摘 要：本文首先介紹了課題研究背景，對課題所涉及到的一些基礎(chǔ)知識與技術(shù)進(jìn)行簡單介紹。課題研究重點是網(wǎng)關(guān)的關(guān)鍵技術(shù)并涉及一些安全機制。安全機制主要采取訪問控制與加密技術(shù)等相結(jié)合的方式。

關(guān)鍵詞：物聯(lián)網(wǎng)；安全網(wǎng)關(guān)；地址映射；NS-2

中圖分類號：TP391.44；TN929.5

1 物聯(lián)網(wǎng)安全網(wǎng)關(guān)

安全網(wǎng)關(guān)是多種技術(shù)的融合，采用訪問控制（access control）機制，包過濾（Packet Filtering）機制和安全代理（Security Agent）等安全機制，主要保護(hù)傳感網(wǎng)中流通的數(shù)據(jù)的安全性、完整性，實現(xiàn)網(wǎng)關(guān)與外部網(wǎng)絡(luò)之間通信的安全需求。圖1所示為物聯(lián)網(wǎng)/傳感網(wǎng)安全網(wǎng)關(guān)的一般結(jié)構(gòu)圖。

圖1 傳感網(wǎng)安全網(wǎng)關(guān)結(jié)構(gòu)圖

傳感網(wǎng)/物聯(lián)網(wǎng)安全網(wǎng)關(guān)的功能模塊，如下圖2所示，數(shù)據(jù)管理模塊包括數(shù)據(jù)存儲、查詢表、物理量測量表示法和數(shù)據(jù)聚合子模塊；協(xié)議轉(zhuǎn)換模塊包括以太網(wǎng)轉(zhuǎn)換模塊、ZigBee轉(zhuǎn)換模塊等。

圖2 物聯(lián)網(wǎng)安全網(wǎng)關(guān)的主要功能圖

2 安全機制研究

安全網(wǎng)關(guān)中采用的安全機制，一般通過參照傳感網(wǎng)中安全機制的標(biāo)準(zhǔn)，結(jié)合傳感網(wǎng)的網(wǎng)關(guān)訪問控制機制、網(wǎng)關(guān)的防火墻功能、安全代理等安全機制，從而實現(xiàn)對數(shù)據(jù)包進(jìn)行有效地保護(hù)。

針對現(xiàn)有網(wǎng)關(guān)技術(shù)，本文參照傳感網(wǎng)的安全機制要求，加入網(wǎng)關(guān)安全機制，主要采用密碼技術(shù)、訪問控制機制，以實現(xiàn)網(wǎng)關(guān)安全功能。通過入網(wǎng)訪問控制和網(wǎng)絡(luò)權(quán)限控制來實現(xiàn)訪問資源的管理，以保護(hù)傳感網(wǎng)內(nèi)的數(shù)據(jù)安全；對數(shù)據(jù)包的原地址，目的地址和端口號，網(wǎng)絡(luò)協(xié)議進(jìn)行授權(quán)，通過對信息的過濾處理，讓有許可權(quán)的數(shù)據(jù)包傳輸通過網(wǎng)關(guān)，而對那些沒有許可權(quán)的數(shù)據(jù)包進(jìn)行攔截甚至丟棄。

本文主要研究物聯(lián)網(wǎng)的訪問控制，引入了一個可信第三方或者網(wǎng)絡(luò)控制中心，緩解了網(wǎng)關(guān)的壓力，減少網(wǎng)關(guān)耗能。其中外網(wǎng)進(jìn)入網(wǎng)關(guān)的整個訪問過程如下圖3所示：

圖3 外部網(wǎng)絡(luò)主機/用戶訪問網(wǎng)關(guān)的過程圖

3 基于安全機制的安全網(wǎng)關(guān)研究

3.1 外部網(wǎng)絡(luò)同網(wǎng)關(guān)的通信機制

通過訪問控制，網(wǎng)關(guān)接收到基于信任第三方遠(yuǎn)程主機或用戶請求數(shù)據(jù)包，并判斷主機是否合法。根據(jù)遠(yuǎn)程主機所需要的數(shù)據(jù)類型分配相應(yīng)的虛擬IP地址，遠(yuǎn)程主機或用戶通過此虛擬IP地址查詢所需數(shù)據(jù)；并且為請求訪問的外網(wǎng)主機或用戶建立一張訪問控制表 （access control list），訪問控制表中，需要為外網(wǎng)主機或用戶保存所頒發(fā)證書消息的全部的內(nèi)容。

其中，在地址映射方面，本文提出了一種基于數(shù)據(jù)查詢的地址映射方法。由于在目前的傳感網(wǎng)應(yīng)用場景中，傳感網(wǎng)內(nèi)部節(jié)點的個數(shù)總是多于傳感網(wǎng)網(wǎng)關(guān)要采集數(shù)據(jù)類型的個數(shù)，本方法利用這一原則，減少了一些不必要的IP地址資源分配，減少了資源浪費；另外，本方法在保證數(shù)據(jù)完整的前提下，網(wǎng)關(guān)會把同一目的地、同一數(shù)據(jù)類型的數(shù)據(jù)組包在一起后發(fā)送，這一可以減少包的個數(shù)、提高轉(zhuǎn)發(fā)效率，同時提高外部網(wǎng)絡(luò)帶寬利用率。

3.2 網(wǎng)關(guān)資源調(diào)度機制

無線傳感網(wǎng)中的設(shè)備在采集到數(shù)據(jù)后，會采用CSMA機制上傳數(shù)據(jù)至網(wǎng)關(guān)處，因此上傳數(shù)據(jù)是隨機散亂、沒有秩序的，由于這種機制缺乏網(wǎng)絡(luò)資源的總體調(diào)度，因此會造成網(wǎng)絡(luò)資源的極大浪費。而本文提出可以將上傳數(shù)據(jù)的時隙集中在一起，也就是設(shè)備采集完數(shù)據(jù)之后，會向網(wǎng)關(guān)申請自己發(fā)送數(shù)據(jù)所需要的網(wǎng)絡(luò)資源，網(wǎng)關(guān)就會統(tǒng)一調(diào)度這些資源，讓設(shè)備可以有序地上傳數(shù)據(jù)，集中使用網(wǎng)絡(luò)資源的同時也保證了FFD在超幀內(nèi)不用時刻處于監(jiān)聽狀態(tài)，轉(zhuǎn)發(fā)完數(shù)據(jù)之后可以有較長的休眠時間。

3.3 網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)機制

物聯(lián)網(wǎng)安全網(wǎng)關(guān)需要在不同的網(wǎng)絡(luò)間實現(xiàn)數(shù)據(jù)共享，在不同速率的條件下實現(xiàn)高效率的數(shù)據(jù)包重組和轉(zhuǎn)發(fā)。通常網(wǎng)關(guān)會根據(jù)外部網(wǎng)絡(luò)主機的要求，采集網(wǎng)內(nèi)的數(shù)據(jù)，而產(chǎn)生的數(shù)據(jù)由于針對不同應(yīng)用場景，其數(shù)據(jù)類型和延時要求是不一樣的，這里的延時就是網(wǎng)關(guān)可以保存這些數(shù)據(jù)的時間，所以網(wǎng)關(guān)就可以在這個時間的范圍之內(nèi)，對數(shù)據(jù)進(jìn)行打包，然后轉(zhuǎn)發(fā)。

數(shù)據(jù)必須依次發(fā)送至網(wǎng)關(guān)處，由網(wǎng)關(guān)進(jìn)行專訪，因此，本文提出了一種網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)機制：網(wǎng)關(guān)根據(jù)數(shù)據(jù)包不同的數(shù)據(jù)類型和延時要求，將其放在相應(yīng)的內(nèi)存內(nèi)，再對數(shù)據(jù)包進(jìn)行定時打包發(fā)送。具體包括：時間窗口機制和窗口發(fā)送機制；這兩種機制，能夠分別用來解決網(wǎng)關(guān)在對接收到的數(shù)據(jù)包進(jìn)行排隊問題和定時打包發(fā)送時的問題。

4 結(jié)束語

本文研究現(xiàn)有傳感網(wǎng)的標(biāo)準(zhǔn)和協(xié)議，研究傳感網(wǎng)如何對數(shù)據(jù)高效地進(jìn)行聚合，根據(jù)傳感網(wǎng)標(biāo)準(zhǔn)，提出網(wǎng)關(guān)是實現(xiàn)這一功能的關(guān)鍵；根據(jù)IEEE802.15.4標(biāo)準(zhǔn)和ZigBee協(xié)議，結(jié)合傳感網(wǎng)數(shù)據(jù)特點，本文提出相應(yīng)網(wǎng)關(guān)數(shù)據(jù)管理的三個機制：外部網(wǎng)絡(luò)同網(wǎng)關(guān)的通信機制、網(wǎng)關(guān)資源調(diào)度機制、網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)機制。通過實驗仿真實驗可知，本文提出的物聯(lián)網(wǎng)的網(wǎng)關(guān)安全機制可以對數(shù)據(jù)包進(jìn)行有效地發(fā)送，進(jìn)而降低了數(shù)據(jù)發(fā)送的時延，減少了網(wǎng)關(guān)負(fù)載，實現(xiàn)低時延的數(shù)據(jù)轉(zhuǎn)發(fā)。

參考文獻(xiàn)：

[1]楊庚，等.物聯(lián)網(wǎng)安全特征與關(guān)鍵技術(shù)[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2010，30（4）：19-29.

[2]楊彥輝.基于ZigBee的無線IP網(wǎng)關(guān)技術(shù)研究[D].北京：北京郵電大學(xué)，2010.

[3]張華.無線傳感器網(wǎng)絡(luò)節(jié)點與網(wǎng)關(guān)之間的通信方法[P].中國專利，2008-1-30.

[4]Wayne Goddard，Introduction to Algorithms，part2：Greedy Algorithms Dynamic Programming Graph Algorithms[M]，Clemson University，2004：15-16.

[5]Thomas H. Cormen， Introduction to Algorithms， Second Edition. MIT Press and McGraw-Hill， 2001. Section 22.2： Breadth-first search，531-539.

作者單位：銅仁學(xué)院，貴州銅仁 554300