9、网络层安全.pptx

《9、网络层安全.pptx》由会员分享，可在线阅读，更多相关《9、网络层安全.pptx（76页珍藏版）》请在优知文库上搜索。

1、第9章 物联网网络层安全 目录9.1 网络层安全需求9.2 物联网核心网安全9.3 下一代网络安全9.4 网络虚拟化的安全9.5 移动通信的接入安全9.6 无线接入安全技术9.1 网络层安全需求9.1.1 网络层安全威胁9.1.2 网络层安全策略第9章 物联网网络层安全 第1节 网络层安全需求n 主要优点：透明性。也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。n 主要缺点：网络层一般对属于不同进程和相应条例的包不做区别。对所有去往同一地址的包，它将按照相同的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也可能导致性能下降。网络层的安全性特征9.1.1

2、网络层安全威胁第9章 物联网网络层安全 第1节 网络层安全需求n IP欺骗。黑客利用IP欺骗技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗。在这层中经常发现的另一种策略是利用源路由IP数据包，仅仅被用于一个特殊的路径中传输，这种利用被称为源路由，这种数据包被用于击破安全措施，例如防火墙。使用IP欺骗的攻击很有名的是一种Smurf攻击。Smurf攻击向大量的远程主机发送一系列的Ping请求，然后对目标地址进行回复。n ICMP攻击。Internet控制信息协议（ICMP）在IP层检查错误和其他条件。Tribal flo

3、od network是一种利用ICMP的攻击，利用ICMP消耗带宽来有效地摧毁站点。另外微软早期版本的TCP/IP堆栈有缺陷，黑客发送一个特殊的ICMP包，就可以使之崩溃。网络层的安全威胁9.1.1 网络层安全威胁第9章 物联网网络层安全 第1节 网络层安全需求物联网网络层的安全威胁9.1.1 网络层安全威胁n 拒绝服务攻击n 假冒基站攻击n 基础密钥泄露威胁n 隐私泄露威胁n IMSI暴露威胁第9章 物联网网络层安全 第1节 网络层安全需求学者张存博就网络层安全策略在大众商务（2009）提出了3点建议，包括从被动安全保护，主动安全保护，整体安全保护的角度进行了探讨。n 被动的安全保护技术：主

4、要有物理保护和安全管理、入侵检测、防火墙等。n 主动的安全保护技术：主要有存取控制、权限设置、数据加密、身份识别等。n 整体的安全保护技术9.1.2 网络层安全策略网络安全保护技术第9章 物联网网络层安全 第1节 网络层安全需求n VLAN划分n 防火墙n 加密技术n 数字签名和认证技术n User Name/Password认证n 使用摘要算法的认证n 基于PKI的认证n 数字签名n VPN技术9.1.2 网络层安全策略网络层安全防护方法9.2 物联网核心网安全9.2.1 核心网概述9.2.2 核心网安全需求9.2.3 软交换网络安全措施n 核心网（core network）：通常指除接入网

5、和用户驻地网之外的网络部分。将业务提供者与接入网，或者，将接入网与其他接入网连接在一起的网络。n 如果把移动网络划分为三个部分，基站子系统，网络子系统，和系统支撑部分比如说安全管理等这些。核心网部分就是位于网络子系统内，核心网的主要作用是把呼叫请求或数据请求，接续到不同的网络上。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.1 核心网概述核心网的定义n 核心网的功能主要是提供用户连接、对用户的管理以及对业务完成承载，作为承载网络提供到外部网络的接口。n 核心网可以提供的基本业务包括移动办公、电子商务、通信、娱乐性业务、旅行和基于位置的服务、遥感业务（Telemetry）简单消息传递

6、业务（监视控制）等等。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.1 核心网概述核心网的功能第9章 物联网网络层安全 第2节 物联网核心网安全9.2.1 核心网概述核心网的发展方向n 核心网的发展方向是核心网全面进入“IP”时代，IP、融合、宽带、智能、容灾和绿色环保是其主要特征。 从电路域看，移动软交换已经全面从TDM的传输电路转向IP。 从分组域看，宽带化、智能化是其主要特征。 从用户数据看，新的HLR被广泛接受，逐步向未来的融合数据中心演进。 另外，运营商纷纷将容灾和绿色环保提到战略的高度；移动网络在未来发展和演进上殊途同归，在4G时代，GSM和CDMA两大阵营将走向共同的

7、IMS+SAE+LTE架构。n 核心网安全域包括所有的软交换机，TG、AG、SG等接入网关，BGW类设备，关键业务平台(包括SHLR、号码转换平台等)，软交换媒体服务器和应用服务器，开发给第三方业务接口的应用网关。n Internet接入网安全域包括所有分配公网地址的SIP电话终端、IAD类设备、各类SIP接入的PC等。n 支撑系统安全域包括网管、计费和OSS等辅助运营系统。n 第三方应用网络安全域主要包括所有以开发业务接口方式接入的应用服务器，实际应用很少，这里不讨论该区域的安全需求。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.2 核心网安全需求n 核心网安全域是软交换网络的安

8、全核心。n 核心网安全域的安全需求有： 设备的可用性，即可以在各种情况下(包括设备故障、网络风暴、话务冲击等)保证设备和承载业务的正常运行； 需要在核心网与其他网络连接处部署BGW和防火墙等设备进行内外网隔离； 网络中的SS等设备需具备完善的设备认证和授信方式，防止非法登录； 核心网节点间需采用心跳和媒体检测等方式进行状态检查，及时更新节点状态，保证业务正常； 接入节点需具备带宽和业务管理能力，防止用户非法占用带宽和使用业务； 核心网节点应具备对异常信令和消息的处理能力，防止人为攻击等造成节点瘫痪或过负。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.2 核心网安全需求核心网安全域n

9、 Internet接入网安全域的安全需求有： 在SIP电话、软件电话等终端设备与Internet和软交换网络互联设备之间需要应用L2TP、IPSec等隧道技术； 小容量AGW、IAD等通过Internet接入时，它们与Internet和软交换网络互联设备之间需要应用GRE、IPinIP、IPSec等隧道技术； 需要完善的接入设备认证和授信手段，防止冒名使用。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.2 核心网安全需求Internet接入网安全域n 支撑系统安全域的安全需求有： 高强度的用户认证机制； 重要系统需要进行物理隔离，并且网间需要部署功能强大的防火墙设备； 需要优化系统

10、安全策略。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.2 核心网安全需求支撑系统安全域n 软交换网络的承载层现在除了用专网和MPLSVPN等手段进行网络隔离外，一些厂商采用在关键节点放置网络探头，以ping段包的形式进行侦听等手段进行网络质量监控。n 目前这种方式有以下难题需要解决： 一是ping包和软交换消息包的长度差异较大，在一定丢包率情况下无法满足软交换信令的要求； 二是ping包的频率不能设置太短，在承载网完全中断情况下，可以准确定位故障点，但是在闪断或者网络质量不稳定情况下，难以保证实时性业务的质量和实现故障定位。第9章 物联网网络层安全 第2节 物联网核心网安全9.2

11、.3 软交换网络安全措施承载网层面n 在软交换设计和规划期间，应该对软交换网络安全有全面考虑： 承载网的安全，包括网络隔离、防攻击等； 关键业务节点的备份和用户的业务归属； 业务的合理配备和设置，尽量在分散和易管理间找到平衡。n 对于软交换网络特有的双归属容灾应该加以充分利用，弥补网络安全漏洞，但需注意对双归属机制进行完善，包括网关的切换策略、软交换的控制策略、心跳参数设置策略、容灾数据库管理等。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.3 软交换网络安全措施网络层面n 软交换设备的安全主要靠厂商的安全设计来保证，但同时应该重视以下几个方面： 建立关键板件检测制度和定期切换检测

12、制度，充分保证关键板件倒换成功； 为了保证软件版本和补丁的安全性，厂商应建立软件版本安全控制体系，运营商应加强入网检验制度和应用流程管理，共同解决软件的安全性和兼容性问题； 充分了解和用好设备的自保护措施，如软交换的过负荷保护机制。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.3 软交换网络安全措施软交换设备层面n 网络安全工作是一个以管理为主的系统工程，靠的是“三分技术，七分管理”，因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等，这些措施应覆盖网络安全的各个方面，达到能够解决的安全问题及时解决，可以减轻的安全问题进行加固，不能解决的问题编制应急预案减少安全威

13、胁。与此同时，需要强有力的管理来保障这些制度和手段落到实处。第9章 物联网网络层安全 第2节 物联网核心网安全9.2.3 软交换网络安全措施管理层面9.3 下一代网络安全9.3.1 下一代网络概述9.3.2 下一代网络安全问题9.3.3 下一代网络安全技术n 下一代网络(Next Generation Network，缩写为NGN)，泛指一个以IP技术为核心，基于TDM(时分复用)的PSTN语音网络和基于IP/ATM(异步传输模式)的分组网络融合的产物，同时可以支持电话和Internet接入业务、数据业务、视频流媒体业务、数字TV广播业务和移动等业务。n 下一代网络，又称为次世代网络。主要思想

14、是在一个统一的网络平台上以统一管理的方式提供多媒体业务，整合现有的市内固定电话、移动电话的基础上（统称FMC），增加多媒体数据服务及其他增值型服务。第9章 物联网网络层安全 第3节 下一代网络安全9.3.1 下一代网络概述n NGN具有分组传送、控制功能从承载、呼叫/会话、应用/业务中分离、业务提供与网络分离、提供开放接口、利用各基本的业务组成模块、提供广泛的业务和应用、端到端QoS和透明的传输能力通过开放的接口规范与传统网络实现互通、通用移动性、允许用户自由地接入不同业务提供商、支持多样标志体系，融合固定与移动业务等特征。n NGN包括九大支撑技术：IPv6，光纤高速传输，光交换与智能光网，

15、宽带接入，城域网，软交换，3G和后3G移动通信系统，IP终端，网络安全。第9章 物联网网络层安全 第3节 下一代网络安全9.3.1 下一代网络概述n NGN网络的安全问题主要包括网络安全和用户数据安全两个方面。n 网络安全是指交换网络本身的安全，即交换网络中的网关、交换机、服务器不会受到非法攻击。需要在IP网上采用合适的安全策略，以保证交换网的网络安全。n 用户数据安全是指用户的账户信息和通信信息的安全，即不会被非法的第三方窃取和监听。则要求有相应的安全认证策略保证用户账户信息的安全，同时无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。第9章 物联网网络层安全 第3

16、节 下一代网络安全9.3.2 下一代网络安全问题n 目前，大部分的NGN网络都是基于IP进行通信的，因此，根据IP协议层次的不同，NGN安全威胁可以分为来自底层协议的攻击和来自高层协议的攻击。n NGN中还存在一些其他的常见攻击种类：拒绝服务攻击；偷听；伪装；修改信息。n NGN可能面临如下安全威胁：电磁安全；设备安全；链路安全；通信基础设施过于集中；信令网安全；同步外安全；网络遭受战争、自然灾害；网络被流量冲击；终端安全；网络业务安全；网络资源安全；通信内容安全；有害信息扩散。第9章 物联网网络层安全 第3节 下一代网络安全9.3.2 下一代网络安全问题NGN的安全威胁n 在NGN网络中，运营商必须保证提供的各种业务的安全，可以把NGN系统设备、各种业务服务器归属于不同的安全域，不同的安全域对应为不同的安全等级，安全等级的划分保证了高级别安全域的系统设备与低等级系统的安全隔离。等级高的安全域可以访问低等级的安全域，低等级的安全域不能直接访问高等级的安全域。第9章 物联网网络层安全 第3节 下一代网络安全9.3.2 下一代网络安全问题NGN安全问题分析第9章 物联网网络层安全 第3节