物聯(lián)網(wǎng)網(wǎng)絡(luò)層基礎(chǔ)安全技術(shù)2023物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全威脅和安全需求

物聯(lián)網(wǎng)核心網(wǎng)安全新措施

移動(dòng)通信接入安全

無(wú)線接入安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全2物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)層：主要通過(guò)各種網(wǎng)絡(luò)接入設(shè)備與移動(dòng)通信網(wǎng)和互聯(lián)網(wǎng)等廣域網(wǎng)相連，把感知層收集到的信息快速、可靠、安全地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理、分類(lèi)、聚合等，實(shí)現(xiàn)對(duì)客觀世界的有效感知及有效控制。網(wǎng)絡(luò)層主要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)管理及處理系統(tǒng)組成。1.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層概述3物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全承載網(wǎng)絡(luò)：主連接終端感知網(wǎng)絡(luò)與服務(wù)器的橋梁是各類(lèi)承載網(wǎng)絡(luò)。物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)的包括核心網(wǎng)絡(luò)（NGN）、2G通信系統(tǒng)、3G通信系統(tǒng)、LTE/4G通信系統(tǒng)等移動(dòng)通信網(wǎng)絡(luò)，以及WLAN、藍(lán)牙等無(wú)線接入系統(tǒng)。1.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層概述41.2網(wǎng)絡(luò)層面臨的安全問(wèn)題

針對(duì)物聯(lián)網(wǎng)終端的攻擊針對(duì)物聯(lián)網(wǎng)承載網(wǎng)絡(luò)信息傳輸?shù)墓翎槍?duì)物聯(lián)網(wǎng)核心網(wǎng)絡(luò)的攻擊物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全51.2.1針對(duì)網(wǎng)絡(luò)終端的攻擊病毒、木馬對(duì)網(wǎng)絡(luò)終端的威脅：隨著物聯(lián)網(wǎng)終端的計(jì)算和存儲(chǔ)能力的增強(qiáng)，使其遭受病毒、木馬等侵入的機(jī)會(huì)也大大增加；且病毒或木馬在物聯(lián)網(wǎng)中具有更大的傳播性、更強(qiáng)的破壞性、更高的隱蔽性，因此威脅更大；網(wǎng)絡(luò)終端自身平臺(tái)缺乏完整性保護(hù)和驗(yàn)證機(jī)制：平臺(tái)軟/硬件模塊容易被攻擊者篡改；終端內(nèi)部各通信接口間缺乏機(jī)密性和完整性保護(hù)：傳遞的信息容易被竊取或篡改。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全61.2.1針對(duì)網(wǎng)絡(luò)終端的攻擊使用偷竊的終端和智能卡對(duì)終端或智能卡中的數(shù)據(jù)進(jìn)行篡改對(duì)終端和智能卡間的通信進(jìn)行偵聽(tīng)偽裝身份截取終端與智能卡間的交互信息非法獲取終端和智能卡中存儲(chǔ)的數(shù)據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全71.2.2針對(duì)承載網(wǎng)絡(luò)信息傳輸?shù)墓?/p>

(1)對(duì)非授權(quán)數(shù)據(jù)的非法獲取

基本手段為：竊取、篡改或刪除鏈路上的數(shù)據(jù)；偽裝成網(wǎng)絡(luò)實(shí)體截取業(yè)務(wù)數(shù)據(jù)；對(duì)網(wǎng)絡(luò)流量進(jìn)行分析；

(2)對(duì)數(shù)據(jù)完整性的攻擊

攻擊者對(duì)系統(tǒng)無(wú)線鏈路中傳輸?shù)臉I(yè)務(wù)與信令、控制信息等進(jìn)行篡改，包括插入、修改和刪除等；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全81.2.2針對(duì)承載網(wǎng)絡(luò)信息傳輸?shù)墓?/p>

(3)拒絕服務(wù)攻擊

物理級(jí)干擾：通過(guò)物理手段對(duì)無(wú)線鏈路干擾，阻塞正常通信；

協(xié)議級(jí)干擾：通過(guò)誘使特定的協(xié)議流程失敗，干擾正常通信；

偽裝成網(wǎng)絡(luò)實(shí)體拒絕服務(wù)：攻擊者偽裝成合法網(wǎng)絡(luò)實(shí)體，對(duì)用戶的服務(wù)請(qǐng)求作出拒絕回答。

(4)對(duì)業(yè)務(wù)的非法訪問(wèn)攻擊攻擊者偽裝成其他合法用戶身份，非法訪問(wèn)網(wǎng)絡(luò)，或切入用戶與網(wǎng)絡(luò)之間，進(jìn)行中間攻擊。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全91.2.3針對(duì)核心網(wǎng)的攻擊

(1)對(duì)數(shù)據(jù)的非法獲取

對(duì)用戶業(yè)務(wù)、信令和控制數(shù)據(jù)的竊聽(tīng)，偽裝成網(wǎng)絡(luò)實(shí)體截取用戶信息以及對(duì)用戶流量進(jìn)行主動(dòng)與被動(dòng)分析，即：對(duì)系統(tǒng)數(shù)據(jù)存儲(chǔ)實(shí)體的非法訪問(wèn)；在呼叫建立階段偽裝用戶位置信息等。

(2)對(duì)數(shù)據(jù)完整性的攻擊對(duì)用戶業(yè)務(wù)與信令消息進(jìn)行篡改；對(duì)下載到用戶終端或UsIM的應(yīng)用程序與數(shù)據(jù)進(jìn)行篡改；通過(guò)偽裝成應(yīng)用程序及數(shù)據(jù)發(fā)起方篡改用戶終端或USIM的行為；篡改系統(tǒng)存儲(chǔ)實(shí)體中儲(chǔ)存的用戶數(shù)據(jù)等。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全101.2.3針對(duì)核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級(jí)干擾、偽裝成網(wǎng)絡(luò)實(shí)體對(duì)用戶請(qǐng)求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認(rèn)攻擊主要包括：對(duì)費(fèi)用的否認(rèn)、對(duì)發(fā)送數(shù)據(jù)的否認(rèn)、對(duì)接受數(shù)據(jù)的否認(rèn)等。(5)對(duì)非授權(quán)業(yè)務(wù)的非法訪問(wèn)

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問(wèn)非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全111.3網(wǎng)絡(luò)層安全技術(shù)需求物聯(lián)網(wǎng)的特點(diǎn)物聯(lián)網(wǎng)具有：由大量機(jī)器構(gòu)成、缺少人對(duì)設(shè)備的有效監(jiān)控、數(shù)量龐大、設(shè)備集群等特點(diǎn)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點(diǎn)物聯(lián)網(wǎng)除具有傳統(tǒng)網(wǎng)絡(luò)安全的問(wèn)題之外，還具有一些與現(xiàn)有網(wǎng)絡(luò)安全不同的特殊安全問(wèn)題。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全121.3.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點(diǎn)

(1)無(wú)法復(fù)制傳統(tǒng)網(wǎng)絡(luò)成功的技術(shù)模式

不同應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)具有完全不同的網(wǎng)絡(luò)安全和服務(wù)質(zhì)量要求；

(2)不同于傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)是從人通信的角度設(shè)計(jì)的，而物聯(lián)網(wǎng)中以機(jī)器通信為主。若使用傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，會(huì)割裂物聯(lián)網(wǎng)機(jī)器間的邏輯關(guān)系；

(3)物聯(lián)網(wǎng)需要嚴(yán)密的安全性和可控性

物聯(lián)網(wǎng)中的大多數(shù)應(yīng)用均涉及個(gè)人隱私或企業(yè)內(nèi)部機(jī)密，因此，需具有保護(hù)個(gè)人隱私、防御網(wǎng)絡(luò)攻擊的能力；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全131.3.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點(diǎn)

(4)多源異構(gòu)的數(shù)據(jù)格式使網(wǎng)絡(luò)安全問(wèn)題更復(fù)雜

物聯(lián)網(wǎng)在感知層從各種感知節(jié)點(diǎn)所采集的數(shù)據(jù)海量且多源異構(gòu)，致使網(wǎng)絡(luò)接入技術(shù)、網(wǎng)絡(luò)架構(gòu)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)等相關(guān)網(wǎng)絡(luò)安全技術(shù)必須符合物聯(lián)網(wǎng)業(yè)務(wù)特征；

(5)對(duì)于網(wǎng)絡(luò)的實(shí)時(shí)性、安全可信性、資源保證性方面的要求均高于傳統(tǒng)網(wǎng)絡(luò)如：在智能交通應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須是穩(wěn)定的；在醫(yī)療衛(wèi)生應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須具有很高的可靠性。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全141.3.2物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(1)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全

需要保證物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)傳輸過(guò)程中，數(shù)據(jù)內(nèi)容不被泄露、不被非法篡改、數(shù)據(jù)流信息不被非法獲取；

(2)承載網(wǎng)絡(luò)的安全防護(hù)需要解決的問(wèn)題是：面對(duì)最常見(jiàn)的病毒、木馬、DDOS等網(wǎng)絡(luò)攻擊，如何對(duì)脆弱的傳輸節(jié)點(diǎn)或核心網(wǎng)絡(luò)設(shè)備進(jìn)行安全防護(hù)；

(3)終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證提供輕量級(jí)鑒別認(rèn)證和訪問(wèn)控制，實(shí)現(xiàn)對(duì)終端接入認(rèn)證、異構(gòu)網(wǎng)絡(luò)互連的身份認(rèn)證、鑒權(quán)管理及對(duì)應(yīng)用的細(xì)粒度訪問(wèn)控制；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全151.3.2物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(4)異構(gòu)網(wǎng)絡(luò)下終端的安全接入

針對(duì)物聯(lián)網(wǎng)M2M的業(yè)務(wù)特征，對(duì)網(wǎng)絡(luò)接入技術(shù)和網(wǎng)絡(luò)架構(gòu)均需要改進(jìn)和優(yōu)化，以滿足物聯(lián)網(wǎng)業(yè)務(wù)的網(wǎng)絡(luò)安全應(yīng)用需求：①網(wǎng)絡(luò)對(duì)低移動(dòng)性、低數(shù)據(jù)量、高可靠性、海量容量的優(yōu)化；②適應(yīng)物聯(lián)網(wǎng)業(yè)務(wù)模型的無(wú)線安全接入技術(shù)、核心網(wǎng)優(yōu)化技術(shù)；③終端尋址、安全路由、鑒權(quán)認(rèn)證、網(wǎng)絡(luò)邊界管理、終端管理等技術(shù)；④適用于傳感器節(jié)點(diǎn)的短距離安全通信技術(shù)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全161.3.2物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(5)物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求

物聯(lián)網(wǎng)核心網(wǎng)層面是基于TCP/IP協(xié)議，但在網(wǎng)絡(luò)接入層面，協(xié)議種類(lèi)繁多，有GPRS/CDMA、短信、傳感器、有線等多種通道，因此物聯(lián)網(wǎng)需要一個(gè)統(tǒng)一的協(xié)議棧和相應(yīng)的技術(shù)標(biāo)準(zhǔn)，從而杜絕通過(guò)篡改協(xié)議，協(xié)議漏洞等攻擊威脅網(wǎng)絡(luò)應(yīng)用安全；

(6)大規(guī)模終端分布式安全管控物聯(lián)網(wǎng)應(yīng)用終端的大規(guī)模部署，對(duì)網(wǎng)絡(luò)安全管控體系、安全檢測(cè)、應(yīng)急聯(lián)動(dòng)、安全審計(jì)等方面提出了新的安全需求。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全17物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全1.4物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全框架181.4物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全框架物聯(lián)網(wǎng)網(wǎng)絡(luò)層構(gòu)成

物聯(lián)網(wǎng)網(wǎng)絡(luò)層可分為：業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案

(1)構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動(dòng)網(wǎng)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)；(2)建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺(tái)；(3)提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層之間的安全應(yīng)用與保障措施；(4)建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問(wèn)控制機(jī)制。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全192.現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署物聯(lián)網(wǎng)核心網(wǎng)構(gòu)成

主要是運(yùn)營(yíng)商的核心網(wǎng)絡(luò)；物聯(lián)網(wǎng)核心網(wǎng)安全20物聯(lián)網(wǎng)核心網(wǎng)安全212.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署安全通道管控設(shè)備

部署于物聯(lián)網(wǎng)LNS服務(wù)器與運(yùn)營(yíng)商網(wǎng)關(guān)之間，用于抵御來(lái)自公網(wǎng)或終端設(shè)備的各種安全威脅，其主要特點(diǎn)為：

透明：對(duì)用戶和網(wǎng)絡(luò)設(shè)備透明，滿足電信級(jí)要求；

管控：根據(jù)需要對(duì)網(wǎng)絡(luò)通信內(nèi)容進(jìn)行管理、監(jiān)控。

LNS(L2TPNetworkServer)表示L2TP網(wǎng)絡(luò)服務(wù)器，是PPP端系統(tǒng)上用于處理L2TP協(xié)議服務(wù)器端部分的設(shè)備；L2TP(Layer2TunnelingProtocol)第二層隧道協(xié)議，是一個(gè)數(shù)據(jù)鏈路層協(xié)議，基于UDP。物聯(lián)網(wǎng)核心網(wǎng)安全222.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個(gè)能夠處理用戶訪問(wèn)請(qǐng)求的服務(wù)器程序。提供驗(yàn)證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫(kù)以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全232.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署網(wǎng)絡(luò)加密機(jī)

部署于物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間，建立一個(gè)安全通道，并且隔離終端設(shè)備和中心服務(wù)器之間的直接連接，所有的訪問(wèn)必須通過(guò)加密機(jī)采用分組密碼算法加密。防火墻根據(jù)制定好的安全策略過(guò)濾不安全的服務(wù)和非法用戶，將內(nèi)網(wǎng)和外網(wǎng)分開(kāi)，并根據(jù)系統(tǒng)的安全策略控制出入網(wǎng)絡(luò)的信息流。物聯(lián)網(wǎng)核心網(wǎng)安全242.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署入侵檢測(cè)設(shè)備

為終端子網(wǎng)提供異常數(shù)據(jù)檢測(cè)，及時(shí)發(fā)現(xiàn)攻擊行為，并在局域或全網(wǎng)預(yù)警。

(1)獲取網(wǎng)絡(luò)中的各種數(shù)據(jù)，然后對(duì)IP數(shù)據(jù)進(jìn)行碎片重組；

(2)入侵檢測(cè)模塊對(duì)協(xié)議數(shù)據(jù)進(jìn)一步分揀，將TCP、UDP、ICMP數(shù)據(jù)分流；

(3)針對(duì)TCP數(shù)據(jù)，入侵檢測(cè)模塊進(jìn)行TCP流重組；

(4)最后，入侵檢測(cè)模塊、安全審計(jì)模塊和流量分析模塊分別提取與其相關(guān)的協(xié)議數(shù)據(jù)進(jìn)行分析。物聯(lián)網(wǎng)核心網(wǎng)安全252.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署綜合安全管理設(shè)備

在統(tǒng)一的調(diào)度下，完成對(duì)各類(lèi)安全設(shè)備的統(tǒng)一管理，能夠?qū)Ξa(chǎn)生的安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行會(huì)聚、過(guò)濾、標(biāo)準(zhǔn)化、優(yōu)先級(jí)排序紅外關(guān)聯(lián)分析處理，支持對(duì)安全事件的應(yīng)急響應(yīng)處置，能夠?qū)Υ_切的安全事件自動(dòng)生成安全響應(yīng)策略，及時(shí)降低或阻斷安全威脅。物聯(lián)網(wǎng)核心網(wǎng)安全262.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署補(bǔ)丁分發(fā)服務(wù)器

部署于安全防護(hù)系統(tǒng)內(nèi)網(wǎng)。采用B/S構(gòu)架，可在網(wǎng)絡(luò)的任何終端通過(guò)登錄內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器的管理頁(yè)面進(jìn)行管理和各種信息查詢(xún)；所有網(wǎng)絡(luò)終端需要安裝客戶端程序以對(duì)其進(jìn)行監(jiān)控和管理。同時(shí)在外網(wǎng)部署一臺(tái)補(bǔ)丁下載服務(wù)器，用來(lái)更新補(bǔ)丁信息。防病毒服務(wù)器由監(jiān)控中心和客戶端組成。監(jiān)控中心部署在安全保密基礎(chǔ)設(shè)施子網(wǎng)中；客戶端分服務(wù)器版和主機(jī)版，分別部署于服務(wù)器或主機(jī)上。物聯(lián)網(wǎng)核心網(wǎng)安全272.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署漏洞掃描服務(wù)器

對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)在可掃描的IP范圍內(nèi)進(jìn)行漏洞檢測(cè)，主要用于分析和指出計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議?？蓲呙璧穆┒捶诸?lèi)拒絕服務(wù)攻擊、遠(yuǎn)程文件訪問(wèn)測(cè)試、FTP測(cè)試、后門(mén)測(cè)試、Windows測(cè)試、防火墻測(cè)試、SMTP問(wèn)題測(cè)試、接口掃描等。物聯(lián)網(wǎng)核心網(wǎng)安全282.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署證書(shū)管理系統(tǒng)

主要簽發(fā)和管理數(shù)字證書(shū)，由證書(shū)注冊(cè)中心、證書(shū)簽發(fā)中心以及證書(shū)目錄服務(wù)器組成。物聯(lián)網(wǎng)核心網(wǎng)安全29物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全302.1現(xiàn)有核心網(wǎng)典型安全防護(hù)系統(tǒng)部署應(yīng)用訪問(wèn)控制設(shè)備

采用安全隧道技術(shù)，在應(yīng)用的物聯(lián)網(wǎng)終端和服務(wù)器之間建立一個(gè)安全隧道，并且隔離終端和服務(wù)器之間的直接連接，所有的訪問(wèn)必須通過(guò)安全隧道，否則一律丟棄。應(yīng)用訪問(wèn)控制設(shè)備工作方式應(yīng)用訪問(wèn)控制設(shè)備收到終端設(shè)備從安全隧道發(fā)來(lái)的請(qǐng)求，首先通過(guò)驗(yàn)證終端設(shè)備的身份，并根據(jù)終端設(shè)備的身份查詢(xún)?cè)摻K端設(shè)備的權(quán)限，根據(jù)終端設(shè)備的權(quán)限決定是否允許終端設(shè)備的訪問(wèn)。物聯(lián)網(wǎng)核心網(wǎng)安全31移動(dòng)通信接入安全移動(dòng)通信系統(tǒng)的主要安全威脅

主要安全威脅來(lái)自網(wǎng)絡(luò)協(xié)議和系統(tǒng)的弱點(diǎn)，攻擊者可以利用網(wǎng)絡(luò)協(xié)議和系統(tǒng)的弱點(diǎn)非授權(quán)訪問(wèn)、非授權(quán)處理敏感數(shù)據(jù)、干擾或?yàn)E用網(wǎng)絡(luò)服務(wù)，對(duì)用戶和網(wǎng)絡(luò)資源造成損失?；谝苿?dòng)通信的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全體系主要由網(wǎng)絡(luò)安全接入與終端認(rèn)證體系、網(wǎng)絡(luò)安全防護(hù)體系和網(wǎng)絡(luò)安全管控體系三個(gè)網(wǎng)絡(luò)安全平臺(tái)組成。物聯(lián)網(wǎng)核心網(wǎng)安全32物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全333.1移動(dòng)通信安全接入要求(1)基于多種融合技術(shù)的終端接入認(rèn)證技術(shù)網(wǎng)絡(luò)接入設(shè)備采用NAC技術(shù)，客戶端采用NAP技術(shù)，從而達(dá)到兩者互補(bǔ)；TNC技術(shù)的目標(biāo)是解決可信接入問(wèn)題。具體技術(shù)思科（Cisco）公司在2003年11月，為了應(yīng)對(duì)網(wǎng)絡(luò)安全中出現(xiàn)的這種情況，率先提出了網(wǎng)絡(luò)準(zhǔn)入控制（NetworkAdmissionControl，NAC）和自防御網(wǎng)絡(luò)（SDN）的概念。微軟公司也迅速做出反應(yīng)，提供了具有同樣功能的網(wǎng)絡(luò)準(zhǔn)許接入保護(hù)方案（NetworkAccessProtection，NAP）。物聯(lián)網(wǎng)核心網(wǎng)安全343.2移動(dòng)通信接入安全具體技術(shù)在2004年5月，可信計(jì)算組織（TrustedComputingGroup，TCG）成立了可信網(wǎng)絡(luò)連接（TrustedNetworkConnect，TNC）分組，TNC計(jì)劃為端點(diǎn)準(zhǔn)入強(qiáng)制策略開(kāi)發(fā)一個(gè)對(duì)所有開(kāi)發(fā)商開(kāi)放的架構(gòu)規(guī)范，從而保證各個(gè)開(kāi)發(fā)商端點(diǎn)準(zhǔn)入產(chǎn)品的可互操作性。

華為公司也緊隨其后，于2005年上半年推出了端點(diǎn)準(zhǔn)入防御（EndpointAdmissionDefense，EAD）產(chǎn)品。物聯(lián)網(wǎng)核心網(wǎng)安全353.2移動(dòng)通信接入安全(2)基于多層防護(hù)的接入認(rèn)證體系為保證終端的接入安全，需要從多個(gè)層面分別認(rèn)證、檢查接入終端的合法性、安全性。如：通過(guò)網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用準(zhǔn)入、客戶準(zhǔn)入等多個(gè)層面的準(zhǔn)入控制。(3)接入認(rèn)證技術(shù)的標(biāo)準(zhǔn)化、規(guī)范化思科公司及華為公司選擇的是EAP協(xié)議、RADIUS協(xié)議和8