物联网信息安全 课件 第5章 物联网网络层安全

物联网安全技术物联网网络层安全需求物联网工程课程目录针对承载网络信息传输的攻击

(1)对非授权数据的非法获取

基本手段为：窃取、篡改或删除链路上的数据；伪装成网络实体截取业务数据；对网络流量进行分析；

(2)对数据完整性的攻击

攻击者对系统无线链路中传输的业务与信令、控制信息等进行篡改，包括插入、修改和删除等；物联网网络层安全5.1网络层安全需求

5.1.1网络层安全威胁

5.1.2网络层安全技术和方法5.2近距离无线接入安全——WLAN安全

5.2.1无线局域网WLAN的安全威胁

5.2.2无线局域网的安全机制物联网网络层安全物联网体系结构图物联网网络层概述

物联网网络层功能：主要通过各种网络接入设备与移动通信网和互联网等广域网相连，把感知层收集到的信息快速、可靠、安全地传输到信息处理层，然后根据不同的应用需求进行信息处理、分类、聚合等。

物联网网络层构成：主要由网络基础设施、网络管理及处理系统组成。物联网的承载网络：主要用于连接终端感知网络与服务器，包括互联网、移动网、WLAN网络和一些专业网；是一个多网络叠加的开放性网络。物联网网络层安全网络层安全技术需求物联网的特点物联网具有：由大量机器构成、缺少人对设备的有效监控、数量庞大、设备集群等特点。物联网网络层安全特点物联网除具有传统网络安全的问题之外，还具有一些与现有网络安全不同的特殊安全问题。

物联网网络层安全物联网网络安全需求

(1)业务数据在承载网络中的传输安全

需要保证物联网业务数据在承载网络传输过程中，数据内容不被泄露、不被非法篡改、数据流信息不被非法获取；

(2)承载网络的安全防护需要解决的问题是：面对最常见的病毒、木马、DDOS等网络攻击，如何对脆弱的传输节点或核心网络设备进行安全防护；

(3)终端及异构网络的鉴权认证提供轻量级鉴别认证和访问控制，实现对终端接入认证、异构网络互连的身份认证、鉴权管理及对应用的细粒度访问控制；物联网网络层安全5.1物联网网络安全需求

(4)异构网络下终端的安全接入

针对物联网M2M的业务特征，对网络接入技术和网络架构均需要改进和优化，以满足物联网业务的网络安全应用需求：①网络对低移动性、低数据量、高可靠性、海量容量的优化；②适应物联网业务模型的无线安全接入技术、核心网优化技术；③终端寻址、安全路由、鉴权认证、网络边界管理、终端管理等技术；④适用于传感器节点的短距离安全通信技术、异构网络的融合技术和协同技术。物联网网络层安全5.1物联网网络安全需求

(5)物联网应用网络统一协议栈需求

物联网核心网层面是基于TCP/IP协议，但在网络接入层面，协议种类繁多，有GPRS/CDMA、短信、传感器、有线等多种通道，因此物联网需要一个统一的协议栈和相应的技术标准，从而杜绝通过篡改协议，协议漏洞等攻击威胁网络应用安全；

(6)大规模终端分布式安全管控物联网应用终端的大规模部署，对网络安全管控体系、安全检测、应急联动、安全审计等方面提出了新的安全需求。物联网网络层安全5.1物联网网络层安全

物联网网络层安全威胁和安全需求

物联网核心网安全新措施

移动通信接入安全

无线接入安全

物联网网络层安全5.1.1网络层安全威胁1.IP欺骗2.ICMP攻击3.端口结构的缺陷网络层面临的安全问题

针对物联网终端的攻击针对物联网承载网络信息传输的攻击针对物联网核心网络的攻击物联网网络层安全针对网络终端的攻击病毒、木马对网络终端的威胁：随着物联网终端的计算和存储能力的增强，使其遭受病毒、木马等侵入的机会也大大增加；且病毒或木马在物联网中具有更大的传播性、更强的破坏性、更高的隐蔽性，因此威胁更大；网络终端自身平台缺乏完整性保护和验证机制：平台软/硬件模块容易被攻击者篡改；终端内部各通信接口间缺乏机密性和完整性保护：传递的信息容易被窃取或篡改。物联网网络层安全针对网络终端的攻击使用偷窃的终端和智能卡对终端或智能卡中的数据进行篡改对终端和智能卡间的通信进行侦听伪装身份截取终端与智能卡间的交互信息非法获取终端和智能卡中存储的数据物联网网络层安全5.1.2网络层安全技术和方法1.逻辑网络分段2.VLAN的实施3.防火墙服务4.加密技术5.数字签名和认证技术针对核心网的攻击

(1)对数据的非法获取

对用户业务、信令和控制数据的窃听，伪装成网络实体截取用户信息以及对用户流量进行主动与被动分析，即：对系统数据存储实体的非法访问；在呼叫建立阶段伪装用户位置信息等。

(2)对数据完整性的攻击对用户业务与信令消息进行篡改；对下载到用户终端或UsIM的应用程序与数据进行篡改；通过伪装成应用程序及数据发起方篡改用户终端或USIM的行为；篡改系统存储实体中储存的用户数据等。物联网网络层安全网络层安全技术和方法逻辑网络分段VLAN的实施

逻辑网络分段是指将整个网络系统在网络层（ISO/OSI模型中的第三次）上进行分段。例如，对于TCP/IP网络，可以把网络分成若干IP子网，各子网必须通过中间设备进行连接，并利用这些中间设备的安全机制来控制各子网之间的访问。

基于MAC的VLAN不能防止MAC的欺骗攻击。因此，VLAN划分最好基于交换机端口。VLAN的划分方式的目的是为了保护系统的安全性。因此，可以按照系统的安全性来划分VLAN。针对核心网的攻击

(3)拒绝服务攻击

基本手段包括：物理干扰、协议级干扰、伪装成网络实体对用户请求作出拒绝回答，滥用紧急服务等。

(4)否认攻击主要包括：对费用的否认、对发送数据的否认、对接受数据的否认等。(5)对非授权业务的非法访问

基本手段包括伪装成用户、服务网络、归属网络，滥用特权非法访问非授权业务。物联网网络层安全网络层安全技术和方法防火墙服务加密技术数字签名和认证技术

防火墙技术是网络安全的重要安全技术之一，其主要作用是在网络入口点检查网络通信，根据客户设定的安全准则，提供内外网通信。

加密型网络安全技术的基本思想是不依赖于网络中数据途径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。

认证技术主要解决网络通信过程中通信双方的身份认可，数字签名是身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可依赖要求。基于PKI的认证组成图物联网网络层安全特点

(1)无法复制传统网络成功的技术模式

不同应用领域的物联网具有完全不同的网络安全和服务质量要求；

(2)不同于传统网络的安全架构传统网络的安全架构是从人通信的角度设计的，而物联网中以机器通信为主。若使用传统网络安全架构，会割裂物联网机器间的逻辑关系；

(3)物联网需要严密的安全性和可控性

物联网中的大多数应用均涉及个人隐私或企业内部机密，因此，需具有保护个人隐私、防御网络攻击的能力；物联网网络层安全物联网网络层安全特点

(4)多源异构的数据格式使网络安全问题更复杂

物联网在感知层从各种感知节点所采集的数据海量且多源异构，致使网络接入技术、网络架构、异构网络的融合技术和协同技术等相关网络安全技术必须符合物联网业务特征；

(5)对于网络的实时性、安全可信性、资源保证性方面的要求均高于传统网络如：在智能交通应用领域，物联网必须是稳定的；在医疗卫生应用领域，物联网必须具有很高的可靠性。物联网网络层安全物联网网络层安全框架物联网网络层构成

物联网网络层可分为：业务网、核心网、接入网三部分；物联网网络层安全解决方案

(1)构建物联网与互联网、移动网相融合的网络安全体系结构；(2)建设物联网网络安全统一防护平台；(3)提高物联网系统各应用层之间的安全应用与保障措施；(4)建立全面的物联网网络安全接入与应用访问控制机制。物联网网络层安全基于网络层安全特点的解决方案5.2.1无线局域网WLAN的安全威胁

无线局域网WLAN是计算机网络与无线通信技术相结合的产物。随着无线局域网（WLAN）、第三代移动通信技术（3G）等无线无线互联网技术的产生和运用，无线网络使人们的生活变得轻松自如，并且在安装、维护等方面也具有有线网无法比拟的优势，但随着WLAN应用市场的逐步扩大，除了常见的有线网络的安全威胁外，WLAN的安全性问题显得尤其重要。针对核心网的攻击

(3)拒绝服务攻击

基本手段包括：物理干扰、协议级干扰、伪装成网络实体对用户请求作出拒绝回答，滥用紧急服务等。

(4)否认攻击主要包括：对费用的否认、对发送数据的否认、对接受数据的否认等。(5)对非授权业务的非法访问

基本手段包括伪装成用户、服务网络、归属网络，滥用特权非法访问非授权业务。物联网网络层安全5.2.1无线局域网WLAN的安全威胁（1）无线局域网的网络结（2）WLAN的安全风险分析

无线局域网可分为两大类：第一类是有固定基础设施的，即有接入点AP;第二类是无固定设施的，即自组织网络（人们常称为AbHoc网络）。

1.DHCP导致易入侵。2.接入的风险。3.客户端连接不当的风险。4.窃听导致的风险。5.拒绝服务攻击。

WLAN所面临的基本安全威胁主要有信息泄露、完整性破坏、拒绝服务和非法使用。主要包括非授权访问、窃听、伪装、篡改信息、否认、重放、重路等（3）无线局域网的安全威胁一、无线局域网WLAN的网络结构第一类有固定基础设施的网线局域网基础结构的WLAN图物联网网络层安全扩展的服务集ESS自组织网络图另一类无固定基础设施的无线局域网又叫做自组织网络物联网网络层安全自组织网络存在隐藏终端的问题，存在无线覆盖外的站点，自组织网中的站点“看不到”隐藏终端，侦听不到隐藏终端的载波信号，所以无法避免冲突发生，从而导致CSMA失效，信道吞吐率验证下降。隐藏终端问题如上图，A、D、C分别都能与B通信，由于没有全覆盖，结果导致：A、D或C、D同时发送数据时，彼此认为没有冲突，实际上冲突会在B处发生。物联网网络层安全现有核心网典型安全防护系统部署物联网AAA服务器

是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。

AAA

Authentication：

验证用户是否可以获得访问权限；

Authorization：

授权用户可以使用哪些服务；

Accounting：

记录用户使用网络资源的情况。物联网核心网安全无线局域网的安全威胁

1.非授权访问：入侵者访问未授权的资源或使用未授权的服务。入侵者可看、删除或修改未授权访问的机密信息，造成信息泄露、完整性破坏，以及非法访问和使用资源。

2.窃听：入侵者能够通过信息信道来获取信息。AP的无线电波难以精确地控制在某个范围之内，所以在AP范围内几乎任何一个STA都能窃听这些数据。

3.伪装：入侵者能够伪装成其他STA或授权用户，对机密信息进行访问；或者伪装成AP，接收合法用户的信息。

4.重放、重路由、错误路由和删除消息。

5.否认：接收信息或服务的一方事后否认曾经发送过的请求或接收过该信息或服务。现有核心网典型安全防护系统部署物联网AAA服务器

是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。

AAA

Authentication：

验证用户是否可以获得访问权限；

Authorization：

授权用户可以使用哪些服务；

Accounting：

记录用户使用网络资源的情况。物联网核心网安全现有核心网典型安全防护系统部署物联网AAA服务器

是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。

AAA

Authentication：

验证用户是否可以获得访问权限；

Authorization：

授权用户可以使用哪些服务；

Accounting：

记录用户使用网络资源的情况。物联网核心网安全无线局域网的标准协议

1）IEEE802.11系列标准(1)IEEE802.11标准是IEEE最初制定的第一个无线局域网标准。

(2)IEEE802.11b标准是对IEEE802.11的补充，采用补偿编码键控调制方式。

(3)IEEE802.11a标准也是对IEEE802.11的补充，扩展了物理层。

(4)IEEE802.11g标准是一种混合标准。

(5)IEEE802.11n标准不仅传输速率高，稳定性和覆盖范围都有所提高。

2）家庭网络HomeRF与HIPERLAN协议

(1)家庭网络的HomRF是IEEE802.11与DECT的结合，旨在降低语音数据成本。

(2)HiPerLAN协议标准体系中的HiPerLAN2标准是目前比较完善的WLAN协议。3）蓝牙针对核心网的攻击

(3)拒绝服务攻击

基本手段包括：物理干扰、协议级干扰、伪装成网络实体对用户请求作出拒绝回答，滥用紧急服务等。

(4)否认攻击主要包括：对费用的否认、对发送数据的否认、对接受数据的否认等。(5)对非授权业务的非法访问

基本手段包括伪装成用户、服务网络、归属网络，滥用特权非法访问非授权业务。物联网网络层安全5.2.2无线局域网的安全机制（1）WEP加密和认证机制（2）IEEE802.1x认证机制

WEP是一种基于RC4算法的40bit或128bit加密技术。移动终端和AP可以配置四组WEP秘钥，加密传输数据时可以轮流使用，允许加密秘钥动态改变。

请求者提供凭证，如用户名/密码、数字证书等，给认证这，认证者将这些凭证转发给认证服务器，认证服务器决定凭证是否有效，并依次决定请求者是否可以访问网络资源

IEEE802.11i是802.11工作组为新一代WLAN制定的安全协议，主要包括加密技术、AES以及认证协议IEEE802.1x。（3）IEEE80