物聯(lián)網(wǎng)核心網(wǎng)安全防范措施探討

蔡菁

摘 要：物聯(lián)網(wǎng)作為一個多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò)，其安全問題比單一網(wǎng)絡(luò)更為復(fù)雜。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層可分為業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分，其中無線接入網(wǎng)和核心網(wǎng)的安全對于完成物聯(lián)網(wǎng)物物通信至關(guān)重要。本文主要分析了現(xiàn)有核心網(wǎng)架構(gòu)下如何解決物聯(lián)網(wǎng)通信時的安全問題。

關(guān)鍵詞：物聯(lián)網(wǎng)，安全，核心網(wǎng)

1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全需求分析

物聯(lián)網(wǎng)網(wǎng)絡(luò)層對安全的需求可以涵蓋以下幾方面。分別是：業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全；承載網(wǎng)絡(luò)的安全防護(hù)；終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證；異構(gòu)網(wǎng)絡(luò)下終端的安全接入；大規(guī)模終端分布式安全管控等五個需求。

2 網(wǎng)絡(luò)層的安全框架

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案應(yīng)包括以下幾方面內(nèi)容。

（1）構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，重點對網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)與信息安全、加密機制、密鑰管理體制、安全分級管理機制、節(jié)點間通信、網(wǎng)絡(luò)入侵檢測、路由尋址、組網(wǎng)及鑒權(quán)認(rèn)證和安全管控等進(jìn)行全面設(shè)計。

（2）建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺，通過對核心網(wǎng)和終端進(jìn)行全面的安全防護(hù)部署，建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)平臺，完成對終端安全管控、安全授權(quán)、應(yīng)用訪問控制、協(xié)同處理、終端態(tài)勢監(jiān)控與分析等管理。

（3）提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用與保障措施，重點規(guī)劃異構(gòu)網(wǎng)絡(luò)集成、功能集成、軟/硬件操作界面集成及智能控制、系統(tǒng)級軟件和安全中間件等技術(shù)應(yīng)用。

（4）建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問控制機制，不同行業(yè)需求千差萬別，面向?qū)嶋H應(yīng)用需求，建立物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入和應(yīng)用訪問控制，滿足物聯(lián)網(wǎng)終端產(chǎn)品的多樣化網(wǎng)絡(luò)安全需求。

3 現(xiàn)有核心網(wǎng)安全防護(hù)系統(tǒng)部署

目前的物聯(lián)網(wǎng)核心網(wǎng)主要是運營商的核心網(wǎng)絡(luò)，其安全防護(hù)系統(tǒng)組成包括安全通道管控設(shè)備、網(wǎng)絡(luò)密碼機、防火墻、入侵檢測設(shè)備、漏洞掃描設(shè)備、防病毒服務(wù)器、補丁分發(fā)服務(wù)器、綜合安全管理設(shè)備等。核心網(wǎng)安全防護(hù)系統(tǒng)可以為物聯(lián)網(wǎng)終端設(shè)備提供本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、網(wǎng)絡(luò)過濾、訪問控制、授權(quán)管理等安全防護(hù)體系。核心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

通過在核心網(wǎng)絡(luò)中部署通道管控設(shè)備、應(yīng)用訪問控制設(shè)備、權(quán)限管理設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描設(shè)備、補丁分發(fā)系統(tǒng)等基礎(chǔ)安全實施，為物聯(lián)網(wǎng)終端的本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、訪問控制、授權(quán)管理、傳輸加密提供安全應(yīng)用支撐。

3.1 綜合安全管理設(shè)備

綜合安全管理設(shè)備能夠?qū)θW(wǎng)安全態(tài)勢進(jìn)行統(tǒng)一監(jiān)控，實時反映全網(wǎng)的安全態(tài)勢，對安全設(shè)備進(jìn)行統(tǒng)一的管理，能夠構(gòu)建全網(wǎng)安全管理體系，對專網(wǎng)各類安全設(shè)備實現(xiàn)統(tǒng)一管理；可以實現(xiàn)全網(wǎng)安全事件的上報、歸并，全面掌握網(wǎng)絡(luò)安全狀況；實現(xiàn)網(wǎng)絡(luò)各類安全系統(tǒng)和設(shè)備的聯(lián)防聯(lián)動。

綜合安全管理設(shè)備對核心網(wǎng)絡(luò)環(huán)境中的各類安全設(shè)備進(jìn)行集中管理和配置，在統(tǒng)一的調(diào)度下完成對安全通道管控設(shè)備、防火墻、入侵檢測設(shè)備、應(yīng)用安全訪問控制設(shè)備、補丁分發(fā)設(shè)備、防病毒服務(wù)器、漏洞掃描設(shè)備、安全管控系統(tǒng)的統(tǒng)一管理，能夠?qū)Ξa(chǎn)生的安全態(tài)勢數(shù)據(jù)進(jìn)行會聚、過濾、標(biāo)準(zhǔn)化、優(yōu)先級排序和關(guān)聯(lián)分析處理，支持對安全事件的應(yīng)急響應(yīng)處置，能夠?qū)Υ_切的安全事件自動生成安全響應(yīng)策略，及時降低或阻斷安全威脅。

3.2 證書管理系統(tǒng)

證書管理系統(tǒng)簽發(fā)和管理數(shù)字證書，由證書注冊中心、證書簽發(fā)中心及證書目錄服務(wù)器組成。證書注冊指審指核注冊用戶的合法性，代理用戶向證書簽發(fā)中心提出證書簽發(fā)請求，并將用戶證書和密鑰寫入身份令牌，完成證書簽發(fā)（包括機構(gòu)證書、系統(tǒng)證書和用戶證書）；

3.3 應(yīng)用安全訪問控制設(shè)備

應(yīng)用安全訪問控制采用安全隧道技術(shù)，在終端和服務(wù)器之間建立一個安全隧道，并且隔離終端和服務(wù)器之間的直接連接，所有的訪問都必須通過安全隧道，沒有經(jīng)過安全隧道的訪問請求一律丟棄。應(yīng)用訪問控制設(shè)備首先通過驗證終端設(shè)備的身份，并根據(jù)終端設(shè)備的身份查詢該終端設(shè)備的權(quán)限，根據(jù)終端設(shè)備的權(quán)限決定是否允許終端設(shè)備的訪問。

3.4 安全通道管控設(shè)備

安全通道管控設(shè)備部署于物聯(lián)網(wǎng)LNS服務(wù)器與運營商網(wǎng)關(guān)之間，用于抵御來自公網(wǎng)或終端設(shè)備的各種安全威脅。其主要特點體現(xiàn)在兩個方面：透明，即對用戶透明、對網(wǎng)絡(luò)設(shè)備透明，滿足電信級要求；管控，即根據(jù)需要對網(wǎng)絡(luò)通信內(nèi)容進(jìn)行管理、監(jiān)控。

3.5 網(wǎng)絡(luò)加密機

網(wǎng)絡(luò)加密機部署在物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間，通過建立一個安全隧道，并且隔離終端設(shè)備和中心服務(wù)器之間的直接連接，所有的訪問都必須通過安全隧道網(wǎng)絡(luò)加密機采用對稱密碼體制的分組密碼算法，加密傳輸采用IPSec的ESP協(xié)議、通道模式進(jìn)行封裝。在公共移動通信網(wǎng)絡(luò)上構(gòu)建自主安全可控的物聯(lián)網(wǎng)虛擬專用網(wǎng)（VPN），使物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的各種應(yīng)用業(yè)務(wù)數(shù)據(jù)安全、透明地通過公共通信環(huán)境，確保終端數(shù)據(jù)傳輸?shù)陌踩Ｃ堋?/p>

4 結(jié)束語

本文主要分析了基于現(xiàn)有移動核心網(wǎng)的架構(gòu)下如何解決物聯(lián)網(wǎng)通信的安全。在下一代網(wǎng)絡(luò)NGN中情況有所不同，因為NGN基于IP技術(shù)，采用業(yè)務(wù)層和傳輸層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳輸控制與傳輸相互分離的思想，其安全問題有待進(jìn)一步研究。

參考文獻(xiàn)

[1]李連寧.物聯(lián)網(wǎng)安全導(dǎo)論.清華大學(xué)出版社 2013.

[2]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型及其關(guān)鍵技術(shù)[J].數(shù)字通信，2010，37（4）：28-29.

[3]李曉維.無線傳感器網(wǎng)絡(luò)技術(shù)[M].北京：北京 理工大學(xué)出版社，2007：241-246.