9、网络层安全论述.pptxVIP

第9章 物联网网络层安全;9.1 网络层安全需求;主要优点：透明性。也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。 主要缺点：网络层一般对属于不同进程和相应条例的包不做区别。对所有去往同一地址的包，它将按照相同的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也可能导致性能下降。;IP欺骗。黑客利用IP欺骗技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗。在这层中经常发现的另一种策略是利用源路由IP数据包，仅仅被用于一个特殊的路径中传输，这种利用被称为源路由，这种数据包被用于击破安全措施，例如防火墙。使用IP欺骗的攻击很有名的是一种Smurf攻击。Smurf攻击向大量的远程主机发送一系列的Ping请求，然后对目标地址进行回复。 ICMP攻击。Internet控制信息协议（ICMP）在IP层检查错误和其他条件。Tribal flood network是一种利用ICMP的攻击，利用ICMP消耗带宽来有效地摧毁站点。另外微软早期版本的TCP/IP堆栈有缺陷，黑客发送一个特殊的ICMP包，就可以使之崩溃。;物联网网络层的安全威胁;学者张存博就网络层安全策略在《大众商务》（2009）提出了3点建议，包括从被动安全保护，主动安全保护，整体安全保护的角度进行了探讨。 被动的安全保护技术：主要有物理保护和安全管理、入侵检测、防火墙等。 主动的安全保护技术：主要有存取控制、权限设置、数据加密、身份识别等。 整体的安全保护技术;VLAN划分 防火墙 加密技术 数字签名和认证技术 User Name/Password认证 使用摘要算法的认证 基于PKI的认证 数字签名 VPN技术;9.2 物联网核心网安全;核心网（core network）：通常指除接入网和用户驻地网之外的网络部分。将业务提供者与接入网，或者，将接入网与其他接入网连接在一起的网络。 如果把移动网络划分为三个部分，基站子系统，网络子系统，和系统支撑部分比如说安全管理等这些。核心网部分就是位于网络子系统内，核心网的主要作用是把呼叫请求或数据请求，接续到不同的网络上。;核心网的功能主要是提供用户连接、对用户的管理以及对业务完成承载，作为承载网络提供到外部网络的接口。 核心网可以提供的基本业务包括移动办公、电子商务、通信、娱乐性业务、旅行和基于位置的服务、遥感业务（Telemetry）－简单消息传递业务（监视控制）等等。;第9章 物联网网络层安全 第2节 物联网核心网安全;核心网安全域包括所有的软交换机，TG、AG、SG等接入网关，BGW类设备，关键业务平台(包括SHLR、号码转换平台等)，软交换媒体服务器和应用服务器，开发给第三方业务接口的应用网关。 Internet接入网安全域包括所有分配公网地址的SIP电话终端、IAD类设备、各类SIP接入的PC等。 支撑系统安全域包括网管、计费和OSS等辅助运营系统。 第三方应用网络安全域主要包括所有以开发业务接口方式接入的应用服务器，实际应用很少，这里不讨论该区域的安全需求。;核心网安全域是软交换网络的安全核心。 核心网安全域的安全需求有： 设备的可用性，即可以在各种情况下(包括设备故障、网络风暴、话务冲击等)保证设备和承载业务的正常运行； 需要在核心网与其他网络连接处部署BGW和防火墙等设备进行内外网隔离； 网络中的SS等设备需具备完善的设备认证和授信方式，防止非法登录； 核心网节点间需采用心跳和媒体检测等方式进行状态检查，及时更新节点状态，保证业务正常； 接入节点需具备带宽和业务管理能力，防止用户非法占用带宽和使用业务； 核心网节点应具备对异常信令和消息的处理能力，防止人为攻击等造成节点瘫痪或过负。;Internet接入网安全域的安全需求有： 在SIP电话、软件电话等终端设备与Internet和软交换网络互联设备之间需要应用L2TP、IPSec等隧道技术； 小容量AGW、IAD等通过Internet接入时，它们与Internet和软交换网络互联设备之间需要应用GRE、IPinIP、IPSec等隧道技术； 需要完善的接入设备认证和授信手段，防止冒名使用。;支撑系统安全域的安全需求有： 高强度的用户认证机制； 重要系统需要进行物理隔离，并且网间需要部署功能强大的防火墙设备； 需要优化系统安全策略。;软交换网络的承载层现在除了用专网和MPLSVPN等手段进行网络隔离外，一些厂商采用在关键节点放置网络探头，以ping段包的形式进行侦听等手段进行网络质量监控。 目前这种方式有以下难题需要解决： 一是ping包和软交换消息包的长度差异较大，在一定丢包率情况下无法满足软交换信令的要求； 二是ping包的频率不能设置太短，在承载网完全中断情