认证与密钥协商协议①XRES=f2K(RAN3G（UMTS）认证与密钥协商协议④SQN：序列号。⑤AK=f5K(RAND)，匿名密钥，用于隐蔽序列号。⑥AMF：鉴别管理字段(AuthenticationManagementField)。⑦MAC=f1K(SQN||RAND||AMF)，消息鉴别码。3G（UMTS）认证与密钥协商协议④SQN：序列号。3G（UMTS）认证与密钥协商协议(4)VLR接收到认证向量后，将RAND及AUTN发送给ME，请求用户产生认证数据。(5)ME收到认证请求后，首先计算XMAC并与AUTN中的MAC进行比较，若不同则向VLR发送拒接认证消息，并放弃该过程。同时，ME验证接收到的SQN是否在有效的范围内，若不在有效的范围内，ME则向VLR发送“同步失败”消息，并放弃该过程。RES计算如下：消息鉴别码：XMAC=f1K(SQN||RAND||AMF)用户认证应答：RES=f2K(RAND)3G（UMTS）认证与密钥协商协议(4)VLR接收到认证向量3G（UMTS）认证与密钥协商协议(6)VLR接收到来自ME的RES后，将RES与认证向量AV中的XRES进行比较，若相同则ME的认证成功，否则ME认证失败。最后，ME与VLR建立的共享加密密钥是CK,数据完整性密钥是IK。3G（UMTS）认证与密钥协商协议(6)VLR接收到来自ME3G系统安全特性优缺点3G系统在密钥长度、算法选定、实体认证个身份保密性检验等方面，3G的安全性能远远优于2G1.没有建立公钥密码体制，难以实现用户数字签名2.密码学的最新成果（如ECC椭圆曲线密码算法）并未在3G中得到应用3.密钥产生机制和认证协议仍有一定的安全隐患优点：缺点：3G系统安全特性优缺点优点：缺点：5.4物联网核心网安全5.4物联网核心网安全一、核心IP骨干网的安全二、6LoWPAN适配层的安全一、核心IP骨干网的安全一、核心IP骨干网的安全目前，以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性，成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在，1994年7月，IETF决定以SIPP作为IPng的基础，同时把地址数由64位增加到128位。新的Ip协议称为IPv6[4]

[5]。IPv6继承了IPv4的优点，摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。一、核心IP骨干网的安全目前，以TCP/IP协议

安全机制可以处在协议栈的不同层次，通常密钥协商和认证协议在应用层定义，而保密性和完整性可在不同的层次完成，下图为不同层次的安全协议。这里主讲SSL/TLS安全机制表5-6分层安全协议一、核心IP骨干网的安全安全机制可以处在协议栈的不同层次，通常密钥协商SSL/TLS安全协议分为两个部分，SSL是套接层安全协议；TLS为安全传输层协议。传输层安全协议通常指的是套接层安全协议SSL和传输层安全协议TLS两个协议。SSL是美国Netscape公司于1994年设计的，为应用层数据提供安全服务和压缩服务。SSL虽然通常是从HTTP接收数据，但SSL其实可以从任何应用层协议接收数据。IETF于1999年将SSL的第3版进行了标准化，确定为传输层标准安全协议TLS。TLS和SSL第3版只有微小的差别，故人们通常把它们一起表示为SSL/TLS。另外，在无线环境下，由于手机及手持设备的处理和存储能力有限，原WAP论坛在TLS的基础上做了简化，提出了WTLS协议(WirelessTransportLayerSecurity)，以适应无线网络的特殊环境。一、核心IP骨干网的安全SSL/TLS安全协议分为两个部分，SSL是套接层安全协SSL由两部分组成，第一部分称为SSL记录协议，置于传输协议之上：第二部分由SSL握手协议、SSL密钥更新协议和SSL提醒协议组成，置于SSL记录协议之上和应用程序（如HITP)之下。下表显示了SSL协议在应用层和传输层之间的位置。一、核心IP骨干网的安全HTTPSSL握手协议SSL密钥更新协议SSL提醒协议SSL记录协议TCPIP表5-7SSL协议结构SSL由两部分组成，第一部分称为SSL记录协议，置于1）SSL握手协议 SSL握手协议用于给通信双方约定使用哪个加密算法、哪个数据压缩算法以及些参数。在算法确定了加密算法、压缩算法和参数以后，SSL记录协议将接管双方的通信,包括将大数据分割成块、压缩每个数据块、给每个压缩后的数据块签名、在数据块前加上记录协议包头并传送给对方。SSL密钥更新协议允许通信双方在一个会话阶段中更换算法或参数。SSL提醒协议是管理协议，用于通知对方在通信中出现的问题以及异常情况。一、核心IP骨干网的安全1）SSL握手协议一、核心IP骨干网的安全SSL握手协议是SSL各协议中最复杂的协议，它提供客户和服务器认证并允许双方协商使用哪一组密码算法，交换加密密钥等。它分四个阶段，SSL握手协议的工作过程如图5-31.图中带*号是可选的，括号[]中不是TLS消息。一、核心IP骨干网的安全SSL握手协议是SSL各协议中最复第1阶段：协商确定双方将要使用的密码算法。这一阶段的目的是客户端和服务器各自宣布自己的安全能力，从而双方可以建立共同支持的安全参数。客户端首先向服务器发送问候信息，包括：客户端主机安装的SSL最高版本号，客户端伪随机数生成器秘密产生的一个随机串rc防止重放攻击，会话标志，密码算法组，压缩算法（ZIP、PKZIP等）。其中密码算法组是指客户端主机支持的所有公钥密码算法、对称加密算法和Hash函数算法。按优先顺序排列，排在第一位的算法是客户主机最希望使用的算法。例如，客户的三种算法分别为

公钥密码算法：RSA、Ecc、Diffie-Hellman;

对称密码算法：AES·128、3DES/3、Rc5; Hash函数算法：SHA巧12、SHA-I、MD50然后，服务器向客户端回送问候信息。包括：服务器主机安全的SSL最高版本号，服务器伪随机数生成器秘密产生的随机串RS，会话标识，密码算法组（例如RSA、3DES/3、SHA-1),压缩算法。一、核心IP骨干网的安全第1阶段：协商确定双方将要使用第2阶段：对服务器的认证和密钥交换

服务器程序向客户程序发送如下信息：(1)服务器的公钥证书。包含x.509类型的证书列表，如果密钥交换算法是匿名Diffie-blellman‘就不需要证书。(2)服务器端的密钥交换信息。包括对预备主密钥的分配。如果密钥交换方法是RSA或者固定Diffie-Hellmam就不需要这个信息。

(3)询问客户端的公钥证书。向客户端请求第3阶段的证书。如果给客户使用的是匿名Diffie-Hellman,服务器就不向客户端请求证书。

(4)完成服务器问候。该信息用ServerHelloDone表示，表示阶段2结束，阶段3开始。一、核心IP骨干网的安全第2阶段：对服务器的认证和密钥第3阶段：对客户端的认证和密钥交换客户程序向服务器程序发送如下信息：

(1)客户公钥证书。和第2阶段第(1)步信息格式相同，但内容不同,它包含证明客户的证书链。只有在第2阶段第(3)步请求了客户端的证书，才发送这个信息。如果有证书请求，但客户没有可发送的证书，它就发送一个SSL提醒信息（携带一个没有证书的警告）服务器也许会继续这个会话，也可能会决定终止。(2)客户端密钥交换信息。用于产生双方将使用的主密钥,包含对预备主密钥的贡献。信息的内容基于所用的密钥交换算法。如果密钥交换算法是RSA,客户就创建完整的预备主密钥并用服务器RSA公钥进行加密。如果是匿名Diffie-Hellman,客户就发送Diffie-Hellman半密钥，等等。

一、核心IP骨干网的安全第3阶段：对客户端的认证和密钥(3)证书验证。如果客户发送了一个证书，宣布它拥有证书中的公钥，就需要证实它知道相关的私钥。这对于阻止一个发送了证书并声称该证书来自客户的假冒者是必需的。通过创建一个信息并用私钥对该信息进行签名，可证明它拥有私钥。例如客户用私钥对前面发送的明文的Hash值进行签名。假设服务器在第1阶段选取了RSA作为密钥交换手段，则客户程序用如下方法产生密钥交换信息：客户程序验证服务器公钥证书的服务器公钥，然后用伪随机数生成器产生一个48字节长的比特字符串Spm，称为前主密钥。然后用服务器公钥加密Spm将密文作为密钥交换信息传给服务器。这时，客户端和服务器端均拥有rc、rs、Spm，且Spm仅仅被客户和服务器所拥有。此后，双方计算主密钥如下图其中，H1和H2是Hash函数(SSL用MD5作为H1的默认Hash函数，用SHA-I作为的默认Hash函数），'A','BB',‘CCC’分别表示A、BB、CCC的ASCII码。一、核心IP骨干网的安全(3)证书验证。如果客户发送了一第4阶段：结束双方互送结束信息完成握手协议，并确认双方计算的主密钥相同。为达到此目的，结束信息将包含双方计算的主密钥的Hash值。握手协议完成后，双方用产生主密钥Sm的方法，用Sm取代Spm并根据双方商定的密码算法，产生一个足够长的密钥块如下：然后SSL将分割成6段，每一段自成一个密钥。这6个密钥分成如下两组：第1组为（Kc1,Kc2,kc3）；第2组为（Ks1,Ks2,Ks3）。每组3个密钥，即：Kb=Kc1||Kc2||Kc3||Ks1||Ks2||Ks3||Z,其中z是剩余的字符串。第1组密钥用于客户到服务器的通信，记（Kc1,Kc2,kc3=(Kchmac,Kce,IVc),分别为认证密钥、加密密钥和初始向量。第2组用于服务器到客户的通信，记为：（Ks1,Ks2,Ks3）=(Kshmac,Kse,IVs)和第1组类似。

此后，客户和服务器将转用SSL记录协议进行后续的通信。

一、核心IP骨干网的安全第4阶段：结束一、核心IP骨干网的安全2）SSL记录协议

执行完握手协议之后，客户和服务器双方统一了密码算法、算法参数、密钥及压缩算法。SSL记录协议便可使用这些算法、参数和密钥对数据进行保密和认证处理。令M为客户希望传送给服务器的数据。客户端SSL记录协议首先将M分成若干长度不超过214字节的分段：M1,M2,…,Mk。令cx、H和E分别为客户端和服务器双方在ssl握手协议中选定的压缩函数、HMAC算法和加密算法。客户端SSL记录协议按如下步骤将每段Mi进行压缩、认证和加密处理，然后将其发送给服务器,i=1,2……,k,如下图2）SSL记录协议（1）将Mi进行压缩得到M’i=CX(Mi)。（2）将M’i进行认证得到M’’i=M’||HkcHMAC(M’)（3）将M”加密得ci=Ekc(M“i)

（4）将Ci封裝得Pi=[SSL录协议包头]llCi（5）将Pi发给服务器。服务器收到客户送来的SSL记录协议包后，首先将Ci解密得M‘iIlHKcHMAC(M’i)，验证HMAC，然后将M’解压还原成Mi.。同理，从服务器发送给客户的数据也按上述方式处理。双方间的通信保密性和完整性由此得到保护。2）SSL记录协议（1）将Mi进行压缩得到M’i=CX(Mi)。2）SSLSSL/TLS协议实现的安全机制包括身份验证机制和数据传输的机密性与完整性的控制。（1）身份验证机制。SSL/TLS协议基于证书并利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证可选。在该协议机制中，客户端必须验证SSL/TLS服务器的身份，SSL/TLS服务器是否验证客户端身份，自行决定。SSL/TLS利用PK提供的机制保证公钥的真实性。

(2)数据传输的机密性。可以利用对称密钥算法对传输的数据进行加密。网络上传输的数据很容易被非法用户窃取,SSL/TLS协议采用在通信双方之间建立加密通道的方法保证数据传输的机密性。所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文,从而保证数据传输的机密性。3）SSL/TLS协议的安全机制SSL/TLS协议实现的安全机制包括没有解密密钥的第三方,无法将密文恢复为明文。SSL/TLS加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效防止交互数据被窃听。（3）消息完整性验证。消息传输过程中使用MAC算法来检验消息的完整性。为了避免网络中传输的数据被非法篡改，SSL/TLS利用基于MD5或SHA的MAC算法来保证消息的完整性。MAC算法可以将任意长度的数据转换为固定长度的数据。发送者利用己知密钥和MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变；否则，报文在传输过程中被修改。3）SSL/TLS协议的安全机制没有解密密钥的第三方,无法将密为了让IPv6协议能在IEEE802.15.4协议之上工作，导致了6LoWPAN适配层的提出。这一解决方法正在被IPSO联盟所推广，是IPSO提出的智能物体（smartObject)、基于Internet(lnternet-based，Web·enabled）的无线传感器网络等应用的基本技术。由27个公司发起的针对智能对象联网的IP标准协作组织--IPSO(IPforSmartObjectalliance)，目前己有45个成员，包括Cisco、SAP、SUN、Bosch、Intel等，该组织提出的IPv6协议栈ulPv6可以和主流厂商的