物聯網安全--網絡層安全
加入技術交流群
5.1概述
本文引用地址:http://www.104case.com/article/202204/432720.htm?物聯網網絡層分為核心網和接入網。
?核心網是物聯網數據傳輸的主要載體,是物聯網網絡層的骨干和核心。
?接入網則是骨干網絡到用戶終端之間的通信網絡。
無線近距離接入網(如無線局域網、ZigBee、藍牙)
無線遠距離接入網(如4G移動通信)
其他有線接入方式(如PSTN、ADSL、寬帶、有線電視、現場總線)
5.1.2網絡層安全需求
(1)業務數據在承載網絡中的傳輸安全
(2)承載網絡的安全防護
(3)終端及異構網絡的鑒權認證
(4)異構網絡下終端的安全接入
(5)物聯網應用網絡統一協議棧需求
(6)大規模終端分布式安全管控
5.1.3網絡層安全機制
(1)構建物聯網與互聯網、移動通信網絡等相融合的網絡安全體系結構
(2)建設物聯網網絡安全統一防護平臺
(3)提高物聯網系統各應用層次之間的安全應用與保障措施
(4)建立全面的物聯網網絡安全接入與應用訪問控制機制
5.2核心網安全
核心網面臨的安全威脅:
(1)核心網要接收來自海量、集群方式存在的物聯網節點的傳輸信息,很容易導致網絡擁塞,極易受到DDoS攻擊,這是物聯網網絡層最常見的攻擊手段
(2)網絡層存在不同架構的網絡互聯互通問題,核心網將面臨異構網絡跨網認證等安全問題。涉及密鑰和認證機制的一致性和兼容性,能抵抗DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等
(3)物聯網中一些節點不固定,與鄰近節點的通信關系會發生改變,很難為節點建立信任關系,面臨著虛擬節點、虛假路由等攻擊
5.2.2 IPSec安全協議與VPN
?物聯網的核心網以TCP/IP協議為基礎
?在TCP/IP協議中,網絡層協議IP提供了互連跨越多個網絡終端系統(即跨網互聯)的能力,IP是實現整個網際互聯的核心,在該層加入安全機制是保證整個網絡安全通信的重要手段
?IP層的安全機制稱為IPSec,包括了三個功能域:鑒別、機密性和密鑰管理。
○鑒別機制保證收到的分組確實是由分組首部的源站地址字段聲明的實體傳輸過來的,該機制還能保證分組在傳輸過程中沒有被篡改
○機密性機制使得通信節點可以對報文加密
○密鑰管理機制主要完成密鑰的安全交換
IPSec(IP Security)是IETF于1998年11月公布的IP安全標準,目標是為IPv4和IPv6提供透明的安全服務。
IPSec通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族,用于保證數據的機密性、來源可靠性、無連接的完整性并提供抗重播服務。
?IPSec的優點
○由于IPSec位于傳輸層(TCP、UDP)之下,因此對于應用是透明的。所以當在防火墻、路由器或用戶終端系統上實現IPSec時,并不會對應用程序帶來任何的改變
○IPSec可以對個人用戶提供安全性。這對于不在本地的工作者(如出差),或者對于一個組織內部,為敏感的應用建立只有少數人才能使用的虛擬子網是必要的
○IPSec為穿越局域網邊界的通信量提供安全保障,但對于局域網內部的通信,它不會帶來任何與安全有關的處理負荷
○IPSec對終端用戶是透明的
?IPSec的組成
○Authentication Header(AH,驗證報頭)協議
定義了認證的應用方法,提供數據源認證和完整性保證
○Encapsulating Security Payload(ESP,封裝安全有效負載)協議
定義了加密和可選認證的應用方法,提供可靠性保證
○Internet Key Exchange(IKE,密鑰的交換標準)協議
用于密鑰交換
?IPSec的工作模式
○傳輸模式
傳送模式用來保護上層協議,用于兩個主機之間端對端的通信
○隧道模式
也稱通道模式,是用來保護整個IP數據報,通常在SA的一端或是兩端都是安全網關時使用
?安全關聯(Security Association,SA)
為了正確封裝和提取IPsec的數據包,有必要采取一套專門的方案,將安全服務、密鑰等與要保護的通信數據聯系在一起,這樣的構建方案稱為安全關聯。
SA是發送者和接收者兩個IPsec系統之間的一個單向邏輯連接,若要在一個對等系統間進行源和目的的雙向安全通信,則需要兩個SA。
安全關聯SA通過一個三元組(安全參數索引SPI、目的IP地址和安全協議AH或ESP)來唯一標識。
?抗重播服務
IPSec協議通過數據包使用一個序列號和一個滑動的接收窗口實現抗重播服務
每個IPSec頭內,都包含了一個獨一無二、且單調遞增的序列號
接收窗口的大小可為大于32的任何值,但推薦為64。從性能考慮,窗口大小最好是最終實施IPSec的那臺計算機的字長度的整數倍
?ESP協議
ESP的作用是提供機密性保護、有限的流機密性保護、無連接的完整性保護、數據源認證和抗重放攻擊等安全服務
ESP支持傳輸模式和隧道模式
ESP可以單獨使用,也可以和AH結合使用。一般ESP不對整個數據包加密,而是只加密IP包的有效載荷部分,不包括IP頭。但在端對端的隧道通信中,ESP需要對整個數據包加密
?AH協議
AH協議用于為IP數據包提供數據完整性、數據包源地址驗證和一些有限的抗重播服務
與ESP協議相比,AH不提供對通信數據的加密服務,但能比ESP提供更加廣的數據驗證服務
?IKE協議
IKE協議是IPSec目前正式確定的密鑰交換協議
IKE是一種混合型協議,由ISAKMP、Oakley和SKEME組成,沿用了ISAKMP的基礎,Oakley的模式以及SKEME的共享和密鑰更新技術
使用了兩個交換階段,階段一用于建立IKE SA,階段二利用已建立的IKE SA為IPsec協商具體的一個或多個安全關聯,即建立IPsec SA
IKE允許四種認證方法,分別是基于數字簽名的認證、基于公鑰加密的認證、基于修訂的公鑰加密的認證和基于預共享密鑰的認證
?VPN(Virtual Private Network,虛擬專用網絡)是一種確保遠程網絡之間能夠安全通信的技術。
○VPN主要有三個應用領域:遠程接入網、內聯網和外聯網
○VPN的基本功能
加密數據
信息驗證和身份識別
訪問控制
地址管理
密鑰管理
多協議支持
?VPN采用的安全技術
○隧道技術
§點到點隧道協議(PPTP)
§第二層隧道協議(L2TP)
○加解密技術
○密鑰管理技術
○使用者與設備身份認證技術
○訪問控制技術
5.2.3 6LoWPAN安全
為了讓IPv6協議在IEEE 802.15.4協議之上工作,實現MAC層和網絡層之間的無縫連接,提出一個網絡適配層-6LoWPAN((IPv6 over low-power wireless personal area network),用來完成包頭壓縮、分片、重組和網狀路由轉發等
1)MAC層安全
必須提供終端節點和數據匯聚點間的安全保證。在MAC層可以引入訪問控制、MAC幀加密與解密、幀完整性驗證、身份認證等安全機制,提供點到點的安全通信
2)適配層安全
可能存在的安全問題:分片與重組攻擊,報頭壓縮攻擊(如錯誤的壓縮、拒絕服務攻擊),輕量級組播安全和Mesh路由安全等。目前針對6LoWPAN適配層安全的研究還較少
分片與重組可能出現IP包碎片攻擊,進而可能引起DoS攻擊和重播攻擊。應對IP包碎片攻擊的一種方法是:在6LoWPAN適配層增加時間戳(Timestamp)和現時(Nonce)選項來保證收到的數據包是最新的
3)網絡層安全
在網絡層采用高級加密標準(AES)和CTR模式加密及CBC-MAC驗證等對稱加密算法對大容量數據進行加密
4)應用層安全
應用層的安全主要集中在為整個6LoWPAN網絡提供安全支持,即密鑰建立、密鑰傳輸和密鑰管理等;而且應用層要能夠控制下層安全服務的某些參數
5.2.4 SSL/TLS
?安全套接字層協議(Secure Socket Layer,SSL)被設計成使用TCP在傳輸層提供一種可靠的端到端的安全服務,是一種用于基于會話的加密和認證的Internet協議,它在客戶和服務器之間提供一個安全的管道
?SSL工作在傳輸層和應用層之間,與應用層協議無關,應用層數據(HTTP、FTP、TELNET等)可以透明地置于SSL之上
?SSL不是單個的協議,而是兩層協議
?SSL記錄協議為不同的更高層協議提供基本的安全服務。3個高層協議(SSL握手協議、SSL修改密文規程協議、SSL告警協議)用于管理SSL交換(一共4個協議)
?SSL記錄協議
SSL記錄協議為每一個SSL連接提供以下兩種服務
機密性(Confidentiality):SSL記錄協議會協助雙方產生一把共有的密鑰,利用這把密鑰來對SSL所傳送的數據做傳統式加密。
消息完整性(Message Integrity):SSL記錄協議會協助雙方產生另一把共有的密鑰,利用這把密鑰來計算出消息認證碼。
?TLS協議
提供保密性和數據完整性
該協議由兩層組成
§TLS記錄協議
§TLS握手協議
5.2.5防火墻
?防火墻是設置在不同網絡(典型地,可信任的企業內部網絡和不可信的因特網)間的一系列安全部件的組合
?這組部件具有性質:(1)雙向通信必須通過防火墻;(2)防火墻本身不會影響信息的流通;(3)只允許本身安全策略授權的通信信息通過。
?防火墻是一種訪問控制機制,用于確定哪些內部服務對外開放,以及允許哪些外部服務對內部開放。
?防火墻是不同網絡或網絡安全域之間信息的唯一出入口
?防火墻提供四種控制服務:
○服務控制:確定可以訪問的因特網服務的類型,包括入站的和出站的。這是因為防火墻可以基于IP地址和TCP端口號對通信量進行過濾
○方向控制:確定特定的服務請求被允許流動的方向,即特定服務的方向流控制
○用戶控制:內部用戶、外部用戶所需的某種形式的認證機制。根據用戶試圖訪問的服務來控制對服務的訪問。典型地用戶控制防火墻以內的用戶(本地用戶)
○行為控制:對特定服務的使用方式進行控制。如防火墻可以過濾電子郵件來消除垃圾郵件
?防火墻有3種主要類型;不同類型的防火墻工作于網絡的不同層次,以工作于網絡層的分組過濾器和工作于應用層的應用級網關為常見
(1)分組(或包)過濾器
優點:價格低,對應用透明和高的處理速度
缺點:正確建立分組過濾規則是一件困難的事(分組過濾配置較復雜);無用戶使用記錄,不利于分析攻擊行為;攻擊相對容易實施
(2)應用級網關(也叫代理服務器)
優點:一般認為比分組過濾器更安全,因為它只對少數幾個支持的應用進行檢查,從外面只看到代理服務器,而看不到任何內部資源,而且代理服務器只允許被代理的服務通過
缺點:網關處于兩個串接用戶的中間點,必須在兩個方向上檢查和轉發所有通信量,對每個連接都需要有額外的處理負載,使訪問速度變慢;需要針對每一個特定的Internet服務安裝相應的代理服務器軟件,這會帶來兼容性問題
(3)電路級網關
優點:基于TCP連接代理各種高層會話,具有隱藏內部網絡信息的能力,透明性高
缺點:像電路交換,其對會話建立后所傳輸的具體內容不作進一步分析,存在一定安全隱患
?防火墻的局限性:
(1)防火墻不能對繞過它的攻擊進行保護(越窗而不逾門)
(2)防火墻不能對內部的威脅提供支持(“家賊難防”)
(3)防火墻不能對病毒感染的程序或文件的傳輸提供保護(不對報文內容進行檢查)
(4)防火墻機制難以應用于物聯網感知層(物聯網感知層網絡邊界模糊性)
?在物聯網網絡層,異構網絡的信息交換將成為網絡層安全性的脆弱點。
5.3泛在接入安全
泛在接入網安全包括遠距離無線接入安全、近距離無線接入安全
5.3.1遠距離無線接入安全
?(1)移動通信系統面臨的安全威脅
1)對敏感數據的非授權訪問(違反機密性)。包括:竊聽、偽裝、流量分析、瀏覽、泄漏和推論
2)對敏感數據的非授權操作(違反完整性)。包括消息被入侵者故意篡改、插入、刪除或重放
3)濫用網絡服務(導致拒絕服務或可用性降低)。包括干涉、資源耗盡、優先權的誤用和服務的濫用
4)否認。用戶或網絡拒絕承認已執行過的行為或動作。
5)非授權接入服務。包括入侵者偽裝成合法用戶或網絡實體來訪問服務;用戶或網絡實體能濫用它們的訪問權限來獲得非授權的訪問
?(2)移動通信系統的安全特性要求
1)提供用戶身份機密性
2)實體認證
3)數據傳輸機密性
4)數據完整性
5)安全的能見度和可配置性
?(3)移動通信系統的安全架構
網絡接入安全
網絡域安全
用戶域安全
應用域安全
安全服務的可視性和可配置性
?(4)認證與密鑰協商(AKA)
5.3.2近距離無線接入安全
?1、無線局域網安全
○無線局域網可用的安全技術:
(1)物理地址(MAC)過濾
(2)服務區標識符(SSID)匹配
(3)有線對等保密(WEP)
(4)WAPI安全機制
(5)IEEE 802.1X EAP認證機制
(6)IEEE 802.11i安全機制
(7)IEEE 802.16d安全機制
?2、無線個域網安全
○WPAN是以個人為中心的無線個人區域網,實際上是一個小范圍、低功率、低速率、低價格的電纜替代技術
○無線個域網目前包括的主流技術有藍牙、ZigBee、超寬帶(UWB)等
○藍牙的網絡安全模式
藍牙規定了三種網絡安全模式:非安全模式、業務層安全模式和鏈路層模式
○藍牙的密鑰管理
藍牙安全體系中主要用到3種密鑰:PIN碼、鏈路密鑰和加密密鑰
○ZigBee安全服務的內容
·訪問控制
·數據加密
·數據完整性
·序列抗重播保護
○ZigBee安全服務的模式
不安全模式
ACL模式
安全模式
○UWB面臨的信息安全威脅,
·拒絕服務攻擊,UWB網絡中拒絕服務攻擊類型:MAC層攻擊和網絡層攻擊
·秘鑰泄露
·假冒攻擊
·路由攻擊
5.4異構網絡安全
5.4.3異構網絡的安全機制
○異構網絡的路由安全
○異構網絡的接入認證機制
○異構網絡的入侵檢測機制
○異構網絡的節點信息傳輸安全
5.5路由安全
(1)哄騙、篡改或重放路由信息
(2)選擇性轉發(selective forwarding)
(3)污水池(sinkhole)攻擊
(4)女巫(sybil)攻擊
(5)蟲洞(wormhole)攻擊
(6)Hello洪泛攻擊
(7)應答欺騙
?(1)針對外部攻擊的防御對策
?(2)針對內部攻擊的防御對策
————————————————
版權聲明:本文為CSDN博主「夢想摸魚」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/Tekapo_s/article/details/119278282
評論