蔡菁
摘 要:物聯(lián)網(wǎng)作為一個多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò),其安全問題比單一網(wǎng)絡(luò)更為復(fù)雜。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層可分為業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分,其中無線接入網(wǎng)和核心網(wǎng)的安全對于完成物聯(lián)網(wǎng)物物通信至關(guān)重要。本文主要分析了現(xiàn)有核心網(wǎng)架構(gòu)下如何解決物聯(lián)網(wǎng)通信時的安全問題。
關(guān)鍵詞:物聯(lián)網(wǎng),安全,核心網(wǎng)
1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全需求分析
物聯(lián)網(wǎng)網(wǎng)絡(luò)層對安全的需求可以涵蓋以下幾方面。分別是:業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全;承載網(wǎng)絡(luò)的安全防護(hù);終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證;異構(gòu)網(wǎng)絡(luò)下終端的安全接入;大規(guī)模終端分布式安全管控等五個需求。
2 網(wǎng)絡(luò)層的安全框架
物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案應(yīng)包括以下幾方面內(nèi)容。
(1)構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu),重點對網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)與信息安全、加密機制、密鑰管理體制、安全分級管理機制、節(jié)點間通信、網(wǎng)絡(luò)入侵檢測、路由尋址、組網(wǎng)及鑒權(quán)認(rèn)證和安全管控等進(jìn)行全面設(shè)計。
(2)建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺,通過對核心網(wǎng)和終端進(jìn)行全面的安全防護(hù)部署,建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)平臺,完成對終端安全管控、安全授權(quán)、應(yīng)用訪問控制、協(xié)同處理、終端態(tài)勢監(jiān)控與分析等管理。
(3)提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用與保障措施,重點規(guī)劃異構(gòu)網(wǎng)絡(luò)集成、功能集成、軟/硬件操作界面集成及智能控制、系統(tǒng)級軟件和安全中間件等技術(shù)應(yīng)用。
(4)建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問控制機制,不同行業(yè)需求千差萬別,面向?qū)嶋H應(yīng)用需求,建立物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入和應(yīng)用訪問控制,滿足物聯(lián)網(wǎng)終端產(chǎn)品的多樣化網(wǎng)絡(luò)安全需求。
3 現(xiàn)有核心網(wǎng)安全防護(hù)系統(tǒng)部署
目前的物聯(lián)網(wǎng)核心網(wǎng)主要是運營商的核心網(wǎng)絡(luò),其安全防護(hù)系統(tǒng)組成包括安全通道管控設(shè)備、網(wǎng)絡(luò)密碼機、防火墻、入侵檢測設(shè)備、漏洞掃描設(shè)備、防病毒服務(wù)器、補丁分發(fā)服務(wù)器、綜合安全管理設(shè)備等。核心網(wǎng)安全防護(hù)系統(tǒng)可以為物聯(lián)網(wǎng)終端設(shè)備提供本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、網(wǎng)絡(luò)過濾、訪問控制、授權(quán)管理等安全防護(hù)體系。核心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。
通過在核心網(wǎng)絡(luò)中部署通道管控設(shè)備、應(yīng)用訪問控制設(shè)備、權(quán)限管理設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描設(shè)備、補丁分發(fā)系統(tǒng)等基礎(chǔ)安全實施,為物聯(lián)網(wǎng)終端的本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、訪問控制、授權(quán)管理、傳輸加密提供安全應(yīng)用支撐。
3.1 綜合安全管理設(shè)備
綜合安全管理設(shè)備能夠?qū)θW(wǎng)安全態(tài)勢進(jìn)行統(tǒng)一監(jiān)控,實時反映全網(wǎng)的安全態(tài)勢,對安全設(shè)備進(jìn)行統(tǒng)一的管理,能夠構(gòu)建全網(wǎng)安全管理體系,對專網(wǎng)各類安全設(shè)備實現(xiàn)統(tǒng)一管理;可以實現(xiàn)全網(wǎng)安全事件的上報、歸并,全面掌握網(wǎng)絡(luò)安全狀況;實現(xiàn)網(wǎng)絡(luò)各類安全系統(tǒng)和設(shè)備的聯(lián)防聯(lián)動。
綜合安全管理設(shè)備對核心網(wǎng)絡(luò)環(huán)境中的各類安全設(shè)備進(jìn)行集中管理和配置,在統(tǒng)一的調(diào)度下完成對安全通道管控設(shè)備、防火墻、入侵檢測設(shè)備、應(yīng)用安全訪問控制設(shè)備、補丁分發(fā)設(shè)備、防病毒服務(wù)器、漏洞掃描設(shè)備、安全管控系統(tǒng)的統(tǒng)一管理,能夠?qū)Ξa(chǎn)生的安全態(tài)勢數(shù)據(jù)進(jìn)行會聚、過濾、標(biāo)準(zhǔn)化、優(yōu)先級排序和關(guān)聯(lián)分析處理,支持對安全事件的應(yīng)急響應(yīng)處置,能夠?qū)Υ_切的安全事件自動生成安全響應(yīng)策略,及時降低或阻斷安全威脅。
3.2 證書管理系統(tǒng)
證書管理系統(tǒng)簽發(fā)和管理數(shù)字證書,由證書注冊中心、證書簽發(fā)中心及證書目錄服務(wù)器組成。證書注冊指審指核注冊用戶的合法性,代理用戶向證書簽發(fā)中心提出證書簽發(fā)請求,并將用戶證書和密鑰寫入身份令牌,完成證書簽發(fā)(包括機構(gòu)證書、系統(tǒng)證書和用戶證書);
3.3 應(yīng)用安全訪問控制設(shè)備
應(yīng)用安全訪問控制采用安全隧道技術(shù),在終端和服務(wù)器之間建立一個安全隧道,并且隔離終端和服務(wù)器之間的直接連接,所有的訪問都必須通過安全隧道,沒有經(jīng)過安全隧道的訪問請求一律丟棄。應(yīng)用訪問控制設(shè)備首先通過驗證終端設(shè)備的身份,并根據(jù)終端設(shè)備的身份查詢該終端設(shè)備的權(quán)限,根據(jù)終端設(shè)備的權(quán)限決定是否允許終端設(shè)備的訪問。
3.4 安全通道管控設(shè)備
安全通道管控設(shè)備部署于物聯(lián)網(wǎng)LNS服務(wù)器與運營商網(wǎng)關(guān)之間,用于抵御來自公網(wǎng)或終端設(shè)備的各種安全威脅。其主要特點體現(xiàn)在兩個方面:透明,即對用戶透明、對網(wǎng)絡(luò)設(shè)備透明,滿足電信級要求;管控,即根據(jù)需要對網(wǎng)絡(luò)通信內(nèi)容進(jìn)行管理、監(jiān)控。
3.5 網(wǎng)絡(luò)加密機
網(wǎng)絡(luò)加密機部署在物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間,通過建立一個安全隧道,并且隔離終端設(shè)備和中心服務(wù)器之間的直接連接,所有的訪問都必須通過安全隧道網(wǎng)絡(luò)加密機采用對稱密碼體制的分組密碼算法,加密傳輸采用IPSec的ESP協(xié)議、通道模式進(jìn)行封裝。在公共移動通信網(wǎng)絡(luò)上構(gòu)建自主安全可控的物聯(lián)網(wǎng)虛擬專用網(wǎng)(VPN),使物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的各種應(yīng)用業(yè)務(wù)數(shù)據(jù)安全、透明地通過公共通信環(huán)境,確保終端數(shù)據(jù)傳輸?shù)陌踩C堋?/p>
4 結(jié)束語
本文主要分析了基于現(xiàn)有移動核心網(wǎng)的架構(gòu)下如何解決物聯(lián)網(wǎng)通信的安全。在下一代網(wǎng)絡(luò)NGN中情況有所不同,因為NGN基于IP技術(shù),采用業(yè)務(wù)層和傳輸層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳輸控制與傳輸相互分離的思想,其安全問題有待進(jìn)一步研究。
參考文獻(xiàn)
[1]李連寧.物聯(lián)網(wǎng)安全導(dǎo)論.清華大學(xué)出版社 2013.
[2]劉宴兵,胡文平.物聯(lián)網(wǎng)安全模型及其關(guān)鍵技術(shù)[J].數(shù)字通信,2010,37(4):28-29.
[3]李曉維.無線傳感器網(wǎng)絡(luò)技術(shù)[M].北京:北京 理工大學(xué)出版社,2007:241-246.