YDB 131-2013
基本信息
标准号: YDB 131-2013
中文名称:无线传感器网络与移动通信网络融合的安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 无线 传感器 网络 移动 通信 融合 安全 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 131-2013.Security technology of converging wireless sensor networks and mobile communication network.
1范围
YDB 131分析了无线传感器网络与移动通信网络融合存在的安全威胁,并以此为基础提出了无线传感器节点与网关的安全通信要求、末端节点本身的安全要求、末端节点与管理平台的通信安全技术要求。
YDB 131适用于无线传感器网络与移动通信网络的融合。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YDB 062-2011泛 在网术语
3缩略语
下列缩略语适用于本文件。
AKA 认证和密钥协议 Authentication and key agreement
BTS 基站收发信台 Base Transceiver Station
DoS 拒绝服务 Denial of Service
4术语与定义
下列术语和定义适用于本文件(引自YDB 062 -2011)。
4.1
终端节点
物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。终端节点担负着数据采集、初步处理、加密、传输等多种功能。
4.2
传感器节点
由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。
4.3
网关
1范围
YDB 131分析了无线传感器网络与移动通信网络融合存在的安全威胁,并以此为基础提出了无线传感器节点与网关的安全通信要求、末端节点本身的安全要求、末端节点与管理平台的通信安全技术要求。
YDB 131适用于无线传感器网络与移动通信网络的融合。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YDB 062-2011泛 在网术语
3缩略语
下列缩略语适用于本文件。
AKA 认证和密钥协议 Authentication and key agreement
BTS 基站收发信台 Base Transceiver Station
DoS 拒绝服务 Denial of Service
4术语与定义
下列术语和定义适用于本文件(引自YDB 062 -2011)。
4.1
终端节点
物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。终端节点担负着数据采集、初步处理、加密、传输等多种功能。
4.2
传感器节点
由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。
4.3
网关
标准图片预览
标准内容
中国通信标准化协会标准
YDB131—2013
无线传感器网络与移动通信网络融合的安全技术要求
Security technology of converging wireless sensor networks and mobilecommunication network
2013-12-11印发
中国通信标准化协会
2规范性引用文件
3缩略语·.
4术语与定义
5无线传感器网络与移动通信网络融合的总体框架6无线传感器网络与移动通信网络融合总体安全需求7无线传感器节点与网关的安全通信要求7.1无线传感器节点与网关的安全通信的安全威胁7.2无线传感器节点与网关的安全通信的安全框架7.3无线传感器节点与网关的安全通信的安全要求8末端节点自身的安全要求
8.1传感器节点的安全威胁
8.2传感器节点的安全要求
8.3网关的安全威胁:
8.4网关安全的总体框架
8.5网关的安全要求
9末端节点与管理平台的通信安全技术要求9.1末端节点与管理平台通信的安全威胁.:9.2末端节点与管理平台通信的总体框架9.3末端节点与管理平台通信安全要求次
YDB131—2013
YDB131—2013
本标准按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本标准的建议和意见,向中国通信标准化协会反映。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、重庆邮电大学、大唐电信科技产业集团、工业和信息化部电信研究院。
本标准主要起草人:王伟华、李建功、王浩、李凤、龚达宁、马书惠、李珩、齐飞,II
TiiKAoNiKAca
YDB131—2013
无线传感器网络与移动通信网络融合的安全技术要求1范围
本标准分析了无线传感器网络与移动通信网络融合存在的安全威胁,并以此为基础提出了无线传感器节点与网关的安全通信要求、末端节点本身的安全要求、末端节点与管理平台的通信安全技术要求。本标准适用于无线传感器网络与移动通信网络的融合。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YDB062-2011泛在网术语
3缩略语
下列缩略语适用于本文件。
术语与定义
认证和密钥协议
基站收发信台
拒绝服务
全球移动通信系统
国际移动用户识别码
移动台
移动交换中心
公钥基础设施
客户识别模块
通用集成电路卡
拜访位置寄存器
Authentication and key agreementBase Transceiver Station
Denial of Service
Global System for Mobile CommunicationsGateway
International Mobile Subscriber IdentityMobile Station
Mobile Switching Centre
PublicKeyInfrastructure
SubscriberIdentityModule
Universal Integrated Circuit CardVisited Location Register
下列术语和定义适用于本文件(引自YDB062-2011)。4.1
终端节点
TiikAoNiAca
YDB131—2013
物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。终端节点担负着数据采集、初步处理、加密、传输等多种功能。4.2
传感器节点
由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。4.3
联接感知延伸网络与其它非感知延伸类型网络,或者联接采用不同通信或应用协议的感知延伸网络的网络实体。
5无线传感器网络与移动通信网络融合的总体框架远程业务应用
签约数据库
计费系统
本地业务应用
业务平台
无线传感器网络
业务应用网关
管理平台
核心网
接入网
电信网络
WSN路站
图1无线传感器网络与移动通信网络融合的总体框架无线传感器网络与移动通信网络融合,是指将无线传感器网络与移动通信网络相连接,利用电信网络对无线传感器网络及其提供的业务进行监控、管理及完成业务的承载与合作实施,并通过电信网络扩展无线传感器网络所提供的业务。6无线传感器网络与移动通信网络融合总体安全需求无线传感器网络与移动通信网络融合的安全技术,能够对无线传感器网络的访问加以控制,确定网关身份真实有效以及私密性,保证用户行为不可抵赖,保证传输和存储数据的机密性、完整性,保证电信网络的可用性,防止网络、业务遇到偶然的、被动的和主动的威胁以及蠕虫病毒的扩散,对影响网络、业务的意外事故具有应急措施。2
HiiKAoiKAca
YDB131—2013
根据网关设备的三种服务模式,对无线传感器网络与移动通信网络融合的安全分析如下。通道模式下网关仅仅提供一个无线传感器网络的终端与业务平台或者业务应用通信的链路中的个节点,不对中间的数据包有任何处理,业务平台直接管理到终端。这种模式下,要保证无线传感器网络与移动通信网络融合的安全,首先网关要对接入的无线传感器的节点做认证,节点通过认证之后,由节点与管理平台之间进行安全协商,保证业务应用的通信安全。“平台管理到网关模式”下,业务平台和应用不管理网关之下的无线传感器网络的终端,所有终端不直接和业务平台或者是业务应用进行直接通信,业务平台只管理到网关。这种模式下,网关对无线传感器节点认证之后,由网关和平台之间确保通信的安全。“平台管理到终端”模式是业务平台和应用管理到网关以及无线传感器网络的各个终端。这种情况下,由末端节点和平台之间确保通信的安全。因此,无线传感器网络与移动通信网络融合的安全要求,主要分为无线传感器节点与网关的安全通信要求;末端节点自身的安全要求;末端节点与管理平台之间的安全管理要求这三部分。7无线传感器节点与网关的安全通信要求7.1无线传感器节点与网关的安全通信的安全威肋7.1.1信号干扰威胁
无线传感器节点通过射频无线信号与网关通信,并进行信息采集、处理、传输和响应;这种暴露在开放空间的无线传感设备信号存在和其他网络的无线信号的相互干扰和被恶意干扰的可能,一且发生此类现象,则会造成信息的丢失、延迟或重复转发等问题,使信息无法被及时的转发和处理,造成信息资源和设备资源的浪费。
7.1.2信息的窃取或篡改威胁
无线传感器节点与网关通信中,传输的信息可能会遭到外部的拦截、窃取或传输中信息被恶意节点篡改、伪造、延迟转发或不发,导致接收者接收不到信息或接收到的信息错误,造成接收者做出错误的决定。
7.1.3非法访问威胁
无线传感器网络中的节点没有通过合法的授权就同网关通信,即非法节点获取网内的合法信息或者无线传感器网络中的节点传输到网关的信息是非法的,导致网关收到非法的传输信息:也可能是经过授权的无线传感器节点在同网关通信时,会超出其合法的权限来获取不属于它的网络资源和信息,造成信息的泄露。
7.1.4路由信息的更改和伪造威
无线传感器网络中的恶意节点或者外部的攻击者会截获节点与网关通信中的数据包,通过更改和伪造路由信息,创建路由环,吸引或者拒绝网络的通信量,以延长或缩短源路由路径,造成网络资源的浪费、信息的延迟或丢失等,典型的攻击类型有sinkhole攻击、wormhole攻击等。7.1.5节点的选择性转发威胁
在传感器节点与网关建立的通信路径中,如果有选择性转发恶意节点的存在,这些节点会拒绝转发或者丢弃特定的信息,只转发一部分信息,导致信息不能到达自的地或者接收者无法获得完整的信息,同样导致了信息的丢失和泄露。3下载标准就来标准下载网
HiiKAoNiKAca
YDB131—2013
7.1.6拒绝服务威肋
在传感器网络中的恶意节点或者外部网络的攻击者通过大量的服务请求占用网络的资源,使系统响应减慢甚至瘫痪,破坏网络的可用性,阻止合法节点或网关获得服务以及信息的丢失。拒绝服务攻击是一种比较常见的且破坏性极大的攻击方式,它消耗了有限的节点能量,缩短了整个网络的生命周期。7.1.7假网关威胁
在传感器网络中可能存在外部恶意节点假冒传感器网关,诱使传感器节点与假网关通信,从而破坏传感器网络,获取节点信息,造成传感器网络瘫痪。7.2无线传感器节点与网关的安全通信的安全框架通过对无线传感器节点与网关安全通信中所存在的威胁分析,提出了针对威胁的具体安全要求,保证通信过程中的数据安全传输,其安全框架如图2所示。传感网节点
节点初
网关身
份鉴别
数据采集和
预处理
安全入网请求
下发通信资源
安全通信认证请求
请求通过和下发网
关身份信息
鉴别通过和请求
分发密钥
下发通信密钥
数据机密、完整、新鲜地传输
下发数据
图2无线传感器节点与网关安全通信的总体框架7.3无线传感器节点与网关的安全通信的安全要求7.3.1合理规划频谱资源要求
分配通
信资源
)密钥产生和
预分发
无线传感器节点与网关通信时会和已有的网络共享频谱资源,无线传感器网络节点对信息采集、处理,传输和响应的时候,容易和现有网络通信信号存在信号干扰或者恶意干扰的可能,一且发生此类现象,会导致信息的丢失,因此频谱管理机构应该通过合理规划管理好频谱共享,以应对未来无线传感器网络的大规模普及应用。
7.3.2医名性要求
HiiKAoiKAca
YDB131—2013
攻击者不能根据无线传感器节点与网关通信时的数据来追溯合法节点或网关的信息,包括节点或网关标识,节点或网关位置,使节点或网关具有不可追踪性,从而保护节点或网关信息的私密性,7.3.3认证,授权要求
传感器节点与网关通信必须确保数据不被非法用户访问,能够基于一定的安全策略执行访问控制,并有能力根据安全属性明确地授权或者拒绝对某个对象的访问,有效地控制用户的非法、越权访问。7.3.4数据完整性要求
传感器节点与网关通信必须确保数据的完整性,要求数据在传输过程中未被非法篡改,为此,传感器节点和网关都具备检测数据在传输过程中是否被篡改的能力。在需要时,传感器网络不仅要确保数据在传输和存储的过程中不被篡改,还须具备更正被改动数据的能力。7.3.5数据机密性要求
传感器节点与网关通信必须确保数据的机密性,要求数据在传输过程中不被泄露给未授权的个人、实体、进程,或不被其利用。在需要时,还须确保数据在存储过程中不被泄露给未授权的个人、实体、进程,或不被其利用。
7.3.6数据实效性要求
传感器节点与网关通信必须确保数据的实效性,要求数据在规定的时延内传送到目的节点,传感器节点和网关都必须具有对接收数据的实效性进行验证的能力,并丢弃不满足实效性要求的数据,以抵抗对特定数据的重放攻击。
7.3.7数据鉴别要求
传感器节点与网关通信必须确保数据的有效性和真实性,对数据的来源、时间性及目的地进行鉴别,并能够鉴别数据内容没有被伪造或者篡改。7.3.8身份鉴别要求
传感器网络能够维护每个访问主体的安全属性,同时提供身份鉴别机制,鉴别加入节点是否是合法用户,以防非法用户访问传感器网络,在进行鉴别时,传感器节点和网关能提供有限的主体反馈信息,确保非法主体不能通过反馈数据获得利益。在需要时,能通过硬件机制确保鉴别数据的安全性,防止鉴别数据的泄露。
7.3.9密钥管理要求
密钥必须在安全通信过程中进行有效的管理。其中对于密钥的产生,应参考国家密码行政主管部门指定的相应安全等级的特定算法和密钥长度来产生密钥:对于密钥的预分发,应参考国家密码行政主管部门指定的相应安全等级的有关规定以安全可信的方式执行:对于密钥的备份,应参考国家密码行政主管部门指定的相应安全等级的备份方法来备份:对于密钥的访问,应参考国家密码行政主管部门指定的相应安全等级特定访问方法进行访问;对于密钥的销毁,应参考国家密码行政主管部门指定的相应安全等级的特定销毁方法进行销毁。7.3.10服务质量管理要求
传感器网络网关要同多种应用的节点通信,数据类型以及对服务质量的需要不相同,如视频数据要求高带宽,音频数据对时延很敏感,报警数据要求及时可靠传输等,因此网关需要具备服务质量管理要5
HiiKAoNiKAca
YDB131—2013
求,支持优先级调到准则,支持基于优先级的数据处理和转发,根据数据类型进行相应的处理,确保满足同节点通信中的服务质量要求。7.3.11加密策略要求
网关必须支持各种加密策略,让节点选择加密方式,所有要接入网关的节点同网关建立连接时要输入密钥或验证证书,只有正确输入密钥或提供正确证书的节点才能加入网络。7.3.12安全管理要求
安全管理涉及加解密算法、密钥管理算法、认证和鉴权、持久化存储加密机制、设备准入控制机制等安全管理要求,在网关中嵌入安全管理功能,实现传感器网络内部的安全通信,对设备进行认证和鉴权,防止非法授权操作以及内部妥协节点报告虚假信息,防止外部恶意节点通过制造冲突、复制延退改变信号强度等手段影响节点同网关的通信。7.3.13可靠备份要求
网关保存着大量底层网络的信息,如节点ID、节点状态、资源分配、密钥等,一旦网关在同节点通信时出现故障,数据将被丢失,导致整个网络重新建立,降低了网络的性能和服务质量,因此,为了保障网络的可靠性以及节点同网关的安全通信,需要对网关进行可靠备份。8末端节点自身的安全要求
8.1传感器节点的安全威胁
8.1.1伪造节点
通过伪造传感器节点,侵入无线传感网络,监听无线网络中传输的信息,篡改无线传感器网络的路由信息或传送假的数据信息等。8.1.2非授权读取节点信息
物理俘获或逻辑攻破无线传感器节点,可利工具分析出传感器节点所存储的敏感信息,以及与业务关联的隐私信息。
8.1.3节点不可用
由于未端节点被物理俘获或逻辑攻破,攻击者可使末端节点不工作。8.1.4恶意攻击
木马、病毒和垃圾信息等攻击,这是由于终端操作系统或应用软件的漏洞所引起的安全威胁。8.2传感器节点的安全要求
不同特性的传感器节点的安全防护要求及可能采取的安全措施将各不相同。物理安全要求:
需要采取措施保护末端节点不会失窃,或被攻击者物理上获得:1)
针对有卡的设备,需要采取措施防止将UICC或者SIM卡非法拔出或者替换:2
3)针对无卡的设备,需要采取措施防止信任状非法复制或者篡改。6
iiiKAoiKAca
YDB131—2013
软件防护措施:需要采取加装防病毒软件、加装防火墙的方式,防止传感器节点被木马、蠕虫b)
等恶意代码攻击:
访问控制:需要采取访问控制的方式,防止末端节点被逻辑攻破,或向其它末端节点或网络设c
备泄露用户或末端节点信息:
认证:需要对末端节点的身份进行认证,以及对访问末端节点的其它网络设备进行认证。传感d)
器节点是由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。对传感器节点做适度的认证,可对传感器节点的真实性进行鉴别。8.3网关的安全威胁
8.3.1数据的安全威肋
网关可能处于无人值守的地方,因此网关存在很大的一个安全问题是容易丢失、被盗。网关中存储的信息也会因丢失被窃取。除非移网关已经由其拥有者设置了保护以禁止未经授权的使用,否则任何得到网关的人都可能通过技术手段获得网关内的信息。那么网关中的机密信息(管理平台地址、接入密码、网关ID信息等、网关开放端口号)被他人获得并利用,则会给用户和平台造成很大的损失。因此需要研究相应的安全机制来保护网关在丢失、被盗的情况下信息的安全。8.3.2软件的安全威胁
对于网关而言,允许应用软件的更新和下载,存在被病毒和恶意代码攻击的可能,攻击所造成的危害极其巨大,故此要有相应手段确保网关不感染病毒并不受病毒和恶意代码的破坏。8.3.3操作系统安全威胁
对于一些网关来说,采用了通用的操作系统平台,这些操作系统存在的一些漏洞,攻击者能够利用这些漏洞,借助各种外部接口连接传播病毒病毒对网关本身可能带来的危害有:侵占网关内存导致死机关机、修改系统设置,致使软硬件功能失灵,网关无法正常工作。
8.3.4外围接口的安全威胁
具有丰富的外围接口,无线接口有蓝牙、WiFi、Zigbee等。有线接口有USB接口,这些外围接口给网关带来了很大的安全威胁。无线接口可能在用户不知情的情况下被非法连通,并进行非法的数据访问和数据传送,造成私密信息的泄露,还可能造成病毒的传播8.3.5网关硬件的安全技术威胁
网关硬件的安全技术威胁如下:a)网关关键器件存在被伪造替换的危险;网关的存储芯片被非授权读取;b)
c)网关上的用户识别卡可能被非法拨出或者用于其它业务。8.3.6网关与移动通信网通信的威胁网关与移动通信网通信的威胁如下:a)GSM系统中的用户信息和信令信息的加密方式不是端到端加密,而只是在无线信道部分即MS和BTS之间进行加密,而在固网中均采用明文传输,这给攻击者,特别是网络内部人员提供了攻击机会:
YDB131—2013
用户和网络之间的认证是单向的,只有网络对用户的认证,而没有用户对网络的认证,这种认证方式对于中间人攻击和假基站攻击是很难进行预防的:在移动台第一次注册和漫游时,IMSI可能以明文方式发送到MSC/VLR,如果攻击者获取到c
IMSI,则会出现手机“克隆”:3G系统中的安全性问题依然存在。首先,用户与网络间的安全性认证仍然是单向的:其次。d)
密钥质量不高:再次,密钥产生存在漏洞:还存在管理协商漏洞、管理顿协商交互过程的安全性不够等。
8.4网关安全的总体框架
为了克服网关可能存在的种种漏洞,将其自身安全威胁降低到最小,网关应从硬件结构、软件结构入手,制定一系列安全策略保证网关以及其承载业务应用的安全可靠。具体框架见图3。用户数据安全机制
应用软件安全机制
操作系统安全机制
通信安全机制
可信硬件平台
图3网关的总体框架
8.5网关的安全要求
8.5.1软件安全要求
软件部分
硬件部分
网关可以通过平台下载和更新应用软件,下载更新的应用软件必须具备平台的安全认证具备相应的数字签名。只有经过平台认证的软件网关才能安装。同时要确保用户软件的访问控制权限。服务系统在响应用户操作前,首先应该查看用户权限,根据用户的权限提供相应的服务,对于越权操作,系统拒绝响应。
8.5.2操作系统安全要求
操作系统应该能实现系统代码的完整性认证、数据流的安全监控、应用程序的安全服务等,以保证网关在工作时,进入一个安全、可信的工作环境。其次,网关还应制定完善的安全控制策略、程序的域隔离策略,以实现用户的身份认证,程序的访问权限控制、程序之间通信的安全可靠以及防止程序在运行过程中出现读取、修改、删除其它程序空间数据。8.5.3外围接口的安全要求
网关应按照蓝牙、wiFi、zigbee等无线接入模块的标准安全策略,提供相应的安全策略配置接口。以实现不同应用条件下,无线接入模块采用对应的安全等级。对于业务中对外围接口有专门认证要求,允许业务中自定义的外围接口的安全策略。8.5.4网关硬件的安全要求
YDB131—2013
网关的存储芯片应具备完整性和机密性保护机制。完整性是指数据免遭非法更改或破坏的特性。机密性是指信息对于非授权个人,实体,或进程是不可知,不可用的特性为了实现对不同区域数据的不同层次的保护,网关芯片应对存储区域进行划分,通过数据配置,地址配置、控制配置等手段实现对不同存储区域不同层次的保护。为了实现数据的完整性和机密性,网关存储芯片应将数据进行加密存储。另外还应为用户存储区单独划分一个高安全级别的存储区域,同样使用硬件加密存储的方式进行数据的加密存储,用户可以通过人机界面对用户数据存储区域进行选择,将私人敏感数据存储在该特殊区域。
为保证用户识别卡的安全,防止卡被拔取或者是盗用,可以采用嵌入式UICC卡。8.5.5网关的数据安全要求
网关存储了大量的用户机密信息,因此网关应根据数据、文件的敏感性,按敏感、私有,普通级别进行分类存储,不同级别采取不同的安全措施。由于网关丢失和破坏的可能性非常大。因此需要网关在丢失和破坏时能够告警和进行必要的响应。确保网关所承载的平台隐私数据不被非法访问。由于网关共性化特点,其中往往存储着传感器节点的重要数据,故此需要网关可以有相应安全措施避免传感器节点的隐私数据不被非法访问。9末端节点与管理平台的通信安全技术要求9.1末端节点与管理平台通信的安全威肋当管理平台可以直接管理末端节点时,无线传感器节点面临的安全威胁包括以下几个方面。远程控制威胁。在物联网环境中,由于无线传感器节点数量众多,而且根据应用的情况可能会部署在不同的地点,因此对于物联网来说,末端节点大都具有远程控制和管理功能,攻击者可以利用远程控制这一操控渠道,对无线传感器节点进行远程控制操作。攻击者可以通过配置修改其工作参数,使其不能按照网络正常指令进行工作。拒绝服务攻击。攻击者可以通过非法的管理平台对无线传感器网络终端发送非法指令,末端节点收到这些非法指令后回复拒绝指令,当无线传感器节点大量做这些工作时引发了拒绝攻击,导致末端节点不能正常工作。
耗尽攻击。攻击者通过非法的管理平台对末端节点发送虚假的数据或信令信息,使其不断地被唤醒并进行相应地处理,存储,传输操作,最终达到恶意消耗网络节点能量的目的。基于这样的攻击,攻击者能够迅速的将一个无源的无线传感器网络的电量消耗始尽,使其不能长时间的为用户提供服务。拦截、篡改、伪造、重放攻击。攻击者拦截管理平台传输给无线传感节点的数据信息,通过对数据进行解码,破译,攻击者能够很快窃取相关信息,并进一步通过篡改,伪造,重放等攻击手段来欺骗无线传感节点,使节点做出错误举动,给用户带来损失。当未端节点与管理平台直接相连时,管理平台面临的威胁包括以下几个方面。拒绝服务攻击。当攻击者通过捕获的节点或者使用非法节点向管理平台发送大量的非法指令和信息,使管理平台发送大量的拒绝服务指令,造成平台系统资源都被消耗始尽,使其他节点不能与管理平台进行正常通信。
拦截、篡改、伪造、重放攻击。攻击者利用开放的无线信道环境,能够很容易的侦听无线传感器网络中节点传输的数据信息。通过对数据进行解码,破译,攻击者能够很快窃取网络用户需要掌握的感知信息,并进一步通过拦截,篡改,伪造,重放等攻击手段来欺骗网络用户,使用户不能够及时,准确的获取到真实,有效的感知数据,给用户带来损失9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB131—2013
无线传感器网络与移动通信网络融合的安全技术要求
Security technology of converging wireless sensor networks and mobilecommunication network
2013-12-11印发
中国通信标准化协会
2规范性引用文件
3缩略语·.
4术语与定义
5无线传感器网络与移动通信网络融合的总体框架6无线传感器网络与移动通信网络融合总体安全需求7无线传感器节点与网关的安全通信要求7.1无线传感器节点与网关的安全通信的安全威胁7.2无线传感器节点与网关的安全通信的安全框架7.3无线传感器节点与网关的安全通信的安全要求8末端节点自身的安全要求
8.1传感器节点的安全威胁
8.2传感器节点的安全要求
8.3网关的安全威胁:
8.4网关安全的总体框架
8.5网关的安全要求
9末端节点与管理平台的通信安全技术要求9.1末端节点与管理平台通信的安全威胁.:9.2末端节点与管理平台通信的总体框架9.3末端节点与管理平台通信安全要求次
YDB131—2013
YDB131—2013
本标准按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本标准的建议和意见,向中国通信标准化协会反映。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国联合网络通信集团有限公司、重庆邮电大学、大唐电信科技产业集团、工业和信息化部电信研究院。
本标准主要起草人:王伟华、李建功、王浩、李凤、龚达宁、马书惠、李珩、齐飞,II
TiiKAoNiKAca
YDB131—2013
无线传感器网络与移动通信网络融合的安全技术要求1范围
本标准分析了无线传感器网络与移动通信网络融合存在的安全威胁,并以此为基础提出了无线传感器节点与网关的安全通信要求、末端节点本身的安全要求、末端节点与管理平台的通信安全技术要求。本标准适用于无线传感器网络与移动通信网络的融合。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YDB062-2011泛在网术语
3缩略语
下列缩略语适用于本文件。
术语与定义
认证和密钥协议
基站收发信台
拒绝服务
全球移动通信系统
国际移动用户识别码
移动台
移动交换中心
公钥基础设施
客户识别模块
通用集成电路卡
拜访位置寄存器
Authentication and key agreementBase Transceiver Station
Denial of Service
Global System for Mobile CommunicationsGateway
International Mobile Subscriber IdentityMobile Station
Mobile Switching Centre
PublicKeyInfrastructure
SubscriberIdentityModule
Universal Integrated Circuit CardVisited Location Register
下列术语和定义适用于本文件(引自YDB062-2011)。4.1
终端节点
TiikAoNiAca
YDB131—2013
物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。终端节点担负着数据采集、初步处理、加密、传输等多种功能。4.2
传感器节点
由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。4.3
联接感知延伸网络与其它非感知延伸类型网络,或者联接采用不同通信或应用协议的感知延伸网络的网络实体。
5无线传感器网络与移动通信网络融合的总体框架远程业务应用
签约数据库
计费系统
本地业务应用
业务平台
无线传感器网络
业务应用网关
管理平台
核心网
接入网
电信网络
WSN路站
图1无线传感器网络与移动通信网络融合的总体框架无线传感器网络与移动通信网络融合,是指将无线传感器网络与移动通信网络相连接,利用电信网络对无线传感器网络及其提供的业务进行监控、管理及完成业务的承载与合作实施,并通过电信网络扩展无线传感器网络所提供的业务。6无线传感器网络与移动通信网络融合总体安全需求无线传感器网络与移动通信网络融合的安全技术,能够对无线传感器网络的访问加以控制,确定网关身份真实有效以及私密性,保证用户行为不可抵赖,保证传输和存储数据的机密性、完整性,保证电信网络的可用性,防止网络、业务遇到偶然的、被动的和主动的威胁以及蠕虫病毒的扩散,对影响网络、业务的意外事故具有应急措施。2
HiiKAoiKAca
YDB131—2013
根据网关设备的三种服务模式,对无线传感器网络与移动通信网络融合的安全分析如下。通道模式下网关仅仅提供一个无线传感器网络的终端与业务平台或者业务应用通信的链路中的个节点,不对中间的数据包有任何处理,业务平台直接管理到终端。这种模式下,要保证无线传感器网络与移动通信网络融合的安全,首先网关要对接入的无线传感器的节点做认证,节点通过认证之后,由节点与管理平台之间进行安全协商,保证业务应用的通信安全。“平台管理到网关模式”下,业务平台和应用不管理网关之下的无线传感器网络的终端,所有终端不直接和业务平台或者是业务应用进行直接通信,业务平台只管理到网关。这种模式下,网关对无线传感器节点认证之后,由网关和平台之间确保通信的安全。“平台管理到终端”模式是业务平台和应用管理到网关以及无线传感器网络的各个终端。这种情况下,由末端节点和平台之间确保通信的安全。因此,无线传感器网络与移动通信网络融合的安全要求,主要分为无线传感器节点与网关的安全通信要求;末端节点自身的安全要求;末端节点与管理平台之间的安全管理要求这三部分。7无线传感器节点与网关的安全通信要求7.1无线传感器节点与网关的安全通信的安全威肋7.1.1信号干扰威胁
无线传感器节点通过射频无线信号与网关通信,并进行信息采集、处理、传输和响应;这种暴露在开放空间的无线传感设备信号存在和其他网络的无线信号的相互干扰和被恶意干扰的可能,一且发生此类现象,则会造成信息的丢失、延迟或重复转发等问题,使信息无法被及时的转发和处理,造成信息资源和设备资源的浪费。
7.1.2信息的窃取或篡改威胁
无线传感器节点与网关通信中,传输的信息可能会遭到外部的拦截、窃取或传输中信息被恶意节点篡改、伪造、延迟转发或不发,导致接收者接收不到信息或接收到的信息错误,造成接收者做出错误的决定。
7.1.3非法访问威胁
无线传感器网络中的节点没有通过合法的授权就同网关通信,即非法节点获取网内的合法信息或者无线传感器网络中的节点传输到网关的信息是非法的,导致网关收到非法的传输信息:也可能是经过授权的无线传感器节点在同网关通信时,会超出其合法的权限来获取不属于它的网络资源和信息,造成信息的泄露。
7.1.4路由信息的更改和伪造威
无线传感器网络中的恶意节点或者外部的攻击者会截获节点与网关通信中的数据包,通过更改和伪造路由信息,创建路由环,吸引或者拒绝网络的通信量,以延长或缩短源路由路径,造成网络资源的浪费、信息的延迟或丢失等,典型的攻击类型有sinkhole攻击、wormhole攻击等。7.1.5节点的选择性转发威胁
在传感器节点与网关建立的通信路径中,如果有选择性转发恶意节点的存在,这些节点会拒绝转发或者丢弃特定的信息,只转发一部分信息,导致信息不能到达自的地或者接收者无法获得完整的信息,同样导致了信息的丢失和泄露。3下载标准就来标准下载网
HiiKAoNiKAca
YDB131—2013
7.1.6拒绝服务威肋
在传感器网络中的恶意节点或者外部网络的攻击者通过大量的服务请求占用网络的资源,使系统响应减慢甚至瘫痪,破坏网络的可用性,阻止合法节点或网关获得服务以及信息的丢失。拒绝服务攻击是一种比较常见的且破坏性极大的攻击方式,它消耗了有限的节点能量,缩短了整个网络的生命周期。7.1.7假网关威胁
在传感器网络中可能存在外部恶意节点假冒传感器网关,诱使传感器节点与假网关通信,从而破坏传感器网络,获取节点信息,造成传感器网络瘫痪。7.2无线传感器节点与网关的安全通信的安全框架通过对无线传感器节点与网关安全通信中所存在的威胁分析,提出了针对威胁的具体安全要求,保证通信过程中的数据安全传输,其安全框架如图2所示。传感网节点
节点初
网关身
份鉴别
数据采集和
预处理
安全入网请求
下发通信资源
安全通信认证请求
请求通过和下发网
关身份信息
鉴别通过和请求
分发密钥
下发通信密钥
数据机密、完整、新鲜地传输
下发数据
图2无线传感器节点与网关安全通信的总体框架7.3无线传感器节点与网关的安全通信的安全要求7.3.1合理规划频谱资源要求
分配通
信资源
)密钥产生和
预分发
无线传感器节点与网关通信时会和已有的网络共享频谱资源,无线传感器网络节点对信息采集、处理,传输和响应的时候,容易和现有网络通信信号存在信号干扰或者恶意干扰的可能,一且发生此类现象,会导致信息的丢失,因此频谱管理机构应该通过合理规划管理好频谱共享,以应对未来无线传感器网络的大规模普及应用。
7.3.2医名性要求
HiiKAoiKAca
YDB131—2013
攻击者不能根据无线传感器节点与网关通信时的数据来追溯合法节点或网关的信息,包括节点或网关标识,节点或网关位置,使节点或网关具有不可追踪性,从而保护节点或网关信息的私密性,7.3.3认证,授权要求
传感器节点与网关通信必须确保数据不被非法用户访问,能够基于一定的安全策略执行访问控制,并有能力根据安全属性明确地授权或者拒绝对某个对象的访问,有效地控制用户的非法、越权访问。7.3.4数据完整性要求
传感器节点与网关通信必须确保数据的完整性,要求数据在传输过程中未被非法篡改,为此,传感器节点和网关都具备检测数据在传输过程中是否被篡改的能力。在需要时,传感器网络不仅要确保数据在传输和存储的过程中不被篡改,还须具备更正被改动数据的能力。7.3.5数据机密性要求
传感器节点与网关通信必须确保数据的机密性,要求数据在传输过程中不被泄露给未授权的个人、实体、进程,或不被其利用。在需要时,还须确保数据在存储过程中不被泄露给未授权的个人、实体、进程,或不被其利用。
7.3.6数据实效性要求
传感器节点与网关通信必须确保数据的实效性,要求数据在规定的时延内传送到目的节点,传感器节点和网关都必须具有对接收数据的实效性进行验证的能力,并丢弃不满足实效性要求的数据,以抵抗对特定数据的重放攻击。
7.3.7数据鉴别要求
传感器节点与网关通信必须确保数据的有效性和真实性,对数据的来源、时间性及目的地进行鉴别,并能够鉴别数据内容没有被伪造或者篡改。7.3.8身份鉴别要求
传感器网络能够维护每个访问主体的安全属性,同时提供身份鉴别机制,鉴别加入节点是否是合法用户,以防非法用户访问传感器网络,在进行鉴别时,传感器节点和网关能提供有限的主体反馈信息,确保非法主体不能通过反馈数据获得利益。在需要时,能通过硬件机制确保鉴别数据的安全性,防止鉴别数据的泄露。
7.3.9密钥管理要求
密钥必须在安全通信过程中进行有效的管理。其中对于密钥的产生,应参考国家密码行政主管部门指定的相应安全等级的特定算法和密钥长度来产生密钥:对于密钥的预分发,应参考国家密码行政主管部门指定的相应安全等级的有关规定以安全可信的方式执行:对于密钥的备份,应参考国家密码行政主管部门指定的相应安全等级的备份方法来备份:对于密钥的访问,应参考国家密码行政主管部门指定的相应安全等级特定访问方法进行访问;对于密钥的销毁,应参考国家密码行政主管部门指定的相应安全等级的特定销毁方法进行销毁。7.3.10服务质量管理要求
传感器网络网关要同多种应用的节点通信,数据类型以及对服务质量的需要不相同,如视频数据要求高带宽,音频数据对时延很敏感,报警数据要求及时可靠传输等,因此网关需要具备服务质量管理要5
HiiKAoNiKAca
YDB131—2013
求,支持优先级调到准则,支持基于优先级的数据处理和转发,根据数据类型进行相应的处理,确保满足同节点通信中的服务质量要求。7.3.11加密策略要求
网关必须支持各种加密策略,让节点选择加密方式,所有要接入网关的节点同网关建立连接时要输入密钥或验证证书,只有正确输入密钥或提供正确证书的节点才能加入网络。7.3.12安全管理要求
安全管理涉及加解密算法、密钥管理算法、认证和鉴权、持久化存储加密机制、设备准入控制机制等安全管理要求,在网关中嵌入安全管理功能,实现传感器网络内部的安全通信,对设备进行认证和鉴权,防止非法授权操作以及内部妥协节点报告虚假信息,防止外部恶意节点通过制造冲突、复制延退改变信号强度等手段影响节点同网关的通信。7.3.13可靠备份要求
网关保存着大量底层网络的信息,如节点ID、节点状态、资源分配、密钥等,一旦网关在同节点通信时出现故障,数据将被丢失,导致整个网络重新建立,降低了网络的性能和服务质量,因此,为了保障网络的可靠性以及节点同网关的安全通信,需要对网关进行可靠备份。8末端节点自身的安全要求
8.1传感器节点的安全威胁
8.1.1伪造节点
通过伪造传感器节点,侵入无线传感网络,监听无线网络中传输的信息,篡改无线传感器网络的路由信息或传送假的数据信息等。8.1.2非授权读取节点信息
物理俘获或逻辑攻破无线传感器节点,可利工具分析出传感器节点所存储的敏感信息,以及与业务关联的隐私信息。
8.1.3节点不可用
由于未端节点被物理俘获或逻辑攻破,攻击者可使末端节点不工作。8.1.4恶意攻击
木马、病毒和垃圾信息等攻击,这是由于终端操作系统或应用软件的漏洞所引起的安全威胁。8.2传感器节点的安全要求
不同特性的传感器节点的安全防护要求及可能采取的安全措施将各不相同。物理安全要求:
需要采取措施保护末端节点不会失窃,或被攻击者物理上获得:1)
针对有卡的设备,需要采取措施防止将UICC或者SIM卡非法拔出或者替换:2
3)针对无卡的设备,需要采取措施防止信任状非法复制或者篡改。6
iiiKAoiKAca
YDB131—2013
软件防护措施:需要采取加装防病毒软件、加装防火墙的方式,防止传感器节点被木马、蠕虫b)
等恶意代码攻击:
访问控制:需要采取访问控制的方式,防止末端节点被逻辑攻破,或向其它末端节点或网络设c
备泄露用户或末端节点信息:
认证:需要对末端节点的身份进行认证,以及对访问末端节点的其它网络设备进行认证。传感d)
器节点是由至少一个传感器和零个或多个执行器组成的、具有数据处理和连网能力的装置。对传感器节点做适度的认证,可对传感器节点的真实性进行鉴别。8.3网关的安全威胁
8.3.1数据的安全威肋
网关可能处于无人值守的地方,因此网关存在很大的一个安全问题是容易丢失、被盗。网关中存储的信息也会因丢失被窃取。除非移网关已经由其拥有者设置了保护以禁止未经授权的使用,否则任何得到网关的人都可能通过技术手段获得网关内的信息。那么网关中的机密信息(管理平台地址、接入密码、网关ID信息等、网关开放端口号)被他人获得并利用,则会给用户和平台造成很大的损失。因此需要研究相应的安全机制来保护网关在丢失、被盗的情况下信息的安全。8.3.2软件的安全威胁
对于网关而言,允许应用软件的更新和下载,存在被病毒和恶意代码攻击的可能,攻击所造成的危害极其巨大,故此要有相应手段确保网关不感染病毒并不受病毒和恶意代码的破坏。8.3.3操作系统安全威胁
对于一些网关来说,采用了通用的操作系统平台,这些操作系统存在的一些漏洞,攻击者能够利用这些漏洞,借助各种外部接口连接传播病毒病毒对网关本身可能带来的危害有:侵占网关内存导致死机关机、修改系统设置,致使软硬件功能失灵,网关无法正常工作。
8.3.4外围接口的安全威胁
具有丰富的外围接口,无线接口有蓝牙、WiFi、Zigbee等。有线接口有USB接口,这些外围接口给网关带来了很大的安全威胁。无线接口可能在用户不知情的情况下被非法连通,并进行非法的数据访问和数据传送,造成私密信息的泄露,还可能造成病毒的传播8.3.5网关硬件的安全技术威胁
网关硬件的安全技术威胁如下:a)网关关键器件存在被伪造替换的危险;网关的存储芯片被非授权读取;b)
c)网关上的用户识别卡可能被非法拨出或者用于其它业务。8.3.6网关与移动通信网通信的威胁网关与移动通信网通信的威胁如下:a)GSM系统中的用户信息和信令信息的加密方式不是端到端加密,而只是在无线信道部分即MS和BTS之间进行加密,而在固网中均采用明文传输,这给攻击者,特别是网络内部人员提供了攻击机会:
YDB131—2013
用户和网络之间的认证是单向的,只有网络对用户的认证,而没有用户对网络的认证,这种认证方式对于中间人攻击和假基站攻击是很难进行预防的:在移动台第一次注册和漫游时,IMSI可能以明文方式发送到MSC/VLR,如果攻击者获取到c
IMSI,则会出现手机“克隆”:3G系统中的安全性问题依然存在。首先,用户与网络间的安全性认证仍然是单向的:其次。d)
密钥质量不高:再次,密钥产生存在漏洞:还存在管理协商漏洞、管理顿协商交互过程的安全性不够等。
8.4网关安全的总体框架
为了克服网关可能存在的种种漏洞,将其自身安全威胁降低到最小,网关应从硬件结构、软件结构入手,制定一系列安全策略保证网关以及其承载业务应用的安全可靠。具体框架见图3。用户数据安全机制
应用软件安全机制
操作系统安全机制
通信安全机制
可信硬件平台
图3网关的总体框架
8.5网关的安全要求
8.5.1软件安全要求
软件部分
硬件部分
网关可以通过平台下载和更新应用软件,下载更新的应用软件必须具备平台的安全认证具备相应的数字签名。只有经过平台认证的软件网关才能安装。同时要确保用户软件的访问控制权限。服务系统在响应用户操作前,首先应该查看用户权限,根据用户的权限提供相应的服务,对于越权操作,系统拒绝响应。
8.5.2操作系统安全要求
操作系统应该能实现系统代码的完整性认证、数据流的安全监控、应用程序的安全服务等,以保证网关在工作时,进入一个安全、可信的工作环境。其次,网关还应制定完善的安全控制策略、程序的域隔离策略,以实现用户的身份认证,程序的访问权限控制、程序之间通信的安全可靠以及防止程序在运行过程中出现读取、修改、删除其它程序空间数据。8.5.3外围接口的安全要求
网关应按照蓝牙、wiFi、zigbee等无线接入模块的标准安全策略,提供相应的安全策略配置接口。以实现不同应用条件下,无线接入模块采用对应的安全等级。对于业务中对外围接口有专门认证要求,允许业务中自定义的外围接口的安全策略。8.5.4网关硬件的安全要求
YDB131—2013
网关的存储芯片应具备完整性和机密性保护机制。完整性是指数据免遭非法更改或破坏的特性。机密性是指信息对于非授权个人,实体,或进程是不可知,不可用的特性为了实现对不同区域数据的不同层次的保护,网关芯片应对存储区域进行划分,通过数据配置,地址配置、控制配置等手段实现对不同存储区域不同层次的保护。为了实现数据的完整性和机密性,网关存储芯片应将数据进行加密存储。另外还应为用户存储区单独划分一个高安全级别的存储区域,同样使用硬件加密存储的方式进行数据的加密存储,用户可以通过人机界面对用户数据存储区域进行选择,将私人敏感数据存储在该特殊区域。
为保证用户识别卡的安全,防止卡被拔取或者是盗用,可以采用嵌入式UICC卡。8.5.5网关的数据安全要求
网关存储了大量的用户机密信息,因此网关应根据数据、文件的敏感性,按敏感、私有,普通级别进行分类存储,不同级别采取不同的安全措施。由于网关丢失和破坏的可能性非常大。因此需要网关在丢失和破坏时能够告警和进行必要的响应。确保网关所承载的平台隐私数据不被非法访问。由于网关共性化特点,其中往往存储着传感器节点的重要数据,故此需要网关可以有相应安全措施避免传感器节点的隐私数据不被非法访问。9末端节点与管理平台的通信安全技术要求9.1末端节点与管理平台通信的安全威肋当管理平台可以直接管理末端节点时,无线传感器节点面临的安全威胁包括以下几个方面。远程控制威胁。在物联网环境中,由于无线传感器节点数量众多,而且根据应用的情况可能会部署在不同的地点,因此对于物联网来说,末端节点大都具有远程控制和管理功能,攻击者可以利用远程控制这一操控渠道,对无线传感器节点进行远程控制操作。攻击者可以通过配置修改其工作参数,使其不能按照网络正常指令进行工作。拒绝服务攻击。攻击者可以通过非法的管理平台对无线传感器网络终端发送非法指令,末端节点收到这些非法指令后回复拒绝指令,当无线传感器节点大量做这些工作时引发了拒绝攻击,导致末端节点不能正常工作。
耗尽攻击。攻击者通过非法的管理平台对末端节点发送虚假的数据或信令信息,使其不断地被唤醒并进行相应地处理,存储,传输操作,最终达到恶意消耗网络节点能量的目的。基于这样的攻击,攻击者能够迅速的将一个无源的无线传感器网络的电量消耗始尽,使其不能长时间的为用户提供服务。拦截、篡改、伪造、重放攻击。攻击者拦截管理平台传输给无线传感节点的数据信息,通过对数据进行解码,破译,攻击者能够很快窃取相关信息,并进一步通过篡改,伪造,重放等攻击手段来欺骗无线传感节点,使节点做出错误举动,给用户带来损失。当未端节点与管理平台直接相连时,管理平台面临的威胁包括以下几个方面。拒绝服务攻击。当攻击者通过捕获的节点或者使用非法节点向管理平台发送大量的非法指令和信息,使管理平台发送大量的拒绝服务指令,造成平台系统资源都被消耗始尽,使其他节点不能与管理平台进行正常通信。
拦截、篡改、伪造、重放攻击。攻击者利用开放的无线信道环境,能够很容易的侦听无线传感器网络中节点传输的数据信息。通过对数据进行解码,破译,攻击者能够很快窃取网络用户需要掌握的感知信息,并进一步通过拦截,篡改,伪造,重放等攻击手段来欺骗网络用户,使用户不能够及时,准确的获取到真实,有效的感知数据,给用户带来损失9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。