(23)-3.5.2物联网网络层安全防护

物联网设计实战第三章网络层设计

第三章

网络层设计3.1网络层概述3.2无线局域网接入设计3.3无线广域网接入设计3.4无线个域网接入设计3.5物联网网络层的安全防护

3.5.1物联网网络层安全威胁

3.5.2物联网网络层安全防护3.5.2物联网网络层安全防护教学目标理解物联网安全需求、掌握与物联网相关的防火墙、入侵检测技术与网络安全协议。1.物联网安全需求；2.防火墙与入侵检测技术；3.物联网相关网络安全协议。3.5.2物联网网络层安全防护1.物联网安全需求上节课我们介绍了物联网网络层常见攻击手段，本节课我们来了解一下物联网主要有哪些安全需求和具体防护手段。

一般来说物联网安全需求主要包括可靠性、保密性、可用性、完整性、可控性、以及不可抵赖性等几个方面。3.5.2物联网网络层安全防护可靠性：在规定时间和规定条件下，完成规定功能。保密性：信息只能被授权用户使用而不被泄露。可用性：系统服务可以被授权实体访问并按需求使用。完整性：未经授权不能改变信息，不受各种因素的破坏。可控性：对信息传播及内容进行控制的特性。不可抵赖性：在信息交换过程中所有参与者都不可能否认或者抵赖曾经完成的操作和承诺。3.5.2物联网网络层安全防护2.防火墙与入侵检测技术基于以上安全需求，我们来介绍相关的物联网安全防护手段：

首先是防火墙的应用，防火墙是在网络之间执行控制策略的设备，包括硬防火墙和软防火墙，设置防火墙的目的是保证内部网络资源不被外部非授权用户使用。防止内部网络受到外部非法用户的攻击。

3.5.2物联网网络层安全防护防火墙的工作方式，是通过检查所有进出内部网络的数据包的合法性。判断是否会对网络安全构成威胁，为内部网络建立安全边界。左图路由器R1中添加以下访问控制策略可以实现准许厂长访问财务的主机而限制销售部门的访问的目的。

#permit55#deny553.5.2物联网网络层安全防护左图路由器R2中配置如下访问控制策略，可以让用户正常浏览Web服务器上的网站，但避免了针对服务器的基于icmp协议的Dos和DDos攻击。#access-list100permittcphosthosteqwww

#access-list100denyicmphosthostecho#access-list100permitudphosthosteqdomain

3.5.2物联网网络层安全防护

防火墙是构建物联网安全体系的一个重要组成部分，通常用于检测网络的安全风险，但防火墙主要针对TCP/IP，而物联网环境中的网络协议很多不同于TCP/IP，因此需要开发能够识别特定网络协议的防火墙，而与之相应的DPI（DeepPacketInspect深度包检测技术），则成为当前物联网安全领域的关键技术之一。

DeepPacketInspection3.5.2物联网网络层安全防护深度包检测技术在传统IP数据包检测技术之上增加了对数据的应用协议识别，数据包内容检测与深度解码。根据不同的检测方法对通信数据包可能含有的异常数据做逐一的拆包分析，DPI对网络协议的识别基于数字签名技术，成为物联网安全领域的关键技术点之一，基于DPI技术衍生出的安全产品类型也非常的多样。

3.5.2物联网网络层安全防护DPI技术还经常应用于入侵检测系统（IDS中），入侵检测是指通过对行为、安全日志、审计数据或者其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入企图。

入侵检测系统是对计算机网络的恶意使用行为能够进行识别的系统。

3.5.2物联网网络层安全防护入侵检测系统具有以下主要功能：监控、分析用户和系统的行为，检查系统的配置和漏洞，评估重要的系统和数据文件的完整性，通过对行为的统计分析识别攻击类型，并向网络管理人员报警，对操作系统进行审计、跟踪管理、识别违反授权的用户活动。

3.5.2物联网网络层安全防护3.网络安全协议网络安全协议是营造网络安全环境的基础，是构建安全网络的关键技术，设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全。互联网TCP/IP体系中的某些安全协议同样适用于物联网：网络层IPSec协议、传输层的SSL协议以及应用层的SET协议。应用层SET传输层SSL网络层IPsec物理层3.5.2物联网网络层安全防护IPSec协议对网络层数据包进行加密以及认证，使IP通信的数据接收方能够确认数据发送方的真实身份，以及数据在传输过程中是否遭篡改。IPSec协议可以防范以下几种网络攻击：

网络嗅探、数据篡改、身份欺骗、重放攻击、拒绝服务攻击。3.5.2物联网网络层安全防护SSL协议位于TCP/IP的传输层与应用层之间，分为两部分。SSL记录协议：为高层协议提供数据包封装，加密等基本功能的支持。SSL握手协议：在记录协议的基础上用于在实际数据通信之前，通信双方进行身份认证，协商加密算法和交换加密密钥等。3.5.2物联网网络层安全防护SET协议主要应用于电子商务，为了保证互联网与物联网中不同的应用系统互联互通，就需要使用成熟且广泛使用的安全电子交易协议SET。设计思想是：使用数字签名与信息摘要等技术在持卡人、商家与收单银行之间建立一个可靠的金融信息传递关系，解决网上三方支付机制的安全性。3.5.2物联网网络层安全防