物聯(lián)網(wǎng)安全技術(shù)第5章局域網(wǎng)相關(guān)技術(shù)及解決方案

5.1Internet及其效勞5.2Internet提供的效勞5.3Internet的管理5.1信息傳輸需求

網(wǎng)絡(luò)層概述物聯(lián)網(wǎng)通過網(wǎng)絡(luò)層實(shí)現(xiàn)更加廣泛的互連功能，通過各種網(wǎng)絡(luò)接入設(shè)備與移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)等廣域網(wǎng)相連，能夠把感知到的信息快速、可靠、平安地進(jìn)行傳輸。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層將主要建立在現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)根底上，根本能夠滿足物聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)男枰Ｎ锫?lián)網(wǎng)的網(wǎng)絡(luò)層主要用于把感知層收集到的信息平安可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理、分類、聚合等，即網(wǎng)絡(luò)層主要由網(wǎng)絡(luò)根底設(shè)施和網(wǎng)絡(luò)管理及處理系統(tǒng)組成，物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)、WLAN網(wǎng)絡(luò)和一些專業(yè)網(wǎng)〔如數(shù)字音/視頻播送網(wǎng)、公共效勞專用網(wǎng)〕等。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于把感知層收集到的信息平安可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理，實(shí)現(xiàn)對客觀世界的有效感知及有效控制。其中連接終端感知網(wǎng)絡(luò)與效勞器的橋梁便是各類承載網(wǎng)絡(luò)，物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)包括核心網(wǎng)〔NGN〕、2G通信系統(tǒng)、3G通信系統(tǒng)和LTE/4G通信系統(tǒng)等移動(dòng)通信網(wǎng)絡(luò)，以及WLAN、藍(lán)牙等無線接入系統(tǒng)，如圖5-1所示。

圖5-1信息傳輸面臨的平安問題

〔3〕物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的關(guān)系是密不可分、相輔相成的?；ヂ?lián)網(wǎng)基于優(yōu)先級(jí)管理的典型特征使得其對于平安、可信、可控、可管都沒有特殊要求，但是，物聯(lián)網(wǎng)對于實(shí)時(shí)性、平安可信性、資源保證性等方面卻有很高的要求。〔4〕物聯(lián)網(wǎng)需要嚴(yán)密的平安性和可控性，物聯(lián)網(wǎng)的絕大多數(shù)應(yīng)用都涉及個(gè)人隱私或企業(yè)內(nèi)部秘密，物聯(lián)網(wǎng)必須提供嚴(yán)密的平安性和可控性，具有保護(hù)個(gè)人隱私、防御網(wǎng)絡(luò)攻擊的能力。2．物聯(lián)網(wǎng)的網(wǎng)絡(luò)平安需求

從信息與網(wǎng)絡(luò)平安的角度來看，物聯(lián)網(wǎng)作為一個(gè)多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò)，不僅存在與傳感器網(wǎng)絡(luò)、移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)同樣的平安問題，同時(shí)還有其特殊性，如隱私保護(hù)問題、異構(gòu)網(wǎng)絡(luò)的認(rèn)證與訪問控制問題、信息的存儲(chǔ)與管理等。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于實(shí)現(xiàn)物聯(lián)網(wǎng)信息的雙向傳遞和控制，網(wǎng)絡(luò)通信適應(yīng)物物通信需求的無線接入網(wǎng)絡(luò)平安和核心網(wǎng)的平安，同時(shí)在物聯(lián)網(wǎng)的網(wǎng)絡(luò)層，異構(gòu)網(wǎng)絡(luò)的信息交換將成為平安性的脆弱點(diǎn)，特別在網(wǎng)絡(luò)鑒權(quán)認(rèn)證過程，防止不了網(wǎng)絡(luò)攻擊。這些攻擊都需要有更高的平安防護(hù)措施。網(wǎng)絡(luò)層平安框架

隨著物聯(lián)網(wǎng)的開展，建立端到端的全局物聯(lián)網(wǎng)將成為趨勢，現(xiàn)有互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)等通信網(wǎng)絡(luò)將成為物聯(lián)網(wǎng)的根底承載網(wǎng)絡(luò)。由于通信網(wǎng)絡(luò)在物聯(lián)網(wǎng)架構(gòu)中的缺位，使得早期的物聯(lián)網(wǎng)應(yīng)用往往在部署范圍、應(yīng)用領(lǐng)域、平安保護(hù)等諸多方面有所局限，終端之間及終端與后臺(tái)軟件之間都難以開展協(xié)同。物聯(lián)網(wǎng)網(wǎng)絡(luò)層平安體系結(jié)構(gòu)如圖5-2所示。圖5-2物聯(lián)網(wǎng)網(wǎng)絡(luò)層平安體系結(jié)構(gòu)5.2物聯(lián)網(wǎng)核心網(wǎng)平安5.2.1現(xiàn)有核心網(wǎng)典型平安防護(hù)系統(tǒng)部署5.2.2下一代網(wǎng)絡(luò)〔NGN〕平安5.2.3下一代互聯(lián)網(wǎng)〔NGI〕的平安5.2.4網(wǎng)絡(luò)虛擬化平安現(xiàn)有核心網(wǎng)典型平安防護(hù)系統(tǒng)部署圖5-3物聯(lián)網(wǎng)核心網(wǎng)絡(luò)平安防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2．證書管理系統(tǒng)證書管理系統(tǒng)簽發(fā)和管理數(shù)字證書，由證書注冊中心、證書簽發(fā)中心及證書目錄效勞器組成。系統(tǒng)結(jié)構(gòu)及相互關(guān)系如圖5-4所示。圖5-4證書管理系統(tǒng)的組成證書注冊：審核注冊用戶的合法性，代理用戶向證書簽發(fā)中心提出證書簽發(fā)請求，并將用戶證書和密鑰寫入身份令牌，完成證書簽發(fā)〔包括機(jī)構(gòu)證書、系統(tǒng)證書和用戶證書〕；證書撤銷：當(dāng)用戶身份令牌喪失或用戶狀態(tài)改變時(shí)，向證書簽發(fā)中心提出證書撤銷請求，完成證書撤銷列表的簽發(fā)；證書恢復(fù)：當(dāng)用戶身份令牌損壞時(shí)，向證書簽發(fā)中心提出證書恢復(fù)請求，完成用戶證書的恢復(fù)；證書發(fā)布：負(fù)責(zé)將簽發(fā)或恢復(fù)后的用戶證書及證書撤銷列表發(fā)布到證書目錄效勞器中；身份令牌：為證書簽發(fā)、恢復(fù)等模塊提供用戶身份令牌的操作接口，包括用戶臨時(shí)密鑰對的產(chǎn)生、私鑰的解密寫入、用戶證書的寫入及用戶信息的讀取等；證書簽發(fā)效勞：接收證書注冊中心的證書簽發(fā)請求，完成證書簽發(fā)〔包括機(jī)構(gòu)證書、設(shè)備證書和用戶證書〕；證書撤銷效勞：接收證書注冊中心的證書撤銷請求，完成證書撤銷列表的簽發(fā)；是否允許終端設(shè)備的訪問。應(yīng)用平安訪問控制設(shè)備需實(shí)現(xiàn)的主要功能包括如下幾種。統(tǒng)一的平安保護(hù)機(jī)制：為網(wǎng)絡(luò)中多臺(tái)〔套〕應(yīng)用效勞器系統(tǒng)提供集中式、統(tǒng)一的身份認(rèn)證、平安傳輸、訪問控制等；身份認(rèn)證：基于USBKEY+數(shù)字證書的身份認(rèn)證機(jī)制，在應(yīng)用層嚴(yán)格控制終端設(shè)備對應(yīng)用系統(tǒng)的訪問接入，可以完全防止終端設(shè)備身份假冒事件的發(fā)生；數(shù)據(jù)平安保護(hù)：終端設(shè)備與應(yīng)用訪問控制設(shè)備之間建立訪問被保護(hù)效勞器的專用平安通道，該平安通道為數(shù)據(jù)傳輸提供數(shù)據(jù)封裝、完整性保護(hù)等平安保障；訪問控制：結(jié)合授權(quán)管理系統(tǒng)，對FTP、HTTP應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)目錄一級(jí)的訪問控制，在授權(quán)管理設(shè)備中沒有授予任何訪問權(quán)限的終端設(shè)備，將不允許登錄應(yīng)用訪問控制設(shè)備；透明轉(zhuǎn)發(fā)：支持根據(jù)用戶策略的設(shè)置，實(shí)現(xiàn)多種協(xié)議的透明轉(zhuǎn)發(fā)；日志審計(jì)：能夠記錄終端設(shè)備的訪問日志，能夠記錄管理員的所有配置管理操作，可以查看歷史日志；應(yīng)用平安訪問控制設(shè)備和授權(quán)管理設(shè)備共同實(shí)現(xiàn)對訪問效勞區(qū)域的終端設(shè)備的身份認(rèn)證及訪問權(quán)限控制；通過建立統(tǒng)一的身份認(rèn)證體系，在終端部署認(rèn)證機(jī)制，通過應(yīng)用訪問控制設(shè)備對訪問應(yīng)用效勞平安域應(yīng)用效勞器的終端設(shè)備進(jìn)行身份認(rèn)證和授權(quán)訪問控制。4．平安通道管控設(shè)備

平安通道管控設(shè)備部署于物聯(lián)網(wǎng)LNS效勞器與運(yùn)營商網(wǎng)關(guān)之間，用于抵御來自公網(wǎng)或終端設(shè)備的各種平安威脅。其主要特點(diǎn)表達(dá)在兩個(gè)方面：透明，即對用戶透明、對網(wǎng)絡(luò)設(shè)備透明，滿足電信級(jí)要求；管控，即根據(jù)需要對網(wǎng)絡(luò)通信內(nèi)容進(jìn)行管理、監(jiān)控。5．網(wǎng)絡(luò)加密機(jī)網(wǎng)絡(luò)加密機(jī)部署在物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間，通過建立一個(gè)平安隧道，并且隔離終端設(shè)備和中心效勞器之間的直接連接，所有的訪問都必須通過平安隧道網(wǎng)絡(luò)加密機(jī)采用對稱密碼體制的分組密碼算法，加密傳輸采用IPSec的ESP協(xié)議、通道模式進(jìn)行封裝。在公共移動(dòng)通信網(wǎng)絡(luò)上構(gòu)建自主平安可控的物聯(lián)網(wǎng)虛擬專用網(wǎng)〔VPN〕，使物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的各種應(yīng)用業(yè)務(wù)數(shù)據(jù)平安、透明地通過公共通信環(huán)境，確保終端數(shù)據(jù)傳輸?shù)钠桨脖Ｃ堋?．入侵檢測設(shè)備

入侵檢測設(shè)備為終端子網(wǎng)提供異常數(shù)據(jù)檢測，及時(shí)發(fā)現(xiàn)攻擊行為，并在局域或全網(wǎng)預(yù)警。攻擊行為的及時(shí)發(fā)現(xiàn)可以觸發(fā)平安事件應(yīng)急響應(yīng)機(jī)制，防止平安事件的擴(kuò)大和蔓延。入侵檢測設(shè)備在對全網(wǎng)數(shù)據(jù)進(jìn)行分析和檢測的同時(shí)，還可以提供多種應(yīng)用協(xié)議的審計(jì)，記錄終端設(shè)備的應(yīng)用訪問行為。入侵檢測設(shè)備首先獲取網(wǎng)絡(luò)中的各種數(shù)據(jù)，然后對IP數(shù)據(jù)進(jìn)行碎片重組。此后，入侵檢測模塊對協(xié)議數(shù)據(jù)進(jìn)一步分揀，將TCP、UDP和ICMP數(shù)據(jù)分流。針對TCP數(shù)據(jù)，入侵檢測模塊進(jìn)行TCP流重組。在此之后，入侵檢測模塊、平安審計(jì)模塊和流量分析模塊分別提取與其相關(guān)的協(xié)議數(shù)據(jù)進(jìn)行分析。入侵檢測設(shè)備由控制中心軟件和探測引擎組成，控制中心軟件管理所有探測引擎，為管理員提供管理界面查看和分析監(jiān)測數(shù)據(jù)，根據(jù)告警信息及時(shí)做出響應(yīng)。探測引擎的采集接口部署在交換機(jī)的鏡像接口，用于檢測進(jìn)出的網(wǎng)絡(luò)行為。9．防病毒效勞器防病毒效勞器用于保護(hù)網(wǎng)絡(luò)中的主機(jī)和應(yīng)用效勞器，防止主機(jī)和效勞器由于感染病毒導(dǎo)致系統(tǒng)異常、運(yùn)行故障，甚至癱瘓、數(shù)據(jù)喪失等。防病毒效勞器由監(jiān)控中心和客戶端組成，客戶端分效勞器版和主機(jī)版，分別部署在效勞器或者主機(jī)上，監(jiān)控中心部署在平安保密根底設(shè)施子網(wǎng)中。10．補(bǔ)丁分發(fā)效勞器補(bǔ)丁分發(fā)效勞器部署在平安防護(hù)系統(tǒng)內(nèi)網(wǎng)，補(bǔ)丁分發(fā)系統(tǒng)采用B/S構(gòu)架，可在網(wǎng)絡(luò)的任何終端通過登錄內(nèi)網(wǎng)補(bǔ)丁分發(fā)效勞器的管理頁面進(jìn)行管理和各種信息查詢；所有的網(wǎng)絡(luò)終端需要安裝客戶端程序以對其進(jìn)行監(jiān)控和管理；補(bǔ)丁分發(fā)系統(tǒng)同時(shí)需要在外網(wǎng)部署一臺(tái)補(bǔ)丁下載效勞器〔部署于外網(wǎng)，與互聯(lián)網(wǎng)相連〕，用來更新補(bǔ)丁信息〔此效勞器也可用來下載病毒庫升級(jí)文件〕。補(bǔ)丁分發(fā)系統(tǒng)將來可根據(jù)實(shí)際需要在客戶端數(shù)量、管理層次和功能擴(kuò)展上進(jìn)行無縫平滑擴(kuò)展。下一代網(wǎng)絡(luò)〔NGN〕平安

圖5-5NGN的網(wǎng)絡(luò)體系結(jié)構(gòu)〔1〕平安策略需求。平安策略需求要求定義一套規(guī)那么集，包括系統(tǒng)的合法用戶和合法用戶的訪問權(quán)限，說明保護(hù)何種信息及為什么進(jìn)行保護(hù)。在NGN環(huán)境下，存在著不同的用戶實(shí)體、不同的設(shè)備商設(shè)備、不同的網(wǎng)絡(luò)體系架構(gòu)、不同的威脅模型、不均衡的平安功能開發(fā)等，沒有可實(shí)施的平安策略是很難保證有正確的平安功能的?！?〕認(rèn)證、授權(quán)、訪問控制和審計(jì)需求。在NGN不同平安域之間和同一平安域內(nèi)部，對資源和業(yè)務(wù)的訪問必須進(jìn)行認(rèn)證授權(quán)效勞，只有通過認(rèn)證的實(shí)體才能使用被授權(quán)訪問實(shí)體上的特定資源和業(yè)務(wù)。通過這一方法確保只有合法用戶才可以訪問資源、系統(tǒng)和業(yè)務(wù)，防止入侵者對資源、系統(tǒng)和業(yè)務(wù)進(jìn)行非法訪問，并主動(dòng)上報(bào)與平安相關(guān)的所有事件，生成可管理的、具有訪問控制權(quán)限的平安事件審計(jì)材料?！?〕時(shí)間戳與時(shí)間源需求。NGN能夠提供可信的時(shí)間源作為系統(tǒng)時(shí)鐘和審計(jì)時(shí)間戳，以便在處理未授權(quán)事件時(shí)能夠提供可信的時(shí)間憑證。〔4〕資源可用性需求。NGN能夠限制分配給某業(yè)務(wù)請求的重要資源的數(shù)量，丟棄不符合平安策略的數(shù)據(jù)包，限制突發(fā)流量，降低突發(fā)流量對其他業(yè)務(wù)的影響，防止拒絕效勞〔DoS〕攻擊。〔5〕系統(tǒng)完整性需求。NGN設(shè)備能夠基于平安策略，驗(yàn)證和審計(jì)其資源和系統(tǒng)，并且監(jiān)控其設(shè)備配置與系統(tǒng)未經(jīng)授權(quán)而發(fā)生的改變，防止蠕蟲、木馬等病毒的安裝。為此，設(shè)備需要根據(jù)平安策略，定期掃描它的資源，發(fā)現(xiàn)問題時(shí)生成日志并產(chǎn)生告警。對設(shè)備的監(jiān)控不能影響該設(shè)備上實(shí)時(shí)業(yè)務(wù)的時(shí)延變化或?qū)е逻B接中斷?！?〕操作、管理、維護(hù)和配置平安需求。NGN需要支持對信任域、脆弱信任域和非信任域設(shè)備的管理，需要保證操作、管理、維護(hù)和配置〔OAMP〕信息的平安，防止設(shè)備被非法接管。〔7〕身份和平安注冊需求。NGN需要防止用戶身份被竊取，防止網(wǎng)絡(luò)設(shè)備、終端和用戶的偽裝、欺騙以及對資源、系統(tǒng)和業(yè)務(wù)的非法訪問。〔8〕通信和數(shù)據(jù)平安需求。NGN需要保證通信與數(shù)據(jù)的平安，包括用戶面數(shù)據(jù)、控制面數(shù)據(jù)和管理面數(shù)據(jù)。用戶和邏輯網(wǎng)元的接口及不同運(yùn)營商之間的接口都需要進(jìn)行平安保護(hù)，信令需要逐跳保證私密性和完整性?！?〕隱私保證需求。保護(hù)運(yùn)營商網(wǎng)絡(luò)、業(yè)務(wù)提供商網(wǎng)絡(luò)的隱私性及用戶信息的隱私性。〔10〕密鑰管理需求。保證信任域與非信任域之間密鑰交換的平安，密鑰管理機(jī)制需要支持網(wǎng)絡(luò)地址映射/網(wǎng)絡(luò)地址接口轉(zhuǎn)換〔NAT/NAPT〕設(shè)備的穿越。圖5-6X.805標(biāo)準(zhǔn)端到端平安體系架構(gòu)NGN平安體系架構(gòu)就是在應(yīng)用X.805平安體系架構(gòu)根底上，結(jié)合NGN體系架構(gòu)和IETF相關(guān)的平安協(xié)議而提出來的，如圖5-7所示，這樣可以有效地指導(dǎo)NGN平安解決方案的實(shí)現(xiàn)。圖5-7NGN平安體系架構(gòu)根底用戶域包括用戶終端和一些歸屬網(wǎng)關(guān)〔可能由用戶/管理員擁有〕：接入網(wǎng)絡(luò)域由接入網(wǎng)絡(luò)提供者管理；訪問域網(wǎng)絡(luò)提供者可以提供多媒體效勞，并可能具有自己的用戶，相應(yīng)地，訪問域提供者可能與第三方應(yīng)用提供方ASP具有協(xié)議來提供效勞，訪問網(wǎng)絡(luò)域包括多媒體子系統(tǒng)〔IP-basedMultimediaSubsystem，IPIMS〕功能實(shí)體；歸屬網(wǎng)絡(luò)提供者提供了多媒體效勞，相應(yīng)地，訪問網(wǎng)絡(luò)提供者可能與第三方應(yīng)用提供者具有協(xié)議來提供效勞，它具有IMS網(wǎng)絡(luò)，歸屬域網(wǎng)關(guān)需要具有ISIM，而ISIM具有IMS認(rèn)證的證書。圖5-8NGN平安框架下一代互聯(lián)網(wǎng)〔NGI〕的平安

1．名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)

在當(dāng)前的互聯(lián)網(wǎng)中，IP地址既作為傳輸層和應(yīng)用層的節(jié)點(diǎn)身份標(biāo)志，又作為網(wǎng)絡(luò)層的位置標(biāo)志和路由器中的轉(zhuǎn)發(fā)標(biāo)志。IP地址的身份標(biāo)志〔名〕和位置標(biāo)志〔址〕重疊帶來了包括移動(dòng)性管理和平安在內(nèi)的諸多問題〔如IP地址欺騙〕，解決問題的方法自然就是采用名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)。在名址別離的網(wǎng)絡(luò)體系結(jié)構(gòu)中，節(jié)點(diǎn)的身份標(biāo)志供傳輸層和應(yīng)用層使用，而位置標(biāo)志用于網(wǎng)絡(luò)層拓?fù)渲泄?jié)點(diǎn)的定位。節(jié)點(diǎn)可以在不影響上層應(yīng)用的情況下，任意改變所處的位置，因此可以支持移動(dòng)性、多宿和平安關(guān)聯(lián)。名址別離的體系結(jié)構(gòu)應(yīng)具有〔不限于〕以下特征：在網(wǎng)絡(luò)的邊緣部署身份標(biāo)志與位置標(biāo)志的綁定功能，使得因移動(dòng)或多宿而造成的名址關(guān)聯(lián)變化能夠立即表達(dá)在數(shù)據(jù)包轉(zhuǎn)發(fā)上；在網(wǎng)絡(luò)的核心使用基于全局標(biāo)志的選路系統(tǒng)以保持網(wǎng)絡(luò)的可擴(kuò)展性。2．以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)

在互聯(lián)網(wǎng)開展之初，網(wǎng)絡(luò)應(yīng)用嚴(yán)格以主機(jī)為中心，基于Host-to-Host模型，網(wǎng)絡(luò)體系結(jié)構(gòu)也比較適合于靜態(tài)的主機(jī)對，網(wǎng)絡(luò)應(yīng)用〔如FTP、Telnet〕基于Host-to-Host模型而設(shè)計(jì)。隨著互聯(lián)網(wǎng)的開展，大局部網(wǎng)絡(luò)應(yīng)用主要涉及數(shù)據(jù)獲取和數(shù)據(jù)發(fā)布，用戶實(shí)際只關(guān)心數(shù)據(jù)或資源，而不關(guān)心其源于何處。由于數(shù)據(jù)可以被移動(dòng)，因此傳統(tǒng)的DNS域名解析方式存在弊端，例如，如果Joe的Web主頁F/~hippie移動(dòng)到wallstreetstiffs/~yuppie，以前所有的舊鏈接全部中斷。從平安角度而言，目前網(wǎng)絡(luò)應(yīng)用程序是圍繞主機(jī)、地址和字節(jié)而建立〔SocketAPI〕。以主機(jī)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)使得主機(jī)對網(wǎng)絡(luò)中的所有應(yīng)用可見，使之常常成為攻擊的目標(biāo)，如掃描、DDoS攻擊、蠕蟲蔓延都是以主機(jī)為目標(biāo)，基于HosttoHost模型的網(wǎng)絡(luò)體系結(jié)構(gòu)在一定程度上助長了惡意代碼蔓延和DDoS攻擊的發(fā)生。這是以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)提出的背景。DONA〔DataOrientedNetworkArchitecture〕是一種以數(shù)據(jù)為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)，用于解決數(shù)據(jù)的命名和定位問題。首先，DONA針對數(shù)據(jù)的命名，DONA設(shè)計(jì)了一套以數(shù)據(jù)為中心的命名機(jī)制；其次針對數(shù)據(jù)的定位，DONA在網(wǎng)絡(luò)的傳輸層和網(wǎng)絡(luò)層之間增加了新的DONA協(xié)議層，用覆蓋網(wǎng)的方式對數(shù)據(jù)的查詢請求進(jìn)行基于數(shù)據(jù)名的尋址。以數(shù)據(jù)為中心的命名機(jī)制圍繞主體〔Principal〕而組織，一個(gè)主體有一個(gè)公私鑰對K。數(shù)據(jù)與主體相聯(lián)系名字的形式為PL，其中P為主體公鑰的散列P=Hash(K)，L為Principal所選定的標(biāo)簽，由主體來保證L的唯一。這樣名字具有自證明屬性，因?yàn)閿?shù)據(jù)以<data，K，Sigk?l(data)>的形式組織，能夠證明自己確實(shí)是P所發(fā)出的真實(shí)數(shù)據(jù)，接收方通過檢查Hash(K)與P是否相等及驗(yàn)證Sigk?l(data)來判斷接收到的數(shù)據(jù)是否為P發(fā)出的真實(shí)數(shù)據(jù)。這樣的名字具有扁平化的特征，不含任意位置信息，數(shù)據(jù)名不會(huì)因?yàn)橐苿?dòng)而發(fā)生變化。DONA層主要功能是命名解析，由功能實(shí)體〔稱為RH，解析處理器〕完成，解析請求通過基于命名的尋址，實(shí)現(xiàn)命名到數(shù)據(jù)所在位置的解析。在這種方式下，客戶端使用數(shù)據(jù)名而不是數(shù)據(jù)所在主機(jī)的IP地址來獲取數(shù)據(jù)。DONA層還設(shè)計(jì)容納攜帶命名解析原語的數(shù)據(jù)包，包括:FIND(PL)：定位以PL命名的數(shù)據(jù)；REGISTER(PL)：向RH注冊PL命名的數(shù)據(jù)，設(shè)置RH有效路由FIND消息時(shí)所需的狀態(tài)信息。圍繞上述機(jī)制，以數(shù)據(jù)為中心的網(wǎng)絡(luò)組成與接口如圖5-9所示，圖中只表示了實(shí)現(xiàn)網(wǎng)絡(luò)“以數(shù)據(jù)為中心〞所相關(guān)的實(shí)體。圖中數(shù)據(jù)的兩份Copy通過Register接口進(jìn)行注冊，在RH中形成對Copy的基于命名尋址的路由表，Client通過Find接口找到最近的一份Copy，然后進(jìn)行數(shù)據(jù)傳輸。圖5-9以數(shù)據(jù)為中心的網(wǎng)絡(luò)組成與接口上述機(jī)制實(shí)現(xiàn)了基于數(shù)據(jù)名的泛播路由，即如果某些效勞器具有P所授權(quán)的一項(xiàng)效勞PL，并在它的本地RH注冊，那么DONA將FIND(PL)路由到最近的效勞器。該機(jī)制也具備對移動(dòng)性的支持，因?yàn)槁沃鳈C(jī)可以在漫游前注銷所注冊的數(shù)據(jù)，并在漫游后重新注冊。3．源地址認(rèn)證體系結(jié)構(gòu)〔SAVA〕SAVA基于IPv6網(wǎng)絡(luò)指出，其研究目標(biāo)是使網(wǎng)絡(luò)中的終端使用真實(shí)的IP地址訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)能夠識(shí)別偽造源地址的數(shù)據(jù)包，并禁止偽造源地址的數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸。SAVA體系結(jié)構(gòu)如圖5-10所示，它從本地子網(wǎng)、自治域內(nèi)和自治域間三個(gè)層面解決源地址認(rèn)證問題。本地子網(wǎng)源地址認(rèn)證采用基于MAC、IP和交換機(jī)接口動(dòng)態(tài)綁定的準(zhǔn)入控制方案，由位于本地主機(jī)中的源地址請求客戶端、位于本地交換機(jī)中的源地址有效性代理及源地址管理效勞器共同實(shí)施，不滿足綁定關(guān)系的IP數(shù)據(jù)包將被丟棄。自治域內(nèi)的源地址認(rèn)證實(shí)現(xiàn)基于地址前綴級(jí)的源地址認(rèn)證方案，其主要思想是根據(jù)路由器的每個(gè)接入接口和一系列的有效源地址塊的相關(guān)性信息建立一個(gè)過濾表格，只有滿足過濾表映射關(guān)系的數(shù)據(jù)包才能被接入路由器轉(zhuǎn)發(fā)到正確的目的網(wǎng)絡(luò)。目前應(yīng)用得比較多的標(biāo)準(zhǔn)方案包括IngressFiltering和uRPF，前者主要根據(jù)己知的地址范圍對發(fā)出的數(shù)據(jù)包進(jìn)行過濾，后者利用路由表和轉(zhuǎn)發(fā)表來協(xié)助判斷地址前綴的合法性。自治域間的源地址認(rèn)證使用基于端到端的輕量級(jí)簽名和基于路徑信息兩種實(shí)現(xiàn)方案。前者適合于非鄰接部署，依靠在IPv6分組中增加IPv6擴(kuò)展包頭存放輕量級(jí)簽名來驗(yàn)證源地址的有效性，該機(jī)制的優(yōu)點(diǎn)是產(chǎn)生有效性規(guī)那么的網(wǎng)絡(luò)節(jié)點(diǎn)不必直接相鄰，缺點(diǎn)是增加了網(wǎng)絡(luò)的開銷，尤其是在網(wǎng)絡(luò)中需要相互通信的對等節(jié)點(diǎn)數(shù)目很多的情況下網(wǎng)絡(luò)開銷相當(dāng)大；后者適合于鄰接部署，有效性規(guī)那么通過數(shù)據(jù)包傳輸經(jīng)過的路徑信息或者路由信息得到。該機(jī)制的優(yōu)點(diǎn)是可以直接通過IP前綴得到所需的有效性規(guī)那么，缺點(diǎn)是產(chǎn)生有效性規(guī)那么的網(wǎng)絡(luò)節(jié)點(diǎn)必須直接相鄰。圖5-10源地址認(rèn)證體系結(jié)構(gòu)4．4D網(wǎng)絡(luò)體系結(jié)構(gòu)

4D網(wǎng)絡(luò)體系結(jié)構(gòu)是美國“全球網(wǎng)絡(luò)創(chuàng)新環(huán)境〔GENI〕〞方案旗下的研究工程之一。該工程針對當(dāng)前互聯(lián)網(wǎng)的控制管理復(fù)雜、難以滿足使用需求等問題，采用“白板設(shè)計(jì)〞的方式，重新設(shè)計(jì)了互聯(lián)網(wǎng)的控制與管理平面。4D網(wǎng)絡(luò)體系結(jié)構(gòu)對于網(wǎng)絡(luò)平安的好處在于其體系結(jié)構(gòu)上的重新設(shè)計(jì)降低了網(wǎng)絡(luò)控制管理的復(fù)雜性，進(jìn)而減小了由于網(wǎng)絡(luò)管理配置錯(cuò)誤所帶來的自身脆弱性。4D的設(shè)計(jì)基于以下三個(gè)根本原那么，如圖5-11所示。網(wǎng)級(jí)目標(biāo)〔Network-LevelObjectives〕：網(wǎng)絡(luò)根據(jù)其需求和目標(biāo)來進(jìn)行配置，用策略明確地表達(dá)目標(biāo)〔如平安、QoS、出口點(diǎn)選擇、可達(dá)性矩陣等〕，而不是用一個(gè)個(gè)配置文件的具體細(xì)節(jié)來表述；網(wǎng)域視圖〔Network-WideMews〕：網(wǎng)絡(luò)提供及時(shí)、精確的信息〔包括拓?fù)?、流量、網(wǎng)絡(luò)事件等〕，給予決策單元所需要的輸入；直接控制〔DirectControl〕：決策單元計(jì)算所需要的網(wǎng)絡(luò)狀態(tài)，并直接設(shè)置路由器的轉(zhuǎn)發(fā)狀態(tài)。圖5-114D設(shè)計(jì)原那么與平面劃分如圖5-11所示，4D的網(wǎng)絡(luò)功能被劃分為4個(gè)平面。圖5-114D設(shè)計(jì)原那么與平面劃分決策平面：負(fù)責(zé)網(wǎng)絡(luò)管理控DE所有決DE由多個(gè)效勞器〔稱為決策單元DE〕組成；DE使用網(wǎng)域視圖計(jì)算數(shù)據(jù)平面的狀態(tài)來滿足網(wǎng)級(jí)目標(biāo)，并直接將狀態(tài)信息寫入數(shù)據(jù)平面，決策包括可達(dá)性、負(fù)載均衡、訪問控制、平安、接口配置等；分發(fā)平面：連接交換、由器與DE，用來傳輸控制管理信息；控制管理信息與數(shù)據(jù)信息共享物理鏈路，但分發(fā)路徑單獨(dú)維護(hù)，與數(shù)據(jù)路徑邏輯隔離〔這與目前互聯(lián)網(wǎng)控制信息由數(shù)據(jù)通道承載，而數(shù)據(jù)通道又由路由來建立的方式不同〕；健壯性是分發(fā)平面設(shè)計(jì)的唯一目標(biāo)；發(fā)現(xiàn)平面：發(fā)現(xiàn)網(wǎng)絡(luò)中的物理設(shè)備，創(chuàng)立邏輯標(biāo)識(shí)符來標(biāo)示物理設(shè)備：包括設(shè)備內(nèi)部發(fā)現(xiàn)〔如路由器接口〕與鄰居發(fā)現(xiàn)〔如接口連接的相鄰路由器〕：發(fā)現(xiàn)平面由交換機(jī)

/路由器負(fù)責(zé)實(shí)現(xiàn)；數(shù)據(jù)平面：根據(jù)決策平面的狀態(tài)輸出處理一個(gè)個(gè)的數(shù)據(jù)包，包括轉(zhuǎn)發(fā)表、包過濾等功能；數(shù)據(jù)平面由交換〕tfU路由器組成按照上述可知，4D網(wǎng)絡(luò)體系結(jié)構(gòu)包含如下兩類實(shí)體；決策單元：具備所有決策功能，創(chuàng)立路由器佼換機(jī)的轉(zhuǎn)發(fā)狀態(tài)，并分發(fā)到交換機(jī)中；路由器/交換機(jī)：只負(fù)責(zé)轉(zhuǎn)發(fā)。

由各平面和實(shí)體組成的4D網(wǎng)絡(luò)如圖5-12所示。4D網(wǎng)絡(luò)體系結(jié)構(gòu)的研究人員認(rèn)為，4D網(wǎng)絡(luò)體系結(jié)構(gòu)具有以下優(yōu)點(diǎn)。圖5-124D網(wǎng)絡(luò)組成降低復(fù)雜性：將路由計(jì)算這樣的網(wǎng)絡(luò)控制問題與具體的路由協(xié)議別離，是一種有效管理復(fù)雜性的方式；更高的健壯性：提升網(wǎng)絡(luò)管理控制的抽象層次，管理員只需理解網(wǎng)絡(luò)層面的目標(biāo)，而不是具體的協(xié)議和路由器配置，降低網(wǎng)絡(luò)的脆弱性；更高的平安性：平安策略可由網(wǎng)絡(luò)層面的目標(biāo)進(jìn)行表達(dá)，降低將平安策略翻譯成具體設(shè)備配置的出錯(cuò)概率；容納異構(gòu)性：同一種4D體系結(jié)構(gòu)可應(yīng)用于不同的網(wǎng)絡(luò)互連環(huán)境；有利于網(wǎng)絡(luò)創(chuàng)新和網(wǎng)絡(luò)演進(jìn)：將網(wǎng)絡(luò)控制功能從路由器/交換機(jī)中別離，使決策平面可以通過容納不同的算法來滿足不同的網(wǎng)絡(luò)層面目標(biāo)，而無須改變數(shù)據(jù)包格式和控制協(xié)議，這也鼓勵(lì)新的參與者〔如研究機(jī)構(gòu)〕創(chuàng)新。網(wǎng)絡(luò)虛擬化平安

連接控制：基于規(guī)那么進(jìn)行入站和出站連接控制，規(guī)那么可以按IP地址〔源/目標(biāo)〕、接口〔源/目標(biāo)〕和按類型的協(xié)議等進(jìn)行設(shè)置；內(nèi)容過濾：根據(jù)的協(xié)議類型對數(shù)據(jù)內(nèi)容進(jìn)行有選擇性的過濾；流量統(tǒng)計(jì)：可以計(jì)量虛擬網(wǎng)絡(luò)資源的使用量并監(jiān)控各個(gè)應(yīng)用程序的使用量比重；策略管理：進(jìn)行全局策略管理；日志記錄與針對訪問事件和平安事件〔錯(cuò)誤、警告等〕啟用日志記錄，方便審核。5.3基于藍(lán)牙的物聯(lián)網(wǎng)信息傳輸平安藍(lán)牙采用ISM2.4GHz的頻段發(fā)送信息，這與許多同類協(xié)議如IEEE?802.11b、家用設(shè)備等產(chǎn)生頻段沖突，容易對藍(lán)牙通信產(chǎn)生干擾，使通信效勞失去可用性：電磁信號(hào)在發(fā)送過程中容易被截取、分析，失去通信信息的保密性；通信對端實(shí)體身份容易受到冒充，使通信失去可靠性。藍(lán)牙的網(wǎng)絡(luò)平安模式藍(lán)牙標(biāo)準(zhǔn)中規(guī)定了三種網(wǎng)絡(luò)平安模式：非平安模式、業(yè)務(wù)層平安模式和鏈路層模式。1．非平安模式非平安模式：非平安機(jī)制無任何平安需求，無須任何平安效勞和機(jī)制的保護(hù)，此時(shí)任何設(shè)備和用戶都可以訪問任何類型的效勞。非平安模式在實(shí)際應(yīng)用中根本不予考慮。2．業(yè)務(wù)層平安模式業(yè)務(wù)層平安模式：效勞級(jí)平安機(jī)制對系統(tǒng)的各個(gè)應(yīng)用和效勞需要進(jìn)行分別的平安保護(hù)，包括授權(quán)訪問、身份鑒別或/和加密傳輸。在這種模式下，加密和鑒別發(fā)生在邏輯鏈路控制和適配協(xié)議〔LogicalLinkControllerandAdaptationProtocol，L2CAP〕信道建立之前。業(yè)務(wù)層平安模式中的平安性管理器主要包括儲(chǔ)存平安性信息、應(yīng)答請求、強(qiáng)制鑒別和〔或〕加密等關(guān)鍵任務(wù)。設(shè)備的3個(gè)信任等級(jí)和3種效勞級(jí)別，分別存儲(chǔ)在設(shè)備數(shù)據(jù)表和效勞數(shù)據(jù)表中，并且由平安管理器維護(hù)。每一個(gè)效勞通過效勞平安策略庫和設(shè)備庫來確定其平安等級(jí)。這兩個(gè)庫規(guī)定了：A設(shè)備訪問B效勞是否需要授權(quán)；A設(shè)備訪問B效勞是否需要身份鑒別；A設(shè)備訪問B效勞是否需要數(shù)據(jù)加密傳輸。這個(gè)平安體系結(jié)構(gòu)描述了何時(shí)需要和用戶交互〔如鑒別的過程〕，以及為了滿足特定的平安需求，協(xié)議層次之間必須進(jìn)行的平安行為。平安管理器是這個(gè)平安體系結(jié)構(gòu)的核心局部，它主要完成以下幾項(xiàng)任務(wù)：存儲(chǔ)和查詢有關(guān)效勞的相關(guān)平安信息；存儲(chǔ)和查詢有關(guān)設(shè)備的相關(guān)平安信息；對應(yīng)用、復(fù)用協(xié)議和L2CAP協(xié)議的訪問請求〔查詢〕進(jìn)行響應(yīng)在允許與應(yīng)用建立連接之前，實(shí)施鑒別、加密等平安措施；接收并處理GME的輸入，以在設(shè)備級(jí)建立平安關(guān)系；通過用戶接口請求并處理用戶或應(yīng)用的個(gè)人識(shí)別碼〔PersonalIdentificationNumber，PIN〕輸入，以完成鑒別和加密。需要授權(quán)和鑒別的效勞，只有可信任設(shè)備可以自動(dòng)訪問效勞，其他設(shè)備需要授權(quán)；對于僅需要鑒別的效勞，授權(quán)是不必要的；對所有設(shè)備開放的效勞，授權(quán)和鑒別都不需要。業(yè)務(wù)層平安模式能定義設(shè)備和效勞的平安等級(jí)。藍(lán)牙設(shè)備訪問效勞時(shí)分為可信任、不信任和未知3種設(shè)備?？尚湃卧O(shè)備可無限制地訪問所有效勞，不可信任設(shè)備訪問效勞受限未知設(shè)備也是不可信任設(shè)備。對于效勞，藍(lán)牙標(biāo)準(zhǔn)定義了3種平安級(jí)別：通過鑒別的設(shè)備對效勞或設(shè)備的訪問權(quán)限取決于對應(yīng)的注冊平安等級(jí)，各種效勞可以進(jìn)行效勞注冊，對這些效勞訪問的級(jí)別取決于效勞自身的平安機(jī)制。3．鏈路層平安模式鏈路層平安模式：鏈路級(jí)平安機(jī)制對所有的應(yīng)用和效勞的訪問都需要實(shí)行訪問授權(quán)、身份鑒別和加密傳輸，這種模式是業(yè)務(wù)層平安模式的另一個(gè)極端，可通過配置平安管理器并去除模塊存儲(chǔ)器中的鏈路密鑰到達(dá)目的，這種模式的鑒別和加密發(fā)生在鏈路配置完成之前。鏈路層平安模式與業(yè)務(wù)層平安模式的本質(zhì)區(qū)別在于：業(yè)務(wù)層平安模式下的藍(lán)牙設(shè)備在信道建立以后啟動(dòng)平安性過程，即在較高層協(xié)議。參數(shù)長度/bitBD_ADDR48128驗(yàn)證密鑰128加密密鑰8～128而鏈路層平安模式下的藍(lán)牙設(shè)備那么是在信道建立以前啟動(dòng)平安性過程，即在低層協(xié)議完成其平安性過程。通過平安體系結(jié)構(gòu)可以看出，藍(lán)牙的平安體系完全建立在鏈路層平安之上。藍(lán)牙系統(tǒng)在鏈路層同時(shí)使用4種不同的實(shí)體保證鏈路平安，即藍(lán)牙單元獨(dú)立的地址〔BD_ADDR〕、每次業(yè)務(wù)處理的隨機(jī)數(shù)〔RAND〕〔也稱為會(huì)話密鑰〕、驗(yàn)證密鑰和加密密鑰，如表5-1所示。表5-1藍(lán)牙驗(yàn)證和加密過程中的實(shí)體BD_ADDR是一個(gè)48位的IEEE地址，沒有平安保護(hù)。驗(yàn)證密鑰和加密密鑰在初始化時(shí)得到，它們是不公開的，其中加密密鑰的長度可根據(jù)需求配置。藍(lán)牙的鏈路層平安是通過匹配、鑒權(quán)和加密完成的，密鑰的建立是通過雙向的鏈接來實(shí)現(xiàn)的，鑒權(quán)和加密可以在物理鏈接中實(shí)現(xiàn)〔如基帶級(jí)〕，也可以通過上層的協(xié)議來實(shí)現(xiàn)。1〕匹配兩臺(tái)藍(lán)牙設(shè)備試圖鏈接時(shí)，個(gè)人識(shí)別碼〔PIN〕和一個(gè)隨機(jī)數(shù)經(jīng)必要信息交換和計(jì)算創(chuàng)立初始密鑰Kinit，此過程稱為匹配。Kinit在校驗(yàn)器向申請者發(fā)出LMP-in-rand〔隨機(jī)數(shù)〕時(shí)創(chuàng)立。2〕鑒權(quán)鑒權(quán)是藍(lán)牙設(shè)備必須支持的平安特性，它基于挑戰(zhàn)-應(yīng)答的方案。在該方案中，申請者對驗(yàn)證和加密密鑰確實(shí)認(rèn)使用會(huì)話密鑰經(jīng)2-MOV協(xié)議進(jìn)行校驗(yàn)。會(huì)話密鑰指當(dāng)前申請者/校驗(yàn)器共享同一密鑰，校驗(yàn)器將挑戰(zhàn)申請者鑒權(quán)隨機(jī)數(shù)輸入，該輸入以含一鑒權(quán)碼的AU_RANDA標(biāo)注，而該鑒權(quán)碼那么以E1標(biāo)注，同時(shí)向校驗(yàn)器返回結(jié)果SRES，其過程如圖5-13所示。圖5-13藍(lán)牙的鑒權(quán)過程

在藍(lán)牙系統(tǒng)中，校驗(yàn)器可以是主單元，也可以是從單元，即可進(jìn)行單向鑒權(quán)，也可以實(shí)施雙向鑒權(quán)。3〕加密藍(lán)牙采用分組方式保護(hù)有效載荷。對分組報(bào)頭和其他控制信息不加密，用序列密碼E0對有效載荷加密，并對每一有效載荷重新同步，整個(gè)加密過程如圖5-14所示。加密過程由三局部組成：第一局部設(shè)備初始化，同時(shí)生成加密密鑰KC，具體計(jì)算由藍(lán)牙E3算法執(zhí)行；第二局部由E0計(jì)算出加密有效載荷的密鑰；第三局部用E0生成的比特流對有效載荷進(jìn)行加密，解密那么以同樣的方式進(jìn)行。圖5-14有效載荷的加解密藍(lán)牙的密鑰管理機(jī)制藍(lán)牙平安體系中主要用到了3種密鑰：PIN、鏈路密鑰和加密密鑰。1．PlNPIN〔PersonalIdentificationNumber〕是一個(gè)1到16個(gè)字節(jié)的字符串。在藍(lán)牙標(biāo)準(zhǔn)中將其省長度定義為4?B，這是一個(gè)可以固定或者由用戶選擇的字符串。一般來講，這個(gè)PIN碼是隨單元一起提供的一個(gè)固定數(shù)字，但當(dāng)該單元有人機(jī)接口時(shí)，用戶可以任意選擇PIN的值，從而進(jìn)入通信單元。藍(lán)牙基帶標(biāo)準(zhǔn)中要求PIN的值是可以改變的，在設(shè)備注冊的過程中，戶必須將PIN手動(dòng)地輸入到由平安管理器激發(fā)的用戶接口中。就PIN碼的長度來說，短PIN碼可以滿足許多具體應(yīng)用的平安性要求，但存在不確定非平安因素；過長的PIN碼不利于交換，需要應(yīng)用層軟件的支持。因而，在實(shí)際應(yīng)用中，采用短的數(shù)據(jù)串作為PIN碼，其長度一般不超過16?B。2．鏈路密鑰鏈路密鑰主要用于驗(yàn)證并生成加密密鑰。按生命周期區(qū)分，鏈路密鑰分為永久密鑰半永久密鑰和臨時(shí)密鑰。按應(yīng)用的運(yùn)行階段和應(yīng)用模式，藍(lán)牙系統(tǒng)定義了4種鏈路密鑰：單元密鑰KA、組合密鑰KAB、主密鑰KAmaster、初始密鑰Kinit這4個(gè)密鑰都是128位的偽隨機(jī)數(shù)，KA為設(shè)備A生成，用于設(shè)備A允許大量的其他設(shè)備訪問，且設(shè)備A的存儲(chǔ)空間小的。3．加密密鑰

加密密鑰主要用符號(hào)KC表示，它由當(dāng)前鏈路密鑰導(dǎo)出。當(dāng)鏈路狀態(tài)變?yōu)榧用苣Ｊ綍r(shí)，會(huì)通過當(dāng)前正在使用的鏈路密鑰產(chǎn)生一個(gè)加密密鑰，加密密鑰的長度為8～128?bit。當(dāng)收到結(jié)束加密狀態(tài)的指令后，再寫入原鏈路密鑰。設(shè)備之間的所有平安問題都要由鏈路密鑰來處理，它用于鑒別，并且還要作為產(chǎn)生加密密鑰一個(gè)參數(shù)。鏈路密鑰又分為臨時(shí)密鑰和半永久性密鑰，后者在一個(gè)共享該密鑰的設(shè)備通過鑒別后仍能用；前者僅用于在一對鏈路上傳播相同信息〔播送〕的情況，密鑰用完后隨即被丟棄。鏈路密鑰〔Klink〕可以是合成密鑰、設(shè)備密鑰、主控設(shè)備密鑰和初始密鑰〔Kinit〕，具體要依賴于當(dāng)前應(yīng)用的類型。5.4基于ZigBee的物聯(lián)網(wǎng)信息傳輸平安

5.4.1ZigBee在物聯(lián)網(wǎng)中的應(yīng)用

5.4.2ZigBee信息平安效勞5.4.3ZigBee信息平安構(gòu)件ZigBee在物聯(lián)網(wǎng)中的應(yīng)用

圖5-15ZigBee的協(xié)議棧結(jié)構(gòu)ZigBee信息平安效勞3〕數(shù)據(jù)完整性利用消息完整性校驗(yàn)碼〔rvnc〕保證沒有密鑰的節(jié)點(diǎn)不會(huì)修改傳輸中的消息，進(jìn)一步確認(rèn)消息來自一個(gè)知道密鑰的節(jié)點(diǎn)。4〕序列抗重播保護(hù)利用一個(gè)序列號(hào)來拒絕重播的報(bào)文。當(dāng)收到一個(gè)數(shù)據(jù)包，將其Freshness值與上一個(gè)的Freshness值比較，來決定這個(gè)數(shù)據(jù)包是否是一個(gè)重播的報(bào)文。2．ZigBee平安效勞的模式MAC層允許對報(bào)文進(jìn)行平安操作，但并不強(qiáng)制平安的傳輸，會(huì)根據(jù)設(shè)備當(dāng)前運(yùn)行的模式以及所選擇的平安模塊，對設(shè)備提供不同的平安效勞，有以下三種平安模式。1〕不平安模式不提供任何平安效勞。2〕ACL模式不提供加密保護(hù)，必須由上層實(shí)現(xiàn)其他機(jī)制確認(rèn)發(fā)送消息設(shè)備的身份。這種模式僅僅提供訪問控制，作為一個(gè)簡單的過濾器只允許來自特定節(jié)點(diǎn)發(fā)來的報(bào)文，因此這種模式不能給報(bào)文提供任何平安性也不能防止惡意節(jié)點(diǎn)的攻擊。3〕平安模式在此模式下的設(shè)備通過選擇不同的平安模塊來獲取不同的平安效勞。ZigBee信息平安構(gòu)件

ZigBee信息平安的功能構(gòu)件主要分為平安功能模塊和信息平安接口兩類。1．ZigBee平安功能模塊

當(dāng)一個(gè)設(shè)備處于平安模式下就會(huì)使用特定的平安模塊。一個(gè)平安模塊包括對MAC幀提供的一系列操作。平安模塊的名字能說明對稱密鑰算法，模式以及完整性校驗(yàn)碼的長度。完整性校驗(yàn)碼的長度小于或者等于對稱密鑰的塊大小并且決定了一個(gè)隨意猜測的完整性校驗(yàn)碼被認(rèn)為是正確的可能性。提供了8種可選的平安模塊，其中無平安功能也是一種平安模塊，而AES-CCM和AES-CBC-MAC模塊那么根據(jù)完整性校驗(yàn)碼的長度又各分3種〔32?bit、64?bit和128?bit〕。以下按照功能的不同對這些平安模塊進(jìn)行分析。1〕AES-CTR這個(gè)平安模塊利用計(jì)數(shù)模式的AES塊密碼算法。為了在計(jì)數(shù)模式下加密數(shù)據(jù)，發(fā)送者將明文數(shù)據(jù)分為16?KB大小的塊Pi,…,Pn，并計(jì)算Ci=PiEk(Xi)，每個(gè)16KB塊使用其獨(dú)有的計(jì)數(shù)值Xi，Pi計(jì)算Pi=CiEk(Xi)恢復(fù)原來的明文。顯然，接收者為了重構(gòu)明文Pi，需要知道計(jì)數(shù)值Xi，即nonce值或者IV〔初始向量〕。Xi的組成包括一個(gè)靜態(tài)標(biāo)志域，發(fā)送者的地址和3個(gè)獨(dú)立的計(jì)數(shù)器，一個(gè)4KB的用以標(biāo)志報(bào)文的幀計(jì)數(shù)器，一個(gè)1字節(jié)密鑰計(jì)數(shù)器和一個(gè)2KB的用以標(biāo)志當(dāng)前這個(gè)16KB塊在報(bào)文中位置的塊計(jì)數(shù)器。幀計(jì)數(shù)器由硬件維護(hù)。發(fā)送者每次加密一個(gè)報(bào)文即將此計(jì)數(shù)器加1。當(dāng)其到達(dá)最大值，硬件就返回一個(gè)錯(cuò)誤碼，此后不再進(jìn)行加密。密鑰計(jì)數(shù)器是受應(yīng)用控制的1個(gè)字節(jié)，當(dāng)幀計(jì)數(shù)器到達(dá)最大值時(shí)，整個(gè)計(jì)數(shù)器仍能增加。使用此種加密模式有一個(gè)必需的要求，即在一個(gè)密鑰的生命期內(nèi)不能重復(fù)nonce值，以上所描述的幀計(jì)數(shù)器和密鑰計(jì)數(shù)器就是為了防止nonce的重用，而2KB的塊計(jì)數(shù)器就是為了確保不同的塊使用不同的nonce值。發(fā)送者并不將塊計(jì)數(shù)器包含在發(fā)送的報(bào)文中，因?yàn)榻邮照呖梢愿鶕?jù)每個(gè)塊推斷出這個(gè)值。因而，發(fā)送者將幀計(jì)數(shù)器、密鑰計(jì)數(shù)器和加密載荷包含在數(shù)據(jù)報(bào)文中。2〕AES-CBC-MAC這個(gè)加密模塊利用CBC-MAC提供完整性保護(hù)。發(fā)送者可以計(jì)算4KB、8KB或者16KB的消息認(rèn)證碼MAC。MAC值只能由持有對稱密鑰的實(shí)體才能計(jì)算出來，MAC值保護(hù)報(bào)文和頭部和數(shù)據(jù)局部，發(fā)送者將其附加在明文數(shù)據(jù)之后，接收者通過計(jì)算MAC值，然后和報(bào)文中的MAC值進(jìn)行比較來檢驗(yàn)發(fā)送方。3〕AES-CCM這個(gè)加密模塊使用CCM模式進(jìn)行加密和認(rèn)證。一般來說，首先利用CBC-MAC對報(bào)文頭部和內(nèi)容提供完整性保護(hù)，然后利用AES-CTR模式對數(shù)據(jù)局部和MAC進(jìn)行加密。因而，此種加密模塊下，既包括認(rèn)證也包括加密操作：一個(gè)MAC值、幀和密鑰計(jì)數(shù)器，這些內(nèi)容與前2個(gè)加密模塊描述的功能相同。和AES-CBC-MAC一樣，AES-CCM也有3種MAC值長度之分，以上各種加密模塊對應(yīng)的數(shù)據(jù)格式如圖5-16所示。圖5-16各種加密模塊的數(shù)據(jù)格式macAcIEntryDescriptorSet：一系列的ACLEntry，每個(gè)包括地址信息，平安模塊信息以及用于保護(hù)與此特定節(jié)點(diǎn)MAC層通信的數(shù)據(jù)幀的平安資料；macAcIEntryDescriptorSetSize：macAclEntryDescriptorSetACLEntry的個(gè)數(shù)，范圍為0～255；macDefaultSecurity：用以說明是否允許與一個(gè)沒有在ACL列表中顯式列出的節(jié)點(diǎn)進(jìn)行平安通信，這項(xiàng)屬性同樣可以用于一次與多個(gè)節(jié)點(diǎn)進(jìn)行平安通信；2．信息平安接口為方便上層協(xié)議使用以上分析的IEEE802.15.4MAC層平安功能，MAC提供一系列與平安功能相關(guān)的MACPIB屬性，可通過原語設(shè)置這些屬性來調(diào)用MAC提供的平安功能。這些屬性主要包括：當(dāng)與特定的通信節(jié)點(diǎn)通信時(shí)，該節(jié)點(diǎn)的地址使用的對稱密鑰以及初始的計(jì)數(shù)值等平安資料，使用何種加密模塊。其中與特定節(jié)點(diǎn)對應(yīng)的平安資料信息都是存放在訪問控制列表項(xiàng)〔ACLEntry〕中。主要的平安相關(guān)的MACPIB屬性如下所述。macDefaultSecurityMaterialLength：平安資料的長度，范圍為0～26；macDefaultSecurityMaterial：缺省的平安資料的內(nèi)容；macDefaultsecuritysuite：缺省使用的平安模塊；macSecurityMode：缺省使用的平安模式，0x00=unsecuredmode，0x01=ACLmode，0x02=Securedmode，其中ACLEntry的內(nèi)容通過以下MACPIB屬性進(jìn)行設(shè)置；ACLExtendedAddress：節(jié)點(diǎn)的64bitIEEE擴(kuò)展地址；ACLShortAddress：節(jié)點(diǎn)的16bit短地址，當(dāng)此值為0xfffe說明此節(jié)點(diǎn)僅使用64bit擴(kuò)展地址，當(dāng)此值為0xffff時(shí)說明該節(jié)點(diǎn)的短地址不可知；ACLPANld：節(jié)點(diǎn)所在個(gè)域網(wǎng)的標(biāo)識(shí)；ACLSecurityMateriaILength：該ACLEntry中平安資料的長度；ACLSecurityMaterial：用于保護(hù)與此特定節(jié)點(diǎn)MAC層通信的數(shù)據(jù)幀的平安資料；ACLSecuritySuite：與此節(jié)點(diǎn)進(jìn)行MAC層平安通信所使用的平安模塊的序號(hào)。5.5基于UWB的物聯(lián)網(wǎng)信息傳輸平安

4〕路由攻擊路由攻擊包括內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊源于網(wǎng)絡(luò)內(nèi)部，這種攻擊對路由信息將造成很大的威脅。外部攻擊中除了常規(guī)的路由表溢出攻擊等外部攻擊外，還包括隧道〔Tunnel〕攻擊、睡眠剝奪攻擊、節(jié)點(diǎn)自私性攻擊等針對移動(dòng)自組網(wǎng)的獨(dú)特攻擊。UWB的媒體接入控制平安機(jī)制

與傳統(tǒng)有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的平安問題往往是出乎預(yù)料的，而分布式無線網(wǎng)絡(luò)更因?yàn)楦鞣N各樣的應(yīng)用和使用模式，使平安問題變得更加復(fù)雜。針對這些平安問題，國際標(biāo)準(zhǔn)化組織〔ISO〕接受了由WiMedia聯(lián)盟提出的“高速率超寬帶通信的物理層和媒體接入控制標(biāo)準(zhǔn)〞，即ECMA-368〔ISO/IEC26907〕，標(biāo)準(zhǔn)了相應(yīng)的平安性要求。1．平安性標(biāo)準(zhǔn)1〕平安級(jí)別ECMA-368〔ISO/IEC?26907〕標(biāo)準(zhǔn)定義了兩種平安級(jí)別：無平安和強(qiáng)平安保護(hù)。平安保護(hù)包括數(shù)據(jù)加密，消息認(rèn)證和重播攻擊防護(hù)；平安幀提供對數(shù)據(jù)幀，選擇幀和控制幀的保護(hù)。2〕平安模式平安模式指是否一個(gè)設(shè)備被允許或者被需要建立與其他設(shè)備進(jìn)行數(shù)據(jù)通信的平安關(guān)系。ECMA-368〔ISO/IEC?26907〕標(biāo)準(zhǔn)定義了3種平安模式，用于控制設(shè)備間的通信。兩臺(tái)設(shè)備通過4次握手協(xié)議來建立平安關(guān)系，一旦兩臺(tái)設(shè)備建立了平安關(guān)系，它們將使用平安幀來作為幀傳輸，如果接收方需要接收平安幀，而發(fā)送方無平安幀，那么接收方將丟棄該幀。平安模式0定義了數(shù)據(jù)傳輸時(shí)使用無平安幀的通信方式，并且與其他設(shè)備建立無平安關(guān)系的通信方式。在該模式下，如果接收到平安幀，MAC層將直接丟棄該幀。平安模式l定義了數(shù)據(jù)傳輸時(shí)與平安模式0下的設(shè)備進(jìn)行數(shù)據(jù)通信，或者與未建立平安關(guān)系的處于平安模式l下的設(shè)備進(jìn)行數(shù)據(jù)通信，或者在特定幀的控制下與處于平安模式1下并建立平安關(guān)系的設(shè)備進(jìn)行通信。否那么將丟棄數(shù)據(jù)。平安模式2不與其他平安模式的設(shè)備進(jìn)行通信，將通過4次握手協(xié)議建立平安關(guān)系。3〕握手協(xié)議4次握手協(xié)議使得兩臺(tái)具有共享主密鑰的設(shè)備進(jìn)行相互認(rèn)證，同時(shí)產(chǎn)生PTK〔Pair-wiseTransientKey，對稱臨時(shí)密鑰〕來加密特定的幀。4〕密鑰傳輸在成功地進(jìn)行4次握手并建立平安關(guān)系后，兩臺(tái)設(shè)備開始分發(fā)各自的GTK〔Group?TransientKey，組臨時(shí)密鑰〕。GTK用于組播通信時(shí)，對傳輸數(shù)據(jù)的加密。每個(gè)GTK的分發(fā)是通過4次握手中產(chǎn)生的PTK進(jìn)行加密后再傳送的。2．信息接收與驗(yàn)證

在信息接收過程中，接收幀時(shí)，MAC子層按以下步驟進(jìn)行?！?〕驗(yàn)證FCS，如果驗(yàn)證失敗，那么丟棄該幀；否那么，用適宜的成認(rèn)規(guī)那么成認(rèn)接收到的幀，并進(jìn)行下一步?！?〕驗(yàn)證MAC頭的平安位并按照它的平安模式采取適當(dāng)?shù)牟僮鳎蝗绻粊G幀且?guī)钠桨参粸镺NE，進(jìn)行下一步。〔3〕驗(yàn)證TKID，如果此TKID不能識(shí)別當(dāng)前的PTK或GTK，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為INVALID_TKID；否那么，繼續(xù)下一步?！?〕用己被鑒別的PTK或GTK驗(yàn)證MIC。如果驗(yàn)證失敗，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為INVALID_MIC；否那么，繼續(xù)下一步?！?〕檢查幀重發(fā)，如果幀重復(fù)，那么丟幀。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為REPLAYED_FRAME；否那么，更新為此幀的PTK或GTK而設(shè)的重發(fā)計(jì)數(shù)器，繼續(xù)下一步?！?〕處理此幀，包括兩倍幀過濾。如果此幀己接收過，那么丟幀；否那么，繼續(xù)下一步?！?〕解密此幀，此步可與驗(yàn)證MIC同步進(jìn)行。幀重發(fā)保護(hù)接收擁有有效的FCS和MIC的平安幀時(shí)，信息接收流程如下：從接收幀中提取出SFN，將其與此幀所用臨時(shí)密鑰的重發(fā)計(jì)一數(shù)器的值作比較。如果前者小于等于后者，接收者M(jìn)AC子層丟棄此幀。通過物理層，在一個(gè)無線頻道上與對等設(shè)備進(jìn)行通信；采用基于動(dòng)態(tài)配置〔Reservation-based〕的分布式信道訪問方式；基于競爭的信道訪問方式；采用同步的方式進(jìn)行協(xié)調(diào)應(yīng)用；提供在設(shè)備移動(dòng)和干擾環(huán)境下的有效解決方案；以調(diào)度幀傳送和接收的方式來控制設(shè)備功耗；提供平安的數(shù)據(jù)認(rèn)證和加密方式；提供設(shè)備間距離計(jì)算方案。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode設(shè)為REPLAYED_RAME；否那么，接收者將接收到的SFN賦給相應(yīng)的重發(fā)計(jì)數(shù)器。不過，使用此SFN更新重發(fā)計(jì)數(shù)器前，接收者應(yīng)確保此幀已通過FCS驗(yàn)證、重發(fā)預(yù)防和MIC確認(rèn)。3．MAC層的信息傳輸功能

UWB系統(tǒng)中，MAC層的信息傳輸功能主要包括以下幾個(gè)方面：UWB的MAC層是一種完全分布式的結(jié)構(gòu)，沒有一臺(tái)設(shè)備是處于中心控制的角色。同時(shí)所有的設(shè)備都具有上述8種功能，并且根據(jù)應(yīng)用的不同可以選擇性的使用這8種功能。在分布式環(huán)境中，設(shè)備間通過信標(biāo)幀的交換來識(shí)別。設(shè)備的發(fā)現(xiàn)、網(wǎng)絡(luò)結(jié)構(gòu)的動(dòng)態(tài)重組和設(shè)備移動(dòng)性的支持都是通過進(jìn)行周期性的信標(biāo)傳輸來實(shí)現(xiàn)的。UWB網(wǎng)絡(luò)拒絕效勞攻擊防御

2．UWB網(wǎng)絡(luò)中拒絕效勞攻擊類型

在UWB網(wǎng)絡(luò)中，拒絕效勞攻擊主要有兩種類型：MAC層攻擊和網(wǎng)絡(luò)層攻擊。在MAC層實(shí)施的拒絕效勞攻擊，實(shí)施這類攻擊主要有兩種方法：一是擁塞UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備使用的無線UWB信道，致使UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備不可用；二是將UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備作為網(wǎng)橋，讓其不停地中繼轉(zhuǎn)發(fā)無效的數(shù)據(jù)幀，以耗盡UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)設(shè)備的可用資源。在UWB網(wǎng)絡(luò)層實(shí)施的攻擊也稱為UWB路由攻擊，其主要攻擊方法措施有：3．UWB網(wǎng)絡(luò)中拒絕效勞攻擊防御措施

針對UWB網(wǎng)絡(luò)中基于數(shù)據(jù)報(bào)文的拒絕效勞攻擊，可以采用路由路徑刪除措施來防止UWB洪水拒絕效勞攻擊。當(dāng)攻擊者發(fā)動(dòng)基于數(shù)據(jù)報(bào)文的UWB洪水攻擊行為時(shí)，發(fā)送大量攻擊數(shù)據(jù)報(bào)文至所有UWB網(wǎng)絡(luò)中的節(jié)點(diǎn)。作為鄰居節(jié)點(diǎn)和沿途節(jié)點(diǎn)是難以判別攻擊行為的，因?yàn)楣?jié)點(diǎn)無法判斷數(shù)據(jù)報(bào)文的用途。但作為數(shù)據(jù)報(bào)文的目標(biāo)節(jié)點(diǎn)，就比較容易判定了。當(dāng)目標(biāo)節(jié)點(diǎn)發(fā)現(xiàn)收到的報(bào)文都是無用的時(shí)候，它就可以認(rèn)定源節(jié)點(diǎn)為攻擊者。目標(biāo)節(jié)點(diǎn)可通過路徑刪除的方法來阻止基于數(shù)據(jù)報(bào)文的UWB洪水攻擊行為。具體實(shí)施步驟是：當(dāng)UWB網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)發(fā)現(xiàn)源節(jié)點(diǎn)是攻擊者時(shí)，由目標(biāo)節(jié)點(diǎn)生成一個(gè)路由請求〔RRER〕報(bào)文，該報(bào)文中標(biāo)明目標(biāo)節(jié)點(diǎn)不可達(dá)，目標(biāo)節(jié)點(diǎn)將這個(gè)RRER報(bào)文發(fā)送到攻擊者。當(dāng)RRER到達(dá)攻擊者時(shí)，它就會(huì)認(rèn)為這條路由已經(jīng)中斷，從而將這條路由從本節(jié)點(diǎn)路由表中刪除，這樣它就無法繼續(xù)發(fā)送攻擊報(bào)文了。如果它還要發(fā)送，就必須重新建立路由。此時(shí)，目標(biāo)節(jié)點(diǎn)已經(jīng)識(shí)別該節(jié)點(diǎn)為攻擊者，對它發(fā)送的RREQ報(bào)文不答復(fù)RREP，這樣就無法重新建立路由。通過這種方式，只要被攻擊過的節(jié)點(diǎn)都會(huì)拒絕與攻擊者建立路由。如果攻擊者不斷發(fā)動(dòng)基于數(shù)據(jù)報(bào)文的UWB拒絕效勞攻擊，拒絕與其建立路由的節(jié)點(diǎn)就會(huì)越來越多，最終所有節(jié)點(diǎn)都拒絕與其建立路由，攻擊者就會(huì)被隔絕于UWB網(wǎng)絡(luò)，從而阻止了基于數(shù)據(jù)報(bào)文的UWB拒絕效勞攻擊。5.6基于WMN的物聯(lián)網(wǎng)信息傳輸平安5.6.1WMN面臨的信息平安威脅5.6.2基于WMN的物聯(lián)網(wǎng)平安路由策略WMN面臨的信息平安威脅

1．路由破壞攻擊

WMN路和AdHoc網(wǎng)絡(luò)類似，由破壞攻擊包括篡改、刪除、偽造等手段，通過阻止路由建立、更改包傳送方向、中斷路由、破壞路由協(xié)議性能到達(dá)破坯網(wǎng)絡(luò)通信的目的。路由破壞攻擊可以分為以下幾個(gè)方面。1〕篡改攻擊惡意節(jié)點(diǎn)對路由控制消息進(jìn)行非法篡改，使得數(shù)據(jù)包的完整性遭到破壞，迫使數(shù)據(jù)包到達(dá)不了目的節(jié)點(diǎn)或者讓目的節(jié)點(diǎn)得到錯(cuò)誤的路由信息，導(dǎo)致兩節(jié)點(diǎn)間無法正常通信，這種攻擊對Mesh路由器和Mesh客戶端有同樣大的威脅?！?〕數(shù)據(jù)包信息篡改。通過對數(shù)據(jù)包中有效信息字段惡意插入、刪除、修改，造成目的節(jié)點(diǎn)得到錯(cuò)誤信息，從而無法與源節(jié)點(diǎn)正常通信?！?〕跳數(shù)篡改。特別是在按需路由協(xié)議中，惡意節(jié)點(diǎn)對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包中的跳數(shù)進(jìn)行篡改，使得該數(shù)據(jù)包中的跳數(shù)值與實(shí)際傳輸?shù)奶鴶?shù)不符造成路由性能降低。惡意節(jié)點(diǎn)還可以通過減小跳數(shù)值將自己插入到兩個(gè)通信節(jié)點(diǎn)之間改變原來的路由路徑，這樣惡意節(jié)點(diǎn)可以對轉(zhuǎn)發(fā)的數(shù)據(jù)包做任何惡意處理。2〕刪除攻擊惡意節(jié)點(diǎn)聲稱自己有一條到目的地〔如Mesh路由器〕的路由，誘使源節(jié)點(diǎn)將數(shù)據(jù)發(fā)送到惡意節(jié)點(diǎn)，然后對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包有選擇性地刪除，造成大量的數(shù)據(jù)包無法到達(dá)目的節(jié)點(diǎn)，造成很高的數(shù)據(jù)包喪失率，增加端到端的時(shí)延，對網(wǎng)絡(luò)的路由協(xié)議性能造成巨大的影響。刪除攻擊包括黑洞攻擊和灰洞攻擊，前者是攻擊者對所有類型的數(shù)據(jù)包都直接刪除，后者有選擇性地刪除數(shù)據(jù)包。這種攻擊一般發(fā)生在路徑中間的負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的Mesh節(jié)點(diǎn)。3〕偽造路由失效攻擊路由破壞中的偽造攻擊是指攻擊者向活動(dòng)路由中的源節(jié)點(diǎn)發(fā)送路由失效包，使得源節(jié)點(diǎn)不斷地重新發(fā)起路由發(fā)現(xiàn)過程，從而增加路由開銷，破壞路由協(xié)議性能。這種攻擊同樣經(jīng)常發(fā)生在網(wǎng)絡(luò)中的Mesh客戶端上。4〕Wormhole攻擊Wormhole攻擊是兩個(gè)合謀節(jié)點(diǎn)采用隧道方式將數(shù)據(jù)包從一處傳送到另外的節(jié)點(diǎn)，然后將這些數(shù)據(jù)包在合法網(wǎng)絡(luò)中傳輸，造成路由的跳數(shù)不超過2跳的假象。圖5-17所示為針對路由維護(hù)的Hello消息，攻擊者X、Y分別將節(jié)點(diǎn)1和節(jié)點(diǎn)2的Hello消息通過隧道方式傳送給對方，這樣會(huì)讓節(jié)點(diǎn)1和2誤以為它們是鄰居節(jié)點(diǎn)，而其實(shí)在現(xiàn)實(shí)網(wǎng)絡(luò)中它們根本就不是鄰居節(jié)點(diǎn)。這種攻擊需要兩個(gè)以上節(jié)點(diǎn)的合謀，實(shí)施的難度較大，但同時(shí)造成的破壞更難以被發(fā)現(xiàn)。圖5-17Wormhole攻擊5〕Rushing攻擊Rushing攻擊是利用按需路由協(xié)議中的中間轉(zhuǎn)發(fā)節(jié)點(diǎn)第二次收到同樣的路由請求時(shí)會(huì)對該路由消息丟棄的特性，惡意節(jié)點(diǎn)將接收到的路由請求破害處理，然后將其播送出去，其他合法節(jié)點(diǎn)在沒有收到合法的路由請求時(shí)先收到Rushing攻擊發(fā)送的路由請求，從而拒絕合法路由消息，如果攻擊者對破害處理后的數(shù)據(jù)包用Wormhole的隧道方式直接將包發(fā)送到目的節(jié)點(diǎn)，將會(huì)使得路由無法建立。2．資源消耗攻擊在資源消耗攻擊下，攻擊者通過向網(wǎng)絡(luò)中注入大量的無用信息，到達(dá)消耗網(wǎng)絡(luò)資源的目的，如消耗網(wǎng)絡(luò)帶寬；或者消耗合法節(jié)點(diǎn)的資源，如消耗節(jié)點(diǎn)的內(nèi)存和能量，從應(yīng)用層面上講，都造成了DoS〔拒絕效勞〕攻擊。1〕偽造路由控制消息攻擊惡意節(jié)點(diǎn)通過偽造路由信息在網(wǎng)絡(luò)中傳輸，讓網(wǎng)絡(luò)中的合法節(jié)點(diǎn)頻繁地做無用的事情，以消耗網(wǎng)絡(luò)的帶寬、節(jié)點(diǎn)計(jì)算能力、電池資源等，從而影響整個(gè)網(wǎng)絡(luò)的性能。在WMN中這種攻擊對Mesh路由器的影響較小，因?yàn)镸esh路由器有充足的計(jì)算能力和資源；但是對Mesh客戶端那么會(huì)造成較大的影響。2〕路由表溢出攻擊路由表溢出攻擊是迫使單個(gè)合法節(jié)點(diǎn)癱瘓的一種攻擊方法，惡意節(jié)點(diǎn)為了使得某個(gè)合法節(jié)點(diǎn)不能夠正常執(zhí)行路由協(xié)議，給這個(gè)節(jié)點(diǎn)發(fā)送潮水般的偽造路由請求，造成該節(jié)點(diǎn)的路由表溢出，即使合法的路由請求包也無法處理。這種攻擊方法一般運(yùn)用于瓶頸節(jié)點(diǎn)的攻擊。在WMN中，這種攻擊對Mesh路由器的攻擊威脅更大，因?yàn)镸esh路由器就是最大的瓶頸節(jié)點(diǎn)。基于WMN的物聯(lián)網(wǎng)平安路由策略

門限密碼方案通過組共享密鑰系統(tǒng)將CA的功能擴(kuò)展到一組節(jié)點(diǎn)，解決了單點(diǎn)失敗的問題，組共享密鑰就是將系統(tǒng)的密鑰S分解為n個(gè)局部密鑰S1，S2，…，Sn，這n個(gè)局部密鑰分配給系統(tǒng)的n個(gè)成員，使得任意的不少于t〔t<n〕個(gè)成員可以用它們的局部密鑰共同恢復(fù)出系統(tǒng)的密鑰S，而任意少于t個(gè)的成員那么無法恢復(fù)出系統(tǒng)的密鑰S，這就是〔t，n〕門限密碼方案。在WMN中因?yàn)榇嬖跓o線Mesh路由器這樣的中心設(shè)備，因此可以采用可信CA的方式進(jìn)行密鑰的分發(fā)和管理。下面介紹幾種基于密碼的平安策略。1〕SAODVSAODV是由Zapata提出的一種基于按需路由協(xié)議AODV的平安路由協(xié)議，在路由發(fā)現(xiàn)和路由維護(hù)過程中對路由控制消息提供完整性、認(rèn)證、不可否認(rèn)性平安保障。SAODV利用簽名對路由消息中的多個(gè)字段進(jìn)行驗(yàn)證，并使用Hash鏈對路由信息中的跳數(shù)值進(jìn)行認(rèn)證。SAODV路由發(fā)現(xiàn)過程中，源節(jié)點(diǎn)會(huì)產(chǎn)生一個(gè)隨機(jī)值作為Hash字段值，同時(shí)用該值作為Hash函數(shù)的輸入值，并用Hash函數(shù)輸出值