5.1Internet及其效勞5.2Internet提供的效勞5.3Internet的管理5.1信息傳輸需求

網(wǎng)絡(luò)層概述物聯(lián)網(wǎng)通過網(wǎng)絡(luò)層實現(xiàn)更加廣泛的互連功能，通過各種網(wǎng)絡(luò)接入設(shè)備與移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)等廣域網(wǎng)相連，能夠把感知到的信息快速、可靠、平安地進行傳輸。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層將主要建立在現(xiàn)有的移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)根底上，根本能夠滿足物聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)男枰?。物?lián)網(wǎng)的網(wǎng)絡(luò)層主要用于把感知層收集到的信息平安可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進行信息處理、分類、聚合等，即網(wǎng)絡(luò)層主要由網(wǎng)絡(luò)根底設(shè)施和網(wǎng)絡(luò)管理及處理系統(tǒng)組成，物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)包括互聯(lián)網(wǎng)、移動網(wǎng)、WLAN網(wǎng)絡(luò)和一些專業(yè)網(wǎng)〔如數(shù)字音/視頻播送網(wǎng)、公共效勞專用網(wǎng)〕等。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于把感知層收集到的信息平安可靠地傳輸?shù)叫畔⑻幚韺樱缓蟾鶕?jù)不同的應(yīng)用需求進行信息處理，實現(xiàn)對客觀世界的有效感知及有效控制。其中連接終端感知網(wǎng)絡(luò)與效勞器的橋梁便是各類承載網(wǎng)絡(luò)，物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)包括核心網(wǎng)〔NGN〕、2G通信系統(tǒng)、3G通信系統(tǒng)和LTE/4G通信系統(tǒng)等移動通信網(wǎng)絡(luò)，以及WLAN、藍牙等無線接入系統(tǒng)，如圖5-1所示。

圖5-1信息傳輸面臨的平安問題

〔3〕物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的關(guān)系是密不可分、相輔相成的?；ヂ?lián)網(wǎng)基于優(yōu)先級管理的典型特征使得其對于平安、可信、可控、可管都沒有特殊要求，但是，物聯(lián)網(wǎng)對于實時性、平安可信性、資源保證性等方面卻有很高的要求。〔4〕物聯(lián)網(wǎng)需要嚴密的平安性和可控性，物聯(lián)網(wǎng)的絕大多數(shù)應(yīng)用都涉及個人隱私或企業(yè)內(nèi)部秘密，物聯(lián)網(wǎng)必須提供嚴密的平安性和可控性，具有保護個人隱私、防御網(wǎng)絡(luò)攻擊的能力。2．物聯(lián)網(wǎng)的網(wǎng)絡(luò)平安需求

從信息與網(wǎng)絡(luò)平安的角度來看，物聯(lián)網(wǎng)作為一個多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò)，不僅存在與傳感器網(wǎng)絡(luò)、移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)同樣的平安問題，同時還有其特殊性，如隱私保護問題、異構(gòu)網(wǎng)絡(luò)的認證與訪問控制問題、信息的存儲與管理等。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于實現(xiàn)物聯(lián)網(wǎng)信息的雙向傳遞和控制，網(wǎng)絡(luò)通信適應(yīng)物物通信需求的無線接入網(wǎng)絡(luò)平安和核心網(wǎng)的平安，同時在物聯(lián)網(wǎng)的網(wǎng)絡(luò)層，異構(gòu)網(wǎng)絡(luò)的信息交換將成為平安性的脆弱點，特別在網(wǎng)絡(luò)鑒權(quán)認證過程，防止不了網(wǎng)絡(luò)攻擊。這些攻擊都需要有更高的平安防護措施。網(wǎng)絡(luò)層平安框架

隨著物聯(lián)網(wǎng)的開展，建立端到端的全局物聯(lián)網(wǎng)將成為趨勢，現(xiàn)有互聯(lián)網(wǎng)、移動通信網(wǎng)等通信網(wǎng)絡(luò)將成為物聯(lián)網(wǎng)的根底承載網(wǎng)絡(luò)。由于通信網(wǎng)絡(luò)在物聯(lián)網(wǎng)架構(gòu)中的缺位，使得早期的物聯(lián)網(wǎng)應(yīng)用往往在部署范圍、應(yīng)用領(lǐng)域、平安保護等諸多方面有所局限，終端之間及終端與后臺軟件之間都難以開展協(xié)同。物聯(lián)網(wǎng)網(wǎng)絡(luò)層平安體系結(jié)構(gòu)如圖5-2所示。圖5-2物聯(lián)網(wǎng)網(wǎng)絡(luò)層平安體系結(jié)構(gòu)5.2物聯(lián)網(wǎng)核心網(wǎng)平安5.2.1現(xiàn)有核心網(wǎng)典型平安防護系統(tǒng)部署5.2.2下一代網(wǎng)絡(luò)〔NGN〕平安5.2.3下一代互聯(lián)網(wǎng)〔NGI〕的平安5.2.4網(wǎng)絡(luò)虛擬化平安現(xiàn)有核心網(wǎng)典型平安防護系統(tǒng)部署圖5-3物聯(lián)網(wǎng)核心網(wǎng)絡(luò)平安防護系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)2．證書管理系統(tǒng)證書管理系統(tǒng)簽發(fā)和管理數(shù)字證書，由證書注冊中心、證書簽發(fā)中心及證書目錄效勞器組成。系統(tǒng)結(jié)構(gòu)及相互關(guān)系如圖5-4所示。圖5-4證書管理系統(tǒng)的組成證書注冊：審核注冊用戶的合法性，代理用戶向證書簽發(fā)中心提出證書簽發(fā)請求，并將用戶證書和密鑰寫入身份令牌，完成證書簽發(fā)〔包括機構(gòu)證書、系統(tǒng)證書和用戶證書〕；證書撤銷：當用戶身份令牌喪失或用戶狀態(tài)改變時，向證書簽發(fā)中心提出證書撤銷請求，完成證書撤銷列表的簽發(fā)；證書恢復：當用戶身份令牌損壞時，向證書簽發(fā)中心提出證書恢復請求，完成用戶證書的恢復；證書發(fā)布：負責將簽發(fā)或恢復后的用戶證書及證書撤銷列表發(fā)布到證書目錄效勞器中；身份令牌：為證書簽發(fā)、恢復等模塊提供用戶身份令牌的操作接口，包括用戶臨時密鑰對的產(chǎn)生、私鑰的解密寫入、用戶證書的寫入及用戶信息的讀取等；證書簽發(fā)效勞：接收證書注冊中心的證書簽發(fā)請求，完成證書簽發(fā)〔包括機構(gòu)證書、設(shè)備證書和用戶證書〕；證書撤銷效勞：接收證書注冊中心的證書撤銷請求，完成證書撤銷列表的簽發(fā)；是否允許終端設(shè)備的訪問。應(yīng)用平安訪問控制設(shè)備需實現(xiàn)的主要功能包括如下幾種。統(tǒng)一的平安保護機制：為網(wǎng)絡(luò)中多臺〔套〕應(yīng)用效勞器系統(tǒng)提供集中式、統(tǒng)一的身份認證、平安傳輸、訪問控制等；身份認證：基于USBKEY+數(shù)字證書的身份認證機制，在應(yīng)用層嚴格控制終端設(shè)備對應(yīng)用系統(tǒng)的訪問接入，可以完全防止終端設(shè)備身份假冒事件的發(fā)生；數(shù)據(jù)平安保護：終端設(shè)備與應(yīng)用訪問控制設(shè)備之間建立訪問被保護效勞器的專用平安通道，該平安通道為數(shù)據(jù)傳輸提供數(shù)據(jù)封裝、完整性保護等平安保障；訪問控制：結(jié)合授權(quán)管理系統(tǒng)，對FTP、HTTP應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)目錄一級的訪問控制，在授權(quán)管理設(shè)備中沒有授予任何訪問權(quán)限的終端設(shè)備，將不允許登錄應(yīng)用訪問控制設(shè)備；透明轉(zhuǎn)發(fā)：支持根據(jù)用戶策略的設(shè)置，實現(xiàn)多種協(xié)議的透明轉(zhuǎn)發(fā)；日志審計：能夠記錄終端設(shè)備的訪問日志，能夠記錄管理員的所有配置管理操作，可以查看歷史日志；應(yīng)用平安訪問控制設(shè)備和授權(quán)管理設(shè)備共同實現(xiàn)對訪問效勞區(qū)域的終端設(shè)備的身份認證及訪問權(quán)限控制；通過建立統(tǒng)一的身份認證體系，在終端部署認證機制，通過應(yīng)用訪問控制設(shè)備對訪問應(yīng)用效勞平安域應(yīng)用效勞器的終端設(shè)備進行身份認證和授權(quán)訪問控制。4．平安通道管控設(shè)備

平安通道管控設(shè)備部署于物聯(lián)網(wǎng)LNS效勞器與運營商網(wǎng)關(guān)之間，用于抵御來自公網(wǎng)或終端設(shè)備的各種平安威脅。其主要特點表達在兩個方面：透明，即對用戶透明、對網(wǎng)絡(luò)設(shè)備透明，滿足電信級要求；管控，即根據(jù)需要對網(wǎng)絡(luò)通信內(nèi)容進行管理、監(jiān)控。5．網(wǎng)絡(luò)加密機網(wǎng)絡(luò)加密機部署在物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間，通過建立一個平安隧道，并且隔離終端設(shè)備和中心效勞器之間的直接連接，所有的訪問都必須通過平安隧道網(wǎng)絡(luò)加密機采用對稱密碼體制的分組密碼算法，加密傳輸采用IPSec的ESP協(xié)議、通道模式進行封裝。在公共移動通信網(wǎng)絡(luò)上構(gòu)建自主平安可控的物聯(lián)網(wǎng)虛擬專用網(wǎng)〔VPN〕，使物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的各種應(yīng)用業(yè)務(wù)數(shù)據(jù)平安、透明地通過公共通信環(huán)境，確保終端數(shù)據(jù)傳輸?shù)钠桨脖Ｃ堋?．入侵檢測設(shè)備

入侵檢測設(shè)備為終端子網(wǎng)提供異常數(shù)據(jù)檢測，及時發(fā)現(xiàn)攻擊行為，并在局域或全網(wǎng)預警。攻擊行為的及時發(fā)現(xiàn)可以觸發(fā)平安事件應(yīng)急響應(yīng)機制，防止平安事件的擴大和蔓延。入侵檢測設(shè)備在對全網(wǎng)數(shù)據(jù)進行分析和檢測的同時，還可以提供多種應(yīng)用協(xié)議的審計，記錄終端設(shè)備的應(yīng)用訪問行為。入侵檢測設(shè)備首先獲取網(wǎng)絡(luò)中的各種數(shù)據(jù)，然后對IP數(shù)據(jù)進行碎片重組。此后，入侵檢測模塊對協(xié)議數(shù)據(jù)進一步分揀，將TCP、UDP和ICMP數(shù)據(jù)分流。針對TCP數(shù)據(jù)，入侵檢測模塊進行TCP流重組。在此之后，入侵檢測模塊、平安審計模塊和流量分析模塊分別提取與其相關(guān)的協(xié)議數(shù)據(jù)進行分析。入侵檢測設(shè)備由控制中心軟件和探測引擎組成，控制中心軟件管理所有探測引擎，為管理員提供管理界面查看和分析監(jiān)測數(shù)據(jù)，根據(jù)告警信息及時做出響應(yīng)。探測引擎的采集接口部署在交換機的鏡像接口，用于檢測進出的網(wǎng)絡(luò)行為。9．防病毒效勞器防病毒效勞器用于保護網(wǎng)絡(luò)中的主機和應(yīng)用效勞器，防止主機和效勞器由于感染病毒導致系統(tǒng)異常、運行故障，甚至癱瘓、數(shù)據(jù)喪失等。防病毒效勞器由監(jiān)控中心和客戶端組成，客戶端分效勞器版和主機版，分別部署在效勞器或者主機上，監(jiān)控中心部署在平安保密根底設(shè)施子網(wǎng)中。10．補丁分發(fā)效勞器補丁分發(fā)效勞器部署在平安防護系統(tǒng)內(nèi)網(wǎng)，補丁分發(fā)系統(tǒng)采用B/S構(gòu)架，可在網(wǎng)絡(luò)的任何終端通過登錄內(nèi)網(wǎng)補丁分發(fā)效勞器的管理頁面進行管理和各種信息查詢；所有的網(wǎng)絡(luò)終端需要安裝客戶端程序以對其進行監(jiān)控和管理；補丁分發(fā)系統(tǒng)同時需要在外網(wǎng)部署一臺補丁下載效勞器〔部署于外網(wǎng)，與互聯(lián)網(wǎng)相連〕，用來更新補丁信息〔此效勞器也可用來下載病毒庫升級文件〕。補丁分發(fā)系統(tǒng)將來可根據(jù)實際需要在客戶端數(shù)量、管理層次和功能擴展上進行無縫平滑擴展。下一代網(wǎng)絡(luò)〔NGN〕平安

圖5-5NGN的網(wǎng)絡(luò)體系結(jié)構(gòu)〔1〕平安策略需求。平安策略需求要求定義一套規(guī)那么集，包括系統(tǒng)的合法用戶和合法用戶的訪問權(quán)限，說明保護何種信息及為什么進行保護。在NGN環(huán)境下，存在著不同的用戶實體、不同的設(shè)備商設(shè)備、不同的網(wǎng)絡(luò)體系架構(gòu)、不同的威脅模型、不均衡的平安功能開發(fā)等，沒有可實施的平安策略是很難保證有正確的平安功能的?！?〕認證、授權(quán)、訪問控制和審計需求。在NGN不同平安域之間和同一平安域內(nèi)部，對資源和業(yè)務(wù)的訪問必須進行認證授權(quán)效勞，只有通過認證的實體才能使用被授權(quán)訪問實體上的特定資源和業(yè)務(wù)。通過這一方法確保只有合法用戶才可以訪問資源、系統(tǒng)和業(yè)務(wù)，防止入侵者對資源、系統(tǒng)和業(yè)務(wù)進行非法訪問，并主動上報與平安相關(guān)的所有事件，生成可管理的、具有訪問控制權(quán)限的平安事件審計材料?！?〕時間戳與時間源需求。NGN能夠提供可信的時間源作為系統(tǒng)時鐘和審計時間戳，以便在處理未授權(quán)事件時能夠提供可信的時間憑證?！?〕資源可用性需求。NGN能夠限制分配給某業(yè)務(wù)請求的重要資源的數(shù)量，丟棄不符合平安策略的數(shù)據(jù)包，限制突發(fā)流量，降低突發(fā)流量對其他業(yè)務(wù)的影響，防止拒絕效勞〔DoS〕攻擊?！?〕系統(tǒng)完整性需求。NGN設(shè)備能夠基于平安策略，驗證和審計其資源和系統(tǒng)，并且監(jiān)控其設(shè)備配置與系統(tǒng)未經(jīng)授權(quán)而發(fā)生的改變，防止蠕蟲、木馬等病毒的安裝。為此，設(shè)備需要根據(jù)平安策略，定期掃描它的資源，發(fā)現(xiàn)問題時生成日志并產(chǎn)生告警。對設(shè)備的監(jiān)控不能影響該設(shè)備上實時業(yè)務(wù)的時延變化或?qū)е逻B接中斷。〔6〕操作、管理、維護和配置平安需求。NGN需要支持對信任域、脆弱信任域和非信任域設(shè)備的管理，需要保證操作、管理、維護和配置〔OAMP〕信息的平安，防止設(shè)備被非法接管。〔7〕身份和平安注冊需求。NGN需要防止用戶身份被竊取，防止網(wǎng)絡(luò)設(shè)備、終端和用戶的偽裝、欺騙以及對資源、系統(tǒng)和業(yè)務(wù)的非法訪問?！?〕通信和數(shù)據(jù)平安需求。NGN需要保證通信與數(shù)據(jù)的平安，包括用戶面數(shù)據(jù)、控制面數(shù)據(jù)和管理面數(shù)據(jù)。用戶和邏輯網(wǎng)元的接口及不同運營商之間的接口都需要進行平安保護，信令需要逐跳保證私密性和完整性?！?〕隱私保證需求。保護運營商網(wǎng)絡(luò)、業(yè)務(wù)提供商網(wǎng)絡(luò)的隱私性及用戶信息的隱私性。〔10〕密鑰管理需求。保證信任域與非信任域之間密鑰交換的平安，密鑰管理機制需要支持網(wǎng)絡(luò)地址映射/網(wǎng)絡(luò)地址接口轉(zhuǎn)換〔NAT/NAPT〕設(shè)備的穿越。圖5-6X.805標準端到端平安體系架構(gòu)NGN平安體系架構(gòu)就是在應(yīng)用X.805平安體系架構(gòu)根底上，結(jié)合NGN體系架構(gòu)和IETF相關(guān)的平安協(xié)議而提出來的，如圖5-7所示，這樣可以有效地指導NGN平安解決方案的實現(xiàn)。圖5-7NGN平安體系架構(gòu)根底用戶域包括用戶終端和一些歸屬網(wǎng)關(guān)〔可能由用戶/管理員擁有〕：接入網(wǎng)絡(luò)域由接入網(wǎng)絡(luò)提供者管理；訪問域網(wǎng)絡(luò)提供者可以提供多媒體效勞，并可能具有自己的用戶，相應(yīng)地，訪問域提供者可能與第三方應(yīng)用提供方ASP具有協(xié)議來提供效勞，訪問網(wǎng)絡(luò)域包括多媒體子系統(tǒng)〔IP-basedMultimediaSubsystem，IPIMS〕功能實體；歸屬網(wǎng)絡(luò)提供者提供了多媒體效勞，相應(yīng)地，訪問網(wǎng)絡(luò)提供者可能與第三方應(yīng)用提供者具有協(xié)議來提供效勞，它具有IMS網(wǎng)絡(luò)，歸屬域網(wǎng)關(guān)需要具有ISIM，而ISIM具有IMS認證的證書。圖5-8NGN平安框架下一代互聯(lián)網(wǎng)〔NGI〕的平安

1．名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)

在當前的互聯(lián)網(wǎng)中，IP地址既作為傳輸層和應(yīng)用層的節(jié)點身份標志，又作為網(wǎng)絡(luò)層的位置標志和路由器中的轉(zhuǎn)發(fā)標志。IP地址的身份標志〔名〕和位置標志〔址〕重疊帶來了包括移動性管理和平安在內(nèi)的諸多問題〔如IP地址欺騙〕，解決問題的方法自然就是采用名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)。在名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)中，節(jié)點的身份標志供傳輸層和應(yīng)用層使用，而位置標志用于網(wǎng)絡(luò)層拓撲中節(jié)點的定位。節(jié)點可以在不影響上層應(yīng)用的情況下，任意改變所處的位置，因此可以支持移動性、多宿和平安關(guān)聯(lián)。名址別離的體系結(jié)構(gòu)應(yīng)具有〔不限于〕以下特征：在網(wǎng)絡(luò)的邊緣部署身份標志與位置標志的綁定功能，使得因移動或多宿而造成的名址關(guān)聯(lián)變化能夠立即表達在數(shù)據(jù)包轉(zhuǎn)發(fā)上；在網(wǎng)絡(luò)的核心使用基于全局標志的選路系統(tǒng)以保持網(wǎng)絡(luò)的可擴展性。2．以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)

在互聯(lián)網(wǎng)開展之初，網(wǎng)絡(luò)應(yīng)用嚴格以主機為中心，基于Host-to-Host模型，網(wǎng)絡(luò)體系結(jié)構(gòu)也比較適合于靜態(tài)的主機對，網(wǎng)絡(luò)應(yīng)用〔如FTP、Telnet〕基于Host-to-Host模型而設(shè)計。隨著互聯(lián)網(wǎng)的開展，大局部網(wǎng)絡(luò)應(yīng)用主要涉及數(shù)據(jù)獲取和數(shù)據(jù)發(fā)布，用戶實際只關(guān)心數(shù)據(jù)或資源，而不關(guān)心其源于何處。由于數(shù)據(jù)可以被移動，因此傳統(tǒng)的DNS域名解析方式存在弊端，例如，如果Joe的Web主頁F/~hippie移動到wallstreetstiffs/~yuppie，以前所有的舊鏈接全部中斷。從平安角度而言，目前網(wǎng)絡(luò)應(yīng)用程序是圍繞主機、地址和字節(jié)而建立〔SocketAPI〕。以主機為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)使得主機對網(wǎng)絡(luò)中的所有應(yīng)用可見，使之常常成為攻擊的目標，如掃描、DDoS攻擊、蠕蟲蔓延都是以主機為目標，基于HosttoHost模型的網(wǎng)絡(luò)體系結(jié)構(gòu)在一定程度上助長了惡意代碼蔓延和DDoS攻擊的發(fā)生。這是以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)提出的背景。DONA〔DataOrientedNetworkArchitecture〕是一種以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)，用于解決數(shù)據(jù)的命名和定位問題。首先，DONA針對數(shù)據(jù)的命名，DONA設(shè)計了一套以數(shù)據(jù)為中心的命名機制；其次針對數(shù)據(jù)的定位，DONA在網(wǎng)絡(luò)的傳輸層和網(wǎng)絡(luò)層之間增加了新的DONA協(xié)議層，用覆蓋網(wǎng)的方式對數(shù)據(jù)的查詢請求進行基于數(shù)據(jù)名的尋址。以數(shù)據(jù)為中心的命名機制圍繞主體〔Principal〕而組織，一個主體有一個公私鑰對K。數(shù)據(jù)與主體相聯(lián)系名字的形式為PL，其中P為主體公鑰的散列P=Hash(K)，L為Principal所選定的標簽，由主體來保證L的唯一。這樣名字具有自證明屬性，因為數(shù)據(jù)以<data，K，Sigk?l(data)>的形式組織，能夠證明自己確實是P所發(fā)出的真實數(shù)據(jù)，接收方通過檢查Hash(K)與P是否相等及驗證Sigk?l(data)來判斷接收到的數(shù)據(jù)是否為P發(fā)出的真實數(shù)據(jù)。這樣的名字具有扁平化的特征，不含任意位置信息，數(shù)據(jù)名不會因為移動而發(fā)生變化。DONA層主要功能是命名解析，由功能實體〔稱為RH，解析處理器〕完成，解析請求通過基于命名的尋址，實現(xiàn)命名到數(shù)據(jù)所在位置的解析。在這種方式下，客戶端使用數(shù)據(jù)名而不是數(shù)據(jù)所在主機的IP地址來獲取數(shù)據(jù)。DONA層還設(shè)計容納攜帶命名解析原語的數(shù)據(jù)包，包括:FIND(PL)：定位以PL命名的數(shù)據(jù)；REGISTER(PL)：向RH注冊PL命名的數(shù)據(jù)，設(shè)置RH有效路由FIND消息時所需的狀態(tài)信息。圍繞上述機制，以數(shù)據(jù)為中心的網(wǎng)絡(luò)組成與接口如圖5-9所示，圖中只表示了實現(xiàn)網(wǎng)絡(luò)“以數(shù)據(jù)為中心〞所相關(guān)的實體。圖中數(shù)據(jù)的兩份Copy通過Register接口進行注冊，在RH中形成對Copy的基于命名尋址的路由表，Client通過Find接口找到最近的一份Copy，然后進行數(shù)據(jù)傳輸。圖5-9以數(shù)據(jù)為中心的網(wǎng)絡(luò)組成與接口上述機制實現(xiàn)了基于數(shù)據(jù)名的泛播路由，即如果某些效勞器具有P所授權(quán)的一項效勞PL，并在它的本地RH注冊，那么DONA將FIND(PL)路由到最近的效勞器。該機制也具備對移動性的支持，因為漫游主機可以在漫游前注銷所注冊的數(shù)據(jù)，并在漫游后重新注冊。3．源地址認證體系結(jié)構(gòu)〔SAVA〕SAVA基于IPv6網(wǎng)絡(luò)指出，其研究目標是使網(wǎng)絡(luò)中的終端使用真實的IP地址訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)能夠識別偽造源地址的數(shù)據(jù)包，并禁止偽造源地址的數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸。SAVA體系結(jié)構(gòu)如圖5-10所示，它從本地子網(wǎng)、自治域內(nèi)和自治域間三個層面解決源地址認證問題。本地子網(wǎng)源地址認證采用基于MAC、IP和交換機接口動態(tài)綁定的準入控制方案，由位于本地主機中的源地址請求客戶端、位于本地交換機中的源地址有效性代理及源地址管理效勞器共同實施，不滿足綁定關(guān)系的IP數(shù)據(jù)包將被丟棄。自治域內(nèi)的源地址認證實現(xiàn)基于地址前綴級的源地址認證方案，其主要思想是根據(jù)路由器的每個接入接口和一系列的有效源地址塊的相關(guān)性信息建立一個過濾表格，只有滿足過濾表映射關(guān)系的數(shù)據(jù)包才能被接入路由器轉(zhuǎn)發(fā)到正確的目的網(wǎng)絡(luò)。目前應(yīng)用得比較多的標準方案包括IngressFiltering和uRPF，前者主要根據(jù)己知的地址范圍對發(fā)出的數(shù)據(jù)包進行過濾，后者利用路由表和轉(zhuǎn)發(fā)表來協(xié)助判斷地址前綴的合法性。自治域間的源地址認證使用基于端到端的輕量級簽名和基于路徑信息兩種實現(xiàn)方案。前者適合于非鄰接部署，依靠在IPv6分組中增加IPv6擴展包頭存放輕量級簽名來驗證源地址的有效性，該機制的優(yōu)點是產(chǎn)生有效性規(guī)那么的網(wǎng)絡(luò)節(jié)點不必直接相鄰，缺點是增加了網(wǎng)絡(luò)的開銷，尤其是在網(wǎng)絡(luò)中需要相互通信的對等節(jié)點數(shù)目很多的情況下網(wǎng)絡(luò)開銷相當大；后者適合于鄰接部署，有效性規(guī)那么通過數(shù)據(jù)包傳輸經(jīng)過的路徑信息或者路由信息得到。該機制的優(yōu)點是可以直接通過IP前綴得到所需的有效性規(guī)那么，缺點是產(chǎn)生有效性規(guī)那么的網(wǎng)絡(luò)節(jié)點必須直接相鄰。圖5-10源地址認證體系結(jié)構(gòu)4．4D網(wǎng)絡(luò)體系結(jié)構(gòu)

4D網(wǎng)絡(luò)體系結(jié)構(gòu)是美國“全球網(wǎng)絡(luò)創(chuàng)新環(huán)境〔GENI〕〞方案旗下的研究工程之一。該工程針對當前互聯(lián)網(wǎng)的控制管理復雜、難以滿足使用需求等問題，采用“白板設(shè)計〞的方式，重新設(shè)計了互聯(lián)網(wǎng)的控制與管理平面。4D網(wǎng)絡(luò)體系結(jié)構(gòu)對于網(wǎng)絡(luò)平安的好處在于其體系結(jié)構(gòu)上的重新設(shè)計降低了網(wǎng)絡(luò)控制管理的復雜性，進而減小了由于網(wǎng)絡(luò)管理配置錯誤所帶來的自身脆弱性。4D的設(shè)計基于以下三個根本原那么，如圖5-11所示。網(wǎng)級目標〔Network-LevelObjectives〕：網(wǎng)絡(luò)根據(jù)其需求和目標來進行配置，用策略明確地表達目標〔如平安、QoS、出口點選擇、可達性矩陣等〕，而不是用一個個配置文件的具體細節(jié)來表述；網(wǎng)域視圖〔Network-WideMews〕：網(wǎng)絡(luò)提供及時、精確的信息〔包括拓撲、流量、網(wǎng)絡(luò)事件等〕，給予決策單元所需要的輸入；直接控制〔DirectControl〕：決策單元計算所需要的網(wǎng)絡(luò)狀態(tài)，并直接設(shè)置路由器的轉(zhuǎn)發(fā)狀態(tài)。圖5-114D設(shè)計原那么與平面劃分如圖5-11所示，4D的網(wǎng)絡(luò)功能被劃分為4個平面。圖5-114D設(shè)計原那么與平面劃分決策平面：負責網(wǎng)絡(luò)管理控DE所有決DE由多個效勞器〔稱為決策單元DE〕組成；DE使用網(wǎng)域視圖計算數(shù)據(jù)平面的狀態(tài)來滿足網(wǎng)級目標，并直接將狀態(tài)信息寫入數(shù)據(jù)平面，決策包括可達性、負載均衡、訪問控制、平安、接口配置等；分發(fā)平面：連接交換、由器與DE，用來傳輸控制管理信息；控制管理信息與數(shù)據(jù)信息共享物理鏈路，但分發(fā)路徑單獨維護，與數(shù)據(jù)路徑邏輯隔離〔這與目前互聯(lián)網(wǎng)控制信息由數(shù)據(jù)通道承載，而數(shù)據(jù)通道又由路由來建立的方式不同〕；健壯性是分發(fā)平面設(shè)計的唯一目標；發(fā)現(xiàn)平面：發(fā)現(xiàn)網(wǎng)絡(luò)中的物理設(shè)備，創(chuàng)立邏輯標識符來標示物理設(shè)備：包括設(shè)備內(nèi)部發(fā)現(xiàn)〔如路由器接口〕與鄰居發(fā)現(xiàn)〔如接口連接的相鄰路由器〕：發(fā)現(xiàn)平面由交換機

/路由器負責實現(xiàn)；數(shù)據(jù)平面：根據(jù)決策平面的狀態(tài)輸出處理一個個的數(shù)據(jù)包，包括轉(zhuǎn)發(fā)表、包過濾等功能；數(shù)據(jù)平面由交換〕tfU路由器組成按照上述可知，4D網(wǎng)絡(luò)體系結(jié)構(gòu)包含如下兩類實體；決策單元：具備所有決策功能，創(chuàng)立路由器佼換機的轉(zhuǎn)發(fā)狀態(tài)，并分發(fā)到交換機中；路由器/交換機：只負責轉(zhuǎn)發(fā)。

由各平面和實體組成的4D網(wǎng)絡(luò)如圖5-12所示。4D網(wǎng)絡(luò)體系結(jié)構(gòu)的研究人員認為，4D網(wǎng)絡(luò)體系結(jié)構(gòu)具有以下優(yōu)點。圖5-124D網(wǎng)絡(luò)組成降低復雜性：將路由計算這樣的網(wǎng)絡(luò)控制問題與具體的路由協(xié)議別離，是一種有效管理復雜性的方式；更高的健壯性：提升網(wǎng)絡(luò)管理控制的抽象層次，管理員只需理解網(wǎng)絡(luò)層面的目標，而不是具體的協(xié)議和路由器配置，降低網(wǎng)絡(luò)的脆弱性；更高的平安性：平安策略可由網(wǎng)絡(luò)層面的目標進行表達，降低將平安策略翻譯成具體設(shè)備配置的出錯概率；容納異構(gòu)性：同一種4D體系結(jié)構(gòu)可應(yīng)用于不同的網(wǎng)絡(luò)互連環(huán)境；有利于網(wǎng)絡(luò)創(chuàng)新和網(wǎng)絡(luò)演進：將網(wǎng)絡(luò)控制功能從路由器/交換機中別離，使決策平面可以通過容納不同的算法來滿足不同的網(wǎng)絡(luò)層面目標，而無須改變數(shù)據(jù)包格式和控制協(xié)議，這也鼓勵新的參與者〔如研究機構(gòu)〕創(chuàng)新。網(wǎng)絡(luò)虛擬化平安

連接控制：基于規(guī)那么進行入站和出站連接控制，規(guī)那么可以按IP地址〔源/目標〕、接口〔源/目標〕和按類型的協(xié)議等進行設(shè)置；內(nèi)容過濾：根據(jù)的協(xié)議類型對數(shù)據(jù)內(nèi)容進行有選擇性的過濾；流量統(tǒng)計：可以計量虛擬網(wǎng)絡(luò)資源的使用量并監(jiān)控各個應(yīng)用程序的使用量比重；策略管理：進行全局策略管理；日志記錄與針對訪問事件和平安事件〔錯誤、警告等〕啟用日志記錄，方便審核。5.3基于藍牙的物聯(lián)網(wǎng)信息傳輸平安藍牙采用ISM2.4GHz的頻段發(fā)送信息，這與許多同類協(xié)議如IEEE?802.11b、家用設(shè)備等產(chǎn)生頻段沖突，容易對藍牙通信產(chǎn)生干擾，使通信效勞失去可用性：電磁信號在發(fā)送過程中容易被截取、分析，失去通信信息的保密性；通信對端實體身份容易受到冒充，使通信失去可靠性。藍牙的網(wǎng)絡(luò)平安模式藍牙標準中規(guī)定了三種網(wǎng)絡(luò)平安模式：非平安模式、業(yè)務(wù)層平安模式和鏈路層模式。1．非平安模式非平安模式：非平安機制無任何平安需求，無須任何平安效勞和機制的保護，此時任何設(shè)備和用戶都可以訪問任何類型的效勞。非平安模式在實際應(yīng)用中根本不予考慮。2．業(yè)務(wù)層平安模式業(yè)務(wù)層平安模式：效勞級平安機制對系統(tǒng)的各個應(yīng)用和效勞需要進行分別的平安保護，包括授權(quán)訪問、身份鑒別或/和加密傳輸。在這種模式下，加密和鑒別發(fā)生在邏輯鏈路控制和適配協(xié)議〔LogicalLinkControllerandAdaptationProtocol，L2CAP〕信道建立之前。業(yè)務(wù)層平安模式中的平安性管理器主要包括儲存平安性信息、應(yīng)答請求、強制鑒別和〔或〕加密等關(guān)鍵任務(wù)。設(shè)備的3個信任等級和3種效勞級別，分別存儲在設(shè)備數(shù)據(jù)表和效勞數(shù)據(jù)表中，并且由平安管理器維護。每一個效勞通過效勞平安策略庫和設(shè)備庫來確定其平安等級。這兩個庫規(guī)定了：A設(shè)備訪問B效勞是否需要授權(quán)；A設(shè)備訪問B效勞是否需要身份鑒別；A設(shè)備訪問B效勞是否需要數(shù)據(jù)加密傳輸。這個平安體系結(jié)構(gòu)描述了何時需要和用戶交互〔如鑒別的過程〕，以及為了滿足特定的平安需求，協(xié)議層次之間必須進行的平安行為。平安管理器是這個平安體系結(jié)構(gòu)的核心局部，它主要完成以下幾項任務(wù)：存儲和查詢有關(guān)效勞的相關(guān)平安信息；存儲和查詢有關(guān)設(shè)備的相關(guān)平安信息；對應(yīng)用、復用協(xié)議和L2CAP協(xié)議的訪問請求〔查詢〕進行響應(yīng)在允許與應(yīng)用建立連接之前，實施鑒別、加密等平安措施；接收并處理GME的輸入，以在設(shè)備級建立平安關(guān)系；通過用戶接口請求并處理用戶或應(yīng)用的個人識別碼〔PersonalIdentificationNumber，PIN〕輸入，以完成鑒別和加密。需要授權(quán)和鑒別的效勞，只有可信任設(shè)備可以自動訪問效勞，其他設(shè)備需要授權(quán)；對于僅需要鑒別的效勞，授權(quán)是不必要的；對所有設(shè)備開放的效勞，授權(quán)和鑒別都不需要。業(yè)務(wù)層平安模式能定義設(shè)備和效勞的平安等級。藍牙設(shè)備訪問效勞時分為可信任、不信任和未知3種設(shè)備?？尚湃卧O(shè)備可無限制地訪問所有效勞，不可信任設(shè)備訪問效勞受限未知設(shè)備也是不可信任設(shè)備。對于效勞，藍牙標準定義了3種平安級別：通過鑒別的設(shè)備對效勞或設(shè)備的訪問權(quán)限取決于對應(yīng)的注冊平安等級，各種效勞可以進行效勞注冊，對這些效勞訪問的級別取決于效勞自身的平安機制。3．鏈路層平安模式鏈路層平安模式：鏈路級平安機制對所有的應(yīng)用和效勞的訪問都需要實行訪問授權(quán)、身份鑒別和加密傳輸，這種模式是業(yè)務(wù)層平安模式的另一個極端，可通過配置平安管理器并去除模塊存儲器中的鏈路密鑰到達目的，這種模式的鑒別和加密發(fā)生在鏈路配置完成之前。鏈路層平安模式與業(yè)務(wù)層平安模式的本質(zhì)區(qū)別在于：業(yè)務(wù)層平安模式下的藍牙設(shè)備在信道建立以后啟動平安性過程，即在較高層協(xié)議。參數(shù)長度/bitBD_ADDR48128驗證密鑰128加密密鑰8～128而鏈路層平安模式下的藍牙設(shè)備那么是在信道建立以前啟動平安性過程，即在低層協(xié)議完成其平安性過程。通過平安體系結(jié)構(gòu)可以看出，藍牙的平安體系完全建立在鏈路層平安之上。藍牙系統(tǒng)在鏈路層同時使用4種不同的實體保證鏈路平安，即藍牙單元獨立的地址〔BD_ADDR〕、每次業(yè)務(wù)處理的隨機數(shù)〔RAND〕〔也稱為會話密鑰〕、驗證密鑰和加密密鑰，如表5-1所示。表5-1藍牙驗證和加密過程中的實體BD_ADDR是一個48位的IEEE地址，沒有平安保護。驗證密鑰和加密密鑰在初始化時得到，它們是不公開的，其中加密密鑰的長度可根據(jù)需求配置。藍牙的鏈路層平安是通過匹配、鑒權(quán)和加密完成的，密鑰的建立是通過雙向的鏈接來實現(xiàn)的，鑒權(quán)和加密可以在物理鏈接中實現(xiàn)〔如基帶級〕，也可以通過上層的協(xié)議來實現(xiàn)。1〕匹配兩臺藍牙設(shè)備試圖鏈接時，個人識別碼〔PIN〕和一個隨機數(shù)經(jīng)必要信息交換和計算創(chuàng)立初始密鑰Kinit，此過程稱為匹配。Kinit在校驗器向申請者發(fā)出LMP-in-rand〔隨機數(shù)〕時創(chuàng)立。2〕鑒權(quán)鑒權(quán)是藍牙設(shè)備必須支持的平安特性，它基于挑戰(zhàn)-應(yīng)答的方案。在該方案中，申請者對驗證和加密密鑰確實認使用會話密鑰經(jīng)2-MOV協(xié)議進行校驗。會話密鑰指當前申請者/校驗器共享同一密鑰，校驗器將挑戰(zhàn)申請者鑒權(quán)隨機數(shù)輸入，該輸入以含一鑒權(quán)碼的AU_RANDA標注，而該鑒權(quán)碼那么以E1標注，同時向校驗器返回結(jié)果SRES，其過程如圖5-13所示。圖5-13藍牙的鑒權(quán)過程

在藍牙系統(tǒng)中，校驗器可以是主單元，也可以是從單元，即可進行單向鑒權(quán)，也可以實施雙向鑒權(quán)。3〕加密藍牙采用分組方式保護有效載荷。對分組報頭和其他控制信息不加密，用序列密碼E0對有效載荷加密，并對每一有效載荷重新同步，整個加密過程如圖5-14所示。加密過程由三局部組成：第一局部設(shè)備初始化，同時生成加密密鑰KC，具體計算由藍牙E3算法執(zhí)行；第二局部由E0計算出加密有效載荷的密鑰；第三局部用E0生成的比特流對有效載荷進行加密，解密那么以同樣的方式進行。圖5-14有效載荷的加解密藍牙的密鑰管理機制藍牙平安體系中主要用到了3種密鑰：PIN、鏈路密鑰和加密密鑰。1．PlNPIN〔PersonalIdentificationNumber〕是一個1到16個字節(jié)的字符串。在藍牙標準中將其省長度定義為4?B，這是一個可以固定或者由用戶選擇的字符串。一般來講，這個PIN碼是隨單元一起提供的一個固定數(shù)字，但當該單元有人機接口時，用戶可以任意選擇PIN的值，從而進入通信單元。藍牙基帶標準中要求PIN的值是可以改變的，在設(shè)備注冊的過程中，戶必須將PIN手動地輸入到由平安管理器激發(fā)的用戶接口中。就PIN碼的長度來說，短PIN碼可以滿足許多具體應(yīng)用的平安性要求，但存在不確定非平安因素；過長的PIN碼不利于交換，需要應(yīng)用層軟件的支持。因而，在實際應(yīng)用中，采用短的數(shù)據(jù)串作為PIN碼，其長度一般不超過16?B。2．鏈路密鑰鏈路密鑰主要用于驗證并生成加密密鑰。按生命周期區(qū)分，鏈路密鑰分為永久密鑰半永久密鑰和臨時密鑰。按應(yīng)用的運行階段和應(yīng)用模式，藍牙系統(tǒng)定義了4種鏈路密鑰：單元密鑰KA、組合密鑰KAB、主密鑰KAmaster、初始密鑰Kinit這4個密鑰都是128位的偽隨機數(shù)，KA為設(shè)備A生成，用于設(shè)備A允許大量的其他設(shè)備訪問，且設(shè)備A的存儲空間小的。3．加密密鑰

加密密鑰主要用符號KC表示，它由當前鏈路密鑰導出。當鏈路狀態(tài)變?yōu)榧用苣Ｊ綍r，會通過當前正在使用的鏈路密鑰產(chǎn)生一個加密密鑰，加密密鑰的長度為8～128?bit。當收到結(jié)束加密狀態(tài)的指令后，再寫入原鏈路密鑰。設(shè)備之間的所有平安問題都要由鏈路密鑰來處理，它用于鑒別，并且還要作為產(chǎn)生加密密鑰一個參數(shù)。鏈路密鑰又分為臨時密鑰和半永久性密鑰，后者在一個共享該密鑰的設(shè)備通過鑒別后仍能用；前者僅用于在一對鏈路上傳播相同信息〔播送〕的情況，密鑰用完后隨即被丟棄。鏈路密鑰〔Klink〕可以是合成密鑰、設(shè)備密鑰、主控設(shè)備密鑰和初始密鑰〔Kinit〕，具體要依賴于當前應(yīng)用的類型。5.4基于ZigBee的物聯(lián)網(wǎng)信息傳輸平安

5.4.1ZigBee在物聯(lián)網(wǎng)中的應(yīng)用

5.4.2ZigBee信息平安效勞5.4.3ZigBee信息平安構(gòu)件ZigBee在物聯(lián)網(wǎng)中的應(yīng)用

圖5-15ZigBee的協(xié)議棧結(jié)構(gòu)ZigBee信息平安效勞3〕數(shù)據(jù)完整性利用消息完整性校驗碼〔rvnc〕保證沒有密鑰的節(jié)點不會修改傳輸中的消息，進一步確認消息來自一個知道密鑰的節(jié)點。4〕序列抗重播保護利用一個序列號來拒絕重播的報文。當收到一個數(shù)據(jù)包，將其Freshness值與上一個的Freshness值比較，來決定這個數(shù)據(jù)包是否是一個重播的報文。2．ZigBee平安效勞的模式MAC層允許對報文進行平安操作，但并不強制平安的傳輸，會根據(jù)設(shè)備當前運行的模式以及所選擇的平安模塊，對設(shè)備提供不同的平安效勞，有以下三種平安模式。1〕不平安模式不提供任何平安效勞。2〕ACL模式不提供加密保護，必須由上層實現(xiàn)其他機制確認發(fā)送消息設(shè)備的身份。這種模式僅僅提供訪問控制，作為一個簡單的過濾器只允許來自特定節(jié)點發(fā)來的報文，因此這種模式不能給報文提供任何平安性也不能防止惡意節(jié)點的攻擊。3〕平安模式在此模式下的設(shè)備通過選擇不同的平安模塊來獲取不同的平安效勞。ZigBee信息平安構(gòu)件

ZigBee信息平安的功能構(gòu)件主要分為平安功能模塊和信息平安接口兩類。1．ZigBee平安功能模塊

當一個設(shè)備處于平安模式下就會使用特定的平安模塊。一個平安模塊包括對MAC幀提供的一系列操作。平安模塊的名字能說明對稱密鑰算法，模式以及完整性校驗碼的長度。完整性校驗碼的長度小于或者等于對稱密鑰的塊大小并且決定了一個隨意猜測的完整性校驗碼被認為是正確的可能性。提供了8種可選的平安模塊，其中無平安功能也是一種平安模塊，而AES-CCM和AES-CBC-MAC模塊那么根據(jù)完整性校驗碼的長度又各分3種〔32?bit、64?bit和128?bit〕。以下按照功能的不同對這些平安模塊進行分析。1〕AES-CTR這個平安模塊利用計數(shù)模式的AES塊密碼算法。為了在計數(shù)模式下加密數(shù)據(jù)，發(fā)送者將明文數(shù)據(jù)分為16?KB大小的塊Pi,…,Pn，并計算Ci=PiEk(Xi)，每個16KB塊使用其獨有的計數(shù)值Xi，Pi計算Pi=CiEk(Xi)恢復原來的明文。顯然，接收者為了重構(gòu)明文Pi，需要知道計數(shù)值Xi，即nonce值或者IV〔初始向量〕。Xi的組成包括一個靜態(tài)標志域，發(fā)送者的地址和3個獨立的計數(shù)器，一個4KB的用以標志報文的幀計數(shù)器，一個1字節(jié)密鑰計數(shù)器和一個2KB的用以標志當前這個16KB塊在報文中位置的塊計數(shù)器。幀計數(shù)器由硬件維護。發(fā)送者每次加密一個報文即將此計數(shù)器加1。當其到達最大值，硬件就返回一個錯誤碼，此后不再進行加密。密鑰計數(shù)器是受應(yīng)用控制的1個字節(jié)，當幀計數(shù)器到達最大值時，整個計數(shù)器仍能增加。使用此種加密模式有一個必需的要求，即在一個密鑰的生命期內(nèi)不能重復nonce值，以上所描述的幀計數(shù)器和密鑰計數(shù)器就是為了防止nonce的重用，而2KB的塊計數(shù)器就是為了確保不同的塊使用不同的nonce值。發(fā)送者并不將塊計數(shù)器包含在發(fā)送的報文中，因為接收者可以根據(jù)每個塊推斷出這個值。因而，發(fā)送者將幀計數(shù)器、密鑰計數(shù)器和加密載荷包含在數(shù)據(jù)報文中。2〕AES-CBC-MAC這個加密模塊利用CBC-MAC提供完整性保護。發(fā)送者可以計算4KB、8KB或者16KB的消息認證碼MAC。MAC值只能由持有對稱密鑰的實體才能計算出來，MAC值保護報文和頭部和數(shù)據(jù)局部，發(fā)送者將其附加在明文數(shù)據(jù)之后，接收者通過計算MAC值，然后和報文中的MAC值進行比較來檢驗發(fā)送方。3〕AES-CCM這個加密模塊使用CCM模式進行加密和認證。一般來說，首先利用CBC-MAC對報文頭部和內(nèi)容提供完整性保護，然后利用AES-CTR模式對數(shù)據(jù)局部和MAC進行加密。因而，此種加密模塊下，既包括認證也包括加密操作：一個MAC值、幀和密鑰計數(shù)器，這些內(nèi)容與前2個加密模塊描述的功能相同。和AES-CBC-MAC一樣，AES-CCM也有3種MAC值長度之分，以上各種加密模塊對應(yīng)的數(shù)據(jù)格式如圖5-16所示。圖5-16各種加密模塊的數(shù)據(jù)格式macAcIEntryDescriptorSet：一系列的ACLEntry，每個包括地址信息，平安模塊信息以及用于保護與此特定節(jié)點MAC層通信的數(shù)據(jù)幀的平安資料；macAcIEntryDescriptorSetSize：macAclEntryDescriptorSetACLEntry的個數(shù)，范圍為0～255；macDefaultSecurity：用以說明是否允許與一個沒有在ACL列表中顯式列出的節(jié)點進行平安通信，這項屬性同樣可以用于一次與多個節(jié)點進行平安通信；2．信息平安接口為方便上層協(xié)議使用以上分析的IEEE802.15.4MAC層平安功能，MAC提供一系列與平安功能相關(guān)的MACPIB屬性，可通過原語設(shè)置這些屬性來調(diào)用MAC提供的平安功能。這些屬性主要包括：當與特定的通信節(jié)點通信時，該節(jié)點的地址使用的對稱密鑰以及初始的計數(shù)值等平安資料，使用何種加密模塊。其中與特定節(jié)點對應(yīng)的平安資料信息都是存放在訪問控制列表項〔ACLEntry〕中。主要的平安相關(guān)的MACPIB屬性如下所述。macDefaultSecurityMaterialLength：平安資料的長度，范圍為0～26；macDefaultSecurityMaterial：缺省的平安資料的內(nèi)容；macDefaultsecuritysuite：缺省使用的平安模塊；macSecurityMode：缺省使用的平安模式，0x00=unsecuredmode，0x01=ACLmode，0x02=Securedmode，其中ACLEntry的內(nèi)容通過以下MACPIB屬性進行設(shè)置；ACLExtendedAddress：節(jié)點的64bitIEEE擴展地址；ACLShortAddress：節(jié)點的16bit短地址，當此值為0xfffe說明此節(jié)點僅使用64bit擴展地址，當此值為0xffff時說明該節(jié)點的短地址不可知；ACLPANld：節(jié)點所在個域網(wǎng)的標識；ACLSecurityMateriaILength：該ACLEntry中平安資料的長度；ACLSecurityMaterial：用于保護與此特定節(jié)點MAC層通信的數(shù)據(jù)幀的平安資料；ACLSecuritySuite：與此節(jié)點進行MAC層平安通信所使用的平安模塊的序號。5.5基于UWB的物聯(lián)網(wǎng)信息傳輸平安

4〕路由攻擊路由攻擊包括內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊源于網(wǎng)絡(luò)內(nèi)部，這種攻擊對路由信息將造成很大的威脅。外部攻擊中除了常規(guī)的路由表溢出攻擊等外部攻擊外，還包括隧道〔Tunnel〕攻擊、睡眠剝奪攻擊、節(jié)點自私性攻擊等針對移動自組網(wǎng)的獨特攻擊。UWB的媒體接入控制平安機制

與傳統(tǒng)有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的平安問題往往是出乎預料的，而分布式無線網(wǎng)絡(luò)更因為各種各樣的應(yīng)用和使用模式，使平安問題變得更加復雜。針對這些平安問題，國際標準化組織〔ISO〕接受了由WiMedia聯(lián)盟提出的“高速率超寬帶通信的物理層和媒體接入控制標準〞，即ECMA-368〔ISO/IEC26907〕，標準了相應(yīng)的平安性要求。1．平安性標準1〕平安級別ECMA-368〔ISO/IEC?26907〕標準定義了兩種平安級別：無平安和強平安保護。平安保護包括數(shù)據(jù)加密，消息認證和重播攻擊防護；平安幀提供對數(shù)據(jù)幀，選擇幀和控制幀的保護。2〕平安模式平安模式指是否一個設(shè)備被允許或者被需要建立與其他設(shè)備進行數(shù)據(jù)通信的平安關(guān)系。ECMA-368〔ISO/IEC?26907〕標準定義了3種平安模式，用于控制設(shè)備間的通信。兩臺設(shè)備通過4次握手協(xié)議來建立平安關(guān)系，一旦兩臺設(shè)備建立了平安關(guān)系，它們將使用平安幀來作為幀傳輸，如果接收方需要接收平安幀，而發(fā)送方無平安幀，那么接收方將丟棄該幀。平安模式0定義了數(shù)據(jù)傳輸時使用無平安幀的通信方式，并且與其他設(shè)備建立無平安關(guān)系的通信方式。在該模式下，如果接收到平安幀，MAC層將直接丟棄該幀。平安模式l定義了數(shù)據(jù)傳輸時與平安模式0下的設(shè)備進行數(shù)據(jù)通信，或者與未建立平安關(guān)系的處于平安模式l下的設(shè)備進行數(shù)據(jù)通信，或者在特定幀的控制下與處于平安模式1下并建立平安關(guān)系的設(shè)備進行通信。否那么將丟棄數(shù)據(jù)。平安模式2不與其他平安模式的設(shè)備進行通信，將通過4次握手協(xié)議建立平安關(guān)系。3〕握手協(xié)議4次握手協(xié)議使得兩臺具有共享主密鑰的設(shè)備進行相互認證，同時產(chǎn)生PTK〔Pair-wiseTransientKey，對稱臨時密鑰〕來加密特定的幀。4〕密鑰傳輸在成功地進行4次握手并建立平安關(guān)系后，兩臺設(shè)備開始分發(fā)各自的GTK〔Group?TransientKey，組臨時密鑰〕。GTK用于組播通信時，對傳輸數(shù)據(jù)的加密。每個GTK的分發(fā)是通過4次握手中產(chǎn)生的PTK進行加密后再傳送的。2．信息接收與驗證

在信息接收過程中，接收幀時，MAC子層按以下步驟進行?！?〕驗證FCS，如果驗證失敗，那么丟棄該幀；否那么，用適宜的成認規(guī)那么成認接收到的幀，并進行下一步。〔2〕驗證MAC頭的平安位并按照它的平安模式采取適當?shù)牟僮?；如果不丟幀且?guī)钠桨参粸镺NE，進行下一步?！?〕驗證TKID，如果此TKID不能識別當前的PTK或GTK，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為INVALID_TKID；否那么，繼續(xù)下一步。〔4〕用己被鑒別的PTK或GTK驗證MIC。如果驗證失敗，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為INVALID_MIC；否那么，繼續(xù)下一步?！?〕檢查幀重發(fā)，如果幀重復，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為REPLAYED_FRAME；否那么，更新為此幀的PTK或GTK而設(shè)的重發(fā)計數(shù)器，繼續(xù)下一步?！?〕處理此幀，包括兩倍幀過濾。如果此幀己接收過，那么丟幀；否那么，繼續(xù)下一步?！?〕解密此幀，此步可與驗證MIC同步進行。幀重發(fā)保護接收擁有有效的FCS和MIC的平安幀時，信息接收流程如下：從接收幀中提取出SFN，將其與此幀所用臨時密鑰的重發(fā)計一數(shù)器的值作比較。如果前者小于等于后者，接收者MAC子層丟棄此幀。通過物理層，在一個無線頻道上與對等設(shè)備進行通信；采用基于動態(tài)配置〔Reservation-based〕的分布式信道訪問方式；基于競爭的信道訪問方式；采用同步的方式進行協(xié)調(diào)應(yīng)用；提供在設(shè)備移動和干擾環(huán)境下的有效解決方案；以調(diào)度幀傳送和接收的方式來控制設(shè)備功耗；提供平安的數(shù)據(jù)認證和加密方式；提供設(shè)備間距離計算方案。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為REPLAYED_RAME；否那么，接收者將接收到的SFN賦給相應(yīng)的重發(fā)計數(shù)器。不過，使用此SFN更新重發(fā)計數(shù)器前，接收者應(yīng)確保此幀已通過FCS驗證、重發(fā)預防和MIC確認。3．MAC層的信息傳輸功能

UWB系統(tǒng)中，MAC層的信息傳輸功能主要包括以下幾個方面：UWB的MAC層是一種完全分布式的結(jié)構(gòu)，沒有一臺設(shè)備是處于中心控制的角色。同時所有的設(shè)備都具有上述8種功能，并且根據(jù)應(yīng)用的不同可以選擇性的使用這8種功能。在分布式環(huán)境中，設(shè)備間通過信標幀的交換來識別。設(shè)備的發(fā)現(xiàn)、網(wǎng)絡(luò)結(jié)構(gòu)的動態(tài)重組和設(shè)備移動性的支持都是通過進行周期性的信標傳輸來實現(xiàn)的。UWB網(wǎng)絡(luò)拒絕效勞攻擊防御

2．UWB網(wǎng)絡(luò)中拒絕效勞攻擊類型

在UWB網(wǎng)絡(luò)中，拒絕效勞攻擊主要有兩種類型：MAC層攻擊和網(wǎng)絡(luò)層攻擊。在MAC層實施的拒絕效勞攻擊，實施這類攻擊主要有兩種方法：一是擁塞UWB網(wǎng)絡(luò)中的目標節(jié)點設(shè)備使用的無線UWB信道，致使UWB網(wǎng)絡(luò)中的目標節(jié)點設(shè)備不可用；二是將UWB網(wǎng)絡(luò)中的目標節(jié)點設(shè)備作為網(wǎng)橋，讓其不停地中繼轉(zhuǎn)發(fā)無效的數(shù)據(jù)幀，以耗盡UWB網(wǎng)絡(luò)中的目標節(jié)點設(shè)備的可用資源。在UWB網(wǎng)絡(luò)層實施的攻擊也稱為UWB路由攻擊，其主要攻擊方法措施有：3．UWB網(wǎng)絡(luò)中拒絕效勞攻擊防御措施

針對UWB網(wǎng)絡(luò)中基于數(shù)據(jù)報文的拒絕效勞攻擊，可以采用路由路徑刪除措施來防止UWB洪水拒絕效勞攻擊。當攻擊者發(fā)動基于數(shù)據(jù)報文的UWB洪水攻擊行為時，發(fā)送大量攻擊數(shù)據(jù)報文至所有UWB網(wǎng)絡(luò)中的節(jié)點。作為鄰居節(jié)點和沿途節(jié)點是難以判別攻擊行為的，因為節(jié)點無法判斷數(shù)據(jù)報文的用途。但作為數(shù)據(jù)報文的目標節(jié)點，就比較容易判定了。當目標節(jié)點發(fā)現(xiàn)收到的報文都是無用的時候，它就可以認定源節(jié)點為攻擊者。目標節(jié)點可通過路徑刪除的方法來阻止基于數(shù)據(jù)報文的UWB洪水攻擊行為。具體實施步驟是：當UWB網(wǎng)絡(luò)中的目標節(jié)點發(fā)現(xiàn)源節(jié)點是攻擊者時，由目標節(jié)點生成一個路由請求〔RRER〕報文，該報文中標明目標節(jié)點不可達，目標節(jié)點將這個RRER報文發(fā)送到攻擊者。當RRER到達攻擊者時，它就會認為這條路由已經(jīng)中斷，從而將這條路由從本節(jié)點路由表中刪除，這樣它就無法繼續(xù)發(fā)送攻擊報文了。如果它還要發(fā)送，就必須重新建立路由。此時，目標節(jié)點已經(jīng)識別該節(jié)點為攻擊者，對它發(fā)送的RREQ報文不答復RREP，這樣就無法重新建立路由。通過這種方式，只要被攻擊過的節(jié)點都會拒絕與攻擊者建立路由。如果攻擊者不斷發(fā)動基于數(shù)據(jù)報文的UWB拒絕效勞攻擊，拒絕與其建立路由的節(jié)點就會越來越多，最終所有節(jié)點都拒絕與其建立路由，攻擊者就會被隔絕于UWB網(wǎng)絡(luò)，從而阻止了基于數(shù)據(jù)報文的UWB拒絕效勞攻擊。5.6基于WMN的物聯(lián)網(wǎng)信息傳輸平安5.6.1WMN面臨的信息平安威脅5.6.2基于WMN的物聯(lián)網(wǎng)平安路由策略WMN面臨的信息平安威脅

1．路由破壞攻擊

WMN路和AdHoc網(wǎng)絡(luò)類似，由破壞攻擊包括篡改、刪除、偽造等手段，通過阻止路由建立、更改包傳送方向、中斷路由、破壞路由協(xié)議性能到達破坯網(wǎng)絡(luò)通信的目的。路由破壞攻擊可以分為以下幾個方面。1〕篡改攻擊惡意節(jié)點對路由控制消息進行非法篡改，使得數(shù)據(jù)包的完整性遭到破壞，迫使數(shù)據(jù)包到達不了目的節(jié)點或者讓目的節(jié)點得到錯誤的路由信息，導致兩節(jié)點間無法正常通信，這種攻擊對Mesh路由器和Mesh客戶端有同樣大的威脅?！?〕數(shù)據(jù)包信息篡改。通過對數(shù)據(jù)包中有效信息字段惡意插入、刪除、修改，造成目的節(jié)點得到錯誤信息，從而無法與源節(jié)點正常通信?！?〕跳數(shù)篡改。特別是在按需路由協(xié)議中，惡意節(jié)點對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包中的跳數(shù)進行篡改，使得該數(shù)據(jù)包中的跳數(shù)值與實際傳輸?shù)奶鴶?shù)不符造成路由性能降低。惡意節(jié)點還可以通過減小跳數(shù)值將自己插入到兩個通信節(jié)點之間改變原來的路由路徑，這樣惡意節(jié)點可以對轉(zhuǎn)發(fā)的數(shù)據(jù)包做任何惡意處理。2〕刪除攻擊惡意節(jié)點聲稱自己有一條到目的地〔如Mesh路由器〕的路由，誘使源節(jié)點將數(shù)據(jù)發(fā)送到惡意節(jié)點，然后對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包有選擇性地刪除，造成大量的數(shù)據(jù)包無法到達目的節(jié)點，造成很高的數(shù)據(jù)包喪失率，增加端到端的時延，對網(wǎng)絡(luò)的路由協(xié)議性能造成巨大的影響。刪除攻擊包括黑洞攻擊和灰洞攻擊，前者是攻擊者對所有類型的數(shù)據(jù)包都直接刪除，后者有選擇性地刪除數(shù)據(jù)包。這種攻擊一般發(fā)生在路徑中間的負責轉(zhuǎn)發(fā)數(shù)據(jù)的Mesh節(jié)點。3〕偽造路由失效攻擊路由破壞中的偽造攻擊是指攻擊者向活動路由中的源節(jié)點發(fā)送路由失效包，使得源節(jié)點不斷地重新發(fā)起路由發(fā)現(xiàn)過程，從而增加路由開銷，破壞路由協(xié)議性能。這種攻擊同樣經(jīng)常發(fā)生在網(wǎng)絡(luò)中的Mesh客戶端上。4〕Wormhole攻擊Wormhole攻擊是兩個合謀節(jié)點采用隧道方式將數(shù)據(jù)包從一處傳送到另外的節(jié)點，然后將這些數(shù)據(jù)包在合法網(wǎng)絡(luò)中傳輸，造成路由的跳數(shù)不超過2跳的假象。圖5-17所示為針對路由維護的Hello消息，攻擊者X、Y分別將節(jié)點1和節(jié)點2的Hello消息通過隧道方式傳送給對方，這樣會讓節(jié)點1和2誤以為它們是鄰居節(jié)點，而其實在現(xiàn)實網(wǎng)絡(luò)中它們根本就不是鄰居節(jié)點。這種攻擊需要兩個以上節(jié)點的合謀，實施的難度較大，但同時造成的破壞更難以被發(fā)現(xiàn)。圖5-17Wormhole攻擊5〕Rushing攻擊Rushing攻擊是利用按需路由協(xié)議中的中間轉(zhuǎn)發(fā)節(jié)點第二次收到同樣的路由請求時會對該路由消息丟棄的特性，惡意節(jié)點將接收到的路由請求破害處理，然后將其播送出去，其他合法節(jié)點在沒有收到合法的路由請求時先收到Rushing攻擊發(fā)送的路由請求，從而拒絕合法路由消息，如果攻擊者對破害處理后的數(shù)據(jù)包用Wormhole的隧道方式直接將包發(fā)送到目的節(jié)點，將會使得路由無法建立。2．資源消耗攻擊在資源消耗攻擊下，攻擊者通過向網(wǎng)絡(luò)中注入大量的無用信息，到達消耗網(wǎng)絡(luò)資源的目的，如消耗網(wǎng)絡(luò)帶寬；或者消耗合法節(jié)點的資源，如消耗節(jié)點的內(nèi)存和能量，從應(yīng)用層面上講，都造成了DoS〔拒絕效勞〕攻擊。1〕偽造路由控制消息攻擊惡意節(jié)點通過偽造路由信息在網(wǎng)絡(luò)中傳輸，讓網(wǎng)絡(luò)中的合法節(jié)點頻繁地做無用的事情，以消耗網(wǎng)絡(luò)的帶寬、節(jié)點計算能力、電池資源等，從而影響整個網(wǎng)絡(luò)的性能。在WMN中這種攻擊對Mesh路由器的影響較小，因為Mesh路由器有充足的計算能力和資源；但是對Mesh客戶端那么會造成較大的影響。2〕路由表溢出攻擊路由表溢出攻擊是迫使單個合法節(jié)點癱瘓的一種攻擊方法，惡意節(jié)點為了使得某個合法節(jié)點不能夠正常執(zhí)行路由協(xié)議，給這個節(jié)點發(fā)送潮水般的偽造路由請求，造成該節(jié)點的路由表溢出，即使合法的路由請求包也無法處理。這種攻擊方法一般運用于瓶頸節(jié)點的攻擊。在WMN中，這種攻擊對Mesh路由器的攻擊威脅更大，因為Mesh路由器就是最大的瓶頸節(jié)點。基于WMN的物聯(lián)網(wǎng)平安路由策略

門限密碼方案通過組共享密鑰系統(tǒng)將CA的功能擴展到一組節(jié)點，解決了單點失敗的問題，組共享密鑰就是將系統(tǒng)的密鑰S分解為n個局部密鑰S1，S2，…，Sn，這n個局部密鑰分配給系統(tǒng)的n個成員，使得任意的不少于t〔t<n〕個成員可以用它們的局部密鑰共同恢復出系統(tǒng)的密鑰S，而任意少于t個的成員那么無法恢復出系統(tǒng)的密鑰S，這就是〔t，n〕門限密碼方案。在WMN中因為存在無線Mesh路由器這樣的中心設(shè)備，因此可以采用可信CA的方式進行密鑰的分發(fā)和管理。下面介紹幾種基于密碼的平安策略。1〕SAODVSAODV是由Zapata提出的一種基于按需路由協(xié)議AODV的平安路由協(xié)議，在路由發(fā)現(xiàn)和路由維護過程中對路由控制消息提供完整性、認證、不可否認性平安保障。SAODV利用簽名對路由消息中的多個字段進行驗證，并使用Hash鏈對路由信息中的跳數(shù)值進行認證。SAODV路由發(fā)現(xiàn)過程中，源節(jié)點會產(chǎn)生一個隨機值作為Hash字段值，同時用該值作為Hash函數(shù)的輸入值，并用Hash函數(shù)輸出值