物联网安全技术第5章局域网相关技术及解决方案.ppt

资源描述

《物联网安全技术第5章局域网相关技术及解决方案.ppt》由会员分享，可在线阅读，更多相关《物联网安全技术第5章局域网相关技术及解决方案.ppt（110页珍藏版）》请在三一文库上搜索。

1、第五章局域网相关技术及解决方案,5.1 Internet及其服务 5.2 Internet提供的服务 5.3 Internet的管理,5.1 信息传输需求,5.1.1 网络层概述 5.1.2 信息传输面临的安全问题 1物联网终端自身安全 2承载网络信息传输安全 3核心网络安全 5.1.3 网络层安全技术需求 1网络层安全特点 2物联网的网络安全需求 5.1.4 网络层概述,网络层概述,物联网通过网络层实现更加广泛的互连功能，通过各种网络接入设备与移动通信网络和互联网等广域网相连，能够把感知到的信息快速、可靠、安全地进行传输。物联网的网络层将主要建立在现有的移动通信网络和互联网基础上，基本能够

2、满足物联网数据传输的需要。物联网的网络层主要用于把感知层收集到的信息安全可靠地传输到信息处理层，然后根据不同的应用需求进行信息处理、分类、聚合等，即网络层主要由网络基础设施和网络管理及处理系统组成，物联网的承载网络包括互联网、移动网、WLAN网络和一些专业网（如数字音/视频广播网、公共服务专用网）等。物联网的网络层主要用于把感知层收集到的信息安全可靠地传输到信息处理层，然后根据不同的应用需求进行信息处理，实现对客观世界的有效感知及有效控制。其中连接终端感知网络与服务器的桥梁便是各类承载网络，物联网的承载网络包括核心网（NGN）、2G通信系统、3G通信系统和LTE/4G通信系统等移动通信网络，

3、以及WLAN、蓝牙等无线接入系统，如图5-1所示。,图 5-1,从图5-1中可以看出，未来的物联网网络体系结构将是一个集成无线蜂窝网络、卫星网络、无线局域网、广播电视网络、蓝牙等系统和固定的有线网络为一体的全IP的多网融合的网络结构（包括各种接入网和核心网），各种类型的网络通过网关接入系统都能够无缝地接入基于IP的核心网，形成一个公共的、灵活的、可扩展的网络平台。从前面对物联网网络体系结构的描述中可看出，物联网是信息通信网络的高级阶段，它是一个远比过去任何单一网络更加复杂的通信系统，它的实现需要依托于很多新兴技术。,信息传输面临的安全问题,相对于传统的单一TCP/IP网络技术而言，所有的网络监

4、控措施、防御技术不仅面临更复杂结构的网络数据，同时又有更高的实时性要求，在网络通信、网络融合、网络安全、网络管理、网络服务和其他相关学科领域面前都将是一个新的课题、新的挑战。物联网网络层的安全威胁主要来自以下几个方面。（1）物联网终端自身安全（2）承载网络信息传输安全（3）核心网络安全,网络层安全技术需求,1网络层安全特点物联网是一种虚拟网络与现实世界实时交互的新型系统，其核心和基础仍然是互联网。物联网的网络安全体系和技术博大精深，涉及网络安全接入、网络安全防护、嵌入式终端防护、自动控制、中间件等多种技术体系，需要我们长期研究和探索其中的理论和技术问题。物联网的网络安全区别于传统的T

5、CP/IP网络具有以下的特点：（1）物联网是在移动通信网络和互联网基础上的延伸和扩展的网络，但由于不同应用领域的物联网具有完全不同的网络安全和服务质量要求，使得它无法再复制互联网成功的技术模式。（2）物联网的网络层将面临现有TCP/IP网络的所有安全问题，同时还因为物联网在感知层所采集的数据格式多样，来自各种各样感知节点的数据是海量的并且是多源异构数据，带来的网络安全问题将更加复杂。,（3）物联网和互联网的关系是密不可分、相辅相成的。互联网基于优先级管理的典型特征使得其对于安全、可信、可控、可管都没有特殊要求，但是，物联网对于实时性、安全可信性、资源保证性等方面却有很高的要求。（4）物联

6、网需要严密的安全性和可控性，物联网的绝大多数应用都涉及个人隐私或企业内部秘密，物联网必须提供严密的安全性和可控性，具有保护个人隐私、防御网络攻击的能力。 2物联网的网络安全需求从信息与网络安全的角度来看，物联网作为一个多网并存的异构融合网络，不仅存在与传感器网络、移动通信网络和互联网同样的安全问题，同时还有其特殊性，如隐私保护问题、异构网络的认证与访问控制问题、信息的存储与管理等。物联网的网络层主要用于实现物联网信息的双向传递和控制，网络通信适应物物通信需求的无线接入网络安全和核心网的安全，同时在物联网的网络层，异构网络的信息交换将成为安全性的脆弱点，特别在网络鉴权认证过程，避免不了网络攻击

7、。这些攻击都需要有更高的安全防护措施。,物联网应用承载网络主要以互联网、移动通信网及其他专用lP网络为主，物联网网络层对安全的需求可以涵盖以下几方面。（1）业务数据在承载网络中的传输安全。需要保证物联网业务数据在承载网络传输过程中数据内容不被泄漏、不被非法篡改及数据流量信息不被非法获取。（2）承载网络的安全防护。病毒、木马、DDoS攻击是网络中最常见的攻击现象，未来在物联网中将会更突出，物联网中需要解决的问题是如何对脆弱传输节点或核心网络设备的非法攻击进行安全防护。（3）终端及异构网络的鉴权认证。在网络层，为物联网终端提供轻量级鉴别认证和访问控制，实现对物联网终端接入认证、异构网络互连的

8、身份认证、鉴权管理及对应用的细粒度访问控制是物联网网络层安全的核心需求之一。（4）异构网络下终端的安全接入。物联网应用业务承载包括互联网、移动通信网、WLAN网络等多种类型的承载网络，在异构网络环境下大规模网络融合应用需要对网络安全接入体系结构进行全面设计，针对物联网M2M的业务特征，对网络接入技术和网络架构都需要改进和优化，以满足物联网业务网络安全应用需求。其中包括网络对低移动性、低数据量、高可靠性、海量,容量的优化，包括适应物联网业务模型的无线安全接入技术、核心网优化技术，包括终端寻址、安全路由、鉴权认证、网络边界管理、终端管理等技术，包括适用于传感器节点的短距离安全通信技术，以及异构网

9、络的融合技术和协同技术等。（5）物联网应用网络统一协议栈需求。物联网是互联网的延伸，物联网的核心网层面是基于TCP/IP，但在网络接入层面，协议类别五花八门，有GPRS/CDMA、短信、传感器、有线等多种通道，物联网需要一个统一的协议栈和相应的技术标准，以此杜绝通过篡改协议、协议漏洞等安全风险威胁网络应用安全。（6）大规模终端分布式安全管控。物联网和互联网的关系是密不可分、相辅相成的。互联网基于优先级管理的典型特征使得其对于安全、可信、可控、可管都没有要求，但是，物联网对于实时性、安全可信性、资源保证性等方面却有很高的要求。物联网的网络安全技术框架、网络动态安全管控系统对通信平台、网络平台

10、、系统平台和应用平台等提出安全要求。物联网应用终端的大规模部署，对网络安全管控体系、安全管控与应用服务统一部署、安全检测、应急联动、安全审计等方面提出了新的安全需求。,网络层安全框架,随着物联网的发展，建立端到端的全局物联网将成为趋势，现有互联网、移动通信网等通信网络将成为物联网的基础承载网络。由于通信网络在物联网架构中的缺位，使得早期的物联网应用往往在部署范围、应用领域、安全保护等诸多方面有所局限，终端之间及终端与后台软件之间都难以开展协同。物联网网络层安全体系结构如图5-2所示。,图5-2 物联网网络层安全体系结构,物联网的网络层可分为业务网、核心网、接入网三部分，网络层安全解决方案应包括

11、以下几方面内容。（1）构建物联网与互联网、移动通信网络相融合的网络安全体系结构，重点对网络体系架构、网络与信息安全、加密机制、密钥管理体制、安全分级管理机制、节点间通信、网络入侵检测、路由寻址、组网及鉴权认证和安全管控等进行全面设计。（2）建设物联网网络安全统一防护平台，通过对核心网和终端进行全面的安全防护部署，建设物联网网络安全防护平台，完成对终端安全管控、安全授权、应用访问控制、协同处理、终端态势监控与分析等管理。（3）提高物联网系统各应用层次之间的安全应用与保障措施，重点规划异构网络集成、功能集成、软/硬件操作界面集成及智能控制、系统级软件和安全中间件等技术应用。（4）建立全面的

12、物联网网络安全接入与应用访问控制机制，不同行业需求千差万别，面向实际应用需求，建立物联网网络安全接入和应用访问控制，满足物联网终端产品的多样化网络安全需求。,5.2 物联网核心网安全,5.2.1 现有核心网典型安全防护系统部署 5.2.2 下一代网络（NGN）安全 5.2.3 下一代互联网（NGI）的安全 5.2.4 网络虚拟化安全,现有核心网典型安全防护系统部署,目前的物联网核心网主要是运营商的核心网络，其安全防护系统组成包括安全通道管控设备、网络密码机、防火墙、入侵检测设备、漏洞扫描设备、防病毒服务器、补丁分发服务器、综合安全管理设备等。核心网安全防护系统可以为物联网终端设备提供本地和网络

13、应用的身份认证、网络过滤、访问控制、授权管理等安全防护体系。核心网络安全防护系统网络拓扑结构如图5-3所示。,图5-3 物联网核心网络安全防护系统网络拓扑结构,通过在核心网络中部署通道管控设备、应用访问控制设备、权限管理设备、防火墙、入侵检测系统、漏洞扫描设备、补丁分发系统等基础安全实施，为物联网终端的本地和网络应用的身份认证、访问控制、授权管理、传输加密提供安全应用支撑。 1综合安全管理设备综合安全管理设备能够对全网安全态势进行统一监控，实时反映全网的安全态势，对安全设备进行统一的管理，能够构建全网安全管理体系，对专网各类安全设备实现统一管理；可以实现全网安全事件的上报、归并，全面掌握网络

14、安全状况；实现网络各类安全系统和设备的联防联动。综合安全管理设备对核心网络环境中的各类安全设备进行集中管理和配置，在统一的调度下完成对安全通道管控设备、防火墙、入侵检测设备、应用安全访问控制设备、补丁分发设备、防病毒服务器、漏洞扫描设备、安全管控系统的统一管理，能够对产生的安全态势数据进行会聚、过滤、标准化、优先级排序和关联分析处理，支持对安全事件的应急响应处置，能够对确切的安全事件自动生成安全响应策略，及时降低或阻断安全威胁。在安全防护基础设施区域部署1台综合安全管理设备，对网络安全设备等资源进行统一管理，综合安全管理设备通过10 Mbps/100 Mbps/1000 Mbps以太网接口

15、与核心交换机连接。,2证书管理系统证书管理系统签发和管理数字证书，由证书注册中心、证书签发中心及证书目录服务器组成。系统结构及相互关系如图5-4所示。,图5-4 证书管理系统的组成,证书注册：审核注册用户的合法性，代理用户向证书签发中心提出证书签发请求，并将用户证书和密钥写入身份令牌，完成证书签发（包括机构证书、系统证书和用户证书）；证书撤销：当用户身份令牌丢失或用户状态改变时，向证书签发中心提出证书撤销请求，完成证书撤销列表的签发；证书恢复：当用户身份令牌损坏时，向证书签发中心提出证书恢复请求，完成用户证书的恢复；证书发布：负责将签发或恢复后的用户证书及证书撤销列表发布到证书目录

16、服务器中；身份令牌：为证书签发、恢复等模块提供用户身份令牌的操作接口，包括用户临时密钥对的产生、私钥的解密写入、用户证书的写入及用户信息的读取等；证书签发服务：接收证书注册中心的证书签发请求，完成证书签发（包括机构证书、设备证书和用户证书）；证书撤销服务：接收证书注册中心的证书撤销请求，完成证书撤销列表的签发；,证书恢复服务：接收证书注册中心的证书恢复请求，完成用户证书的恢复；密钥申请：向证书密钥管理系统申请密钥服务，为证书签发、撤销、恢复等模块提供密钥的发放、撤销和恢复接口；证书查询服务：为证书签发服务系统、证书注册服务系统和其他应用系统提供证书查询接口；证书发布服务：为证书签发

17、服务系统、证书注册服务系统和其他应用系统提供证书和证书撤销列表发布接口；证书状态查询服务：提供证书当前状态的快速查询，以判断证书当前时刻是否有效；日志审计：记录系统操作管理员的证书管理操作，提供查询统计功能；备份恢复：提供数据库备份和恢复功能，保障用户证书等数据的安全。 3应用安全访问控制设备应用安全访问控制采用安全隧道技术，在应用的物联网终端和服务器之间建立一个安全隧道，并且隔离终端和服务器之间的直接连接，所有的访问都必须通过安全隧道，没有经过安全隧道的访问请求一律丢弃。应用访问控制设备首先通过验证终端设备的身份，并根据终端设备的身份查询该终端设备的权限，根据终端设备的权限决定,是

18、否允许终端设备的访问。应用安全访问控制设备需实现的主要功能包括如下几种。统一的安全保护机制：为网络中多台（套）应用服务器系统提供集中式、统一的身份认证、安全传输、访问控制等；身份认证：基于USB KEY+数字证书的身份认证机制，在应用层严格控制终端设备对应用系统的访问接入，可以完全避免终端设备身份假冒事件的发生；数据安全保护：终端设备与应用访问控制设备之间建立访问被保护服务器的专用安全通道，该安全通道为数据传输提供数据封装、完整性保护等安全保障；访问控制：结合授权管理系统，对FTP、HTTP应用系统能够实现目录一级的访问控制，在授权管理设备中没有授予任何访问权限的终端设备，将不允许登录

19、应用访问控制设备；透明转发：支持根据用户策略的设置，实现多种协议的透明转发；日志审计：能够记录终端设备的访问日志，能够记录管理员的所有配置管理操作，可以查看历史日志；应用安全访问控制设备和授权管理设备共同实现对访问服务区域的终端设备的身份认证及访问权限控制；通过建立统一的身份认证体系，在终端部署认证机制，通过应用访问控制设备对访问应用服务安全域应用服务器的终端设备进行身份认证和授权访问控制。,4安全通道管控设备安全通道管控设备部署于物联网LNS服务器与运营商网关之间，用于抵御来自公网或终端设备的各种安全威胁。其主要特点体现在两个方面：透明，即对用户透明、对网络设备透明，满足电信级要求；

20、管控，即根据需要对网络通信内容进行管理、监控。 5网络加密机网络加密机部署在物联网应用的终端设备和物联网业务系统之间，通过建立一个安全隧道，并且隔离终端设备和中心服务器之间的直接连接，所有的访问都必须通过安全隧道网络加密机采用对称密码体制的分组密码算法，加密传输采用IPSec的ESP协议、通道模式进行封装。在公共移动通信网络上构建自主安全可控的物联网虚拟专用网（VPN），使物联网业务系统的各种应用业务数据安全、透明地通过公共通信环境，确保终端数据传输的安全保密。,6漏洞扫描系统漏洞扫描系统可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测，主要用于分析和指出安全保密分系统计算机

21、网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议，提高安全保密分系统安全防护性能和抗破坏能力，保障安全保密分系统运维安全。漏洞扫描系统主要功能有如下几种。可以对各种主流操作系统的主机和智能网络设备进行扫描，发现安全隐患和漏洞，并提出修补建议；可以对单IP、多IP、网段扫描和定时扫描，扫描任务一经启动，无须人工干预；扫描结果可以生成不同类型的报告，提供修补漏洞的解决方法，在报告漏洞的同时，提供相关的技术站点和修补方法，方便管理员进行管理；漏洞分类，包括拒绝服务攻击、远程文件访问测试、一般测试、FTP测试、CGI攻击测试、远程获

22、取根权限、后门测试、NIS测试、Windows测试、Finger攻击测试、防火墙测试，SMTP问题测试、接口扫描、RPC测试、SNMP测试等。,7防火墙防火墙阻挡的是对内网非法访问和不安全数据的传递。通过防火墙，可以达到以下多方面的目的：过滤不安全的服务和非法用户。防火墙根据制定好的安全策略控制（允许、拒绝、监视、记录）不同安全域之间的访问行为，将内网和外网分开，并能根据系统的安全策略控制出入网络的信息流。防火墙以TCP/IP和相关的应用协议为基础，分别在应用层、传输层、网络层与数据链路层对内外通信进行监控。应用层主要侧重于对连接所用的具体协议内容进行检测；在传输层和网络层主要实现对IP、

23、ICMP、TCP和UDP协议的安全策略进行访问控制；在数据链路层实现MAC地址检查，防止IP欺骗。采用这样的体系结构，形成立体的防卫，防火墙能够最直接的保证安全，其基本功能如下。,状态检测包过滤：实现状态检测包过滤，通过规则表与连接状态表共同配合，实现安全性动态过滤，根据实际应用的需要，为合法的访问连接动态地打开所需的接口；利用基于接口到接口的安全策略建立安全通道，对数据流的走向进行灵活严格的控制；支持第三方IDS联动；地址转换：灵活多样的网络地址转换，提供对任意接口的地址转换。并且无论防火墙工作在何种模式（路由、透明、混合）下，都能实现NAT功能；带宽管理：支持带宽管理，可按接口细分带

24、宽资源，具有灵活的带宽使用控制； VPN：支持网关一网关的IPSec隧道；日志和告警：完善的日志系统，独立的日志接收及报警装置，采用符合国际标准的日志格式（WELF）审计和报警功能，可提供所有的网络访问活动情况，同时具备对可疑的和有攻击性的访问情况向系统管理员告警的功能。,8入侵检测设备入侵检测设备为终端子网提供异常数据检测，及时发现攻击行为，并在局域或全网预警。攻击行为的及时发现可以触发安全事件应急响应机制，防止安全事件的扩大和蔓延。入侵检测设备在对全网数据进行分析和检测的同时，还可以提供多种应用协议的审计，记录终端设备的应用访问行为。入侵检测设备首先获取网络中的各种数据，然后对IP数

25、据进行碎片重组。此后，入侵检测模块对协议数据进一步分拣，将TCP、UDP和ICMP数据分流。针对TCP数据，入侵检测模块进行TCP流重组。在此之后，入侵检测模块、安全审计模块和流量分析模块分别提取与其相关的协议数据进行分析。入侵检测设备由控制中心软件和探测引擎组成，控制中心软件管理所有探测引擎，为管理员提供管理界面查看和分析监测数据，根据告警信息及时做出响应。探测引擎的采集接口部署在交换机的镜像接口，用于检测进出的网络行为。,9防病毒服务器防病毒服务器用于保护网络中的主机和应用服务器，防止主机和服务器由于感染病毒导致系统异常、运行故障，甚至瘫痪、数据丢失等。防病毒服务器由监控中心和客户端

26、组成，客户端分服务器版和主机版，分别部署在服务器或者主机上，监控中心部署在安全保密基础设施子网中。 10补丁分发服务器补丁分发服务器部署在安全防护系统内网，补丁分发系统采用B/S构架，可在网络的任何终端通过登录内网补丁分发服务器的管理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理；补丁分发系统同时需要在外网部署一台补丁下载服务器（部署于外网，与互联网相连），用来更新补丁信息（此服务器也可用来下载病毒库升级文件）。补丁分发系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。,下一代网络（NGN）安全,1NGN网络结构下一代网络（Next

27、 Generation Network，NGN）基于IP技术，采用业务层和传输层相互分离、应用与业务控制相互分离、传输控制与传输相互分离的思想，能够支持现有的各种接入技术，提供语音、数据、视频、流媒体等业务，并且支持现有移动网络上的各种业务，实现固定网络和移动网络的融合，此外还能够根据用户的需要，保证用户业务的服务质量。NGN的网络体系架构如图5-5所示，包括应用层、业务控制层、传输控制层、传输层、网络管理系统、用户网络和其他网络。就目前通信网络现状而言，NGN面临电磁安全、设备安全、链路安全、信令网安全等多种安全威胁。 2NGN的安全机制网络安全需求将用户通信安全、网络运营商与业务提供商

28、运营安全紧密地结合在一起。当IP技术作为互联网技术被应用到电信网络上取代电路交换之后，来自网络运营商、业务提供商和用户的安全需求就显得特别重要。为了给网络运营商、业务提供商和用户提供一个安全可信的网络环境，防止,图5-5 NGN的网络体系结构,在X.805标准的指导下，通过对NGN网络面临的安全威胁和弱点进行分析，NGN安全需求大致可以分为安全策略，认证、授权、访问控制和审计，时间戳与时间源，资源可用性，系统完整性，操作、管理、维护和配置安全，身份和安全注册，通信和数据安全，隐私保证，密钥管理，NAT/防火墙互连，安全保证，安全机制增强等需求。,（1）安全策略需求。安全策略需求要求定义一套规则

29、集，包括系统的合法用户和合法用户的访问权限，说明保护何种信息及为什么进行保护。在NGN环境下，存在着不同的用户实体、不同的设备商设备、不同的网络体系架构、不同的威胁模型、不均衡的安全功能开发等，没有可实施的安全策略是很难保证有正确的安全功能的。（2）认证、授权、访问控制和审计需求。在NGN不同安全域之间和同一安全域内部，对资源和业务的访问必须进行认证授权服务，只有通过认证的实体才能使用被授权访问实体上的特定资源和业务。通过这一方法确保只有合法用户才可以访问资源、系统和业务，防止入侵者对资源、系统和业务进行非法访问，并主动上报与安全相关的所有事件，生成可管理的、具有访问控制权限的安全事件审计材

30、料。（3）时间戳与时间源需求。NGN能够提供可信的时间源作为系统时钟和审计时间戳，以便在处理未授权事件时能够提供可信的时间凭证。（4）资源可用性需求。NGN能够限制分配给某业务请求的重要资源的数量，丢弃不符合安全策略的数据包，限制突发流量，降低突发流量对其他业务的影响，防止拒绝服务（DoS）攻击。,（5）系统完整性需求。NGN设备能够基于安全策略，验证和审计其资源和系统，并且监控其设备配置与系统未经授权而发生的改变，防止蠕虫、木马等病毒的安装。为此，设备需要根据安全策略，定期扫描它的资源，发现问题时生成日志并产生告警。对设备的监控不能影响该设备上实时业务的时延变化或导致连接中断。（6）操

31、作、管理、维护和配置安全需求。NGN需要支持对信任域、脆弱信任域和非信任域设备的管理，需要保证操作、管理、维护和配置（OAMP）信息的安全，防止设备被非法接管。（7）身份和安全注册需求。NGN需要防止用户身份被窃取，防止网络设备、终端和用户的伪装、欺骗以及对资源、系统和业务的非法访问。（8）通信和数据安全需求。NGN需要保证通信与数据的安全，包括用户面数据、控制面数据和管理面数据。用户和逻辑网元的接口及不同运营商之间的接口都需要进行安全保护，信令需要逐跳保证私密性和完整性。（9）隐私保证需求。保护运营商网络、业务提供商网络的隐私性及用户信息的隐私性。（10）密钥管理需求。保证信任域与非

32、信任域之间密钥交换的安全，密钥管理机制需要支持网络地址映射/网络地址接口转换（NAT/NAPT）设备的穿越。,（11）NAT/防火墙互连需求。支持NGN中NAT/防火墙功能。防火墙可以是应用级网关（ALG）、代理、包过滤、NAT/NAPT等设备，或者是上述的组合。（12）安全保证需求。对NGN设备和系统进行评估和认证，对网络潜在的威胁和误用在威胁、脆弱性、风险和评估（TVRA）中有所体现。（13）安全机制增强需求。对加密算法的定义和选择符合ES 202 238的指导。（14）安全管理需求。安全管理技术对所有安全设备进行统一安全策略配置。 3现有X.805标准端到端安全体系架构 ITU-T

33、在X.805标准中全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度，即应用层、业务层和传输层，管理平面、控制平面和用户平面，认证、可用性、接入可控制、不可否认、保密性、数据完整性、私密性和通信安全，如图5-6所示。,X.805模型各个层（或面）上的安全相互独立，可以防止一个层（或面）的安全被攻破而波及其他层（或面）的安全。这个模型从理论上建立了一个抽象的网络安全模型，可以作为发展一个特定网络安全体系架构的依据，指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此，这个模型目前已经成为开展信息网络安全技术研究和应用的基础。互联网工程任务组（IETF

34、）的安全域专门负责制定Internet安全方面的标准，涉及的安全内容十分广泛并注重实际应用，如lP安全（IPSec）、基于X.509的公钥基础设施（PKIX）等。目前，IETF制定了大量的与安全相关的征求意见稿（RFC），其他标准组织或网络架构都已经引用了这些成果。,图5-6 X.805标准端到端安全体系架构,NGN安全体系架构就是在应用X.805安全体系架构基础上，结合NGN体系架构和IETF相关的安全协议而提出来的，如图5-7所示，这样可以有效地指导NGN安全解决方案的实现。,图5-7 NGN安全体系架构基础,4NGN安全框架通过上面的介绍，我们可以根据电信网络的各种不同的安全域，结合具

35、体的各项安全技术，来搭建一个完整的下一代网络的安全保障体系。域之间使用安全网关，各个域内则采用不同的安全策略，共同提高整个体系的安全性，如图5-8所示。,用户域包括用户终端和一些归属网关（可能由用户/管理员拥有）：接入网络域由接入网络提供者管理；访问域网络提供者可以提供多媒体服务，并可能具有自己的用户，相应地，访问域提供者可能与第三方应用提供方ASP具有协议来提供服务，访问网络域包括多媒体子系统（IP-based Multimedia Subsystem，IPIMS）功能实体；归属网络提供者提供了多媒体服务，相应地，访问网络提供者可能与第三方应用提供者具有协议来提供服务，它具有IMS网络，归属

36、域网关需要具有ISIM，而ISIM具有IMS认证的证书。,图5-8 NGN安全框架,第三方应用服务域由一些来自不同经营者的ASP负责，ASP可能需要使用自己的AAA基础设施来分析来自访问或归属网络提供者的信息。（1）归属网络（HN）和访问网络（VN）之间引入访问控制机制，可以由防火墙和IDS配合使用，再配合IPSec的防重播检测来防止合法用户的拒绝服务攻击。具体访问控制机制可以采用IPv4+NAT的模式，并采用一定的防火墙穿越技术（如STUN或TURN）。（2）UE和P-CSCF之间采用网络层加密，使用IPSec的封装安全载荷（ESP）进行加密。网络层加密也称为端到端加密，它允许用户报文在

37、从源点到终点的传输过程中始终以密文的形式存在，中间节点只负责转发操作而不做任何解密处理，所以用户的信息内容在整个传输过程中都受到保护。同时，各报文均独立加密，单个报文的传输错误不会影响到后续报文。因此对网络层加密而言，只要保证源点和终点的安全即可。（3）安全网关主要控制信息在NAT服务器和防火墙的出入，也可能会承担一些其他的安全功能，如数据包过滤等。此外，安全网关还具备以下功能：强化IMS域之间的安全策略，保护出入IMS域的控制平面信息，设置并维护IPSec安全关联（SA）。安全网关可以用SBC方案实现，在不同的网络域安全接口，使用密钥交换协议（IKE）来协商、建立和维护它们之间的用来保护封

38、装安全载荷（ESP）隧道的安全参数，然后依据此参数使用IPSec ESP隧道模式来进行保护。,（4）针对合法用户绕过P-CSCF对S-CSCF发送SIP信令和合法用户伪装P-CSCF的问题，采用以下技术：如果UE不伪装成P-CSCF直接向S-CSCF发送SIP消息，可以对IMS核心设备引入第三层的MPLS VPN技术，隔离UE和P-CSCF，隐藏IMS核心网络的路由信息，实现UE无法与S-CSCF联系；如果UE伪装成P-CSCF，可以引入以下机制，即在HSS数据库中存放P-CSCF的身份标志，每次P-CSCF向S-CSCF发送SIP消息时，S-CSCF都向P-CSCF发送认证请求，验证合法性以

39、后才能继续发送SIP消息。（5）在用户认证机制上，采用自行设计的统一的NGN用户安全体系。（6）对于IMS与其他网络互连带来的安全问题，采用访问控制机制，使用IDS和防火墙对IMS体系进行保护，防止其他网络非法接入IMS。（7）媒体流的保护采用SRTP协议规定的安全机制,下一代互联网（NGI）的安全,面对互联网安全漏洞层出不穷，安全威胁有增无减，安全补丁越补越乱的严峻形势，传统的滞后响应与见招拆招式的安全防护技术显得苍白无力，学术界开始反思IP体制的互联网在体系结构上的安全缺陷，并意识到网络体系结构设计对通信网络安全的重要性。美国及欧洲的一些国家发起了“下一代网络体系结构”有关的重大研究

40、计划，包括GEM（全球网络创新计划）、FIND（未来网络设计）、FIRE（未来互联网研究与试验），其中的一个重要研究内容就是抛弃现有互联网，“从零开始”设计安全的网络体系结构。目前该项工作还处于前期研究阶段，第一步工作是推动网络体系结构研究和创新的试验床建设工作，而网络虚拟化技术则是建设试验床使用的关键技术。业界提出了一体化安全防护的思想。一体化安全防护采用与传统“叠加式”信息安全解决方案不同的思路和途径，从网络体系结构和基础协议入手，将安全融入网络体系结构的设计之中，对于这种类型的安全防护，业界还没有定论，下面是几种典型的一体化网络结构。,身份标志独立于网络互连，使得节点的身份识别与定位技

41、术可以独立地演进；使用不同类型的身份标志，一些公开，一些私有，可通过受保护的动态绑定系统将这些不同类型的身份标志关联；使用不同类型的位置标志，一些起全局作用，另一些起局部作用；通过受保护的动态绑定系统，一个身份标志可以在任何时间与多个位置标志绑定，或者多个身份标志共享一个位置标志；,1名址分离的网络体系结构在当前的互联网中，IP地址既作为传输层和应用层的节点身份标志，又作为网络层的位置标志和路由器中的转发标志。IP地址的身份标志（名）和位置标志（址）重叠带来了包括移动性管理和安全在内的诸多问题（如IP地址欺骗），解决问题的办法自然就是采用名址分离的网络体系结构。在名址分离的网络体系结

42、构中，节点的身份标志供传输层和应用层使用，而位置标志用于网络层拓扑中节点的定位。节点可以在不影响上层应用的情况下，任意改变所处的位置，因此可以支持移动性、多宿和安全关联。名址分离的体系结构应具有（不限于）以下特征：,在网络的边缘部署身份标志与位置标志的绑定功能，使得因移动或多宿而造成的名址关联变化能够立即体现在数据包转发上；在网络的核心使用基于全局标志的选路系统以保持网络的可扩展性。,2以数据为中心的网络体系结构在互联网发展之初，网络应用严格以主机为中心，基于Host-to-Host模型，网络体系结构也比较适合于静态的主机对，网络应用（如FTP、Telnet）基于Host-to-Host模

43、型而设计。随着互联网的发展，大部分网络应用主要涉及数据获取和数据发布，用户实际只关心数据或资源，而不关心其源于何处。由于数据可以被移动，因此传统的DNS域名解析方式存在弊端，例如，如果Joe的Web主页www.berkeley.eduF/hippie移动到www. wallstr /yuppie，以前所有的旧链接全部中断。从安全角度而言，目前网络应用程序是围绕主机、地址和字节而建立（SocketAPI）。以主机为中心的网络体系结构使得主机对网络中的所有应用可见，使之常常成为攻击的目标，如扫描、DDoS攻击、蠕虫蔓延都是以主机为目标，基于Host to Host模型的网络体系结构在一定程度上助

44、长了恶意代码蔓延和DDoS攻击的发生。这是以数据为中心的网络体系结构提出的背景。,DONA（Data Oriented Network Architecture）是一种以数据为中心的网络体系结构，用于解决数据的命名和定位问题。首先，DONA针对数据的命名，DONA设计了一套以数据为中心的命名机制；其次针对数据的定位，DONA在网络的传输层和网络层之间增加了新的DONA协议层，用覆盖网的方式对数据的查询请求进行基于数据名的寻址。以数据为中心的命名机制围绕主体（Principal）而组织，一个主体有一个公私钥对K。数据与主体相联系名字的形式为PL，其中P为主体公钥的散列P=Hash(K)，L为P

45、rincipal所选定的标签，由主体来保证L的唯一。这样名字具有自证明属性，因为数据以的形式组织，能够证明自己确实是P所发出的真实数据，接收方通过检查Hash(K)与P是否相等及验证Sigkl(data)来判断接收到的数据是否为P发出的真实数据。这样的名字具有扁平化的特征，不含任意位置信息，数据名不会因为移动而发生变化。 DONA层主要功能是命名解析，由功能实体（称为RH，解析处理器）完成，解析请求通过基于命名的寻址，实现命名到数据所在位置的解析。在这种方式下，客户端使用数据名而不是数据所在主机的IP地址来获取数据。DONA层还设计容纳携带命名解析原语的数据包，包括:,FIND(PL)：定位以

46、PL命名的数据； REGISTER(PL)：向RH注册PL命名的数据，设置RH有效路由FIND消息时所需的状态信息。,围绕上述机制，以数据为中心的网络组成与接口如图5-9所示，图中只表示了实现网络“以数据为中心”所相关的实体。图中数据的两份Copy通过Register接口进行注册，在RH中形成对Copy的基于命名寻址的路由表，Client通过Find接口找到最近的一份Copy，然后进行数据传输。,图5-9 以数据为中心的网络组成与接口,上述机制实现了基于数据名的泛播路由，即如果某些服务器具有P所授权的一项服务PL，并在它的本地RH注册，则DONA将FIND(PL)路由到最近的服务器。该机制也具

47、备对移动性的支持，因为漫游主机可以在漫游前注销所注册的数据，并在漫游后重新注册。 3源地址认证体系结构（SAVA） SAVA基于IPv6网络指出，其研究目标是使网络中的终端使用真实的IP地址访问网络，网络能够识别伪造源地址的数据包，并禁止伪造源地址的数据包在网络中传输。SAVA体系结构如图5-10所示，它从本地子网、自治域内和自治域间三个层面解决源地址认证问题。本地子网源地址认证采用基于MAC、IP和交换机接口动态绑定的准入控制方案，由位于本地主机中的源地址请求客户端、位于本地交换机中的源地址有效性代理及源地址管理服务器共同实施，不满足绑定关系的IP数据包将被丢弃。,自治域内的源地址认证实现

48、基于地址前缀级的源地址认证方案，其主要思想是根据路由器的每个接入接口和一系列的有效源地址块的相关性信息建立一个过滤表格，只有满足过滤表映射关系的数据包才能被接入路由器转发到正确的目的网络。目前应用得比较多的标准方案包括Ingress Filtering和uRPF，前者主要根据己知的地址范围对发出的数据包进行过滤，后者利用路由表和转发表来协助判断地址前缀的合法性。自治域间的源地址认证使用基于端到端的轻量级签名和基于路径信息两种实现方案。前者适合于非邻接部署，依靠在IPv6分组中增加IPv6扩展包头存放轻量级签名来验证源地址的有效性，该机制的优点是产生有效性规则的网络节点不必直接相邻，缺点是增加

49、了网络的开销，尤其是在网络中需要相互通信的对等节点数目很多的情况下网络开销相当大；后者适合于邻接部署，有效性规则通过数据包传输经过的路径信息或者路由信息得到。该机制的优点是可以直接通过IP前缀得到所需的有效性规则，缺点是产生有效性规则的网络节点必须直接相邻。,图5-10 源地址认证体系结构,44D网络体系结构 4D网络体系结构是美国“全球网络创新环境（GENI）”计划旗下的研究项目之一。该项目针对当前互联网的控制管理复杂、难以满足使用需求等问题，采用“白板设计”的方式，重新设计了互联网的控制与管理平面。4D网络体系结构对于网络安全的好处在于其体系结构上的重新设计降低了网络控制管理的复杂性，进而减小了由于网络管理配置错误所带来的自身脆弱性。 4D的设计基于以下三个基本原则，如图5-11所示。,网级目标（Network-Level Objectives）：网络根据其需求和目标来进行配置，用策略明确地表达目标（如安全、QoS、出口点选择、可达性矩阵等），而不是用一个个配置文件的具体细节来表述；网域视图（Network-Wide Mews）：网络提供及时、精确的信息（包括拓扑、流量、网络事件等），给予决策单元所需要的输入；直接控制（Direct Control）：决策单元计算所

展开阅读全文