物联网信息安全 课件 第5章 物联网核心网安全

纪年·记念毕业记物联网信息安全5.5

物联网核心网安全5.5.1核心IP骨干网的安全5.5.26LoWPAN适配层的安全物联网核心网安全——6LoWPAN和RPL的安全性5.5.1核心IP骨干网的安全核心IP骨干网的安全IP骨干网什么是IP骨干网？5.5.1物联网信息安全核心IP骨干网的安全物联网信息安全骨干网（BackboneNetwork）是用来连接多个区域或地区的高速网络。每个骨干网中至少有一个和其他骨干网进行互联互通的连接点。不同的网络供应商都拥有自己的骨干网，用以连接其位于不同区域的网络。IP核心网关键技术5.5.1..物联网信息安全在3GPP网络中，核心网根据向移动用户提供的业务的不同，总体上划分为两个业务域：提供话音业务的CS域和提供数据业务的PS域。IP核心网关键技术5.5.1..物联网信息安全IP核心网关键技术5.5.1

PS域.CS域移动核心网络对IP承载技术需求.物联网信息安全一些重要概念物联网信息安全1.CS域R4版本处理话音的MSC与GMSC分裂成两个网元，即MSCServer/GMSCServer与其控制的网关MGW，R4可以认为是向全IP网络的一个过渡阶段，支持No.7信令在2个核心网络功能实体间以基于不同的网络方式来传输，包括基于MTP、IP和ATM的网络上来传输。核心网通过各种媒体网关与信令网关，可以与2G网络、PSTN等外部网络进行互连互通，能够实现2G网络与3G网络之间的相互漫游。在3G网络中，如果是从2G网络演进而来，则可以将2G的网络看作是3G核心网络的一个外部网络。一些重要概念物联网信息安全2.PS域SGSN直接服务于MS，为MS提供移动性管理、会话管理等功能。SGSN通过Gn口与GGSN相连，在Gn口采用GTP协议对信令和用户数据进行封装传输；GGSN通过Gi口提供用户接入PDN的网关功能，Gi口采用IP、ATM等技术承载。

从现有标准进展来看，CS域Mc、Nc、Nb、A、Iu-CS等逻辑接口已经IP化，即采用IP承载；PS域Gn、Gp、Gi、Iu-PS、Gb等逻辑接口也都采用IP承载。从目前商用情况来看，CS域Mc、Nc、Nb和PS域Gn、Gp、Gi口IP接入已经大面积商用。从成本与运维的角度看，IP承载有突出的优势，移动网络全IP承载是移动网络的发展趋势。一些重要概念物联网信息安全3.移动核心网络对IP承载技术需求由于电信业务特别是话音业务对数据网络的要求远高于普通互联网接入服务，因此为了保证移动网络安全可靠的地运行，对IP承载提出了新的功能要求。SSL/TLS协议运行机制的概述5.5.1..物联网信息安全互联网的通信安全，建立在SSL/TLS协议之上。1.作用2.历史3.基本运行过程SSL/TLS协议运行机制的概述5.5.1..物联网信息安全1.作用5.5.1..物联网信息安全不使用SSL/TLS的HTTP通信，就是不加密的通信。所有信息明文传播，带来了三大风险。（1）窃听风险（eavesdropping）：第三方可以获知通信内容。（2）篡改风险（tampering）：第三方可以修改通信内容。（3）冒充风险（pretending）：第三方可以冒充他人身份参与通信。SSL/TLS协议是为了解决这三大风险而设计的，希望达到：（1）所有信息都是加密传播，第三方无法窃听。（2）具有校验机制，一旦被篡改，通信双方会立刻发现。（3）配备身份证书，防止身份被冒充。互联网是开放环境，通信双方都是未知身份，这为协议的设计带来了很大的难度。而且，协议还必须能够经受所有匪夷所思的攻击，这使得SSL/TLS协议变得异常复杂。2.历史5.5.1..物联网信息安全互联网加密通信协议的历史，几乎与互联网一样长。1994年，NetScape公司设计了SSL协议（SecureSocketsLayer）的1.0版，但是未发布。1995年，NetScape公司发布SSL2.0版，很快发现有严重漏洞。1996年，SSL3.0版问世，得到大规模应用。1999年，互联网标准化组织ISOC接替NetScape公司，发布了SSL的升级版TLS1.0版。2006年和2008年，TLS进行了两次升级，分别为TLS1.1版和TLS1.2版。目前，应用最广泛的是TLS1.0，接下来是SSL3.0。但是，主流浏览器都已经实现了TLS1.2的支持。TLS1.0通常被标示为SSL3.1，TLS1.1为SSL3.2，TLS1.2为SSL3.3。3.基本运行过程5.5.1..物联网信息安全SSL/TLS协议的基本思路是采用公钥加密法，也就是说，客户端先向服务器端索要公钥，然后用公钥加密信息，服务器收到密文后，用自己的私钥解密。但是，这里有两个问题。（1）如何保证公钥不被篡改？解决方法：将公钥放在数字证书中。只要证书是可信的，公钥就是可信的。（2）公钥加密计算量太大，如何减少耗用的时间？解决方法：每一次对话（session），客户端和服务器端都生成一个"对话密钥"（sessionkey），用它来加密信息。由于"对话密钥"是对称加密，所以运算速度非常快，而服务器公钥只用于加密"对话密钥"本身，这样就减少了加密运算的消耗时间。5.5.26LoWPAN适配层的安全1.6LoWPAN协议物联网信息安全5.5.26LoWPAN是一种基于IPv6的低速无线个域网标准，即IPv6overIEEE802.15.4。背景将IP协议引入无线通信网络一直被认为是不现实的(不是完全不可能)。迄今为止，无线网只采用专用协议，因为IP协议对内存和带宽要求较高，要降低它的运行环境要求以适应微控制器及低功率无线连接很困难。基于IEEE802.15.4实现IPv6通信的IETF6LoWPAN[1]

草案标准的发布有望改变这一局面。6LoWPAN所具有的低功率运行的潜力使它很适合应用在从手持机到仪器的设备中，而其对AES-128加密的内置支持为强健的认证和安全性打下了基础。IEEE802.15.4标准设计用于开发可以靠电池运行1到5年的紧凑型低功率廉价嵌入式设备(如传感器)。该标准使用工作在2.4GHz频段的无线电收发器传送信息，使用的频带与Wi-Fi相同，但其射频发射功率大约只有Wi-Fi的1%。这限制了IEEE802.15.4设备的传输距离，因此，多台设备必须一起工作才能在更长的距离上逐跳传送信息和绕过障碍物。物联网信息安全技术优势普及性：IP网络应用广泛，作为下一代互联网核心技术的IPv6，也在加速其普及的步伐，在低速无线个域网中使用IPv6更易于被接受。适用性：IP网络协议栈架构受到广泛的认可，低速无线个域网完全可以基于此架构进行简单、有效地开发。更多地址空间：IPv6应用于低速无线个域网时，最大亮点就是庞大的地址空间。支持无状态自动地址配置：IPv6中当节点启动时，可以自动读取MAC地址，并根据相关规则配置好所需的IPv6地址。l易接入：低速无线个域网使用IPv6技术，更易于接入其他基于IP技术的网络及下一代互联网，使其可以充分利用IP网络的技术进行发展。易开发：针对低速无线个域网的特性对这些技术进行适当的精简和取舍，可以简化协议开发的过程。物联网信息安全概况6LoWPAN的设计目标是在无线个域网（WPAN）中引入IPv6协议6LoWPAN支持星型、树型、MESH网等多种网络拓扑结构IETF关于6LoWPAN已有多项提案RFC4919,RFC4944,draft-ietf-6lowpan-hc,等IPSO组织对6LoWPAN的发展进行推动IPSO的目标是在物联网和各种智能设备中中推广IP技术成员有Atmel,Cisco,Ericsson等物联网信息安全6LoWPAN体系结构

物联网信息安全6LoWPAN各层协议物联网信息安全5.5.26LoWPAN物理层和MAC层采用IEEE802.15.4标准适配层是6LoWPAN的主要组成部分，主要功能有：压缩分片和重组Mesh路由网络层采用IPv6协议主讲人：张绛丽全IP网——Internet+物联网物联网信息安全Contiki平台上具有世界上体积最小的6LoWPAN协议栈：uIPv6uIPv6已经通过了IPV6认证，并且是开源的IPv6部分：仅占用11KB的ROM和1.8KB的RAM

uIPv6协议栈物联网信息安全物联网信息安全802.15.4协议栈体系结构物联网信息安全分片、重组与压缩物联网信息安全IPv6允许传输的最大数据包为1280个字节，而IEEE802.15.4物理层单个数据包最大为127个字节，因此6LoWPAN在传输时需采用分片和重组机制。6LoWPAN采用无状态帧头压缩机制。IPv6：40octets,TCP：20octets,UDP：8octets，还有安全、路由等附加字节。为了降低开销，在无线子网传输时对帧头进行压缩，压缩程度可达80%。6LoWPAN的改进：标准方面物联网信息安全增加适配层对IEEE802.15.4中专用时隙GTS机制的支持，支持不同的服务质量（QoS）；改进6LoWPAN邻居发现协议，提高网络的自组织入网与管理能力；考虑对IEEE802.15.4系列新标准的支持能力，例如IEEE802.15.4e/g等。加入