無線通信網(wǎng)絡(luò)安全《物聯(lián)網(wǎng)安全導(dǎo)論》

第6章無線通信網(wǎng)絡(luò)平安

學(xué)習(xí)任務(wù)物聯(lián)網(wǎng)信息傳輸

無線網(wǎng)絡(luò)的結(jié)構(gòu)

無線網(wǎng)絡(luò)的平安隱患Clicktoaddtitleinhere123本章主要涉及：4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安學(xué)習(xí)任務(wù)無線網(wǎng)絡(luò)的平安措施無線局域網(wǎng)平安技術(shù)藍(lán)牙技術(shù)平安機(jī)制5678超寬帶物聯(lián)網(wǎng)信息平安策略物聯(lián)網(wǎng)終端平安96.1物聯(lián)網(wǎng)信息傳輸物聯(lián)網(wǎng)信息傳輸平安主要涉及物聯(lián)網(wǎng)網(wǎng)絡(luò)層平安,而物聯(lián)網(wǎng)網(wǎng)絡(luò)層主要實(shí)現(xiàn)信息的傳送和通信,它包括接入層和核心層。網(wǎng)絡(luò)層既可依托公眾電信網(wǎng)和互聯(lián)網(wǎng),也可以依托行業(yè)專業(yè)通信網(wǎng)絡(luò),還可同時(shí)依托公眾網(wǎng)和專用網(wǎng),如接入層依托公眾網(wǎng),核心層那么依托專用網(wǎng),或接入層依托專用網(wǎng),核心層依托公眾網(wǎng)。6.1物聯(lián)網(wǎng)信息傳輸物聯(lián)網(wǎng)網(wǎng)絡(luò)層的平安主要分為兩類:一是來自于物聯(lián)網(wǎng)本身(主要包括網(wǎng)絡(luò)的開放性架構(gòu)、系統(tǒng)的接入和互聯(lián)方式、以及各類功能繁多的網(wǎng)絡(luò)設(shè)備和終端設(shè)備的能力等)平安隱患;二是源于構(gòu)建和實(shí)現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡(luò)層功能的相關(guān)技術(shù)(如云計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、異構(gòu)網(wǎng)絡(luò)技術(shù)等)的平安弱點(diǎn)和協(xié)議缺陷。6.1物聯(lián)網(wǎng)信息傳輸目前所涉及的網(wǎng)絡(luò)包括無線通信網(wǎng)絡(luò)WLAN、WPAN、移動(dòng)通信網(wǎng)絡(luò)和下一代網(wǎng)絡(luò)等。網(wǎng)絡(luò)層主要存在的問題是業(yè)務(wù)流量模型、空中接口和網(wǎng)絡(luò)架構(gòu)平安問題。以下主要闡述無線網(wǎng)絡(luò)的連接方式和出現(xiàn)的各種平安措施。6.1物聯(lián)網(wǎng)信息傳輸6.1.1無線和有線的區(qū)別在有線網(wǎng)絡(luò)中網(wǎng)絡(luò)的媒介是私有的，你不需要留神有誰連接到網(wǎng)絡(luò)上，因?yàn)樵谠O(shè)想中未經(jīng)過授權(quán)的使用者是不能夠得到能夠連接到網(wǎng)絡(luò)上的插座的。你也不用確定信息是否機(jī)密的，因?yàn)樾畔⑹窃谒接械碾娎|中傳送的，未經(jīng)過授權(quán)的使用者是不可能輕易接近的。6.1物聯(lián)網(wǎng)信息傳輸在無線網(wǎng)絡(luò)中網(wǎng)絡(luò)的媒介是公有的，無論誰只要有適當(dāng)?shù)脑O(shè)備在接收區(qū)域內(nèi)就能夠連接到網(wǎng)絡(luò)上。網(wǎng)絡(luò)的信息也必須被做成機(jī)密的，因?yàn)槲唇?jīng)過授權(quán)的使用者在接收的物理區(qū)域內(nèi)也是可以得到信息的。6.1物聯(lián)網(wǎng)信息傳輸無線網(wǎng)絡(luò)的平安性也是最令人擔(dān)憂的，經(jīng)常成為入侵者的攻擊目標(biāo)。如右圖即為未經(jīng)過授權(quán)的使用者從無線網(wǎng)絡(luò)中非法收取信息。未經(jīng)過授權(quán)的使用者收取信息

6.1物聯(lián)網(wǎng)信息傳輸6.1.2平安連接的組成無線網(wǎng)絡(luò)的平安連接由以下幾局部組成：1.鑒權(quán)：在數(shù)據(jù)信息被允許傳送以前，無線網(wǎng)絡(luò)的節(jié)點(diǎn)必須被識(shí)別和〔依靠鑒權(quán)的方法〕必須提交能夠被認(rèn)為有效的信任書2.加密：在發(fā)送無線網(wǎng)絡(luò)的數(shù)據(jù)包以前，無線網(wǎng)絡(luò)的節(jié)點(diǎn)必須對(duì)數(shù)據(jù)進(jìn)行加密以確保數(shù)據(jù)的機(jī)密性。6.1物聯(lián)網(wǎng)信息傳輸3.數(shù)據(jù)的完整性：在發(fā)送數(shù)據(jù)包以前，無線網(wǎng)絡(luò)的節(jié)點(diǎn)必須確保數(shù)據(jù)包中包含有有用的信息，這樣數(shù)據(jù)的接收者才能保證數(shù)據(jù)在傳送過程中沒有被改動(dòng)過。6.1物聯(lián)網(wǎng)信息傳輸6.1.3設(shè)備局限性WLAN技術(shù)出現(xiàn)之后，“平安〞就成為始終伴隨在“無線〞這個(gè)詞身邊的影子，針對(duì)無線網(wǎng)絡(luò)技術(shù)中涉及的平安認(rèn)證加密協(xié)議的攻擊與破解就層出不窮。對(duì)于104位WEP僅需捕獲40000個(gè)數(shù)據(jù)包，破解WEP的成功率就可達(dá)50%,而假設(shè)是有85000個(gè)數(shù)據(jù)包，成功率就可到達(dá)95%。就算是256bit的WEP加密也只需要30萬包數(shù)據(jù)，表達(dá)了設(shè)備和平安算法的局限性。6.2無線網(wǎng)絡(luò)的結(jié)構(gòu)無線局域網(wǎng)由無線網(wǎng)卡、無線接入點(diǎn)(AP)、計(jì)算機(jī)和有關(guān)設(shè)備組成,采用單元結(jié)構(gòu),將整個(gè)系統(tǒng)分成多個(gè)單元,每個(gè)單元稱為一個(gè)根本效勞組(BSS),BSS的組成有以下三種方式:無中心的分布對(duì)等方式、有中心的集中控制方式以及這兩種方式的混合方式。6.2無線網(wǎng)絡(luò)的結(jié)構(gòu)在分布對(duì)等方式下,無線網(wǎng)絡(luò)中的任意兩站之間可以直接通信,無需設(shè)置中心轉(zhuǎn)接站。這時(shí),MAC控制功能由各站分布管理。在集中控制方式情況下,無線網(wǎng)絡(luò)中設(shè)置一個(gè)中心控制站,主要完成MAC控制以及信道的分配等功能。網(wǎng)內(nèi)的其他各站在該中心的協(xié)調(diào)下與其他各站通信。6.2無線網(wǎng)絡(luò)的結(jié)構(gòu)第三種方式是前兩種方式的組合,即分布式與集中式的混合方式。在這種方式下,網(wǎng)絡(luò)中的任意兩站均可以直接通信,而中心控制站完成局部無線信道資源的控制。6.3無線網(wǎng)絡(luò)的平安隱患無線通信網(wǎng)絡(luò)中的不平安因素主要有以下幾個(gè)方面：1.無線竊聽在無線通信網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)通信內(nèi)容〔如移動(dòng)用戶的通話信息、身份信息、位置信息、數(shù)據(jù)信息以及移動(dòng)站與網(wǎng)絡(luò)控制中心之間信令信息等〕都是通過無線信道傳送的。而無線信道是一個(gè)開放性信道，任何具有適當(dāng)無線設(shè)備的人均可以通過竊聽無線信道而獲得上述信息。6.3無線網(wǎng)絡(luò)的平安隱患無線竊聽可以導(dǎo)致信息泄露。移動(dòng)用戶的身份信息和位置信息的泄露可以導(dǎo)致移動(dòng)用戶被無線跟蹤。無線竊聽除了可以導(dǎo)致信息泄露外，還可以導(dǎo)致其他一些攻擊，如傳輸流分析，即攻擊者可能并不知道真正的消息，但他知道這個(gè)消息確實(shí)存在，并知道這個(gè)消息的發(fā)送方和接收方地址，從而可以根據(jù)消息傳輸流的這些信息分析通信目的，并可以猜測通信內(nèi)容。6.3無線網(wǎng)絡(luò)的平安隱患2.假冒攻擊在無線通信網(wǎng)絡(luò)中，移動(dòng)站〔包括移動(dòng)用戶和移動(dòng)終端〕與網(wǎng)絡(luò)控制中心以及其他移動(dòng)站之間不存在任何固定的物理連接〔如網(wǎng)絡(luò)電纜〕，移動(dòng)站必須通過無線信道傳送其身份信息，以便于網(wǎng)絡(luò)控制中心以及其他移動(dòng)站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽，當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí)，他就可以利用這個(gè)身份信息來假冒該合法用戶的身份入網(wǎng)，這就是所謂的身份假冒攻擊。6.3無線網(wǎng)絡(luò)的平安隱患3.信息篡改所謂信息篡改是指主動(dòng)攻擊者將竊聽到的信息進(jìn)行修改〔如刪除或替代局部或全部信息〕之后再將信息傳給原本的接收者。這種攻擊的目的有兩種：〔1〕攻擊者惡意破壞合法用戶的通信內(nèi)容，阻止合法用戶建立通信連接；〔2〕攻擊者將修改的消息傳給接收者，企圖欺騙接收者相信該修改的消息是由一個(gè)合法用戶傳給的。6.3無線網(wǎng)絡(luò)的平安隱患4.效勞后抵賴所謂效勞后抵賴是指交易雙方中的一方在交易完成后否認(rèn)其參與了此交易。例如電子商務(wù)應(yīng)用中就存在著兩種效勞后抵賴的威脅：〔1〕客戶在選購了商品后否認(rèn)他選擇了某些或全部商品而拒絕付費(fèi)；〔2〕商店收到了客戶的貨款卻否認(rèn)已收到貨款而拒絕交付商品。6.3無線網(wǎng)絡(luò)的平安隱患5.重傳攻擊所謂重傳攻擊是指主動(dòng)攻擊者將竊聽到的有效信息經(jīng)過一段時(shí)間后再傳給信息的接收者。攻擊者的目的是企圖利用曾經(jīng)有效的信息在改變了的情形下到達(dá)同樣的目的，例如攻擊者利用截獲到的合法用戶口令來獲得網(wǎng)絡(luò)控制中心的授權(quán)，從而訪問網(wǎng)絡(luò)資源。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.1WAP協(xié)議WAP〔WirelessApplicationProtocol〕無線應(yīng)用協(xié)議是一個(gè)開放式標(biāo)準(zhǔn)協(xié)議，利用它可以把網(wǎng)絡(luò)上的信息傳送到移動(dòng)或其他無線通訊終端上。WAP是由愛立信、諾基亞、摩托羅拉等通信業(yè)巨頭在1997年成立的無線應(yīng)用協(xié)議論壇〔WAPForum〕中所制定的?？梢园丫W(wǎng)絡(luò)上的信息傳送到移動(dòng)或其它無線通訊終端上。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安WAP協(xié)議包括以下幾層：WirelessApplicationEnvironment〔WAE〕WirelessSessionLayer〔WSL〕WirelessTransportLayerSecurity〔WTLS〕WirelessTransportLayer〔WTP〕6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安WAP可提供的效勞主要涉及幾方面：①信息類：基于短信平臺(tái)上的信息點(diǎn)播效勞,如新聞,、天氣預(yù)報(bào)、折扣消息等信息。②通信類：利用電信運(yùn)營商的短信平臺(tái)為用戶提供的諸如E-MAIL通知、E-MAIL等通信效勞。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安③商務(wù)類：移動(dòng)電子商務(wù)效勞,包括在線的交易、購物支付等應(yīng)用。④娛樂類：包括各種游戲、圖片及音樂鈴聲下載等。⑤特殊效勞類：如廣告、位置效勞等。可以把商家的廣告信息定向發(fā)送到用戶的里。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.2WAP應(yīng)用面臨的平安威脅在WAP應(yīng)用中受到的平安威脅來源與有線環(huán)境相似，主要來源于如下幾個(gè)方面:①假冒，攻擊者裝扮成另一合法用戶非法訪問受害者的資源以獲取某種利益或到達(dá)破壞的目的。②竊聽，攻擊者通過對(duì)傳輸媒介的監(jiān)聽非法獲取傳輸?shù)男畔?，是?duì)通信網(wǎng)絡(luò)最常見的攻擊方法，這種威脅完全來源于無線鏈路的開放性。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安③非授權(quán)訪問，攻擊者違反平安策略，利用平安系統(tǒng)的缺陷非法占有系統(tǒng)資源或訪問本應(yīng)受保護(hù)的信息。④信息否認(rèn)，交易的一方對(duì)交易過程中的信息〔如電子合同、賬單〕抵賴否認(rèn)。造成平安威脅的不僅僅是第三方攻擊者，交易的參與方也同樣可能參與平安攻擊。⑤WAP應(yīng)用模型本身存在的平安漏洞帶來的平安問題6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.3WAP的平安體系構(gòu)架1.WAP的平安構(gòu)架模型WAP平安構(gòu)架由：WTLS〔WirelessTransportLayerSecurity〕WIM〔WirelessIdentityModule〕WPKI〔WAPPublicKeyInfrastructure〕WMLScript〔WirelessMarkupLanguageScript〕四局部組成。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安WAP的平安構(gòu)架模型6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安2.WTLS分析WAP體系構(gòu)架中保障通信平安的一個(gè)重要層次就是WTLS。WTLS工作在傳輸層之上，在針對(duì)窄帶通信信道進(jìn)行了優(yōu)化后，為兩個(gè)通信實(shí)體提供機(jī)密性、數(shù)據(jù)完整性和通信雙方的身份認(rèn)證。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安WTLS的主要平安目標(biāo)：①數(shù)據(jù)完整性②保密性③身份認(rèn)證④不可否認(rèn)性6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.4WAP應(yīng)用模型存在的平安漏洞1.WAP應(yīng)用模型WAP系統(tǒng)包括WAP無線用戶、WAP網(wǎng)關(guān)、WAP內(nèi)容效勞器。其中WAP網(wǎng)關(guān)起著協(xié)議的翻譯和轉(zhuǎn)換作用，是聯(lián)系無線通信網(wǎng)絡(luò)與萬維網(wǎng)的橋梁。網(wǎng)關(guān)與效勞器之間通過HTTP進(jìn)行通信，WAP內(nèi)容效勞器存儲(chǔ)著大量的信息，供WAP無線用戶訪問、查詢、瀏覽。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安WAP應(yīng)用模型6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安2.平安漏洞分析在傳輸層的平安保障上，WTLS和TSL協(xié)議起到了非常關(guān)鍵的作用。WTLS和TLS其本身的平安性也是很高的。但是由于WTLS與TLS之間的不兼容，兩者之間需要WAP網(wǎng)關(guān)的轉(zhuǎn)換，WML與HTML之間也需要WAP網(wǎng)關(guān)進(jìn)行轉(zhuǎn)換。無線用戶與內(nèi)容效勞器之間是通過WAP網(wǎng)關(guān)建立的間接的平安連接，該連接并不是點(diǎn)到點(diǎn)平安的，這樣就帶來一個(gè)被稱為“平安缺口〔SecurityGap〕〞的平安漏洞。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.5端到端的平安模型已經(jīng)提出的“端到端〞的平安模型主要有下述幾種。1.專用WAP網(wǎng)關(guān)內(nèi)容效勞器的平安網(wǎng)絡(luò)內(nèi)配置自己的專用WAP網(wǎng)關(guān)，無線用戶通常直接連接到一個(gè)缺省的WAPProxy網(wǎng)關(guān)，Proxy網(wǎng)關(guān)將連接請(qǐng)求轉(zhuǎn)向?qū)Ｓ玫腤AP網(wǎng)關(guān)，與專用WAP網(wǎng)關(guān)建立WTLS連接，這樣即使在WAP網(wǎng)關(guān)內(nèi)敏感信息以明文的形式暫時(shí)存在，那也是在內(nèi)容效勞器的平安網(wǎng)絡(luò)內(nèi)部，保證了端到端的平安。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安2.WAP隧道技術(shù)數(shù)據(jù)傳輸前，在無線用戶終端上對(duì)數(shù)據(jù)包進(jìn)行WTLS加密，當(dāng)加密數(shù)據(jù)包從無線用戶傳輸?shù)絎AP網(wǎng)關(guān)上時(shí)，不進(jìn)行WTLS的解密，而是直接進(jìn)行TLS加密，傳輸給WAP內(nèi)容效勞器。在內(nèi)容效勞器端進(jìn)行TLS和WTLS的兩次解密后，獲得明文數(shù)據(jù)。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安3.WAP2.0模型采用完全的WAP2.0協(xié)議，無線用戶終端擁有HTTP或者簡化的HTTP功能，并提供TLS的平安協(xié)議，這樣無線終端和WAP內(nèi)容效勞器之間沒有協(xié)議轉(zhuǎn)換的需求，就可以透明地穿過WAP網(wǎng)關(guān)，與內(nèi)容效勞器建立端到端的平安通信。但是由于國內(nèi)WAP2.0的應(yīng)用環(huán)境還不成熟，還不是主流，沒有很大的實(shí)用價(jià)值。6.4無線應(yīng)用協(xié)議〔WAP〕應(yīng)用平安6.4.6基于應(yīng)用層的平安模型如上所述，三種常用的平安模型都存在一些缺點(diǎn)，要么建設(shè)本錢太高，要么對(duì)現(xiàn)有協(xié)議的改動(dòng)過多，或者兼容性太差。在這里提出一個(gè)較易實(shí)現(xiàn)的平安模型，基于應(yīng)用層的端到端加密模型：在WAP的應(yīng)用層先對(duì)數(shù)據(jù)進(jìn)行一次加密，再通過WAP的平安傳輸層進(jìn)行傳輸，數(shù)據(jù)到達(dá)內(nèi)容效勞器后，應(yīng)用層再對(duì)數(shù)據(jù)進(jìn)行解密得到明文。6.5無線網(wǎng)絡(luò)的平安措施下面介紹幾種對(duì)無線網(wǎng)絡(luò)平安技術(shù)實(shí)現(xiàn)的措施。1〕、采用128位WEP加密技術(shù)，并不使用產(chǎn)商自帶的WEP密鑰2〕、MAC地址過濾3〕、禁用SSID播送4〕、采用端口訪問技術(shù)〔802.1x〕進(jìn)行控制，防止非授權(quán)的非法接入和訪問。5〕、對(duì)于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接。6.5無線網(wǎng)絡(luò)的平安措施6〕、對(duì)AP和網(wǎng)卡設(shè)置復(fù)雜的SSID，并根據(jù)需求確定是否需要漫游來確定是否需要MAC綁定。7〕、禁止AP向外播送其SSID。8〕、修改缺省的AP密碼，Intel的AP的默認(rèn)密碼是Intel。9〕、布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區(qū)域，同時(shí)要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò)。6.5無線網(wǎng)絡(luò)的平安措施10)、禁止員工私自安裝AP。11)、如果網(wǎng)卡支持修改屬性需要密碼功能，要開啟該功能，防止網(wǎng)卡屬性被修改。12〕、配置設(shè)備檢查非法進(jìn)入公司的2.4G電磁波發(fā)生器，防止被干擾和DOS13〕、制定無線網(wǎng)絡(luò)管理規(guī)定，規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員，禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)14〕、跟蹤無線網(wǎng)絡(luò)技術(shù)，對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)。6.6無線局域網(wǎng)平安技術(shù)6.6.1無線局域網(wǎng)的開放性無線局域網(wǎng)的平安性值得我們?nèi)プ⒁狻Ｓ捎趥魉偷臄?shù)據(jù)是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的、安裝在不同樓層、甚至是發(fā)射機(jī)所在的大樓之外的接收設(shè)備，任何人都有條件竊聽或干擾信息，數(shù)據(jù)平安就成為最重要的問題。6.6無線局域網(wǎng)平安技術(shù)6.6.2無線局域網(wǎng)所面臨的危險(xiǎn)〔1〕容易侵入無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。6.6無線局域網(wǎng)平安技術(shù)〔2〕非法的AP無線局域網(wǎng)易于訪問和配置簡單的特性，使網(wǎng)絡(luò)管理員和平安官員非常頭痛。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購置的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大平安隱患。6.6無線局域網(wǎng)平安技術(shù)〔3〕經(jīng)授權(quán)使用效勞一半以上的用戶在使用AP時(shí)只是在其默認(rèn)的配置根底上進(jìn)行很少的修改。幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。由于無線局域網(wǎng)的開放式訪問方式，未經(jīng)授權(quán)擅自使用網(wǎng)絡(luò)資源不僅會(huì)增加帶寬費(fèi)用，更可能會(huì)導(dǎo)致法律糾紛。未經(jīng)授權(quán)的用戶沒有遵守效勞提供商提出的效勞條款，可能會(huì)導(dǎo)致ISP中斷效勞。6.6無線局域網(wǎng)平安技術(shù)〔4〕效勞和性能的限制無線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網(wǎng)的實(shí)際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量，就會(huì)輕易地吞噬AP有限的帶寬;6.6無線局域網(wǎng)平安技術(shù)〔5〕地址欺騙和會(huì)話攔截由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過欺騙幀去重新定向數(shù)據(jù)流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來惡意攻擊時(shí)使用。6.6無線局域網(wǎng)平安技術(shù)〔6〕流量分析與流量偵聽802.11無法防止攻擊者采用被動(dòng)方式監(jiān)聽網(wǎng)絡(luò)流量，而任何無線網(wǎng)絡(luò)分析儀都可以不受任何阻礙地截獲未進(jìn)行加密的網(wǎng)絡(luò)流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了時(shí)機(jī)。6.6無線局域網(wǎng)平安技術(shù)〔7〕高級(jí)入侵一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的平安設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前從而遭到攻擊。6.6無線局域網(wǎng)平安技術(shù)6.6.3無線局域網(wǎng)的平安技術(shù)常見的無線網(wǎng)絡(luò)平安技術(shù)：■效勞區(qū)標(biāo)識(shí)符(SSID)匹配；■無線網(wǎng)卡物理地址〔MAC〕過濾；■有線等效保密〔WEP〕；■端口訪問控制技術(shù)〔IEEE802.1x〕和可擴(kuò)展認(rèn)證協(xié)議〔EAP〕；■WPA(Wi-Fi保護(hù)訪問)技術(shù)；■高級(jí)的無線局域網(wǎng)平安標(biāo)準(zhǔn)——IEEE802.11i；6.6無線局域網(wǎng)平安技術(shù)為了有效保障無線局域網(wǎng)(WLAN)的平安性，就必須實(shí)現(xiàn)以下幾個(gè)平安目標(biāo)：①提供接入控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入；②確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；③防止拒絕效勞〔DoS〕攻擊：確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶的正常接入。6.6無線局域網(wǎng)平安技術(shù)1.SSIDSSID(ServiceSetIdentifier)將一個(gè)無線局域網(wǎng)分為幾個(gè)不同的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都有其對(duì)應(yīng)的身份標(biāo)識(shí)〔SSID〕，只有無線終端設(shè)置了配對(duì)的SSID才接入相應(yīng)的子網(wǎng)絡(luò)。所以可以認(rèn)為SSID是一個(gè)簡單的口令，提供了口令認(rèn)證機(jī)制，實(shí)現(xiàn)了一定的平安性。6.6無線局域網(wǎng)平安技術(shù)2.MAC地址過濾每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址〔MAC〕標(biāo)識(shí)，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點(diǎn)AP中手工維護(hù)一組〔不〕允許通過AP訪問網(wǎng)絡(luò)地址列表，以實(shí)現(xiàn)基于物理地址的訪問過濾。6.6無線局域網(wǎng)平安技術(shù)3.802.11WEPIEEE80211.b標(biāo)準(zhǔn)規(guī)定了一種被稱為有線等效保密〔WEP〕的可選加密方案，其目的是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的平安保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的根本平安方式。靜態(tài)WEP密鑰是一種在會(huì)話過程中不發(fā)生變化也不針對(duì)各個(gè)用戶而變化的密鑰。6.6無線局域網(wǎng)平安技術(shù)4.802.1x/EAP用戶認(rèn)證802.1x是針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的平安性標(biāo)準(zhǔn)草案?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對(duì)連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗，那么禁止該設(shè)備訪問LAN資源。6.6無線局域網(wǎng)平安技術(shù)802.1x草案為認(rèn)證方定義了兩種訪問控制端口：即“受控〞端口和“非受控〞端口。“受控端口〞分配給那些已經(jīng)成功通過認(rèn)證的實(shí)體進(jìn)行網(wǎng)絡(luò)訪問；而在認(rèn)證尚未完成之前，所有的通信數(shù)據(jù)流從“非受控端口〞進(jìn)出。"非受控端口"只允許通過802.1X認(rèn)證數(shù)據(jù)，一旦認(rèn)證成功通過，請(qǐng)求方就可以通過"受控端口"訪問LAN資源和效勞。6.6無線局域網(wǎng)平安技術(shù)802.1x認(rèn)證前后的邏輯示意圖

6.6無線局域網(wǎng)平安技術(shù)5.WPA(802.11i)(1)802.11i—新一代WLAN平安標(biāo)準(zhǔn)IEEE802.11i是新一代平安標(biāo)準(zhǔn)，這種平安標(biāo)準(zhǔn)是為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN〔RobustSecurityNetwork〕的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。6.6無線局域網(wǎng)平安技術(shù)IEEE802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了：TKIP〔TemporalKeyIntegrityProtocol〕CCMP〔Counter-Mode/CBC-MACProtocol〕WRAP〔WirelessRobustAuthenticatedProtocol〕三種加密機(jī)制。6.6無線局域網(wǎng)平安技術(shù)其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法到達(dá)提高WLAN平安的目的。CCMP機(jī)制基于AES〔AdvancedEncryptionStandard〕加密算法和CCM〔Counter-Mode/CBC-MAC〕認(rèn)證方式，使得WLAN的平安程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。6.6無線局域網(wǎng)平安技術(shù)(2)WPA——向IEEE802.11i過渡的中間標(biāo)準(zhǔn)市場對(duì)于提高WLAN平安的需求是十分緊迫的，IEEE802.11i的進(jìn)展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA〔Wi-FiProtectedAccess〕標(biāo)準(zhǔn)。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和TKIP。6.6無線局域網(wǎng)平安技術(shù)WPA與IEEE802.11i的關(guān)系

6.6無線局域網(wǎng)平安技術(shù)6.6.4無線網(wǎng)絡(luò)主流技術(shù)平安解決方案1.隱藏SSID2.MAC地址過濾3.WEP加密4.AP隔離5.802.1x協(xié)議6.WPA7.WPA28.802.11i6.7藍(lán)牙技術(shù)平安機(jī)制藍(lán)牙技術(shù)是一種新的無線通信技術(shù)，通信距離可達(dá)10m左右。它采用了跳頻擴(kuò)展技術(shù)〔FHSS〕，在一次連接中，無線電收發(fā)器按一定的碼序列不斷地從一個(gè)信道跳到另一個(gè)信道，只有收發(fā)雙方是按這個(gè)規(guī)律進(jìn)行通信的，而其他的干擾不可能按同樣的規(guī)律進(jìn)行干擾。藍(lán)牙采用了數(shù)據(jù)加密和用戶鑒別措施，藍(lán)牙設(shè)備使用個(gè)人身份數(shù)字〔PIN〕和藍(lán)牙地址來分區(qū)分的藍(lán)牙設(shè)備。6.7藍(lán)牙技術(shù)平安機(jī)制6.7.1.藍(lán)牙的平安結(jié)構(gòu)藍(lán)牙平安管理器存儲(chǔ)著有關(guān)設(shè)備和效勞的平安信息，平安管理器將決定是否接收數(shù)據(jù)，斷開連接或是否需要加密和身份認(rèn)證，它還初始化一個(gè)可信任的關(guān)系以及從用戶那里得到一個(gè)PIN碼。6.7藍(lán)牙技術(shù)平安機(jī)制藍(lán)牙技術(shù)的平安體系結(jié)構(gòu)6.7藍(lán)牙技術(shù)平安機(jī)制6.7.2.藍(lán)牙的平安等級(jí)①設(shè)備信任級(jí)別藍(lán)牙設(shè)備有兩種信任級(jí)別，即可信任和不可信任?？尚湃渭?jí)別有一個(gè)固定的可信任關(guān)系，可以得到大多數(shù)效勞?？尚湃卧O(shè)備是預(yù)先得到鑒別的。而不可信任設(shè)備所得到的效勞是有限的，它也可以具有一個(gè)固定的關(guān)系，但不是可信任的。一個(gè)新連接的設(shè)備總是被認(rèn)為是未知的，不可信任的。6.7藍(lán)牙技術(shù)平安機(jī)制②藍(lán)牙的平安模式平安模式1：現(xiàn)有的大多數(shù)基于藍(lán)牙的設(shè)備，不采用信息平安管理和不執(zhí)行平安保護(hù)及處理；平安模式2：藍(lán)牙設(shè)備采用信息平安管理并執(zhí)行平安保護(hù)和處理，這種平安機(jī)制建立在L2CAP和它之上的協(xié)議中；平安模式3：藍(lán)牙設(shè)備采用信息平安管理和執(zhí)行平安保護(hù)及處理，這種平安機(jī)制建立在芯片中和LMP〔鏈接管理協(xié)議〕。6.7藍(lán)牙技術(shù)平安機(jī)制③效勞的平安級(jí)別當(dāng)建立一個(gè)連接時(shí)，用戶有各種不同的平安級(jí)別可選，效勞的平安級(jí)別主要由以下三個(gè)方面來保證：授權(quán)要求：在授權(quán)之后，訪問權(quán)限只自動(dòng)賦給可信任設(shè)備或不可信任設(shè)備。鑒別要求：在連接到一個(gè)應(yīng)用之前，遠(yuǎn)程設(shè)備必須被鑒別。加密要求：在訪問效勞可能發(fā)生之前，連接必須切換到加密模式。6.7藍(lán)牙技術(shù)平安機(jī)制6.7.3.藍(lán)牙的密鑰管理在藍(lán)牙系統(tǒng)中有四種類型的密鑰以確保平安的傳輸。其中最重要的密鑰是鏈路密鑰，用于兩個(gè)藍(lán)牙設(shè)備之間相互鑒別。①鏈路密鑰有四種鏈路密鑰滿足不同的應(yīng)用。這四種鏈路密鑰都是128位的隨機(jī)數(shù)，它們分別是：a)單元密鑰b)聯(lián)合密鑰c)主密鑰d)初始化密鑰6.7藍(lán)牙技術(shù)平安機(jī)制②加密密鑰加密密鑰由當(dāng)前的鏈路密鑰推算而來。每次需要加密密鑰時(shí)它會(huì)自動(dòng)更換。將加密密鑰與鑒權(quán)密鑰別離開的原因是可以使用較短的加密密鑰而不減弱鑒權(quán)過程的平安性。③PIN碼這是一個(gè)由用戶選擇或固定的數(shù)字，長度可以為1－16個(gè)字節(jié)，通常為四位十進(jìn)制數(shù)。用戶在需要時(shí)可以改變它，這樣就增加了系統(tǒng)的平安性。同時(shí)在兩個(gè)設(shè)備輸入PIN比其中一個(gè)使用固定的PIN要平安的多。6.7藍(lán)牙技術(shù)平安機(jī)制④密鑰的生成與初始化密鑰的交換發(fā)生在初始化過程中，在兩個(gè)需要進(jìn)行鑒權(quán)和加密的設(shè)備上分別完成。初始化過程包括以下步驟：a)生成初始化密鑰b)鑒權(quán)c)生成鏈路密鑰d)交換鏈路密鑰f)兩設(shè)備各自生成加密密鑰

6.7藍(lán)牙技術(shù)平安機(jī)制6.7.4.藍(lán)牙的鑒權(quán)方案藍(lán)牙的鑒權(quán)方案是詢問與響應(yīng)策略。協(xié)議檢查雙方是否有相同的密鑰，如果有那么鑒權(quán)通過。在鑒權(quán)過程中，生成一個(gè)ACO值并儲(chǔ)存在兩個(gè)設(shè)備中用于以后加密密鑰的生成。6.7藍(lán)牙技術(shù)平安機(jī)制鑒權(quán)方案按以下步驟進(jìn)行：1)被鑒權(quán)設(shè)備A向鑒權(quán)設(shè)備B發(fā)送一個(gè)隨機(jī)數(shù)供鑒權(quán)；2)利用E1鑒權(quán)函數(shù)，使用隨機(jī)數(shù)、鑒權(quán)設(shè)備B當(dāng)藍(lán)牙地址和當(dāng)前鏈路密鑰匹配時(shí)得出響應(yīng)；3)鑒權(quán)設(shè)備B將響應(yīng)發(fā)往請(qǐng)求被鑒權(quán)設(shè)備A，設(shè)備A而后判斷響應(yīng)是否匹配。

6.7藍(lán)牙技術(shù)平安機(jī)制6.7.5.藍(lán)牙的加密體系藍(lán)牙加密體系系統(tǒng)地對(duì)每個(gè)數(shù)據(jù)包的凈荷進(jìn)行加密。這由流密碼E0完成，對(duì)每個(gè)凈荷E0都將被重新同步。E0流密碼包含三個(gè)局部：第一局部完成初始化工作，生成凈荷密鑰；第二局部密鑰流比特；第三局部完成加密與解密。凈荷密鑰的生成非常簡單，它將輸入的比特按一定順序組合，而后將他們移位至流密鑰生成器的四線性反響移位存放器中。6.7藍(lán)牙技術(shù)平安機(jī)制有幾種加密模式可供使用(取決于設(shè)備使用半永久鏈路密鑰還是主密鑰)。如果使用了個(gè)體密鑰或者聯(lián)合密鑰，播送的數(shù)據(jù)流將不進(jìn)行加密。點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)流可以加密也可以不加密。如果使用了主密鑰，那么有三種可能的模式：1)加密模式1：不對(duì)任何數(shù)據(jù)流進(jìn)行加密；2)加密模式2：點(diǎn)對(duì)多點(diǎn)〔播送〕數(shù)據(jù)流不加密，點(diǎn)對(duì)點(diǎn)數(shù)據(jù)流用主密鑰進(jìn)行加密；3)加密模式3：所有數(shù)據(jù)流均用主密鑰進(jìn)行加密。6.7藍(lán)牙技術(shù)平安機(jī)制6.7.6.藍(lán)牙的平安局限藍(lán)牙技術(shù)的平安性并不總是令人滿意的。例如就鑒權(quán)而言，它只是針對(duì)設(shè)備，而不對(duì)用戶。如果需要此特性，那么不得不在應(yīng)用的平安層次上來完成。目前藍(lán)牙系統(tǒng)僅在建立連接時(shí)允許訪問控制，這種訪問控制是不對(duì)稱的，一旦建立一個(gè)連接，數(shù)據(jù)的流動(dòng)原那么上是雙向的，在目前藍(lán)牙技術(shù)體系結(jié)構(gòu)下數(shù)據(jù)單向流動(dòng)是不可能的。6.8超寬帶物聯(lián)網(wǎng)信息平安策略6.8.1UWB超寬帶的應(yīng)用優(yōu)勢UWB作為一種重要的超寬帶近距離通信技術(shù)在需要傳輸寬帶感知信息的物聯(lián)網(wǎng)應(yīng)用領(lǐng)域具有廣闊的應(yīng)用前景。UWB通信技術(shù)的主要特點(diǎn)有：〔1〕低本錢UWB產(chǎn)品只需要一種數(shù)字方式來產(chǎn)生脈沖，并對(duì)脈沖進(jìn)行數(shù)字調(diào)制，而這些電路都可以被集成到一個(gè)芯片上。因此，其收發(fā)電路的本錢很低，在集成芯片上加上時(shí)間基和一個(gè)微控制器，就可構(gòu)成一部超寬帶通信設(shè)備。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔2〕傳輸速率高為確保提供高質(zhì)量的多媒體業(yè)務(wù)的無線網(wǎng)絡(luò)，其信息速率不能低于50Mbit/s。一般要求UWB信號(hào)的傳輸范圍為10m以內(nèi)，再根據(jù)經(jīng)過修改的信道容量公式，其傳輸速率可達(dá)500Mbit/s，是實(shí)現(xiàn)無線個(gè)域網(wǎng)的一種理想調(diào)制技術(shù)。UWB以非常寬的頻率來換取高速的數(shù)據(jù)傳輸，并且不單獨(dú)占用現(xiàn)在的頻率資源，而是共享其他無線技術(shù)使用的頻帶。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔3〕空間容量大UWB無線通信技術(shù)的單位區(qū)域內(nèi)通信容量可超過每平方米1000kbit/s，而IEEE802.11b僅為每平方米1kbit/s，藍(lán)牙技術(shù)為每平方米30kbit/s，IEEE

802.11a也只有每平方米83kbit/s，可見，現(xiàn)有的無線技術(shù)標(biāo)準(zhǔn)的空間容量都遠(yuǎn)低于UWB技術(shù)。隨著技術(shù)的不斷完善，UWB系統(tǒng)的通信速率、傳輸距離及空間容量還將不斷提高。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔4〕低功耗UWB使用簡單的傳輸方式發(fā)出的是瞬間尖波形電波，脈沖持續(xù)時(shí)間很短，僅為0.2ns～1.5ns，由于只在需要時(shí)發(fā)送出脈沖電波，因此UWB系統(tǒng)的功耗很低，僅為1mW～4mW，民用的UWB設(shè)備功率一般是傳統(tǒng)移動(dòng)或者無線局域網(wǎng)所需功率的1/10～1/100左右，大大延長了電源的供電時(shí)間。UWB設(shè)備在電池壽命和電磁輻射上，相對(duì)于傳統(tǒng)無線設(shè)備有著很大的優(yōu)越性。6.8超寬帶物聯(lián)網(wǎng)信息平安策略6.8.2UWB超寬帶面臨的信息平安威脅〔1〕拒絕效勞攻擊拒絕效勞攻擊是使節(jié)點(diǎn)無法對(duì)其它合法節(jié)點(diǎn)提供所需正常效勞的攻擊。在無線通信中，攻擊者的攻擊目標(biāo)可以是任意的移動(dòng)節(jié)點(diǎn)，且攻擊可以來自于各個(gè)方向，拒絕效勞攻擊可以發(fā)生在UWB網(wǎng)絡(luò)的各個(gè)層。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔2〕密鑰泄露在傳統(tǒng)公鑰密碼體制中，用戶采用加密、數(shù)字簽名等來實(shí)現(xiàn)信息的機(jī)密性、完整性等平安效勞。但這需要一個(gè)信任的認(rèn)證中心，而UWB網(wǎng)絡(luò)不允許存在單一的認(rèn)證中心，否那么單個(gè)認(rèn)證中心崩潰將造成整個(gè)網(wǎng)絡(luò)無法獲得認(rèn)證，而且被攻破認(rèn)證中心的私鑰可能會(huì)泄露給攻擊者，致使網(wǎng)絡(luò)完全失去平安性。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔3〕假冒攻擊

假冒攻擊在UWB網(wǎng)絡(luò)的各個(gè)層次都可以進(jìn)行。它可以威脅到UWB網(wǎng)絡(luò)的所有結(jié)構(gòu)層。如果沒有適當(dāng)?shù)纳矸菡J(rèn)證，惡意節(jié)點(diǎn)就可以偽裝成其他信任的節(jié)點(diǎn)，從而破壞整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，Sybil攻擊就是這樣的一種攻擊。6.8超寬帶物聯(lián)網(wǎng)信息平安策略〔4〕路由攻擊路由攻擊包括內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊源于網(wǎng)絡(luò)內(nèi)部，這種攻擊對(duì)路由信息將造成很大的威脅。外部攻擊中除了常規(guī)的路由表溢出攻擊等外部攻擊外還包括隧道〔tunnel〕攻擊，睡眠剝奪攻擊，結(jié)點(diǎn)自私性攻擊等針對(duì)移動(dòng)自組網(wǎng)的獨(dú)特攻擊。6.8超寬帶物聯(lián)網(wǎng)信息平安策略6.8.3超寬帶平安性標(biāo)準(zhǔn)分布式無線網(wǎng)絡(luò)更因?yàn)楦鞣N各樣的應(yīng)用和使用模式，平安問題更加復(fù)雜。

1.平安性要求針對(duì)UWB應(yīng)用過程中容易發(fā)生的信息平安問題，國際標(biāo)準(zhǔn)化組織〔ISO〕接受了由WiMedia聯(lián)盟提出的“高速率超寬帶通信的物里層和媒體接入控制標(biāo)準(zhǔn)〞，即ECMA-368〔ISO/IEC26907〕，標(biāo)準(zhǔn)了相應(yīng)的平安性要求。6.8超寬帶物聯(lián)網(wǎng)信息平安策略2.信息接收與驗(yàn)證在信息接收過程中，接收幀時(shí)，MAC子層信息處理流程如以下圖所示。6.8超寬帶物聯(lián)網(wǎng)信息平安策略3.MAC層的信息平安傳輸機(jī)制■通過物理層，在一個(gè)無線頻道上與對(duì)等設(shè)備進(jìn)行通信；■采用基于動(dòng)態(tài)配置(reservation-based)的分布式信道訪問方式；■基于競爭的信道訪問方式；■采用同步的方式進(jìn)行協(xié)調(diào)應(yīng)用；6.8超寬帶物聯(lián)網(wǎng)信息平安策略■提供在設(shè)備移動(dòng)和干擾環(huán)境下的有效解決方案；■以調(diào)度幀傳送和接收的方式來控制設(shè)備功耗；■提供平安的數(shù)據(jù)認(rèn)證和加密方式；■提供設(shè)備間距離計(jì)算方案。6.8超寬帶物聯(lián)網(wǎng)信息平安策略6.8.4超寬帶拒絕效勞攻擊防御策略1.UWB拒絕效勞攻擊原理拒絕效勞是指網(wǎng)絡(luò)信息系統(tǒng)由于某種原因遭到不同程度的破壞，使得系統(tǒng)資源的可用性降低甚至不可用，從而導(dǎo)致不能為授權(quán)用戶提供正常的效勞。拒絕效勞通常是由配置錯(cuò)誤、軟件弱點(diǎn)、資源毀壞、資源耗盡和資源過載等因素引起的。6.8超寬帶物聯(lián)網(wǎng)信息平安策略其根本原理是利用工具軟件，集中在某一時(shí)間段內(nèi)向目標(biāo)機(jī)發(fā)送大量的垃圾信息，或是發(fā)送超過系統(tǒng)接收范圍的信息，使對(duì)方出現(xiàn)網(wǎng)絡(luò)堵塞、負(fù)載過重等狀況，造成目標(biāo)系統(tǒng)拒絕效勞。由于在實(shí)際的網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)規(guī)模和速度的限制，攻擊者往往難以在短時(shí)間內(nèi)發(fā)送過多的請(qǐng)求，因而多采用分布式拒絕效勞攻擊的方式。6.8超寬帶物聯(lián)網(wǎng)信息平安策略UWB拒絕效勞攻擊流程6.8超寬帶物聯(lián)網(wǎng)信息平安策略2.UWB網(wǎng)絡(luò)中拒絕效勞攻擊類型主要有兩種類型:MAC層攻擊和網(wǎng)絡(luò)層攻擊。(1)MAC層攻擊實(shí)施這類攻擊主要有兩種方法:一是擁塞UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備使用的無線UWB信道，致使UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備不可用；二是將UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備作為網(wǎng)橋，讓其不停地中繼轉(zhuǎn)發(fā)無效的數(shù)據(jù)幀，以耗盡UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備的可用資源。6.8超寬帶物聯(lián)網(wǎng)信息平安策略(2)UWB路由攻擊，其主要攻擊方法措施有：UWB網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)通過與UWB網(wǎng)絡(luò)中的被攻擊目標(biāo)節(jié)點(diǎn)設(shè)備建立大量的無效TCP連接來消耗目標(biāo)節(jié)點(diǎn)設(shè)備的TCP資源，致使正常的連接不能進(jìn)入，從而降低甚至耗盡系統(tǒng)的資源；UWB網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)同時(shí)向UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備發(fā)送大量的偽造的路由更新數(shù)據(jù)包，致使目標(biāo)節(jié)點(diǎn)設(shè)備忙于頻繁的無效路由更新，以此惡化系統(tǒng)的性能；6.8超寬帶物聯(lián)網(wǎng)信息平安策略通過IP地址欺騙技術(shù)，攻擊節(jié)點(diǎn)通過向路由器的播送地址發(fā)送虛假信息，使得路由器所在網(wǎng)絡(luò)上的每臺(tái)設(shè)備向UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備回應(yīng)該訊息，從而降低系統(tǒng)的性能；修改IP數(shù)據(jù)包頭部的TTL域，使得數(shù)據(jù)包無法到達(dá)UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備。6.8超寬帶物聯(lián)網(wǎng)信息平安策略3.UWB網(wǎng)絡(luò)中拒絕效勞攻擊防御措施采用路由路徑刪除措施來防止UWB洪水拒絕效勞攻擊。當(dāng)攻擊者發(fā)動(dòng)基于數(shù)據(jù)報(bào)文的UWB洪水攻擊行為時(shí)，發(fā)送大量攻擊數(shù)據(jù)報(bào)文至所有UWB網(wǎng)絡(luò)中的節(jié)點(diǎn)。但作為數(shù)據(jù)報(bào)文的目標(biāo)節(jié)點(diǎn)，就比較容易判定了。當(dāng)目標(biāo)節(jié)點(diǎn)發(fā)現(xiàn)收到的報(bào)文都是無用的時(shí)候，它就可以認(rèn)定源節(jié)點(diǎn)為攻擊者。目標(biāo)節(jié)點(diǎn)可通過路徑刪除的方法來阻止基于數(shù)據(jù)報(bào)文的UWB洪水攻擊行為。6.9物聯(lián)網(wǎng)終端平安物聯(lián)網(wǎng)終端1.物聯(lián)網(wǎng)終端的根本原理及作用〔1〕原理：物聯(lián)網(wǎng)終端根本由外圍感知(傳感)接口，中央處理模塊和外部通訊接口三個(gè)局部組成，通過外圍感知接口與傳感設(shè)備連接，如RFID讀卡器，紅外感應(yīng)器，環(huán)境傳感器等，將這些傳感設(shè)備的數(shù)據(jù)進(jìn)行讀取并通過中央處理模塊處理后，通過外部通訊接口，如：GPRS模塊、以太網(wǎng)接口、WIFI等方式發(fā)送到以太網(wǎng)的指定中心處理平臺(tái)。6.9物聯(lián)網(wǎng)終端平安〔2〕作用：物聯(lián)網(wǎng)終端屬于傳感網(wǎng)絡(luò)層和傳輸網(wǎng)絡(luò)層的中間設(shè)備，也是物聯(lián)網(wǎng)的關(guān)鍵設(shè)備，通過他的轉(zhuǎn)換和采集，才能將各種外部感知數(shù)據(jù)聚集和處理，并將數(shù)據(jù)通過各種網(wǎng)絡(luò)接口方式傳輸?shù)交ヂ?lián)網(wǎng)中。如果沒有他的存在，傳感數(shù)據(jù)將無法送到指定位置，“物〞的聯(lián)網(wǎng)將不復(fù)存在。6.9物聯(lián)網(wǎng)終端平安2.物聯(lián)網(wǎng)終端的分類〔1〕從行業(yè)應(yīng)用分主要包括工業(yè)設(shè)備檢測終端，設(shè)施農(nóng)業(yè)檢測終端，物流RFID識(shí)別終端，電力系統(tǒng)檢測終端，安防視頻監(jiān)測終端等6.9物聯(lián)網(wǎng)終端平安〔2〕從使用場合分主要包括以下三種：固定終端，移動(dòng)終端和手持終端。〔3〕從傳輸方式分主要包括以