物联网安全第5章 物联网网络层安全.pptVIP

5.2.5 防火墙 （2）应用级网关（也叫代理服务器） 工作于应用层。用户通过应用程序(如TELNET、FTP)首先与应用级网关通信，网关与相应的主机上的应用程序相联系，在两者间转送应用数据 应用级网关通常与具体的应用相联系，否则服务将不被支持 应用级网关能很容易看见每一个连接的细节从而实现各种安全策略，例如：很容易识别重要的应用程序命令，像FTP的“put”上传请求和“get”下载请求 优点：一般认为比分组过滤器更安全，因为它只对少数几个支持的应用进行检查，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过 缺点：网关处于两个串接用户的中间点，必须在两个方向上检查和转发所有通信量，对每个连接都需要有额外的处理负载，使访问速度变慢；需要针对每一个特定的Internet服务安装相应的代理服务器软件，这会带来兼容性问题 5.2.5 防火墙 （3）电路级网关 工作于传输层，监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据 不允许端到端的TCP连接，而是建立两个TCP连接，一个在网关和内部主机间，一个在网关和外部主机间。当两个连接建立起来后，网关典型地从一个连接向另一个连接转发TCP报文，而不检查其内容。它的安全功能的实现体现在决定哪些连接是允许的 电路级网关和分组过滤器都是依靠特定的逻辑来判断是否允许数据包通过，但分组过滤器允许内外计算机系统建立直接联系，而电路级网关无法IP直达 优点：基于TCP连接代理各种高层会话，具有隐藏内部网络信息的能力，透明性高 缺点：像电路交换，其对会话建立后所传输的具体内容不作进一步分析，存在一定安全隐患 5.2.5 防火墙 防火墙的局限性： （1）防火墙不能对绕过它的攻击进行保护（越窗而不逾门) （2）防火墙不能对内部的威胁提供支持（“家贼难防”） （3）防火墙不能对病毒感染的程序或文件的传输提供保护（不对报文内容进行检查） (4) 防火墙机制难以应用于物联网感知层（物联网感知层网络边界模糊性） 交流与微思考 防火墙对物联网的适用性如何？ 5.3 泛在接入安全 5.3.1 远距离无线接入安全 5.3.2 近距离无线接入安全 5.3.1 远距离无线接入安全 （1）移动通信系统面临的安全威胁 1）对敏感数据的非授权访问（违反机密性）。包括：窃听、伪装、流量分析、浏览、泄漏和推论 2）对敏感数据的非授权操作（违反完整性）。包括消息被入侵者故意篡改、插入、删除或重放 3）滥用网络服务（导致拒绝服务或可用性降低）。包括干涉、资源耗尽、优先权的误用和服务的滥用 4）否认。用户或网络拒绝承认已执行过的行为或动作。 5）非授权接入服务。包括入侵者伪装成合法用户或网络实体来访问服务；用户或网络实体能滥用它们的访问权限来获得非授权的访问 5.3.1 远距离无线接入安全 (2)移动通信系统的安全特性要求 1）提供用户身份机密性 2）实体认证 3）数据传输机密性 4）数据完整性 5）安全的能见度和可配置性 5.3.1 远距离无线接入安全 （3）移动通信系统的安全架构（3G和LTE) 5.3.1 远距离无线接入安全 （4）认证与密钥协商（AKA） 交流与微思考 据媒体消息，2016年8月19日，家住山东省临沂市罗庄区的18岁准大学生徐玉玉接到了一通陌生电话，对方声称有一笔助学金要发放给她，最终被这个假借发放助学金的诈骗电话骗走9900元学费，伤心欲绝，郁结于心，导致她在8月21日晚上在到派出所报案回家途中突然晕倒、呼吸心脏骤停，经医院抢救无效，不幸离世。无独有偶，就在同一天，与徐玉玉家相隔不远的临沂市河东区的大一女生小芹也遭遇了电信诈骗，对方以小芹“涉嫌洗钱”为由，把她两张银行卡里的6800元钱全部骗光；8月23日凌晨，同在临沂市的临沭县大二学生宋振宁也在连续遭遇电信诈骗后，心脏骤停，不幸去世。消息震惊全国并引发社会各界热议，人们在扼腕痛惜不幸者的同时对骗子恨之入骨。 这样的电信诈骗因为能说出被骗人的基本信息和真实情况，令人深信不疑，从而让不少人陷入骗局。那么，个人信息为何频频被诈骗分子利用？电信诈骗又为何如此猖獗？徐玉玉等众多受骗者的个人信息为何落到骗子手中，从而让这些骗子“精准定位”，屡屡得手呢？分析人士认为，除个人信息被泄露导致公民几乎成了“透明人”隐患突出，给不法分子提供了作案契机外，通信运营商防范不力，在落实实名制、拦截诈骗短信和电话等方面的疏漏为电信诈骗大开了方便之门 根据此背景材料，试思考并交流以下问题： 从技术的角度应如何阻止电信诈骗？ 个人应如何提高识别和防范电信诈骗的能力？ 徐玉玉之死，除诈骗犯该承担相应责任外，相关电信运营商与系统开发人员是否应反思并更加重视产品或服务设计中的非技术要素，为未提供足够安全的产品或服务负