物联网工程项目设计 认知物联网工程项目设计 物联网工程项目设计——安全设计（二）.ppt

* * * 《物联网工程项目设计》 * * 《物联网工程项目设计》课程教学资源建设 物联网应用技术专业 教学资源建设 建设院校：江西工业贸易职业技术学院 主要参与企业：江西国鼎科技有限公司 南昌众一实业有限公司 物联网工程项目设计——安全设计（二） * 一 2.1 接入认证设计 2.2 6LoWPANA安全 2.3 RPL协议安全 网络系统安全设计 【思考与练习】 二 《物联网工程项目设计》 2.4 EPCglobal网络安全 1.2 网络系统安全设计 1.2.1 接入认证设计 1. PPP协议和PPPoE协议 2. Web Portal认证方式 3. AAA协议 4. 802.1x协议 5. 基于PKI的EAP * 1.2 网络系统安全设计 1.2.1 接入认证设计----1. PPP协议和PPPoE协议 PPP协议：Point to Point Protocol，是一种点对点通信协议。是应用非常广泛的接入方式，很多家庭和中小企业的互联网连接均采用这种方式。客户端使用设备（个人）数字证书对终端设备（或人）进行身份鉴别，只有授权的设备才能接入。 PAP：Password Authentication Protocol, 密码认证协议，是PPP的一个子协议，主要通过二次握手提供一种对等节点的建立认证的简单方法。 CHAP：Challenge Handshake Authentication Protocol，询问握手认证协议。通过递增改变的标识符和可变的询问值防止来自端点的重放攻击，限制暴露于单个攻击的时间。 CHAP通过三次握手周期性地校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复。 * 1.2 网络系统安全设计 1.2.1 接入认证设计----1. PPP协议和PPPoE协议 如果网络接入设备（交换机、接入服务器等）支持PPPoE协议，则这样的物联网也可以使用基于PKI的EAP身份鉴别。 PKI：Public Key Infrastructure公钥基础设施 EAP：Extensible Authentication Protocol扩展身份验证协议 PPPoE协议：PPP over Ethernet，是在以太网络中转播PPP帧信息的技术，尤其适用于ADSL等方式。该协议在窄带网中有较丰富的应用经验，在宽带以太网中有其局限性，其封装方式也造成宽带以太网的种种问题。 BAS：Broadbnd Access Server, 宽带接入服务器，是PPPoE认证中，认证系统对大量数据包进行封装拆解的设备。 * 1.2 网络系统安全设计 1.2.1 接入认证设计----2. Web Portal认证方式 Web Portal认证是基于业务类型的认证，客户端只需要浏览器即可完成。 但该认证是使用七层协议，对设备的要求较高，分配IP地址的 DHCP容易受到攻击，需要加装防火墙，都增加了建网成本。此外，该认证用户连接性差，基于时间计费较难实现，易用性不够好。 通常工作方式是接入路由器弹出一个Web认证页面，用户输入合法信息后认证，在机场、宾馆等常通过短信提供的验证码来认证。 * 1.2 网络系统安全设计 1.2.1 接入认证设计----3. AAA协议 authentication(认证)：用以对用户身份进行确认； authorization(授权) ：用以确定用户是否被授权使用某种网络资源; accounting(计费)：用以监测用户使用网络资源的状况，可依照检测的记录对用户收费； 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。既在一定程度上有效保障了合法用户的权益，又能有效保障网络系统安全可靠地运行。 RADIUS： Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865、RFC2866定义，是目前应用最广泛的AAA协议。 Diameter协议： 是IETF开发的新一代AAA协议。 * 1.2 网络系统安全设计 1.2.1 接入认证设计----4. 802.1x协议 802.1x是IEEE 802 LAN/WAN委员会为解决无线局域网的网络安全问题而提出的，主要解决以太网在认证和安全方面的问题。 在进行无线接入安全设计时，应选用支持802.1x认证协议的接入设备（AP、认证服务器等）。 * 1.2 网络系统安全设计 1.2.1 接入认证设计----5. 基于PKI的EAP 在无线通信环境下，为保证安全，需要对接入用户进行认证，同时用户也需要通过认证AP，因此，需要