第5章物联网网络层安全第一页,共四十二页。12/21/20242/49学习目标本章介绍物联网网络层面临的安全威胁和安全需求,实现物联网网络层安全保护的机制。网络层安全概述近距离无线接入(WLAN)安全远距离无线接入(3G,4G)安全物联网核心网安全第二页,共四十二页。12/21/20243/49课前回顾5.2WLAN安全5.2.3健壮网络安全RSN5.2.4WLAN鉴别与保密基础结构WAPI5.33G/4G安全第三页,共四十二页。12/21/20244/49本节课学习内容5.4网络层核心网安全5.4.1核心IP骨干网安全5.4.26LoWPAN适配层的安全第四页,共四十二页。3G(UMTS)认证与密钥协商协议3G认证和密钥协商过程如下:⑴移动终端(ME/USIM)向网络发出呼叫接入请求,把身份标识(IMSI)发给VLR。⑵VLR收到该注册请求后,向用户的HLR发送该用户的IMSI,请求对该用户进行认证。⑶HLR收到VLR的认证请求后,生成序列号SQN和随机数RAND,计算认证向量AV发送给VLR。其中,AV=RAND||XRES||CK||IK||AUTN。如何计算AV各字段?第五页,共四十二页。3G(UMTS)认证与密钥协商协议①XRES=f2K(RAND),期望的应答(eXpectedRESponse)。②CK=f3K(RAND),加密密钥:IK=f4K(RAND),完整性密钥。③AUTN=SQNAK||AMF||MAC,认证令牌。生成认证向量AV的过程第六页,共四十二页。3G(UMTS)认证与密钥协商协议④SQN:序列号。⑤AK=f5K(RAND),匿名密钥,用于隐蔽序列号。⑥AMF:鉴别管理字段(AuthenticationManagementField)。⑦MAC=f1K(SQN||RAND||AMF),消息鉴别码。第七页,共四十二页。3G(UMTS)认证与密钥协商协议(4)VLR接收到认证向量后,将RAND及AUTN发送给ME,请求用户产生认证数据。(5)ME收到认证请求后,首先计算XMAC并与AUTN中的MAC进行比较,若不同则向VLR发送拒接认证消息,并放弃该过程。同时,ME验证接收到的SQN是否在有效的范围内,若不在有效的范围内,ME则向VLR发送“同步失败”消息,并放弃该过程。RES计算如下:消息鉴别码:XMAC=f1K(SQN||RAND||AMF)用户认证应答:RES=f2K(RAND)第八页,共四十二页。3G(UMTS)认证与密钥协商协议(6)VLR接收到来自ME的RES后,将RES与认证向量AV中的XRES进行比较,若相同则ME的认证成功,否则ME认证失败。最后,ME与VLR建立的共享加密密钥是CK,数据完整性密钥是IK。第九页,共四十二页。3G系统安全特性优缺点3G系统在密钥长度、算法选定、实体认证个身份保密性检验等方面,3G的安全性能远远优于2G1.没有建立公钥密码体制,难以实现用户数字签名2.密码学的最新成果(如ECC椭圆曲线密码算法)并未在3G中得到应用3.密钥产生机制和认证协议仍有一定的安全隐患优点:缺点:第十页,共四十二页。5.4物联网核心网安全第十一页,共四十二页。一、核心IP骨干网的安全二、6LoWPAN适配层的安全第十二页,共四十二页。一、核心IP骨干网的安全目前,以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性,成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在,1994年7月,IETF决定以SIPP作为IPng的基础,同时把地址数由64位增加到128位。新的Ip协议称为IPv6[4][5]。IPv6继承了IPv4的优点,摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。第十三页,共四十二页。安全机制可以处在协议栈的不同层次,通常密钥协商和认证协议在应用层定义,而保密性和完整性可在不同的层次完成,下图为不同层次的安全协议。这里主讲SSL/TLS安全机制表5-6分层安全协议一、核心IP骨干网的安全第十四页,共四十二页。SSL/TLS安全协议分为两个部分,SSL是套接层安全协议;TLS为安全传输层协议。传输层安全协议通常指的是套接层安全协议SSL和传输层安全协议TLS两个协议。SSL是美国Netscape公司于1994年设计的,为应用层数据提供安全服务和压缩服务。SSL虽然通常是从HTTP接收数据,但SSL其实可以从任何应用层协议接收数据。IETF于1999年将SSL的第3版进行了标准化,确定为传输层标准安全协议TL...
