(23)-3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護

物聯(lián)網(wǎng)設(shè)計實戰(zhàn)第三章網(wǎng)絡(luò)層設(shè)計

第三章

網(wǎng)絡(luò)層設(shè)計3.1網(wǎng)絡(luò)層概述3.2無線局域網(wǎng)接入設(shè)計3.3無線廣域網(wǎng)接入設(shè)計3.4無線個域網(wǎng)接入設(shè)計3.5物聯(lián)網(wǎng)網(wǎng)絡(luò)層的安全防護

3.5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全威脅

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護教學(xué)目標(biāo)理解物聯(lián)網(wǎng)安全需求、掌握與物聯(lián)網(wǎng)相關(guān)的防火墻、入侵檢測技術(shù)與網(wǎng)絡(luò)安全協(xié)議。1.物聯(lián)網(wǎng)安全需求；2.防火墻與入侵檢測技術(shù)；3.物聯(lián)網(wǎng)相關(guān)網(wǎng)絡(luò)安全協(xié)議。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護1.物聯(lián)網(wǎng)安全需求上節(jié)課我們介紹了物聯(lián)網(wǎng)網(wǎng)絡(luò)層常見攻擊手段，本節(jié)課我們來了解一下物聯(lián)網(wǎng)主要有哪些安全需求和具體防護手段。

一般來說物聯(lián)網(wǎng)安全需求主要包括可靠性、保密性、可用性、完整性、可控性、以及不可抵賴性等幾個方面。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護可靠性：在規(guī)定時間和規(guī)定條件下，完成規(guī)定功能。保密性：信息只能被授權(quán)用戶使用而不被泄露?？捎眯裕合到y(tǒng)服務(wù)可以被授權(quán)實體訪問并按需求使用。完整性：未經(jīng)授權(quán)不能改變信息，不受各種因素的破壞。可控性：對信息傳播及內(nèi)容進行控制的特性。不可抵賴性：在信息交換過程中所有參與者都不可能否認(rèn)或者抵賴曾經(jīng)完成的操作和承諾。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護2.防火墻與入侵檢測技術(shù)基于以上安全需求，我們來介紹相關(guān)的物聯(lián)網(wǎng)安全防護手段：

首先是防火墻的應(yīng)用，防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的設(shè)備，包括硬防火墻和軟防火墻，設(shè)置防火墻的目的是保證內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶的攻擊。

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護防火墻的工作方式，是通過檢查所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的合法性。判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界。左圖路由器R1中添加以下訪問控制策略可以實現(xiàn)準(zhǔn)許廠長訪問財務(wù)的主機而限制銷售部門的訪問的目的。

#permit55#deny553.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護左圖路由器R2中配置如下訪問控制策略，可以讓用戶正常瀏覽Web服務(wù)器上的網(wǎng)站，但避免了針對服務(wù)器的基于icmp協(xié)議的Dos和DDos攻擊。#access-list100permittcphosthosteqwww

#access-list100denyicmphosthostecho#access-list100permitudphosthosteqdomain

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護

防火墻是構(gòu)建物聯(lián)網(wǎng)安全體系的一個重要組成部分，通常用于檢測網(wǎng)絡(luò)的安全風(fēng)險，但防火墻主要針對TCP/IP，而物聯(lián)網(wǎng)環(huán)境中的網(wǎng)絡(luò)協(xié)議很多不同于TCP/IP，因此需要開發(fā)能夠識別特定網(wǎng)絡(luò)協(xié)議的防火墻，而與之相應(yīng)的DPI（DeepPacketInspect深度包檢測技術(shù)），則成為當(dāng)前物聯(lián)網(wǎng)安全領(lǐng)域的關(guān)鍵技術(shù)之一。

DeepPacketInspection3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護深度包檢測技術(shù)在傳統(tǒng)IP數(shù)據(jù)包檢測技術(shù)之上增加了對數(shù)據(jù)的應(yīng)用協(xié)議識別，數(shù)據(jù)包內(nèi)容檢測與深度解碼。根據(jù)不同的檢測方法對通信數(shù)據(jù)包可能含有的異常數(shù)據(jù)做逐一的拆包分析，DPI對網(wǎng)絡(luò)協(xié)議的識別基于數(shù)字簽名技術(shù)，成為物聯(lián)網(wǎng)安全領(lǐng)域的關(guān)鍵技術(shù)點之一，基于DPI技術(shù)衍生出的安全產(chǎn)品類型也非常的多樣。

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護DPI技術(shù)還經(jīng)常應(yīng)用于入侵檢測系統(tǒng)（IDS中），入侵檢測是指通過對行為、安全日志、審計數(shù)據(jù)或者其他網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入企圖。

入侵檢測系統(tǒng)是對計算機網(wǎng)絡(luò)的惡意使用行為能夠進行識別的系統(tǒng)。

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護入侵檢測系統(tǒng)具有以下主要功能：監(jiān)控、分析用戶和系統(tǒng)的行為，檢查系統(tǒng)的配置和漏洞，評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性，通過對行為的統(tǒng)計分析識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警，對操作系統(tǒng)進行審計、跟蹤管理、識別違反授權(quán)的用戶活動。

3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護3.網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議是營造網(wǎng)絡(luò)安全環(huán)境的基礎(chǔ)，是構(gòu)建安全網(wǎng)絡(luò)的關(guān)鍵技術(shù)，設(shè)計并保證網(wǎng)絡(luò)安全協(xié)議的安全性和正確性能夠從基礎(chǔ)上保證網(wǎng)絡(luò)安全?；ヂ?lián)網(wǎng)TCP/IP體系中的某些安全協(xié)議同樣適用于物聯(lián)網(wǎng)：網(wǎng)絡(luò)層IPSec協(xié)議、傳輸層的SSL協(xié)議以及應(yīng)用層的SET協(xié)議。應(yīng)用層SET傳輸層SSL網(wǎng)絡(luò)層IPsec物理層3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護IPSec協(xié)議對網(wǎng)絡(luò)層數(shù)據(jù)包進行加密以及認(rèn)證，使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份，以及數(shù)據(jù)在傳輸過程中是否遭篡改。IPSec協(xié)議可以防范以下幾種網(wǎng)絡(luò)攻擊：

網(wǎng)絡(luò)嗅探、數(shù)據(jù)篡改、身份欺騙、重放攻擊、拒絕服務(wù)攻擊。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護SSL協(xié)議位于TCP/IP的傳輸層與應(yīng)用層之間，分為兩部分。SSL記錄協(xié)議：為高層協(xié)議提供數(shù)據(jù)包封裝，加密等基本功能的支持。SSL握手協(xié)議：在記錄協(xié)議的基礎(chǔ)上用于在實際數(shù)據(jù)通信之前，通信雙方進行身份認(rèn)證，協(xié)商加密算法和交換加密密鑰等。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護SET協(xié)議主要應(yīng)用于電子商務(wù)，為了保證互聯(lián)網(wǎng)與物聯(lián)網(wǎng)中不同的應(yīng)用系統(tǒng)互聯(lián)互通，就需要使用成熟且廣泛使用的安全電子交易協(xié)議SET。設(shè)計思想是：使用數(shù)字簽名與信息摘要等技術(shù)在持卡人、商家與收單銀行之間建立一個可靠的金融信息傳遞關(guān)系，解決網(wǎng)上三方支付機制的安全性。3.5.2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防