物联网核心网安全防范措施探讨
2018-07-09蔡菁
蔡菁
摘 要:物联网作为一个多网并存的异构融合网络,其安全问题比单一网络更为复杂。物联网的网络层可分为业务网、核心网、接入网三部分,其中无线接入网和核心网的安全对于完成物联网物物通信至关重要。本文主要分析了现有核心网架构下如何解决物联网通信时的安全问题。
关键词:物联网,安全,核心网
1 物联网网络层安全需求分析
物联网网络层对安全的需求可以涵盖以下几方面。分别是:业务数据在承载网络中的传输安全;承载网络的安全防护;终端及异构网络的鉴权认证;异构网络下终端的安全接入;大规模终端分布式安全管控等五个需求。
2 网络层的安全框架
物联网网络层安全解决方案应包括以下几方面内容。
(1)构建物联网与互联网、移动通信网络相融合的网络安全体系结构,重点对网络体系架构、网络与信息安全、加密机制、密钥管理体制、安全分级管理机制、节点间通信、网络入侵检测、路由寻址、组网及鉴权认证和安全管控等进行全面设计。
(2)建设物联网网络安全统一防护平台,通过对核心网和终端进行全面的安全防护部署,建设物联网网络安全防护平台,完成对终端安全管控、安全授权、应用访问控制、协同处理、终端态势监控与分析等管理。
(3)提高物联网系统各应用层次之间的安全应用与保障措施,重点规划异构网络集成、功能集成、软/硬件操作界面集成及智能控制、系统级软件和安全中间件等技术应用。
(4)建立全面的物联网网络安全接入与应用访问控制机制,不同行业需求千差万别,面向实际应用需求,建立物联网网络安全接入和应用访问控制,满足物联网终端产品的多样化网络安全需求。
3 现有核心网安全防护系统部署
目前的物联网核心网主要是运营商的核心网络,其安全防护系统组成包括安全通道管控设备、网络密码机、防火墙、入侵检测设备、漏洞扫描设备、防病毒服务器、补丁分发服务器、综合安全管理设备等。核心网安全防护系统可以为物联网终端设备提供本地和网络应用的身份认证、网络过滤、访问控制、授权管理等安全防护体系。核心网络安全防护系统网络拓扑结构如图1所示。
通过在核心网络中部署通道管控设备、应用访问控制设备、权限管理设备、防火墙、入侵检测系统、漏洞扫描设备、补丁分发系统等基础安全实施,为物联网终端的本地和网络应用的身份认证、访问控制、授权管理、传输加密提供安全应用支撑。
3.1 综合安全管理设备
综合安全管理设备能够对全网安全态势进行统一监控,实时反映全网的安全态势,对安全设备进行统一的管理,能够构建全网安全管理体系,对专网各类安全设备实现统一管理;可以实现全网安全事件的上报、归并,全面掌握网络安全状况;实现网络各类安全系统和设备的联防联动。
综合安全管理设备对核心网络环境中的各类安全设备进行集中管理和配置,在统一的调度下完成对安全通道管控设备、防火墙、入侵检测设备、应用安全访问控制设备、补丁分发设备、防病毒服务器、漏洞扫描设备、安全管控系统的统一管理,能够对产生的安全态势数据进行会聚、过滤、标准化、优先级排序和关联分析处理,支持对安全事件的应急响应处置,能够对确切的安全事件自动生成安全响应策略,及时降低或阻断安全威胁。
3.2 证书管理系统
证书管理系统签发和管理数字证书,由证书注册中心、证书签发中心及证书目录服务器组成。证书注册指审指核注册用户的合法性,代理用户向证书签发中心提出证书签发请求,并将用户证书和密钥写入身份令牌,完成证书签发(包括机构证书、系统证书和用户证书);
3.3 应用安全访问控制设备
应用安全访问控制采用安全隧道技术,在终端和服务器之间建立一个安全隧道,并且隔离终端和服务器之间的直接连接,所有的访问都必须通过安全隧道,没有经过安全隧道的访问请求一律丢弃。应用访问控制设备首先通过验证终端设备的身份,并根据终端设备的身份查询该终端设备的权限,根据终端设备的权限决定是否允许终端设备的访问。
3.4 安全通道管控设备
安全通道管控设备部署于物联网LNS服务器与运营商网关之间,用于抵御来自公网或终端设备的各种安全威胁。其主要特点体现在两个方面:透明,即对用户透明、对网络设备透明,满足电信级要求;管控,即根据需要对网络通信内容进行管理、监控。
3.5 网络加密机
网络加密机部署在物联网应用的终端设备和物联网业务系统之间,通过建立一个安全隧道,并且隔离终端设备和中心服务器之间的直接连接,所有的访问都必须通过安全隧道网络加密机采用对称密码体制的分组密码算法,加密传输采用IPSec的ESP协议、通道模式进行封装。在公共移动通信网络上构建自主安全可控的物联网虚拟专用网(VPN),使物联网业务系统的各种应用业务数据安全、透明地通过公共通信环境,确保终端数据传输的安全保密。
4 结束语
本文主要分析了基于现有移动核心网的架构下如何解决物联网通信的安全。在下一代网络NGN中情况有所不同,因为NGN基于IP技术,采用业务层和传输层相互分离、应用与业务控制相互分离、传输控制与传输相互分离的思想,其安全问题有待进一步研究。
参考文献
[1]李连宁.物联网安全导论.清华大学出版社 2013.
[2]刘宴兵,胡文平.物联网安全模型及其关键技术[J].数字通信,2010,37(4):28-29.
[3]李曉维.无线传感器网络技术[M].北京:北京 理工大学出版社,2007:241-246.
