物聯(lián)網(wǎng)信息安全 課件 第5章 物聯(lián)網(wǎng)核心網(wǎng)安全；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全

紀年·記念畢業(yè)記物聯(lián)網(wǎng)信息安全5.5

物聯(lián)網(wǎng)核心網(wǎng)安全5.5.1核心IP骨干網(wǎng)的安全5.5.26LoWPAN適配層的安全物聯(lián)網(wǎng)核心網(wǎng)安全——6LoWPAN和RPL的安全性5.5.1核心IP骨干網(wǎng)的安全核心IP骨干網(wǎng)的安全IP骨干網(wǎng)什么是IP骨干網(wǎng)？5.5.1物聯(lián)網(wǎng)信息安全核心IP骨干網(wǎng)的安全物聯(lián)網(wǎng)信息安全骨干網(wǎng)（BackboneNetwork）是用來連接多個區(qū)域或地區(qū)的高速網(wǎng)絡(luò)。每個骨干網(wǎng)中至少有一個和其他骨干網(wǎng)進行互聯(lián)互通的連接點。不同的網(wǎng)絡(luò)供應(yīng)商都擁有自己的骨干網(wǎng)，用以連接其位于不同區(qū)域的網(wǎng)絡(luò)。IP核心網(wǎng)關(guān)鍵技術(shù)5.5.1..物聯(lián)網(wǎng)信息安全在3GPP網(wǎng)絡(luò)中，核心網(wǎng)根據(jù)向移動用戶提供的業(yè)務(wù)的不同，總體上劃分為兩個業(yè)務(wù)域：提供話音業(yè)務(wù)的CS域和提供數(shù)據(jù)業(yè)務(wù)的PS域。IP核心網(wǎng)關(guān)鍵技術(shù)5.5.1..物聯(lián)網(wǎng)信息安全IP核心網(wǎng)關(guān)鍵技術(shù)5.5.1

PS域.CS域移動核心網(wǎng)絡(luò)對IP承載技術(shù)需求.物聯(lián)網(wǎng)信息安全一些重要概念物聯(lián)網(wǎng)信息安全1.CS域R4版本處理話音的MSC與GMSC分裂成兩個網(wǎng)元，即MSCServer/GMSCServer與其控制的網(wǎng)關(guān)MGW，R4可以認為是向全IP網(wǎng)絡(luò)的一個過渡階段，支持No.7信令在2個核心網(wǎng)絡(luò)功能實體間以基于不同的網(wǎng)絡(luò)方式來傳輸，包括基于MTP、IP和ATM的網(wǎng)絡(luò)上來傳輸。核心網(wǎng)通過各種媒體網(wǎng)關(guān)與信令網(wǎng)關(guān)，可以與2G網(wǎng)絡(luò)、PSTN等外部網(wǎng)絡(luò)進行互連互通，能夠?qū)崿F(xiàn)2G網(wǎng)絡(luò)與3G網(wǎng)絡(luò)之間的相互漫游。在3G網(wǎng)絡(luò)中，如果是從2G網(wǎng)絡(luò)演進而來，則可以將2G的網(wǎng)絡(luò)看作是3G核心網(wǎng)絡(luò)的一個外部網(wǎng)絡(luò)。一些重要概念物聯(lián)網(wǎng)信息安全2.PS域SGSN直接服務(wù)于MS，為MS提供移動性管理、會話管理等功能。SGSN通過Gn口與GGSN相連，在Gn口采用GTP協(xié)議對信令和用戶數(shù)據(jù)進行封裝傳輸；GGSN通過Gi口提供用戶接入PDN的網(wǎng)關(guān)功能，Gi口采用IP、ATM等技術(shù)承載。

從現(xiàn)有標準進展來看，CS域Mc、Nc、Nb、A、Iu-CS等邏輯接口已經(jīng)IP化，即采用IP承載；PS域Gn、Gp、Gi、Iu-PS、Gb等邏輯接口也都采用IP承載。從目前商用情況來看，CS域Mc、Nc、Nb和PS域Gn、Gp、Gi口IP接入已經(jīng)大面積商用。從成本與運維的角度看，IP承載有突出的優(yōu)勢，移動網(wǎng)絡(luò)全IP承載是移動網(wǎng)絡(luò)的發(fā)展趨勢。一些重要概念物聯(lián)網(wǎng)信息安全3.移動核心網(wǎng)絡(luò)對IP承載技術(shù)需求由于電信業(yè)務(wù)特別是話音業(yè)務(wù)對數(shù)據(jù)網(wǎng)絡(luò)的要求遠高于普通互聯(lián)網(wǎng)接入服務(wù)，因此為了保證移動網(wǎng)絡(luò)安全可靠的地運行，對IP承載提出了新的功能要求。SSL/TLS協(xié)議運行機制的概述5.5.1..物聯(lián)網(wǎng)信息安全互聯(lián)網(wǎng)的通信安全，建立在SSL/TLS協(xié)議之上。1.作用2.歷史3.基本運行過程SSL/TLS協(xié)議運行機制的概述5.5.1..物聯(lián)網(wǎng)信息安全1.作用5.5.1..物聯(lián)網(wǎng)信息安全不使用SSL/TLS的HTTP通信，就是不加密的通信。所有信息明文傳播，帶來了三大風(fēng)險。（1）竊聽風(fēng)險（eavesdropping）：第三方可以獲知通信內(nèi)容。（2）篡改風(fēng)險（tampering）：第三方可以修改通信內(nèi)容。（3）冒充風(fēng)險（pretending）：第三方可以冒充他人身份參與通信。SSL/TLS協(xié)議是為了解決這三大風(fēng)險而設(shè)計的，希望達到：（1）所有信息都是加密傳播，第三方無法竊聽。（2）具有校驗機制，一旦被篡改，通信雙方會立刻發(fā)現(xiàn)。（3）配備身份證書，防止身份被冒充。互聯(lián)網(wǎng)是開放環(huán)境，通信雙方都是未知身份，這為協(xié)議的設(shè)計帶來了很大的難度。而且，協(xié)議還必須能夠經(jīng)受所有匪夷所思的攻擊，這使得SSL/TLS協(xié)議變得異常復(fù)雜。2.歷史5.5.1..物聯(lián)網(wǎng)信息安全互聯(lián)網(wǎng)加密通信協(xié)議的歷史，幾乎與互聯(lián)網(wǎng)一樣長。1994年，NetScape公司設(shè)計了SSL協(xié)議（SecureSocketsLayer）的1.0版，但是未發(fā)布。1995年，NetScape公司發(fā)布SSL2.0版，很快發(fā)現(xiàn)有嚴重漏洞。1996年，SSL3.0版問世，得到大規(guī)模應(yīng)用。1999年，互聯(lián)網(wǎng)標準化組織ISOC接替NetScape公司，發(fā)布了SSL的升級版TLS1.0版。2006年和2008年，TLS進行了兩次升級，分別為TLS1.1版和TLS1.2版。目前，應(yīng)用最廣泛的是TLS1.0，接下來是SSL3.0。但是，主流瀏覽器都已經(jīng)實現(xiàn)了TLS1.2的支持。TLS1.0通常被標示為SSL3.1，TLS1.1為SSL3.2，TLS1.2為SSL3.3。3.基本運行過程5.5.1..物聯(lián)網(wǎng)信息安全SSL/TLS協(xié)議的基本思路是采用公鑰加密法，也就是說，客戶端先向服務(wù)器端索要公鑰，然后用公鑰加密信息，服務(wù)器收到密文后，用自己的私鑰解密。但是，這里有兩個問題。（1）如何保證公鑰不被篡改？解決方法：將公鑰放在數(shù)字證書中。只要證書是可信的，公鑰就是可信的。（2）公鑰加密計算量太大，如何減少耗用的時間？解決方法：每一次對話（session），客戶端和服務(wù)器端都生成一個"對話密鑰"（sessionkey），用它來加密信息。由于"對話密鑰"是對稱加密，所以運算速度非?？欤?wù)器公鑰只用于加密"對話密鑰"本身，這樣就減少了加密運算的消耗時間。5.5.26LoWPAN適配層的安全1.6LoWPAN協(xié)議物聯(lián)網(wǎng)信息安全5.5.26LoWPAN是一種基于IPv6的低速無線個域網(wǎng)標準，即IPv6overIEEE802.15.4。背景將IP協(xié)議引入無線通信網(wǎng)絡(luò)一直被認為是不現(xiàn)實的(不是完全不可能)。迄今為止，無線網(wǎng)只采用專用協(xié)議，因為IP協(xié)議對內(nèi)存和帶寬要求較高，要降低它的運行環(huán)境要求以適應(yīng)微控制器及低功率無線連接很困難。基于IEEE802.15.4實現(xiàn)IPv6通信的IETF6LoWPAN[1]

草案標準的發(fā)布有望改變這一局面。6LoWPAN所具有的低功率運行的潛力使它很適合應(yīng)用在從手持機到儀器的設(shè)備中，而其對AES-128加密的內(nèi)置支持為強健的認證和安全性打下了基礎(chǔ)。IEEE802.15.4標準設(shè)計用于開發(fā)可以靠電池運行1到5年的緊湊型低功率廉價嵌入式設(shè)備(如傳感器)。該標準使用工作在2.4GHz頻段的無線電收發(fā)器傳送信息，使用的頻帶與Wi-Fi相同，但其射頻發(fā)射功率大約只有Wi-Fi的1%。這限制了IEEE802.15.4設(shè)備的傳輸距離，因此，多臺設(shè)備必須一起工作才能在更長的距離上逐跳傳送信息和繞過障礙物。物聯(lián)網(wǎng)信息安全技術(shù)優(yōu)勢普及性：IP網(wǎng)絡(luò)應(yīng)用廣泛，作為下一代互聯(lián)網(wǎng)核心技術(shù)的IPv6，也在加速其普及的步伐，在低速無線個域網(wǎng)中使用IPv6更易于被接受。適用性：IP網(wǎng)絡(luò)協(xié)議棧架構(gòu)受到廣泛的認可，低速無線個域網(wǎng)完全可以基于此架構(gòu)進行簡單、有效地開發(fā)。更多地址空間：IPv6應(yīng)用于低速無線個域網(wǎng)時，最大亮點就是龐大的地址空間。支持無狀態(tài)自動地址配置：IPv6中當節(jié)點啟動時，可以自動讀取MAC地址，并根據(jù)相關(guān)規(guī)則配置好所需的IPv6地址。l易接入：低速無線個域網(wǎng)使用IPv6技術(shù)，更易于接入其他基于IP技術(shù)的網(wǎng)絡(luò)及下一代互聯(lián)網(wǎng)，使其可以充分利用IP網(wǎng)絡(luò)的技術(shù)進行發(fā)展。易開發(fā)：針對低速無線個域網(wǎng)的特性對這些技術(shù)進行適當?shù)木喓腿∩?，可以簡化協(xié)議開發(fā)的過程。物聯(lián)網(wǎng)信息安全概況6LoWPAN的設(shè)計目標是在無線個域網(wǎng)（WPAN）中引入IPv6協(xié)議6LoWPAN支持星型、樹型、MESH網(wǎng)等多種網(wǎng)絡(luò)拓撲結(jié)構(gòu)IETF關(guān)于6LoWPAN已有多項提案RFC4919,RFC4944,draft-ietf-6lowpan-hc,等IPSO組織對6LoWPAN的發(fā)展進行推動IPSO的目標是在物聯(lián)網(wǎng)和各種智能設(shè)備中中推廣IP技術(shù)成員有Atmel,Cisco,Ericsson等物聯(lián)網(wǎng)信息安全6LoWPAN體系結(jié)構(gòu)

物聯(lián)網(wǎng)信息安全6LoWPAN各層協(xié)議物聯(lián)網(wǎng)信息安全5.5.26LoWPAN物理層和MAC層采用IEEE802.15.4標準適配層是6LoWPAN的主要組成部分，主要功能有：壓縮分片和重組Mesh路由網(wǎng)絡(luò)層采用IPv6協(xié)議主講人：張絳麗全IP網(wǎng)——Internet+物聯(lián)網(wǎng)物聯(lián)網(wǎng)信息安全Contiki平臺上具有世界上體積最小的6LoWPAN協(xié)議棧：uIPv6uIPv6已經(jīng)通過了IPV6認證，并且是開源的IPv6部分：僅占用11KB的ROM和1.8KB的RAM

uIPv6協(xié)議棧物聯(lián)網(wǎng)信息安全物聯(lián)網(wǎng)信息安全802.15.4協(xié)議棧體系結(jié)構(gòu)物聯(lián)網(wǎng)信息安全分片、重組與壓縮物聯(lián)網(wǎng)信息安全IPv6允許傳輸?shù)淖畲髷?shù)據(jù)包為1280個字節(jié)，而IEEE802.15.4物理層單個數(shù)據(jù)包最大為127個字節(jié)，因此6LoWPAN在傳輸時需采用分片和重組機制。6LoWPAN采用無狀態(tài)幀頭壓縮機制。IPv6：40octets,TCP：20octets,UDP：8octets，還有安全、路由等附加字節(jié)。為了降低開銷，在無線子網(wǎng)傳輸時對幀頭進行壓縮，壓縮程度可達80%。6LoWPAN的改進：標準方面物聯(lián)網(wǎng)信息安全增加適配層對IEEE802.15.4中專用時隙GTS機制的支持，支持不同的服務(wù)質(zhì)量（QoS）；改進6LoWPAN鄰居發(fā)現(xiàn)協(xié)議，提高網(wǎng)絡(luò)的自組織入網(wǎng)與管理能力；考慮對IEEE802.15.4系列新標準的支持能力，例如IEEE802.15.4e/g等。加入支持時隙和調(diào)度的路由協(xié)議6LoWPAN的改進：協(xié)議實現(xiàn)方面物聯(lián)網(wǎng)信息安全1.開發(fā)透明型6LoWPAN—3G網(wǎng)關(guān)，實現(xiàn)端到端全IPv6通信2.為Contiki平臺上現(xiàn)有的6LoWPAN協(xié)議添加動態(tài)入網(wǎng)功能3.在Contiki平臺的MAC層中支持IEEE802.15.4的GTS機制4.在Contiki平臺上添加針對各種傳感器的應(yīng)用示范Thankyou——1441906124——徐振物聯(lián)網(wǎng)信息安全物聯(lián)網(wǎng)安全技術(shù)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全需求物聯(lián)網(wǎng)工程課程目錄針對承載網(wǎng)絡(luò)信息傳輸?shù)墓?/p>

(1)對非授權(quán)數(shù)據(jù)的非法獲取

基本手段為：竊取、篡改或刪除鏈路上的數(shù)據(jù)；偽裝成網(wǎng)絡(luò)實體截取業(yè)務(wù)數(shù)據(jù)；對網(wǎng)絡(luò)流量進行分析；

(2)對數(shù)據(jù)完整性的攻擊

攻擊者對系統(tǒng)無線鏈路中傳輸?shù)臉I(yè)務(wù)與信令、控制信息等進行篡改，包括插入、修改和刪除等；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1網(wǎng)絡(luò)層安全需求

5.1.1網(wǎng)絡(luò)層安全威脅

5.1.2網(wǎng)絡(luò)層安全技術(shù)和方法5.2近距離無線接入安全——WLAN安全

5.2.1無線局域網(wǎng)WLAN的安全威脅

5.2.2無線局域網(wǎng)的安全機制物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)體系結(jié)構(gòu)圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層概述

物聯(lián)網(wǎng)網(wǎng)絡(luò)層功能：主要通過各種網(wǎng)絡(luò)接入設(shè)備與移動通信網(wǎng)和互聯(lián)網(wǎng)等廣域網(wǎng)相連，把感知層收集到的信息快速、可靠、安全地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進行信息處理、分類、聚合等。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層構(gòu)成：主要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管理及處理系統(tǒng)組成。物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)：主要用于連接終端感知網(wǎng)絡(luò)與服務(wù)器，包括互聯(lián)網(wǎng)、移動網(wǎng)、WLAN網(wǎng)絡(luò)和一些專業(yè)網(wǎng)；是一個多網(wǎng)絡(luò)疊加的開放性網(wǎng)絡(luò)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)需求物聯(lián)網(wǎng)的特點物聯(lián)網(wǎng)具有：由大量機器構(gòu)成、缺少人對設(shè)備的有效監(jiān)控、數(shù)量龐大、設(shè)備集群等特點。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點物聯(lián)網(wǎng)除具有傳統(tǒng)網(wǎng)絡(luò)安全的問題之外，還具有一些與現(xiàn)有網(wǎng)絡(luò)安全不同的特殊安全問題。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(1)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全

需要保證物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)傳輸過程中，數(shù)據(jù)內(nèi)容不被泄露、不被非法篡改、數(shù)據(jù)流信息不被非法獲?。?/p>

(2)承載網(wǎng)絡(luò)的安全防護需要解決的問題是：面對最常見的病毒、木馬、DDOS等網(wǎng)絡(luò)攻擊，如何對脆弱的傳輸節(jié)點或核心網(wǎng)絡(luò)設(shè)備進行安全防護；

(3)終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認證提供輕量級鑒別認證和訪問控制，實現(xiàn)對終端接入認證、異構(gòu)網(wǎng)絡(luò)互連的身份認證、鑒權(quán)管理及對應(yīng)用的細粒度訪問控制；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(4)異構(gòu)網(wǎng)絡(luò)下終端的安全接入

針對物聯(lián)網(wǎng)M2M的業(yè)務(wù)特征，對網(wǎng)絡(luò)接入技術(shù)和網(wǎng)絡(luò)架構(gòu)均需要改進和優(yōu)化，以滿足物聯(lián)網(wǎng)業(yè)務(wù)的網(wǎng)絡(luò)安全應(yīng)用需求：①網(wǎng)絡(luò)對低移動性、低數(shù)據(jù)量、高可靠性、海量容量的優(yōu)化；②適應(yīng)物聯(lián)網(wǎng)業(yè)務(wù)模型的無線安全接入技術(shù)、核心網(wǎng)優(yōu)化技術(shù)；③終端尋址、安全路由、鑒權(quán)認證、網(wǎng)絡(luò)邊界管理、終端管理等技術(shù)；④適用于傳感器節(jié)點的短距離安全通信技術(shù)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(5)物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求

物聯(lián)網(wǎng)核心網(wǎng)層面是基于TCP/IP協(xié)議，但在網(wǎng)絡(luò)接入層面，協(xié)議種類繁多，有GPRS/CDMA、短信、傳感器、有線等多種通道，因此物聯(lián)網(wǎng)需要一個統(tǒng)一的協(xié)議棧和相應(yīng)的技術(shù)標準，從而杜絕通過篡改協(xié)議，協(xié)議漏洞等攻擊威脅網(wǎng)絡(luò)應(yīng)用安全；

(6)大規(guī)模終端分布式安全管控物聯(lián)網(wǎng)應(yīng)用終端的大規(guī)模部署，對網(wǎng)絡(luò)安全管控體系、安全檢測、應(yīng)急聯(lián)動、安全審計等方面提出了新的安全需求。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全威脅和安全需求

物聯(lián)網(wǎng)核心網(wǎng)安全新措施

移動通信接入安全

無線接入安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1.1網(wǎng)絡(luò)層安全威脅1.IP欺騙2.ICMP攻擊3.端口結(jié)構(gòu)的缺陷網(wǎng)絡(luò)層面臨的安全問題

針對物聯(lián)網(wǎng)終端的攻擊針對物聯(lián)網(wǎng)承載網(wǎng)絡(luò)信息傳輸?shù)墓翎槍ξ锫?lián)網(wǎng)核心網(wǎng)絡(luò)的攻擊物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全針對網(wǎng)絡(luò)終端的攻擊病毒、木馬對網(wǎng)絡(luò)終端的威脅：隨著物聯(lián)網(wǎng)終端的計算和存儲能力的增強，使其遭受病毒、木馬等侵入的機會也大大增加；且病毒或木馬在物聯(lián)網(wǎng)中具有更大的傳播性、更強的破壞性、更高的隱蔽性，因此威脅更大；網(wǎng)絡(luò)終端自身平臺缺乏完整性保護和驗證機制：平臺軟/硬件模塊容易被攻擊者篡改；終端內(nèi)部各通信接口間缺乏機密性和完整性保護：傳遞的信息容易被竊取或篡改。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全針對網(wǎng)絡(luò)終端的攻擊使用偷竊的終端和智能卡對終端或智能卡中的數(shù)據(jù)進行篡改對終端和智能卡間的通信進行偵聽偽裝身份截取終端與智能卡間的交互信息非法獲取終端和智能卡中存儲的數(shù)據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1.2網(wǎng)絡(luò)層安全技術(shù)和方法1.邏輯網(wǎng)絡(luò)分段2.VLAN的實施3.防火墻服務(wù)4.加密技術(shù)5.數(shù)字簽名和認證技術(shù)針對核心網(wǎng)的攻擊

(1)對數(shù)據(jù)的非法獲取

對用戶業(yè)務(wù)、信令和控制數(shù)據(jù)的竊聽，偽裝成網(wǎng)絡(luò)實體截取用戶信息以及對用戶流量進行主動與被動分析，即：對系統(tǒng)數(shù)據(jù)存儲實體的非法訪問；在呼叫建立階段偽裝用戶位置信息等。

(2)對數(shù)據(jù)完整性的攻擊對用戶業(yè)務(wù)與信令消息進行篡改；對下載到用戶終端或UsIM的應(yīng)用程序與數(shù)據(jù)進行篡改；通過偽裝成應(yīng)用程序及數(shù)據(jù)發(fā)起方篡改用戶終端或USIM的行為；篡改系統(tǒng)存儲實體中儲存的用戶數(shù)據(jù)等。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)和方法邏輯網(wǎng)絡(luò)分段VLAN的實施

邏輯網(wǎng)絡(luò)分段是指將整個網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三次）上進行分段。例如，對于TCP/IP網(wǎng)絡(luò)，可以把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)必須通過中間設(shè)備進行連接，并利用這些中間設(shè)備的安全機制來控制各子網(wǎng)之間的訪問。

基于MAC的VLAN不能防止MAC的欺騙攻擊。因此，VLAN劃分最好基于交換機端口。VLAN的劃分方式的目的是為了保護系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分VLAN。針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認攻擊主要包括：對費用的否認、對發(fā)送數(shù)據(jù)的否認、對接受數(shù)據(jù)的否認等。(5)對非授權(quán)業(yè)務(wù)的非法訪問

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)和方法防火墻服務(wù)加密技術(shù)數(shù)字簽名和認證技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)安全的重要安全技術(shù)之一，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信，根據(jù)客戶設(shè)定的安全準則，提供內(nèi)外網(wǎng)通信。

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)途徑的安全性來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。

認證技術(shù)主要解決網(wǎng)絡(luò)通信過程中通信雙方的身份認可，數(shù)字簽名是身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可依賴要求?；赑KI的認證組成圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點

(1)無法復(fù)制傳統(tǒng)網(wǎng)絡(luò)成功的技術(shù)模式

不同應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)具有完全不同的網(wǎng)絡(luò)安全和服務(wù)質(zhì)量要求；

(2)不同于傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)是從人通信的角度設(shè)計的，而物聯(lián)網(wǎng)中以機器通信為主。若使用傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，會割裂物聯(lián)網(wǎng)機器間的邏輯關(guān)系；

(3)物聯(lián)網(wǎng)需要嚴密的安全性和可控性

物聯(lián)網(wǎng)中的大多數(shù)應(yīng)用均涉及個人隱私或企業(yè)內(nèi)部機密，因此，需具有保護個人隱私、防御網(wǎng)絡(luò)攻擊的能力；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點

(4)多源異構(gòu)的數(shù)據(jù)格式使網(wǎng)絡(luò)安全問題更復(fù)雜

物聯(lián)網(wǎng)在感知層從各種感知節(jié)點所采集的數(shù)據(jù)海量且多源異構(gòu)，致使網(wǎng)絡(luò)接入技術(shù)、網(wǎng)絡(luò)架構(gòu)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)等相關(guān)網(wǎng)絡(luò)安全技術(shù)必須符合物聯(lián)網(wǎng)業(yè)務(wù)特征；

(5)對于網(wǎng)絡(luò)的實時性、安全可信性、資源保證性方面的要求均高于傳統(tǒng)網(wǎng)絡(luò)如：在智能交通應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須是穩(wěn)定的；在醫(yī)療衛(wèi)生應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須具有很高的可靠性。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全框架物聯(lián)網(wǎng)網(wǎng)絡(luò)層構(gòu)成

物聯(lián)網(wǎng)網(wǎng)絡(luò)層可分為：業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案

(1)構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動網(wǎng)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)；(2)建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護平臺；(3)提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層之間的安全應(yīng)用與保障措施；(4)建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問控制機制。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全基于網(wǎng)絡(luò)層安全特點的解決方案5.2.1無線局域網(wǎng)WLAN的安全威脅

無線局域網(wǎng)WLAN是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。隨著無線局域網(wǎng)（WLAN）、第三代移動通信技術(shù)（3G）等無線無線互聯(lián)網(wǎng)技術(shù)的產(chǎn)生和運用，無線網(wǎng)絡(luò)使人們的生活變得輕松自如，并且在安裝、維護等方面也具有有線網(wǎng)無法比擬的優(yōu)勢，但隨著WLAN應(yīng)用市場的逐步擴大，除了常見的有線網(wǎng)絡(luò)的安全威脅外，WLAN的安全性問題顯得尤其重要。針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認攻擊主要包括：對費用的否認、對發(fā)送數(shù)據(jù)的否認、對接受數(shù)據(jù)的否認等。(5)對非授權(quán)業(yè)務(wù)的非法訪問

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.2.1無線局域網(wǎng)WLAN的安全威脅（1）無線局域網(wǎng)的網(wǎng)絡(luò)結(jié)（2）WLAN的安全風(fēng)險分析

無線局域網(wǎng)可分為兩大類：第一類是有固定基礎(chǔ)設(shè)施的，即有接入點AP;第二類是無固定設(shè)施的，即自組織網(wǎng)絡(luò)（人們常稱為AbHoc網(wǎng)絡(luò)）。

1.DHCP導(dǎo)致易入侵。2.接入的風(fēng)險。3.客戶端連接不當?shù)娘L(fēng)險。4.竊聽導(dǎo)致的風(fēng)險。5.拒絕服務(wù)攻擊。

WLAN所面臨的基本安全威脅主要有信息泄露、完整性破壞、拒絕服務(wù)和非法使用。主要包括非授權(quán)訪問、竊聽、偽裝、篡改信息、否認、重放、重路等（3）無線局域網(wǎng)的安全威脅一、無線局域網(wǎng)WLAN的網(wǎng)絡(luò)結(jié)構(gòu)第一類有固定基礎(chǔ)設(shè)施的網(wǎng)線局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的WLAN圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全擴展的服務(wù)集ESS自組織網(wǎng)絡(luò)圖另一類無固定基礎(chǔ)設(shè)施的無線局域網(wǎng)又叫做自組織網(wǎng)絡(luò)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全自組織網(wǎng)絡(luò)存在隱藏終端的問題，存在無線覆蓋外的站點，自組織網(wǎng)中的站點“看不到”隱藏終端，偵聽不到隱藏終端的載波信號，所以無法避免沖突發(fā)生，從而導(dǎo)致CSMA失效，信道吞吐率驗證下降。隱藏終端問題如上圖，A、D、C分別都能與B通信，由于沒有全覆蓋，結(jié)果導(dǎo)致：A、D或C、D同時發(fā)送數(shù)據(jù)時，彼此認為沒有沖突，實際上沖突會在B處發(fā)生。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全現(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全無線局域網(wǎng)的安全威脅

1.非授權(quán)訪問：入侵者訪問未授權(quán)的資源或使用未授權(quán)的服務(wù)。入侵者可看、刪除或修改未授權(quán)訪問的機密信息，造成信息泄露、完整性破壞，以及非法訪問和使用資源。

2.竊聽：入侵者能夠通過信息信道來獲取信息。AP的無線電波難以精確地控制在某個范圍之內(nèi)，所以在AP范圍內(nèi)幾乎任何一個STA都能竊聽這些數(shù)據(jù)。

3.偽裝：入侵者能夠偽裝成其他STA或授權(quán)用戶，對機密信息進行訪問；或者偽裝成AP，接收合法用戶的信息。

4.重放、重路由、錯誤路由和刪除消息。

5.否認：接收信息或服務(wù)的一方事后否認曾經(jīng)發(fā)送過的請求或接收過該信息或服務(wù)?，F(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全現(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全無線局域網(wǎng)的標準協(xié)議

1）IEEE802.11系列標準(1)IEEE802.11標準是IEEE最初制定的第一個無線局域網(wǎng)標準。

(2)IEEE802.11b標準是對IEEE802.11的補充，采用補償編碼鍵控調(diào)制方式。

(3)IEEE802.11a標準也是對IEEE802.11的補充，擴展了物理層。

(4)IEEE802.11g標準是一種混合標準。

(5)IEEE802.11n標準不僅傳輸速率高，穩(wěn)定性和覆蓋范圍都有所提高。

2）家庭網(wǎng)絡(luò)HomeRF與HIPERLAN協(xié)議

(1)家庭網(wǎng)絡(luò)的HomRF是IEEE802.11與DECT的結(jié)合，旨在降低語音數(shù)據(jù)成本。

(2)HiPerLAN協(xié)議標準體系中的HiPerLAN2標準是目前比較完善的WLAN協(xié)議。3）藍牙針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請