鄔群輝 甘勇 王凱莉

摘 要：物聯(lián)網時代終將到來，IPv6地址的使用需求不斷提高以及IPv6地址的普及必將成為現(xiàn)實，但是物聯(lián)網存在信息泄露等安全性問題，某些方面可以使用VPN技術加以解決。物聯(lián)網中的私人設備與用戶相聯(lián)結的設備（即該用戶所掌控設備組成的物聯(lián)網的核心設備）通過VPN技術合理聯(lián)結，使物聯(lián)網的安全性得到有效提高。

關鍵詞：IPv6；VPN；安全性

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2096-4706（2018）08-0191-03

Abstract：In view of the coming of the internet of things，the need for the use of IPv6 addresses and the popularity of IPv6 addresses will become a reality. But there are security problems such as information leakage in the internet of things，and some aspects can be solved by using VPN technology. The equipment associated with the user in the internet of things （the core equipment of the internet of things that the user controls the equipment） is connected by VPN technology so that the security of the internet of things is effectively improved.

Keywords：IPv6；VPN；security

0 引 言

物聯(lián)網（IoT）可以應用于人們日常生活和工作的方方面面，所涉及的學科和行業(yè)也比較多。關鍵技術包括RFID、傳感器、通信技術、嵌入式軟件以及傳輸數據計算等。物聯(lián)網由各種不同功能的節(jié)點組成，具有數量大、節(jié)點分散和管理復雜等特點，在數據通信和管理上網絡安全尤為重要[1]。物聯(lián)網節(jié)點主要安裝在無人監(jiān)控的場所，攻擊者較容易接觸到這些物理節(jié)點，甚至改變其操作特性。此外，攻擊者還可以越權或冒充合法節(jié)點與其他節(jié)點通信來享受其服務，因此，不同結構的物聯(lián)網都有可能存在一定數量的損壞節(jié)點和惡意節(jié)點。IoT的標簽管理體系無法證明自身信息發(fā)給哪個閱讀器，所以攻擊者可以獲得已認證的身份，多次獲得其節(jié)點服務。攻擊者可以通過破壞標簽數據，使節(jié)點的服務無法完成，也可以竊取或者偽造標識竊取數據，以獲得相關服務或者為進一步的攻擊做準備。攻擊者還可以通過協(xié)議漏洞以及網絡本身的脆弱性，使某些節(jié)點獲取較高級別服務，甚至可以完成對物聯(lián)網其他節(jié)點的運行控制。

傳統(tǒng)的認證通過不同層次服務加以區(qū)分，如網絡層認證僅負責網絡層的身份鑒別和認證，業(yè)務層認證僅負責業(yè)務層的身份鑒別和認證，相互獨立存在。尤其是嵌入式IoT多為專用網絡結構[2]，也就是說，業(yè)務應用與網絡通信在規(guī)劃和設計時已經是一體的。網絡層的認證是不可缺少的，所以IoT的業(yè)務層認證機制可以不予設計[3]，在傳統(tǒng)的安全認證中，僅僅區(qū)分不同的類型和層次[4]。不同層次的認證僅局限于當前層次的不同身份鑒定，但是在物聯(lián)網中，大部分機器都有專有的職能，因而其中的層次都是綁定的，比如業(yè)務層和應用層的通訊。由于網絡層的認證是不可缺少的，其業(yè)務層的認證機制就不再是必需的，而是可以根據業(yè)務由誰來提供和業(yè)務的安全敏感程度來設計。

在不久的將來，我們生活中的每個人，甚至每一個物品都可以在任意時間、任意地點與網絡連接在一起，可以被感知其存在性。這時候就會出現(xiàn)一個問題：信息的安全性和隱私性的問題。防止個人信息、財產信息和其他信息丟失或者被盜用，這必將是未來物聯(lián)網向前推進的一大難題，解決好這個問題是物聯(lián)網發(fā)展關鍵所在。

1 IPv6-VPN安全物聯(lián)網設計

1.1 IPv6-VPN安全優(yōu)勢

與IPv4相比，IPv6具有以下幾個優(yōu)勢：（1）IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32，最大地址個數為2^32；IPv6中IP地址的長度為128，即最大地址個數為2^128。與32位地址空間相比，其地址空間增加了2^128～2^32個；（2）IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網，大大減小了路由器中路由表的長度，提高了路由器轉發(fā)數據包的速度；（3）IPv6增加了增強的組播（Multicast）支持以及對流的控制（Flow Control），使網絡上的多媒體應用得到了發(fā)展的機會，為服務質量（QoS，Quality of Service）控制提供了良好的網絡平臺；（4）IPv6加入了對自動配置（Auto Configuration）的支持，這是對DHCP協(xié)議的改進和擴展，使網絡（尤其是局域網）的管理更加方便和快捷；（5）IPv6具有更高的安全性，在使用IPv6網絡時，用戶可以對網絡層的數據進行加密，并對IP報文進行校驗，IPv6中的加密與鑒別選項保證了分組的保密性與完整性，極大地增強了網絡的安全性；（6）允許擴充。如果新的技術或應用需要時，IPv6允許協(xié)議進行擴充；（7）頭部格式。IPv6使用新的頭部格式，其選項與基本頭部分開，如果需要，可將選項插入到基本頭部與上層數據之間。這就簡化和加速了路由選擇過程，因為大多數的選項不需要由路器選擇；（8）新的選項。IPv6有一些新的選項來實現(xiàn)附加的功能。

1.2 IPv6-VPN在物聯(lián)網中的應用構想

1.2.1 解決IP地址稀缺問題

物聯(lián)網被稱為“物物相連的互聯(lián)網”，相連的每一個“物”必須有唯一的標示[5]。由于要進入互聯(lián)網，除了物理地址之外，還需要一個網絡地址（即IP地址）。目前IPv4地址已經完全分配完畢，如果再給每一個物品分配一個IPv4的地址是實現(xiàn)不了的，所以使用IPv6地址是一個很好的選擇。

1.2.2 IPv6地址對于物聯(lián)網安全性的保障

IPv6地址是“每一粒沙子都能分配到一個地址”，無窮無盡的地址空間可以保證我們每一個存在的人都可以分配到IP地址，并對這些地址進行合理地分配和使用。

IPv6地址128位分8段，每段4個4位十六進制數，具體格式如下：xxxx；xxxx；xxxx；xxxx；xxxx：xxxx；xxxx；xxxx。

其中每個x是代表一個4位的十六進制數字格式。

現(xiàn)在全球人數為70億左右，預計直到物聯(lián)網普及也很難突破100億，暫且假定為100億人次，則標識出每個人大約需要8.3位十六進制數左右，那么可以用3段（12位）表示每一個使用IPv6地址的人。

未來的IP地址可以做如下分配：

第一個字段共16^4=65536位，用于標識不同的國家、地區(qū)、特殊機構以及保留位；第二、三個字段用于運營商標識、地區(qū)（省市縣等各級）標識、國家重要機關標識和公司或民用標識等；第四、五、六字段用于標識個人身份，但會有一段保留的位置（如0000.0000.0000～0000.0000.0FFF），原因會在第4點介紹。由此可以發(fā)現(xiàn)一個人可能在不同的地區(qū)或公司有不同的IPv6地址，這就可以使用戶在公司和家中的或者其他不同地點都可以憑借自己的ID使用或探測響應的設備；剩余兩個字段供給用戶自由分配給各類物聯(lián)網設備，這兩段可以設置不同權限消息。

其中，如果二、三字段中標識為公司，則設備由公司網絡管理員分配IP地址，普通用戶（假設載體為手機或電腦）進入公司即可被分配“各級標識+公司標識+自己個人身份標識+權限信息”的地址，即可使用對應權限的設備）。有的公司設備比較多，那么第3點中提到的保留位亦可用作分配。如果是民用地址，多數用于家庭或小公司，在二、三字段中區(qū)分則過于耗費資源，而且其設備量不多，后八位十六進制的數目就顯得過于龐大，那么只要在后八位中劃分出適當的位數作為統(tǒng)一標識分配給用戶，帶有相同標識的用戶可使用權限字段中的設備。這里還需要用到一個IP綁定的設備，把一家人的IP綁定在一起，（個人地址不同，但在家中使用同一地址）這樣才能共同使用家中的設備。小公司也是一樣，因為人數不多，設備承受能力會比較好。

IP地址分配好之后，設定外部通信的地址僅限管理地址（手機或電腦的地址），其余設備僅在內部使用，僅可以為管理地址設備監(jiān)聽或讀寫，訪問外網時需管理設備作為網關，這能一定程度上提高物聯(lián)網的安全性。

2 VPN隧道技術以及VPN技術在物聯(lián)網中的應用構想

2.1 VPN簡介

VPN即虛擬專用網絡。虛擬專用網絡的功能是在公用網絡上建立專用網絡，進行加密通訊。在企業(yè)網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現(xiàn)遠程訪問。VPN有多種分類方式，主要是按協(xié)議進行分類。VPN可通過服務器、硬件和軟件等多種方式實現(xiàn)。

2.2 VPN優(yōu)點

（1）VPN能夠讓員工和其他人員利用本地現(xiàn)有的高速寬帶網連接企業(yè)網絡。比如學校的成績查詢，如果不在學校，其他網絡登不進系統(tǒng)，利用VPN就可以快速查詢相關信息；（2）設計良好的寬帶VPN是模塊化和可升級的；（3）VPN可以給用戶提供相對較高的安全性。VPN使用了加密和身份識別系統(tǒng)，避免用戶信息不必要的丟失和被盜用，阻止不法分子（黑客或者其他不相干人員）竊取信息；（4）完全控制。用戶可以完全掌握自己網絡的安全，也可以管理其他的相關技術。在自己的網絡中也能構建自己的虛擬專用網絡。

2.3 VPN在物聯(lián)網中的應用構想

VPN在現(xiàn)有水平可以保證相對的安全，在未來的物物相連中也應起到其相應的作用。除了之前所說的通過IP地址的劃分來保證IP識別和使用設備，當遠程需要通過外網鏈接的時候，VPN是個安全可靠的選擇。每一個設備都分配一個外部IP地址和一個內部IP地址，管理設備在和內部設備需要使用外網通信的時候，可以使用隧道技術實現(xiàn)，這能很大程度地避免信息泄露，保障了用戶的隱私。

現(xiàn)階段，VPN在物聯(lián)網中的應用主要體現(xiàn)在智能家居中[6]。假設家居中的組網采用Zigbee組網技術，通過協(xié)調器直連路由器進行數據交換，路由器可以設置VPN，使家中的一些隱私數據不流失到外網中。這里提到的隱私數據主要分為兩類：一類是基于物聯(lián)網應用功能的數據，即一些智能家居的控制信息數據；另一類是額外的、不影響物聯(lián)網應用的數據，比如攝像頭拍攝的視頻和圖片等。針對不同類型的信息，可以設置不同的保密等級，這樣可以便于網絡數據的統(tǒng)一管理，這個有點類似于QoS。在物聯(lián)網將要普及的時代，用戶應該擁有管理自己信息隱私的權利，所以在推廣智能家居的同時，也應該對應給出一套由用戶自己設定的隱私保護方案，我相信這將十分有利于未來物聯(lián)網行業(yè)的規(guī)范發(fā)展，也將會有助于更多面對物聯(lián)網，尚在觀望的大眾選擇加入其中。

參考文獻：

[1] 毛燕琴，沈蘇彬.物聯(lián)網信息模型與能力分析軟件學報 [J].軟件學報，2014（8）：85-95.

[2] 徐楊，王曉峰，何清漪.物聯(lián)網環(huán)境下多智能體決策信息支持技術 [J].軟件學報，2014，25（10）：25-45.

[3] 范紅，邵華，李程遠，等.物聯(lián)網安全技術體系研究 [C]//第26次全國計算機安全學術交流會.第26次全國計算機安全學術交流會論文集.中國福建武夷山：《信息網絡安全》編輯部，2011：13-16.

[4] 戴榮.關于網絡工程安全防護技術的分析 [J].電子技術與軟件工程，2016（9）：214.

[5] 任宗偉.物聯(lián)網基礎技術 [M].北京：中國物資出版社，2011.

[6] 邊倩，王振鐸，張慧娥.IPv6協(xié)議在現(xiàn)代網絡工程中的運用探析 [J].電子技術與軟件工程，2016（16）：13.

作者簡介：鄔群輝（1980-），男，工程師，本科。研究方向：計算機系統(tǒng)集成、計算機控制系統(tǒng)。