于曉冉　李永思

摘 要：本文分析了物聯(lián)網(wǎng)網(wǎng)絡(luò)層面臨的安全威脅、安全需求和安全技術(shù)，并針對(duì)這些新的挑戰(zhàn)提出了物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)層；安全問(wèn)題；技術(shù)需求；解決方案

1 網(wǎng)絡(luò)層概述

物聯(lián)網(wǎng)是一種虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界實(shí)時(shí)交互的新型系統(tǒng)，物聯(lián)網(wǎng)通過(guò)網(wǎng)絡(luò)層實(shí)現(xiàn)更加廣泛的互連功能。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于把感知層收集到的信息安全可靠地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進(jìn)行信息處理，實(shí)現(xiàn)對(duì)客觀世界的有效感知及有效控制。其中連接終端感知網(wǎng)絡(luò)與服務(wù)器的橋梁便是各類(lèi)承載網(wǎng)絡(luò)，物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)包括核心網(wǎng)（NGN）、2G通信系統(tǒng)、3G通信系統(tǒng)和LTE/4G通信系統(tǒng)等移動(dòng)通信網(wǎng)絡(luò)，以及WLAN、藍(lán)牙等無(wú)線接入系統(tǒng)。

2 網(wǎng)絡(luò)層面臨的安全問(wèn)題

物聯(lián)網(wǎng)網(wǎng)絡(luò)層的安全威脅主要來(lái)自以下幾個(gè)方面：

⑴物聯(lián)網(wǎng)終端自身安全。隨著物聯(lián)網(wǎng)業(yè)務(wù)終端的日益智能化，物聯(lián)網(wǎng)應(yīng)用更加豐富，同時(shí)也增加了終端感染病毒、木馬或惡意代碼所入侵的渠道。同時(shí)，網(wǎng)絡(luò)終端自身系統(tǒng)平臺(tái)缺乏完整性保護(hù)和驗(yàn)證機(jī)制，平臺(tái)軟/硬件模塊容易被攻擊者篡改，一旦被竊取或篡改，其中存儲(chǔ)的私密信息將面臨泄漏的風(fēng)險(xiǎn)；⑵承載網(wǎng)絡(luò)信息傳輸安全。物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)是一個(gè)多網(wǎng)絡(luò)疊加的開(kāi)放性網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)融合的加速及網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，物聯(lián)網(wǎng)基于無(wú)線和有線鏈路進(jìn)行數(shù)據(jù)傳輸面臨更大的威脅。攻擊者可隨意竊取、篡改或刪除鏈路上的數(shù)據(jù)，并偽裝成網(wǎng)絡(luò)實(shí)體截取業(yè)務(wù)數(shù)據(jù)及對(duì)網(wǎng)絡(luò)流量進(jìn)行主動(dòng)與被動(dòng)的分析；⑶核心網(wǎng)絡(luò)安全。未來(lái)，全I(xiàn)P化的移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)及下一代互聯(lián)網(wǎng)將是物聯(lián)網(wǎng)網(wǎng)絡(luò)層的核心載體。對(duì)于一個(gè)全I(xiàn)P化開(kāi)放性網(wǎng)絡(luò)，將面臨傳統(tǒng)的DOS攻擊、DDOS攻擊、假冒攻擊等網(wǎng)絡(luò)安全威脅，且物聯(lián)網(wǎng)中業(yè)務(wù)節(jié)點(diǎn)數(shù)量將大大超過(guò)以往任何服務(wù)網(wǎng)絡(luò)，在大量數(shù)據(jù)傳輸時(shí)將使承載網(wǎng)絡(luò)堵塞，產(chǎn)生拒絕服務(wù)攻擊。

3 網(wǎng)絡(luò)層安全技術(shù)需求

3.1 網(wǎng)絡(luò)層安全特點(diǎn)

物聯(lián)網(wǎng)網(wǎng)絡(luò)安全區(qū)別于傳統(tǒng)的TCP/IP網(wǎng)絡(luò)具有以下特點(diǎn)。

⑴物聯(lián)網(wǎng)是在移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴(kuò)展的網(wǎng)絡(luò)，但由于不同應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)具有不同的網(wǎng)絡(luò)安全和服務(wù)質(zhì)量要求，使得它無(wú)法再?gòu)?fù)制互聯(lián)網(wǎng)成功的技術(shù)模式。針對(duì)物聯(lián)網(wǎng)不同應(yīng)用領(lǐng)域的專(zhuān)用性，需客觀的設(shè)定物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全機(jī)制，科學(xué)的設(shè)定網(wǎng)絡(luò)安全技術(shù)研究和開(kāi)發(fā)的目標(biāo)和內(nèi)容；⑵物聯(lián)網(wǎng)的網(wǎng)絡(luò)層將面臨現(xiàn)有TCP/IP網(wǎng)絡(luò)的所有安全問(wèn)題，還因?yàn)槲锫?lián)網(wǎng)感知層所采集的數(shù)據(jù)格式多樣，來(lái)自各種各樣感知節(jié)點(diǎn)的數(shù)據(jù)是海量的并且是多源異構(gòu)數(shù)據(jù)，帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題將更加復(fù)雜；⑶物聯(lián)網(wǎng)對(duì)于實(shí)時(shí)性、安全可信性、資源保證性等方面有很高的要求。如醫(yī)療衛(wèi)生的物聯(lián)網(wǎng)必須要求具有很高的可靠性，保證不會(huì)因?yàn)橛捎谖锫?lián)網(wǎng)的誤操作而威脅患者的生命；⑷物聯(lián)網(wǎng)需要嚴(yán)密的安全性和可控性，具有保護(hù)個(gè)人隱私、防御網(wǎng)絡(luò)攻擊的能力。

3.2 物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全需求

物聯(lián)網(wǎng)的網(wǎng)絡(luò)層主要用于實(shí)現(xiàn)物聯(lián)網(wǎng)信息的雙向傳遞和控制。物聯(lián)網(wǎng)應(yīng)用承載網(wǎng)絡(luò)主要以互聯(lián)網(wǎng)、移動(dòng)通信及其它專(zhuān)用IP網(wǎng)絡(luò)為主，物聯(lián)網(wǎng)網(wǎng)絡(luò)層對(duì)安全的需求可以涵蓋以下幾個(gè)方面。

⑴業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全。需要保證物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)傳輸過(guò)程中數(shù)據(jù)內(nèi)容不被泄漏、篡改及數(shù)據(jù)流量不被非法獲??；⑵承載網(wǎng)絡(luò)的安全防護(hù)。物聯(lián)網(wǎng)中需要解決如何對(duì)脆弱傳輸點(diǎn)或核心網(wǎng)絡(luò)設(shè)備的非法攻擊進(jìn)行安全防護(hù)；⑶終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證。在網(wǎng)絡(luò)層，為物聯(lián)網(wǎng)終端提供輕量級(jí)鑒別認(rèn)證和訪問(wèn)控制，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)終端接入認(rèn)證、異構(gòu)網(wǎng)絡(luò)互連的身份認(rèn)證、鑒權(quán)管理等等是物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全的核心需求之一；⑷異構(gòu)網(wǎng)絡(luò)下終端安全接入。物聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)承載包括互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)、WLAN網(wǎng)絡(luò)等多種類(lèi)型的承載網(wǎng)絡(luò)，針對(duì)業(yè)務(wù)特征，對(duì)網(wǎng)絡(luò)接入技術(shù)和網(wǎng)絡(luò)架構(gòu)都需要改進(jìn)和優(yōu)化，以滿足物聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)安全應(yīng)用需求；⑸物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求。物聯(lián)網(wǎng)需要一個(gè)統(tǒng)一的協(xié)議棧和相應(yīng)的技術(shù)標(biāo)準(zhǔn)，以此杜絕通過(guò)篡改協(xié)議、協(xié)議漏洞等安全風(fēng)險(xiǎn)威脅網(wǎng)絡(luò)應(yīng)用安全；⑹大規(guī)模終端分布式安全管控。物聯(lián)網(wǎng)應(yīng)用終端的大規(guī)模部署，對(duì)網(wǎng)絡(luò)安全管控體系、安全管控與應(yīng)用服務(wù)統(tǒng)一部署、安全檢測(cè)、應(yīng)急聯(lián)動(dòng)、安全審計(jì)等方面提出了新的安全需求。

4 網(wǎng)絡(luò)層安全解決方案

物聯(lián)網(wǎng)的網(wǎng)絡(luò)層解決方案應(yīng)包括以下幾方面內(nèi)容：

⑴構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，重點(diǎn)對(duì)網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)與信息安全、加密機(jī)制、密鑰管理體制、安全分級(jí)管理體制、節(jié)點(diǎn)間通信、網(wǎng)絡(luò)入侵檢測(cè)、路由尋址、組網(wǎng)及鑒權(quán)認(rèn)證和安全管控等進(jìn)行全面設(shè)計(jì)；⑵建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺(tái)，完成對(duì)終端安全管控、安全授權(quán)、應(yīng)用訪問(wèn)控制、協(xié)同處理、終端態(tài)勢(shì)監(jiān)控與分析等管理；⑶提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用與保障措施，重點(diǎn)規(guī)劃異構(gòu)網(wǎng)絡(luò)集成、功能集成、軟/硬件操作界面集成及智能控制、系統(tǒng)級(jí)軟件和安全中間件等技術(shù)應(yīng)用；⑷建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問(wèn)控制機(jī)制，建立物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接和應(yīng)用訪問(wèn)控制，滿足物聯(lián)網(wǎng)終端產(chǎn)品的多樣化網(wǎng)絡(luò)安全需求。

[參考文獻(xiàn)]

[1]溫蜜.無(wú)線傳感器網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)[D].復(fù)旦大學(xué)，2007.

[2]胡萍.NGN組網(wǎng)的安全性與可靠性研究[D].北京郵電大學(xué)，2009.

[3]楊義先，鈕心忻.無(wú)線通信安全技術(shù)[M].北京郵電大學(xué)出版社，2005.

[4]虞忠輝.GSM蜂窩移動(dòng)通信系統(tǒng)安全保密技術(shù)[J].通信技術(shù)，2003.

[5]畢軍，吳建平，程祥斌.下一代互聯(lián)網(wǎng)真實(shí)地址尋址技術(shù)實(shí)現(xiàn)及試驗(yàn)情況[J].電信科學(xué)，2009.