物联网安全系统架构研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
③访问控制机制实现:部署在信息处理中心和互联网之间 的安全数据网关,能有效地实现信息资源的访问控制。首先, 只有与信息处理中心通过了身份认证的合法终端实体的消息, 才能进出安全数据网关。其次.安全数据网关对进出的消息进 行检查过滤,拒绝可能携带病毒、木马和恶意代码的有害信息 传输。最后。安全数据网关还要对访问资源的请求进行访问控 制决策,阻断非授权用户对资源的非法访问。
专家新论
物联网安全系统架构研究
郭莉,严渡,沈延
(江南计算技术研究所.江苏无锡214083)
【摘 要】介绍了物联网的基本概念和组成,分析了物联网当前所面l临的安全问题和安全需求。为了降低物联网使用的
安全风险,在给出物联网传统系统架构的基础上,通过在用户、物品和信息中心之间采取有效的安全防护措施,构建
了一种物联网安全系统架构。并详细说明了其组成结构以及认证、加密和访问控制机制的实现原理。通过部署安全系
信息安全面临的问题有以下方面: ①信息安全隐私:如射频识别技术被用于物联网系统时, 射频识别电子标签将被嵌入任何物品中,比如人们的日常生活 用品中,应当确保此类信息的隐私性,防止被非法获取。 ②假冒攻击:由于智能传感终端、射频识别电子标签相对 于攻击者来说是“裸露”的,且在一定范围内信息是在空中传 输的,导致传感器网络中的假冒攻击易实施。它极大地威胁着 传感器节点问的协同工作。 ③恶意代码攻击:恶意程序易入侵无线网络环境和传感网 络环境,它的传播性、隐蔽性和破坏性等相比TCP/IP网络更加 难以防范。如蠕虫这样的恶意代码,本身不需要寄生文件,在 物联网环境中检测和清除此类恶意代码将很困难。 ④信息传输和处理的安全隐患:在物联网中,信息的传输和 处理面临现有TCP/[P网络的所有安全问题。同时,由于物联网在 感知层所采集的数据格式多样,来自各种各样感知节点的数据是 海量的,且是多源异构数据,带来的网络安全问题将更加复杂”1。 2.2信息安全需求 为了解决物联网信息安全的诸多问题,对物联网的安全机 制也提出了相应的要求,如下所述: ①认证机制:认证机制是指通信的双方能够确认对方真实 身份的实现方式。从物联网的体系结构来看,感知层和网络层 的认证机制是非常有必要,能有效防止假冒攻击,确保信息的 有效性。可使用PKI公钥基础设施,实现基于公钥证书的双向 强身份认证,解决物联网中实体认证的问题; ②加密机制:加密机制能够保障信息传输的机密性和完整 性。防止信息在传输过程中被窃取或被篡改。在物联网中,可 采用节点到节点加密(即逐跳加密)和端到端加密两种方式。 节点到节点加密在网络层进行。在每个节点上进行密文的转换。
可以适用于所有业务.即不同的业务可以在统一的物联网业务 平台上实施安全管理,从而做到安全机制对业务的透明。端到 端加密在应用层进行。发送端加密,只能在接收端解密,可以 根据业务类型选择不同的安全策略,从而为高安全要求的业务 提供高安全等级的保护。在物联网中,根据不同的需求,考虑 采取不同的加密方式.为信息提供全方位的安全加密防护;
安全系统架构中,在终端设备上内置密码芯片,信息处理 中心配置密码机,信息处理中心和互联网之间部署数据安全网 关。能提供信息的真实性、机密性和完整性保护,可有效阻断 非法实体对资源的访问。并可实现以下功能:
①认证机制实现:在信息处理中心安装安全登录认证系 统。实现基于PKI公钥证书的登录认证机制。持有合法证书 的用户或机器等实体必须首先登录系统.与信息处理中心完 成基于证书的双向身份认证,才能进行后续的数据交换处理。 终端设备通过信息发送接收设备中转。完成与信息处理中心 的身份认证。对于未通过认证的终端设备,信息发送接收设
1.1物联网的概念 随着信息通信技术的不断进步.通信网络作为信息通信技
术的重要基础,已经从人到人的通信发展到人与物以及物与物 (M2M),并逐渐趋向于从纵向的局部物物相连过渡到横向的跨 应用、跨地域的物联网(Intcmet of Things,IOT)。2005年11月 17日.在突尼斯举行的信息社会世界峰会上,国际电信联盟(ITU) 发布了《rrU互联网报告2005:物联网》,正式提出了“物联网” 的概念”。。物联网是指物品通过各种信息传感设备如射频识别、 红外感应器、全球定位系统及激光扫描器等信息传感设备。按 约定的协议.把任何物品与互联网连接起来,进行信息交换和 通信,以实现智能化识别、定位、跟踪、监控和管理的一种网 络”’。物联网是在TC跏P网络的延续和扩展.将网络的用户端 延伸和扩展到任何物与物之间,它是一种新型的信息传输和交 换形态,物联网时代已经到来。 1.2物联网的组成
当前,中国物联网的发展还在初级阶段.关于物联网的安 全机制基本还处于概念阶段.研究1二作任重而道远。但是,与传 统网络相比,物联网发展带来的信息安全、网络安全、数据安全 乃至国家安全问题更为严峻.更为突出。因此,物联网的发展必 须把安全放在首位,超前研究和解决产业发展可能带来的安全问 题.加强法制和技术手段建设,提高自主防范能力。以便在新的 技术革命和社会变革中掌握更多的话语权和主动权。
4结语
图2物联网安全系统架构
②加密机制实现信息在物联网中以数字信封的方式传送, 以保证信息传输的机密性和完整性。信息发送者使用对称算法 用对称密钥加密要传输的信息,再使用接收者的公钥加密对称 密钥信息,拼装后发送。数字信封的加密可采用节点到节点加 密(即逐跳加密),或端到端加密两种方式。如采用节点到节点 的加密方式,则数字信封的加密头在每跳节点需替换信封加密 头。直至传送至终点。但是,因节点到节点的加密方式在各节 点都存在将加密消息解密的风险,因此逐跳加密对传输路径中 的各传送节点的可信任度要求很高。如采用端到端加密的方式, 仅在终端节点解密消息。规避了消息在传输中间环节被解密的
传统物联网系统架构中,采集和传输的信息暴露在网络中, 无任何安全措施。无法保证信息的真实性、机密性和完整性。 3.2安全系统架构
由于物联网必须兼容和继承现有的TCP/IP网络和无线移 动网络等.因此现有网络安全体系中的大部分机制仍然可以适 用于物联网,并能够提供一定的安全性。在传统物联网体系架 构基础上增加安全措施,满足系统安全需求,实现安全系统架构。 物联网安全系统架构如图2所示。
参考文献 【1】胡向东.物联网研究与发展综述【J】.数字通信.2010(02):
19-23.
【2】武明虎,张宇.试论物联网引入带来的机遇与挑战【J】.信息 技术,2010(05):97-99.
【3】陈柳钦.物联网:国内外发展动态及亟待解决的关键问 题【EB/OL].(2010—8—10)[2010—9—10].WWW.chinavalue.net/ Article/Archive/2010/8/10/192271—13.html.‘蹬
74 WWW.clsmag.com.cn
万方数据
专家新论
备应拒绝接收或向其发送除认证信息之外的指令或数据信息;
风险。然而,因每一个消息所经过的节点都要以此目的地址来 确定如何传输消息,这就导致端刭端加密方式不能掩盖被传输 消息的源点与终点.容易受到恶意攻击。因此,可根据物联网 不同的应用场合和模式.选择合适的加密机制;
收稿日期:2010—09—16 作者简介-郭莉。1978年生。女,江南计算技术研究所工程师, 研究方向:信息安全;严波。1978年生,男。江南计算技 术研究所工程师.研究方向:网络安全;沈延。1983年生, 男,江南计算技术研究所助理工程师.研究方向:信息安全。 。基金项目:科技部支撑计划资助项目(编号: 2008BAH22802)。
③访问控制机制:访问控制机制在物联网环境下被赋予了 新的内涵,从主要给人进行授权和访问控制.扩展到给机器和物 体进行授权和访问控制,有效阻断非法实体对资源的访问。访问 控制机制应在认证机制确认实体身份的基础上才能正确实施。
3系统安全加固方案
3.1传统系统架构 传统的物联网系统架构如图l所示。
图1物联网传wenku.baidu.com系统架构
③第三层是应用层,完成信息的分析处理和控制决策,以 实现用户定制的智能化应用和服务,最终达到物与物、人与物 之间的连接、识别和控制。
2信息安全问题与需求
物联网的推广使用能够给人们的生活带来便利。大大提高 工作效率,推动国民经济的大力发展,但是也必须注意到物联 网的使用会带来巨大的安伞隐患。信息化与网络化带来的风险 问题,在物联网中会变得更加迫切与复杂。因此在物联网时代, 安全问题面I临前所未有的挑战,如何建立安全、可靠的物联网 是摆在面前的迫切问题。 2.1信息安全问题
0引言
1概述
物联网是信息技术发展到一定阶段的产物,是全球信息 产业的又一次科技与经济浪潮,将影响到许多重大技术创新 和产业发展,受到各国政府、企业和科研机构的高度重视。 伊朗在建的布什尔核电站遭到Stuxnet病毒攻击的消息一经伊 朗媒体报道,便成为网上热议的话题之一。Stuxnet病毒的出现, 使得物联网的信息安全成为不容回避、刻不容缓的问题。同时, 物联网的信息安全问题是关系物联网产业能否安全可持续发 展的核心问题之一,必需引起高度重视。因此如何建立合理 的物联网安全架构和安全体系将对物联网的安全使用和可持 续发展有着重大影响。
统架构,能对物联网的信息传输和信息访问提供有效的安全防护,有效提升物联网整体安全。
【关键词】物联网(IOD;认证;加密;访问控制
【中图分类号】TP393
【文献标识码】A
【文章编号】1009—8054(2010)12-0073—03
●
Study on Secure System Architecture of IoT GU0 Li。YAN Bo.SHEN Yan
(Jiangnan Institute of Computing Technology,Wuxi Jiangsu 214083。China)
IAbstractJ This paper first gives the basic concept and the construction of IOT,and analyzes the security problems and requirements of the IOT currently.In order to reduce the security risks of IOT,on basis ofBased on traditional system architecture of IOT,a secure system architectttre,by adopting effecive security measures between the usem。things and the information centers,is constructed。thus to reduce the seeurity risk of IOT.Then it describes in detail its components,including its implementation principle of certification,encryption and acidness control mechanism.The secure system architecture of IOT Can protect thecoIlld provide effective security protection of lOT information transmit transmission and access,and then thus effectively improve the overall security level of 10T effectively. IKeywordsl Intemet of things(IOT);authentication;encryption;access control
物联网是—个由感知层、网络层和应用层共同构成的大规模 信息系统。它具备三大特征:全面感知、可靠传递和智能处理”’:
万方数据
信息安全与谴信保密-201 0.1 2 73
①第一层是感知层,可由智能卡、射频识别电子标签及传 感器网络等组成,主要承担信息的采集工作;
②第二层是网络层,可由计算机、无线网络与有线网络等 组成,主要承担信息的传输工作;
专家新论
物联网安全系统架构研究
郭莉,严渡,沈延
(江南计算技术研究所.江苏无锡214083)
【摘 要】介绍了物联网的基本概念和组成,分析了物联网当前所面l临的安全问题和安全需求。为了降低物联网使用的
安全风险,在给出物联网传统系统架构的基础上,通过在用户、物品和信息中心之间采取有效的安全防护措施,构建
了一种物联网安全系统架构。并详细说明了其组成结构以及认证、加密和访问控制机制的实现原理。通过部署安全系
信息安全面临的问题有以下方面: ①信息安全隐私:如射频识别技术被用于物联网系统时, 射频识别电子标签将被嵌入任何物品中,比如人们的日常生活 用品中,应当确保此类信息的隐私性,防止被非法获取。 ②假冒攻击:由于智能传感终端、射频识别电子标签相对 于攻击者来说是“裸露”的,且在一定范围内信息是在空中传 输的,导致传感器网络中的假冒攻击易实施。它极大地威胁着 传感器节点问的协同工作。 ③恶意代码攻击:恶意程序易入侵无线网络环境和传感网 络环境,它的传播性、隐蔽性和破坏性等相比TCP/IP网络更加 难以防范。如蠕虫这样的恶意代码,本身不需要寄生文件,在 物联网环境中检测和清除此类恶意代码将很困难。 ④信息传输和处理的安全隐患:在物联网中,信息的传输和 处理面临现有TCP/[P网络的所有安全问题。同时,由于物联网在 感知层所采集的数据格式多样,来自各种各样感知节点的数据是 海量的,且是多源异构数据,带来的网络安全问题将更加复杂”1。 2.2信息安全需求 为了解决物联网信息安全的诸多问题,对物联网的安全机 制也提出了相应的要求,如下所述: ①认证机制:认证机制是指通信的双方能够确认对方真实 身份的实现方式。从物联网的体系结构来看,感知层和网络层 的认证机制是非常有必要,能有效防止假冒攻击,确保信息的 有效性。可使用PKI公钥基础设施,实现基于公钥证书的双向 强身份认证,解决物联网中实体认证的问题; ②加密机制:加密机制能够保障信息传输的机密性和完整 性。防止信息在传输过程中被窃取或被篡改。在物联网中,可 采用节点到节点加密(即逐跳加密)和端到端加密两种方式。 节点到节点加密在网络层进行。在每个节点上进行密文的转换。
可以适用于所有业务.即不同的业务可以在统一的物联网业务 平台上实施安全管理,从而做到安全机制对业务的透明。端到 端加密在应用层进行。发送端加密,只能在接收端解密,可以 根据业务类型选择不同的安全策略,从而为高安全要求的业务 提供高安全等级的保护。在物联网中,根据不同的需求,考虑 采取不同的加密方式.为信息提供全方位的安全加密防护;
安全系统架构中,在终端设备上内置密码芯片,信息处理 中心配置密码机,信息处理中心和互联网之间部署数据安全网 关。能提供信息的真实性、机密性和完整性保护,可有效阻断 非法实体对资源的访问。并可实现以下功能:
①认证机制实现:在信息处理中心安装安全登录认证系 统。实现基于PKI公钥证书的登录认证机制。持有合法证书 的用户或机器等实体必须首先登录系统.与信息处理中心完 成基于证书的双向身份认证,才能进行后续的数据交换处理。 终端设备通过信息发送接收设备中转。完成与信息处理中心 的身份认证。对于未通过认证的终端设备,信息发送接收设
1.1物联网的概念 随着信息通信技术的不断进步.通信网络作为信息通信技
术的重要基础,已经从人到人的通信发展到人与物以及物与物 (M2M),并逐渐趋向于从纵向的局部物物相连过渡到横向的跨 应用、跨地域的物联网(Intcmet of Things,IOT)。2005年11月 17日.在突尼斯举行的信息社会世界峰会上,国际电信联盟(ITU) 发布了《rrU互联网报告2005:物联网》,正式提出了“物联网” 的概念”。。物联网是指物品通过各种信息传感设备如射频识别、 红外感应器、全球定位系统及激光扫描器等信息传感设备。按 约定的协议.把任何物品与互联网连接起来,进行信息交换和 通信,以实现智能化识别、定位、跟踪、监控和管理的一种网 络”’。物联网是在TC跏P网络的延续和扩展.将网络的用户端 延伸和扩展到任何物与物之间,它是一种新型的信息传输和交 换形态,物联网时代已经到来。 1.2物联网的组成
当前,中国物联网的发展还在初级阶段.关于物联网的安 全机制基本还处于概念阶段.研究1二作任重而道远。但是,与传 统网络相比,物联网发展带来的信息安全、网络安全、数据安全 乃至国家安全问题更为严峻.更为突出。因此,物联网的发展必 须把安全放在首位,超前研究和解决产业发展可能带来的安全问 题.加强法制和技术手段建设,提高自主防范能力。以便在新的 技术革命和社会变革中掌握更多的话语权和主动权。
4结语
图2物联网安全系统架构
②加密机制实现信息在物联网中以数字信封的方式传送, 以保证信息传输的机密性和完整性。信息发送者使用对称算法 用对称密钥加密要传输的信息,再使用接收者的公钥加密对称 密钥信息,拼装后发送。数字信封的加密可采用节点到节点加 密(即逐跳加密),或端到端加密两种方式。如采用节点到节点 的加密方式,则数字信封的加密头在每跳节点需替换信封加密 头。直至传送至终点。但是,因节点到节点的加密方式在各节 点都存在将加密消息解密的风险,因此逐跳加密对传输路径中 的各传送节点的可信任度要求很高。如采用端到端加密的方式, 仅在终端节点解密消息。规避了消息在传输中间环节被解密的
传统物联网系统架构中,采集和传输的信息暴露在网络中, 无任何安全措施。无法保证信息的真实性、机密性和完整性。 3.2安全系统架构
由于物联网必须兼容和继承现有的TCP/IP网络和无线移 动网络等.因此现有网络安全体系中的大部分机制仍然可以适 用于物联网,并能够提供一定的安全性。在传统物联网体系架 构基础上增加安全措施,满足系统安全需求,实现安全系统架构。 物联网安全系统架构如图2所示。
参考文献 【1】胡向东.物联网研究与发展综述【J】.数字通信.2010(02):
19-23.
【2】武明虎,张宇.试论物联网引入带来的机遇与挑战【J】.信息 技术,2010(05):97-99.
【3】陈柳钦.物联网:国内外发展动态及亟待解决的关键问 题【EB/OL].(2010—8—10)[2010—9—10].WWW.chinavalue.net/ Article/Archive/2010/8/10/192271—13.html.‘蹬
74 WWW.clsmag.com.cn
万方数据
专家新论
备应拒绝接收或向其发送除认证信息之外的指令或数据信息;
风险。然而,因每一个消息所经过的节点都要以此目的地址来 确定如何传输消息,这就导致端刭端加密方式不能掩盖被传输 消息的源点与终点.容易受到恶意攻击。因此,可根据物联网 不同的应用场合和模式.选择合适的加密机制;
收稿日期:2010—09—16 作者简介-郭莉。1978年生。女,江南计算技术研究所工程师, 研究方向:信息安全;严波。1978年生,男。江南计算技 术研究所工程师.研究方向:网络安全;沈延。1983年生, 男,江南计算技术研究所助理工程师.研究方向:信息安全。 。基金项目:科技部支撑计划资助项目(编号: 2008BAH22802)。
③访问控制机制:访问控制机制在物联网环境下被赋予了 新的内涵,从主要给人进行授权和访问控制.扩展到给机器和物 体进行授权和访问控制,有效阻断非法实体对资源的访问。访问 控制机制应在认证机制确认实体身份的基础上才能正确实施。
3系统安全加固方案
3.1传统系统架构 传统的物联网系统架构如图l所示。
图1物联网传wenku.baidu.com系统架构
③第三层是应用层,完成信息的分析处理和控制决策,以 实现用户定制的智能化应用和服务,最终达到物与物、人与物 之间的连接、识别和控制。
2信息安全问题与需求
物联网的推广使用能够给人们的生活带来便利。大大提高 工作效率,推动国民经济的大力发展,但是也必须注意到物联 网的使用会带来巨大的安伞隐患。信息化与网络化带来的风险 问题,在物联网中会变得更加迫切与复杂。因此在物联网时代, 安全问题面I临前所未有的挑战,如何建立安全、可靠的物联网 是摆在面前的迫切问题。 2.1信息安全问题
0引言
1概述
物联网是信息技术发展到一定阶段的产物,是全球信息 产业的又一次科技与经济浪潮,将影响到许多重大技术创新 和产业发展,受到各国政府、企业和科研机构的高度重视。 伊朗在建的布什尔核电站遭到Stuxnet病毒攻击的消息一经伊 朗媒体报道,便成为网上热议的话题之一。Stuxnet病毒的出现, 使得物联网的信息安全成为不容回避、刻不容缓的问题。同时, 物联网的信息安全问题是关系物联网产业能否安全可持续发 展的核心问题之一,必需引起高度重视。因此如何建立合理 的物联网安全架构和安全体系将对物联网的安全使用和可持 续发展有着重大影响。
统架构,能对物联网的信息传输和信息访问提供有效的安全防护,有效提升物联网整体安全。
【关键词】物联网(IOD;认证;加密;访问控制
【中图分类号】TP393
【文献标识码】A
【文章编号】1009—8054(2010)12-0073—03
●
Study on Secure System Architecture of IoT GU0 Li。YAN Bo.SHEN Yan
(Jiangnan Institute of Computing Technology,Wuxi Jiangsu 214083。China)
IAbstractJ This paper first gives the basic concept and the construction of IOT,and analyzes the security problems and requirements of the IOT currently.In order to reduce the security risks of IOT,on basis ofBased on traditional system architecture of IOT,a secure system architectttre,by adopting effecive security measures between the usem。things and the information centers,is constructed。thus to reduce the seeurity risk of IOT.Then it describes in detail its components,including its implementation principle of certification,encryption and acidness control mechanism.The secure system architecture of IOT Can protect thecoIlld provide effective security protection of lOT information transmit transmission and access,and then thus effectively improve the overall security level of 10T effectively. IKeywordsl Intemet of things(IOT);authentication;encryption;access control
物联网是—个由感知层、网络层和应用层共同构成的大规模 信息系统。它具备三大特征:全面感知、可靠传递和智能处理”’:
万方数据
信息安全与谴信保密-201 0.1 2 73
①第一层是感知层,可由智能卡、射频识别电子标签及传 感器网络等组成,主要承担信息的采集工作;
②第二层是网络层,可由计算机、无线网络与有线网络等 组成,主要承担信息的传输工作;