物联网网络层安全

第5章物联网网络层安全第1页学习目标本章介绍物联网网络层面临安全威胁和安全需求，实现物联网网络层安全保护机制。

网络层安全概述近距离无线接入（WLAN）安全远距离无线接入（3G，4G）安全物联网关键网安全/10/22第2页课前回顾5.2WLAN安全5.2.3健壮网络安全RSN5.2.4WLAN判别与保密基础结构WAPI5.33G/4G安全/10/23第3页本节课学习内容5.4网络层关键网安全5.4.1关键IP骨干网安全5.4.26LoWPAN适配层安全/10/24第4页3G（UMTS）认证与密钥协商协议3G认证和密钥协商过程以下：⑴移动终端(ME/USIM)向网络发出呼叫接入请求，把身份标识(IMSI)发给VLR。⑵VLR收到该注册请求后，向用户HLR发送该用户IMSI，请求对该用户进行认证。⑶HLR收到VLR认证请求后，生成序列号SQN和随机数RAND，计算认证向量AV发送给VLR。其中，AV=RAND||XRES||CK||IK||AUTN。

怎样计算AV各字段？第5页3G（UMTS）认证与密钥协商协议①XRES=f2K(RAND)，期望应答(eXpectedRESponse)。②CK=f3K(RAND)，加密密钥：IK=f4K(RAND)，完整性密钥。③AUTN=SQNAK||AMF||MAC，认证令牌。生成认证向量AV过程第6页3G（UMTS）认证与密钥协商协议④SQN：序列号。⑤AK=f5K(RAND)，匿名密钥，用于隐蔽序列号。⑥AMF：判别管理字段(AuthenticationManagementField)。⑦MAC=f1K(SQN||RAND||AMF)，消息判别码。第7页3G（UMTS）认证与密钥协商协议(4)VLR接收到认证向量后，将RAND及AUTN发送给ME，请求用户产生认证数据。(5)ME收到认证请求后，首先计算XMAC并与AUTN中MAC进行比较，若不一样则向VLR发送拒接认证消息，并放弃该过程。同时，ME验证接收到SQN是否在有效范围内，若不在有效范围内，ME则向VLR发送“同时失败”消息，并放弃该过程。RES计算以下：消息判别码：XMAC=f1K(SQN||RAND||AMF)用户认证应答：RES=f2K(RAND)第8页3G（UMTS）认证与密钥协商协议(6)VLR接收到来自MERES后，将RES与认证向量AV中XRES进行比较，若相同则ME认证成功，不然ME认证失败。最终，ME与VLR建立共享加密密钥是CK,数据完整性密钥是IK。第9页3G系统安全特征优缺点3G系统在密钥长度、算法选定、实体认证个身份保密性检验等方面，3G安全性能远远优于2G1.没有建立公钥密码体制，难以实现用户数字署名2.密码学最新结果（如ECC椭圆曲线密码算法）并未在3G中得到应用3.密钥产生机制和认证协议仍有一定安全隐患优点：缺点：第10页5.4物联网关键网安全第11页一、关键IP骨干网安全二、6LoWPAN适配层安全第12页一、关键IP骨干网安全当前，以TCP/IP协议簇为基本通讯机制互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性，成为制约互联网发展瓶颈原因。比如地址空间有限、路由选择效率不高、缺乏服务质量确保、IPv4安全性等等问题存在，1994年7月，IETF决定以SIPP作为IPng基础，同时把地址数由64位增加到128位。新Ip协议称为IPv6[4]

[5]。IPv6继承了IPv4优点，摒弃其缺点。主要表达在简化报头和灵活扩展、层次化地址结构、即插即用连网方式、网络层认证与加密、服务质量优化、对移动通讯更加好支持等几个方面。第13页

安全机制能够处于协议栈不一样层次，通常密钥协商和认证协议在应用层定义，而保密性和完整性可在不一样层次完成，下列图为不一样层次安全协议。这里主讲SSL/TLS安全机制表5-6分层安全协议一、关键IP骨干网安全第14页SSL/TLS安全协议分为两个部分，SSL是套接层安全协议；TLS为安全传输层协议。传输层安全协议通常指是套接层安全协议SSL和传输层安全协议TLS两个协议。SSL是美国Netscape公司于1994年设计，为应用层数据提供安全服务和压缩服务。SSL虽然通常是从HTTP接收数据，但SSL其实可以从任何应用层协议接收数据。IETF于1999年将SSL第3版进行了标准化，确定为传输层标准安全协议TLS。TLS和SSL第3版只有微小差别，故人们通常把它们一起表示为SSL/TLS。另外，在无线环境下，由于手机及手持设备处理和存储能力有限，原WAP论坛在TLS基础上做了简化，提出了WTLS协议(WirelessTransportLayerSecurity)，以适应无线网络特殊环境。一、关键IP骨干网安全第15页SSL由两部分组成，第一部分称为SSL统计协议，置于传输协议之上：第二部分由SSL握手协议、SSL密钥更新协议和SSL提醒协议组成，置于SSL统计协议之上和应用程序（如HITP)之下。下表显示了SSL协议在应用层和传输层之间位置。一、关键IP骨干网安全HTTPSSL握手协议SSL密钥更新协议SSL提醒协议SSL统计协议TCPIP表5-7SSL协议结构第16页1）SSL握手协议 SSL握手协议用于给通信双方约定使用哪个加密算法、哪个数据压缩算法以及些参数。在算法确定了加密算法、压缩算法和参数以后，SSL记录协议将接管双方通信,包括将大数据分割成块、压缩每个数据块、给每个压缩后数据块签名、在数据块前加上记录协议包头并传送给对方。SSL密钥更新协议允许通信双方在一个会话阶段中更换算法或参数。SSL提醒协议是管理协议，用于通知对方在通信中出现问题以及异常情况。一、关键IP骨干网安全第17页SSL握手协议是SSL各协议中最复杂协议，它提供客户和服务器认证并允许双方协商使用哪一组密码算法，交换加密密钥等。它分四个阶段，SSL握手协议工作过程如图5-31.图中带*号是可选，括号[]中不是TLS消息。一、关键IP骨干网安全第18页第1阶段：协商确定双方将要使用密码算法。这一阶段目标是客户端和服务器各自宣告自己安全能力，从而双方能够建立共同支持安全参数。客户端首先向服务器发送问候信息，包含：客户端主机安装SSL最高版本号，客户端伪随机数生成器秘密产生一个随机串rc预防重放攻击，会话标志，密码算法组，压缩算法（ZIP、PKZIP等）。其中密码算法组是指客户端主机支持全部公钥密码算法、对称加密算法和Hash函数算法。按优先次序排列，排在第一位算法是客户主机最希望使用算法。比如，客户三种算法分别为

公钥密码算法：RSA、Ecc、Diffie-Hellman;

对称密码算法：AES·128、3DES/3、Rc5; Hash函数算法：SHA巧12、SHA-I、MD50然后，服务器向客户端回送问候信息。包括：服务器主机安全SSL最高版本号，服务器伪随机数生成器秘密产生随机串RS，会话标识，密码算法组（例如RSA、3DES/3、SHA-1),压缩算法。一、关键IP骨干网安全第19页第2阶段：对服务器认证和密钥交换

服务器程序向客户程序发送如下信息：(1)服务器公钥证书。包含x.509类型证书列表，如果密钥交换算法是匿名Diffie-blellman‘就不需要证书。(2)服务器端密钥交换信息。包括对预备主密钥分配。如果密钥交换方法是RSA或者固定Diffie-Hellmam就不需要这个信息。

(3)询问客户端公钥证书。向客户端请求第3阶段证书。如果给客户使用是匿名Diffie-Hellman,服务器就不向客户端请求证书。

(4)完成服务器问候。该信息用ServerHelloDone表示，表示阶段2结束，阶段3开始。一、关键IP骨干网安全第20页第3阶段：对客户端认证和密钥交换客户程序向服务器程序发送如下信息：

(1)客户公钥证书。和第2阶段第(1)步信息格式相同，但内容不一样,它包含证明客户证书链。只有在第2阶段第(3)步请求了客户端证书，才发送这个信息。如果有证书请求，但客户没有可发送证书，它就发送一个SSL提醒信息（携带一个没有证书警告）服务器也许会继续这个会话，也可能会决定终止。(2)客户端密钥交换信息。用于产生双方将使用主密钥,包含对预备主密钥贡献。信息内容基于所用密钥交换算法。如果密钥交换算法是RSA,客户就创建完整预备主密钥并用服务器RSA公钥进行加密。假如是匿名Diffie-Hellman,客户就发送Diffie-Hellman半密钥，等等。

一、关键IP骨干网安全第21页(3)证书验证。如果客户发送了一个证书，宣布它拥有证书中公钥，就需要证实它知道相关私钥。这对于阻止一个发送了证书并声称该证书来自客户假冒者是必需。经过创建一个信息并用私钥对该信息进行署名，可证实它拥有私钥。比如客户用私钥对前面发送明文Hash值进行署名。假设服务器在第1阶段选取了RSA作为密钥交换手段，则客户程序用如下方法产生密钥交换信息：客户程序验证服务器公钥证书服务器公钥，然后用伪随机数生成器产生一个48字节长比特字符串Spm，称为前主密钥。然后用服务器公钥加密Spm将密文作为密钥交换信息传给服务器。这时，客户端和服务器端均拥有rc、rs、Spm，且Spm仅仅被客户和服务器所拥有。今后，双方计算主密钥以下列图其中，H1和H2是Hash函数(SSL用MD5作为H1默认Hash函数，用SHA-I作为默认Hash函数），'A','BB',‘CCC’分别表示A、BB、CCC

ASCII码。一、关键IP骨干网安全第22页第4阶段：结束双方互送结束信息完成握手协议，并确认双方计算主密钥相同。为到达此目标，结束信息将包含双方计算主密钥Hash值。握手协议完成后，双方用产生主密钥Sm方法，用Sm取代Spm并依据双方约定密码算法，产生一个足够长密钥块以下：然后SSL将分割成6段，每一段自成一个密钥。这6个密钥分成以下两组：第1组为（Kc1,Kc2,kc3）；第2组为（Ks1,Ks2,Ks3）。每组3个密钥，即：Kb=Kc1||Kc2||Kc3||Ks1||Ks2||Ks3||Z,其中z是剩下字符串。第1组密钥用于客户到服务器通信，记（Kc1,Kc2,kc3=(Kchmac,Kce,IVc),分别为认证密钥、加密密钥和初始向量。第2组用于服务器到客户通信，记为：（Ks1,Ks2,Ks3）=(Kshmac,Kse,IVs)和第1组类似。

此后，客户和服务器将转用SSL记录协议进行后续通信。

一、关键IP骨干网安全第23页2）SSL记录协议

执行完握手协议之后，客户和服务器双方统一了密码算法、算法参数、密钥及压缩算法。SSL记录协议便可使用这些算法、参数和密钥对数据进行保密和认证处理。令M为客户希望传送给服务器数据。客户端SSL记录协议首先将M分成若干长度不超出214字节分段：M1,M2,…,Mk。令cx、H和E分别为客户端和服务器双方在ssl握手协议中选定压缩函数、HMAC算法和加密算法。客户端SSL统计协议按以下步骤将每段Mi进行压缩、认证和加密处理，然后将其发送给服务器,i=1,2……,k,以下列图第24页（1）将Mi进行压缩得到M’i=CX(Mi)。（2）将M’i进行认证得到M’’i=M’||HkcHMAC(M’)（3）将M”加密得ci=Ekc(M“i)

（4）将Ci封裝得Pi=[SSL录协议包头]llCi（5）将Pi发给服务器。服务器收到客户送来SSL记录协议包后，首先将Ci解密得M‘iIlHKcHMAC(M’i)，验证HMAC，然后将M’解压还原成Mi.。同理，从服务器发送给客户数据也按上述方式处理。双方间通信保密性和完整性由此得到保护。2）SSL记录协议第25页SSL/TLS协议实现安全机制包括身份验证机制和数据传输机密性与完整性控制。（1）身份验证机制。SSL/TLS协议基于证书并利用数字署名方法对服务器和客户端进行身份验证，其中客户端身份验证可选。在该协议机制中，客户端必须验证SSL/TLS服务器身份，SSL/TLS服务器是否验证客户端身份，自行决定。SSL/TLS利用PK提供机制确保公钥真实性。

(2)数据传输机密性。能够利用对称密钥算法对传输数据进行加密。网络上传输数据很轻易被非法用户窃取,SSL/TLS协议采取在通信双方之间建立加密通道方法确保数据传输机密性。所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文,从而确保数据传输机密性。3）SSL/TLS协议安全机制第26页没有解密密钥第三方,无法将密文恢复为明文。SSL/TLS加密通道上数据加解密使用对称密钥算法,目前主要支持算法有DES、3DES、AES等,这些算法都可以有效防止交互数据被窃听。（3）消息完整性验证。消息传输过程中使用MAC算法来检验消息完整性。为了避免网络中传输数据被非法篡改，SSL/TLS利用基于MD5或SHAMAC算法来保证消息完整性。MAC算法可以将任意长度数据转换为固定长度数据。发送者利用己知密钥和MAC算法计算出消息MAC值，并将其加在消息之后发送给接收者。接收者利用同样密钥和MAC算法计算出消息MAC值，并与接收到MAC值比较。假如二者相同，则报文没有改变；不然，报文在传输过程中被修改。3）SSL/TLS协议安全机制第27页为了让IPv6协议能在IEEE802.15.4协议之上工作，导致了6LoWPAN适配层提出。这一解决方法正在被IPSO联盟所推广，是IPSO提出智能物体（smartObject)、基于Internet(lnternet-based，Web·enabled）无线传感器网络等应用基本技术。由27个公司发起针对智能对象联网IP标准协作组织--IPSO(IPforSmartObjectalliance)，目前己有45个成员，包括Cisco、SAP、SUN、Bosch、Intel等，该组织提出IPv6协议栈ulPv6可以和主流厂商协议栈互操作，其轻量级代码只需要111.5kB内存。二、

6LoWPAN适配层安全第28页IETF于

年成立6LoWPAN(IPv6overLow-powerWirelessPersonalAreaNetwork)工作组，致力于将TCP/IPv6协议栈构建于IEEE802.15.4标准之上，而且通过路由协议构建起自组织方式低功耗、低速率6LoWPAN网络。第一个6LoWPAN规范RFC4919给出了标准基本目标和需求，然后RFC4944中规范了6LoWPAN格式和功能。通过部署和实现经验，6LoWPAN工作组进一步公布了包头压缩（HeaderCompression)、邻居发现(NeighborDiscovery)、用例(Usecase）及路由需求等文档。

年IETF成立了一个新工作组：ROLL(RoutingOverLow-powerandLossyNetworks)，规范了低功耗有损网络(Low-powerandLossyNetwork，LLN）中路由需求及处理方案。在6LoWPAN提出后，很多组织、标准或联盟都提出了相应兼容性方案。

在

年，ISA开始为无线工业自动化控制系统制定标准，称为SP100.11a（也称为ISA100),该标准基于6LoWPAN。同样是

年，IPSO联盟成立，推动在智能物体上使用IP协议。1·6LoWPAN协议简介第29页IP500联盟主要致力于针对商业和企业建筑自动化及过程控制系统开放无线Mesh网络，是一个在IEEE802.15.4（sub一GHz）无线电通信上建立6LoWPAN联盟，sub-GHzISM频段是433MHz、868MHz和915MHz，使用该频段原因是当2.4GHzISM频段变得拥挤时，sub-GHz比2·4GHz有更好低频穿透能力，导致更大传输距离。开放地理空间论坛（openGeospatialConsortium，OGC)规范了一个基于IP地理空间和感知应用解决方案。

1·6LoWPAN协议简介第30页

年，欧洲通信标准研究院（EuropeanTelecommunicationStandardsInstitute，ETSI)成立了一个工作组，制定M2M标准，其中包括端到端与6LoWPAN兼容架构。如下列图所示给出了6LoWPAN与相关标准和联盟关系。1·6LoWPAN协议简介第31页

物联网中特别是可通过Internet访问传感器网络，其节点数目巨大，分布在户外并且位置可能是动态改变。IPv6因为具有地址空间大、地址自动配置、邻居发现等特性，所以特别适合作为此类物联网网络层。同时在技术上，IPv6巨大地址空间能够满足节点数量庞大网络地址需求；IPv6一些新技术（如邻居发现、无状态地址自动配置等技术）使自动构建网络时要相对容易一些。IPv6与IEEE802.15.4

MAC层结合，可以轻松实现大规模传感器（智能物体）网络与Internet互连，并能够远程访问这些传感器（智能物体）节点数据。6LoWPAN就是介于IPv6和IEEE802.15.4之间一个适配层，其协议栈如右图所示。应用层传输层精简IPv6协议层6LOWPAN适配层IEEE802.15.4MAC层IEEE802.15.4PHY层1·6LoWPAN协议简介第32页

在构造物联网时，往往涉及传统IP网络和基于IP

WPAN（无线个域网）互连。具有6LoWPAN协议栈和传统IP协议栈比较以下图IP和6LoWPAN协议栈比较。1·6LoWPAN协议简介第33页相应地,在传统IP网络和物联网之间边界路由器上，需要实现两类数据包处理和转发，下列图-支持6LoWPAN

IPv6边界路由器协议栈IPv6以太网MAC6LOWPAN802.15.4MAC以太网PHY802.15.4PHY1·6LoWPAN协议简介第34页IETF6LoWPAN草案标准是专门为将IP扩展到低速率有损无线网络而设计，其在整个TCP/IP协议栈中位置如图5-37所示，是处于IP和802.15.4之间一个适配层。该适配层功能包括包分片/组装、试运行/启动（自动配置）、邻居发现优化、Mesh路由等功能。下列图--

6LoWPAN节点协议架构在TCP/IP协议栈中位置SNMP管理服务命名与发觉传感器应用轻量级套接字APITCP/UDPIPICMP适配层分片/组装试运行/开启邻居发觉优化Mesh路由802.15.4传感器节点硬件2、6LoWPAN要解决问题第35页具体而言，6LOWPAN需要解决问题包括：（1）、IP连接向题。（2）、网络拓扑。（3）、报文长度限制。（4）、有限配置和管理。（5）、组播限制。（6）、安全问题。2、6LoWPAN要解决问题第36页6LoWPAN工作组提出了一些解决方案，解决方案性能评价指标主要是报文消耗、带宽消耗、处理需求及能量消耗，这四个方面也是影响6LoWPAN网络性能主要因素。下面简介该解决方案。（1）、分片与重组。为了解决IPv6最小MTU为1280字节与IEEE802.15.4Payload长度仅有81字节冲突问题，6LoWPAN需要对IPv6报文进行链路层分片和重组。（2）、报头压缩。在使用IEEE802.15.4安全机制时，IP报文只有81字节空间，而IPv6头部需要40字节，传输层UDP和TCP头部分别为8和20字节，这就只留给了上层数据33或21字节。如果不对这些报头进行压缩话，6LoWPAN数据传输效率将是非常低。（3）、组播支持。IEEE802.15.4并不支持组播也不提供可靠广播，6LoWPAN需要提供额外机制以支持IPv6在这方面需要。（4）、网络拓扑管理。IEEE802.15.4MAC层协议仅提供基本点对点传输，无法很好地支持IPv6。因此必须在IP层以下、MAC层以上构建一定网络拓扑，形成合适拓扑结构，如星形、树形或者Mesho6LowPAN负责调用MAC层提供原语，以形成正确多跳拓扑。6LOWPAN需要解决问题第37页（5）、Mesh路由。一个支持多跳Mesh路由协议是必要，但现有一些无线网络路由协议（如AODV等）并不能很好地适应LoWPAN特殊情况，这些路由协议大多是通过广播方式进行路由询问，对于能量供应相当有限节点来讲是很不现实。（6）、安全性。

6LoWPAN需要考虑安全性。这一方面还有很多工作要开展。对应于上面6LoWPAN引入新处理，可能存在安全问题包括：分片与重组攻击，报头压缩相关攻击（如错误压缩、拒绝服务攻击），轻量级组播安全，Mesh路由安全等。

6LOWPAN需要解决问题第38页因为分片与重组存在，报文中与分片/重组过程相关参数有可能会被攻击者修改或重构，如数据长度(datagram-size)、数据标签(datagram-tag)、数据偏移(datagram-offset)等，从而引起意外重组、重组溢出、重组乱序等问题，进而使节点资源被消耗、停止工作、重启等，以这些现象为表现攻击被称为IP包碎片攻击（IPPacketFragmentationAttack)，进而可引发Dos攻击和重播攻击。所以，H.Kim等人提出了在6LoWPAN适配层增加时间戳（Timestamp）和随机序列（Nonce）选项来保证收到数据包是最新，从而防止数据包在传输过程被攻击者修改或重构，进而有效地防止IP包碎片攻击。w.Jung等人提出并实现了一整套在6LoWPAN网络中实现SSL(SecuresocketsLayer,安全套接层）方案，他们在密钥分发上对ECC和RSA做了比较，在密码算法上对RC4、DES、3DES做了比较，在消息认证上使用MD5和SHAI函数，最后发现ECC-RC4-MD5组合消耗资源最小，分别占用64KB

Flash和7KB

RAM，实现一次完整SSL握手需要2s。3，6LoWPAN