蔡菁

摘 要：物聯(lián)網(wǎng)作為一個(gè)多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò)，其安全問(wèn)題比單一網(wǎng)絡(luò)更為復(fù)雜。物聯(lián)網(wǎng)的網(wǎng)絡(luò)層可分為業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分，其中無(wú)線(xiàn)接入網(wǎng)和核心網(wǎng)的安全對(duì)于完成物聯(lián)網(wǎng)物物通信至關(guān)重要。本文主要分析了現(xiàn)有核心網(wǎng)架構(gòu)下如何解決物聯(lián)網(wǎng)通信時(shí)的安全問(wèn)題。

關(guān)鍵詞：物聯(lián)網(wǎng)，安全，核心網(wǎng)

1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全需求分析

物聯(lián)網(wǎng)網(wǎng)絡(luò)層對(duì)安全的需求可以涵蓋以下幾方面。分別是：業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全；承載網(wǎng)絡(luò)的安全防護(hù)；終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證；異構(gòu)網(wǎng)絡(luò)下終端的安全接入；大規(guī)模終端分布式安全管控等五個(gè)需求。

2 網(wǎng)絡(luò)層的安全框架

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案應(yīng)包括以下幾方面內(nèi)容。

（1）構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，重點(diǎn)對(duì)網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)與信息安全、加密機(jī)制、密鑰管理體制、安全分級(jí)管理機(jī)制、節(jié)點(diǎn)間通信、網(wǎng)絡(luò)入侵檢測(cè)、路由尋址、組網(wǎng)及鑒權(quán)認(rèn)證和安全管控等進(jìn)行全面設(shè)計(jì)。

（2）建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護(hù)平臺(tái)，通過(guò)對(duì)核心網(wǎng)和終端進(jìn)行全面的安全防護(hù)部署，建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)平臺(tái)，完成對(duì)終端安全管控、安全授權(quán)、應(yīng)用訪(fǎng)問(wèn)控制、協(xié)同處理、終端態(tài)勢(shì)監(jiān)控與分析等管理。

（3）提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層次之間的安全應(yīng)用與保障措施，重點(diǎn)規(guī)劃異構(gòu)網(wǎng)絡(luò)集成、功能集成、軟/硬件操作界面集成及智能控制、系統(tǒng)級(jí)軟件和安全中間件等技術(shù)應(yīng)用。

（4）建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪(fǎng)問(wèn)控制機(jī)制，不同行業(yè)需求千差萬(wàn)別，面向?qū)嶋H應(yīng)用需求，建立物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入和應(yīng)用訪(fǎng)問(wèn)控制，滿(mǎn)足物聯(lián)網(wǎng)終端產(chǎn)品的多樣化網(wǎng)絡(luò)安全需求。

3 現(xiàn)有核心網(wǎng)安全防護(hù)系統(tǒng)部署

目前的物聯(lián)網(wǎng)核心網(wǎng)主要是運(yùn)營(yíng)商的核心網(wǎng)絡(luò)，其安全防護(hù)系統(tǒng)組成包括安全通道管控設(shè)備、網(wǎng)絡(luò)密碼機(jī)、防火墻、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備、防病毒服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、綜合安全管理設(shè)備等。核心網(wǎng)安全防護(hù)系統(tǒng)可以為物聯(lián)網(wǎng)終端設(shè)備提供本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、網(wǎng)絡(luò)過(guò)濾、訪(fǎng)問(wèn)控制、授權(quán)管理等安全防護(hù)體系。核心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

通過(guò)在核心網(wǎng)絡(luò)中部署通道管控設(shè)備、應(yīng)用訪(fǎng)問(wèn)控制設(shè)備、權(quán)限管理設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描設(shè)備、補(bǔ)丁分發(fā)系統(tǒng)等基礎(chǔ)安全實(shí)施，為物聯(lián)網(wǎng)終端的本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、訪(fǎng)問(wèn)控制、授權(quán)管理、傳輸加密提供安全應(yīng)用支撐。

3.1 綜合安全管理設(shè)備

綜合安全管理設(shè)備能夠?qū)θW(wǎng)安全態(tài)勢(shì)進(jìn)行統(tǒng)一監(jiān)控，實(shí)時(shí)反映全網(wǎng)的安全態(tài)勢(shì)，對(duì)安全設(shè)備進(jìn)行統(tǒng)一的管理，能夠構(gòu)建全網(wǎng)安全管理體系，對(duì)專(zhuān)網(wǎng)各類(lèi)安全設(shè)備實(shí)現(xiàn)統(tǒng)一管理；可以實(shí)現(xiàn)全網(wǎng)安全事件的上報(bào)、歸并，全面掌握網(wǎng)絡(luò)安全狀況；實(shí)現(xiàn)網(wǎng)絡(luò)各類(lèi)安全系統(tǒng)和設(shè)備的聯(lián)防聯(lián)動(dòng)。

綜合安全管理設(shè)備對(duì)核心網(wǎng)絡(luò)環(huán)境中的各類(lèi)安全設(shè)備進(jìn)行集中管理和配置，在統(tǒng)一的調(diào)度下完成對(duì)安全通道管控設(shè)備、防火墻、入侵檢測(cè)設(shè)備、應(yīng)用安全訪(fǎng)問(wèn)控制設(shè)備、補(bǔ)丁分發(fā)設(shè)備、防病毒服務(wù)器、漏洞掃描設(shè)備、安全管控系統(tǒng)的統(tǒng)一管理，能夠?qū)Ξa(chǎn)生的安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行會(huì)聚、過(guò)濾、標(biāo)準(zhǔn)化、優(yōu)先級(jí)排序和關(guān)聯(lián)分析處理，支持對(duì)安全事件的應(yīng)急響應(yīng)處置，能夠?qū)Υ_切的安全事件自動(dòng)生成安全響應(yīng)策略，及時(shí)降低或阻斷安全威脅。

3.2 證書(shū)管理系統(tǒng)

證書(shū)管理系統(tǒng)簽發(fā)和管理數(shù)字證書(shū)，由證書(shū)注冊(cè)中心、證書(shū)簽發(fā)中心及證書(shū)目錄服務(wù)器組成。證書(shū)注冊(cè)指審指核注冊(cè)用戶(hù)的合法性，代理用戶(hù)向證書(shū)簽發(fā)中心提出證書(shū)簽發(fā)請(qǐng)求，并將用戶(hù)證書(shū)和密鑰寫(xiě)入身份令牌，完成證書(shū)簽發(fā)（包括機(jī)構(gòu)證書(shū)、系統(tǒng)證書(shū)和用戶(hù)證書(shū)）；

3.3 應(yīng)用安全訪(fǎng)問(wèn)控制設(shè)備

應(yīng)用安全訪(fǎng)問(wèn)控制采用安全隧道技術(shù)，在終端和服務(wù)器之間建立一個(gè)安全隧道，并且隔離終端和服務(wù)器之間的直接連接，所有的訪(fǎng)問(wèn)都必須通過(guò)安全隧道，沒(méi)有經(jīng)過(guò)安全隧道的訪(fǎng)問(wèn)請(qǐng)求一律丟棄。應(yīng)用訪(fǎng)問(wèn)控制設(shè)備首先通過(guò)驗(yàn)證終端設(shè)備的身份，并根據(jù)終端設(shè)備的身份查詢(xún)?cè)摻K端設(shè)備的權(quán)限，根據(jù)終端設(shè)備的權(quán)限決定是否允許終端設(shè)備的訪(fǎng)問(wèn)。

3.4 安全通道管控設(shè)備

安全通道管控設(shè)備部署于物聯(lián)網(wǎng)LNS服務(wù)器與運(yùn)營(yíng)商網(wǎng)關(guān)之間，用于抵御來(lái)自公網(wǎng)或終端設(shè)備的各種安全威脅。其主要特點(diǎn)體現(xiàn)在兩個(gè)方面：透明，即對(duì)用戶(hù)透明、對(duì)網(wǎng)絡(luò)設(shè)備透明，滿(mǎn)足電信級(jí)要求；管控，即根據(jù)需要對(duì)網(wǎng)絡(luò)通信內(nèi)容進(jìn)行管理、監(jiān)控。

3.5 網(wǎng)絡(luò)加密機(jī)

網(wǎng)絡(luò)加密機(jī)部署在物聯(lián)網(wǎng)應(yīng)用的終端設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)之間，通過(guò)建立一個(gè)安全隧道，并且隔離終端設(shè)備和中心服務(wù)器之間的直接連接，所有的訪(fǎng)問(wèn)都必須通過(guò)安全隧道網(wǎng)絡(luò)加密機(jī)采用對(duì)稱(chēng)密碼體制的分組密碼算法，加密傳輸采用IPSec的ESP協(xié)議、通道模式進(jìn)行封裝。在公共移動(dòng)通信網(wǎng)絡(luò)上構(gòu)建自主安全可控的物聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)（VPN），使物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的各種應(yīng)用業(yè)務(wù)數(shù)據(jù)安全、透明地通過(guò)公共通信環(huán)境，確保終端數(shù)據(jù)傳輸?shù)陌踩Ｃ堋?/p>

4 結(jié)束語(yǔ)

本文主要分析了基于現(xiàn)有移動(dòng)核心網(wǎng)的架構(gòu)下如何解決物聯(lián)網(wǎng)通信的安全。在下一代網(wǎng)絡(luò)NGN中情況有所不同，因?yàn)镹GN基于IP技術(shù)，采用業(yè)務(wù)層和傳輸層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳輸控制與傳輸相互分離的思想，其安全問(wèn)題有待進(jìn)一步研究。

參考文獻(xiàn)

[1]李連寧.物聯(lián)網(wǎng)安全導(dǎo)論.清華大學(xué)出版社 2013.

[2]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型及其關(guān)鍵技術(shù)[J].數(shù)字通信，2010，37（4）：28-29.

[3]李曉維.無(wú)線(xiàn)傳感器網(wǎng)絡(luò)技術(shù)[M].北京：北京 理工大學(xué)出版社，2007：241-246.