物联网安全系统架构研究

合集下载

物联网安全系统架构与实现

物联网安全系统架构与实现随着物联网的发展，其应用范围和安全问题也越来越突出。

物联网安全问题的严峻性和复杂性已经得到广泛的认可，针对这一问题，世界各国都在积极研究并制定相应的标准和规范，如ISO/IEC 27001、NIST Cybersecurity Framework等。

物联网安全系统架构是物联网安全问题解决的关键，本文将从物联网安全系统架构的设计原则、关键技术和实现思路等方面进行探讨。

一、物联网安全系统架构设计原则1.综合考虑物联网特点物联网系统是由大量智能终端设备、传感器、控制器等组成的分布式网络系统，其特点是规模庞大，端点数量多，单个节点计算能力较弱，具有异构性、开放性、服务性等特点。

在物联网安全系统架构设计时，必须充分考虑这些特点，促进系统各部分之间的协调与互联，保证系统的整体安全性和稳定性。

2.遵循安全原则物联网安全系统架构必须遵循最小权限原则、安全审计原则、完整性保护原则、可信任体系原则等基本安全原则，规范、管理和保护系统内各组成部分，确保系统的安全性和可靠性。

3.全面保护关键信息物联网系统中涉及到的信息较为敏感，安全性要求相对较高，因此，在物联网安全系统架构设计时，需要对系统中所有关键信息进行全面保护和加密传输，包括数据传输的加密和认证、终端设备身份验证等措施。

4.提高系统的可扩展性和互操作性在物联网的发展过程中，终端设备、新的协议、服务和应用层的不断提出，物联网安全系统架构应该在保证安全性的情况下，保持架构的可扩展性、灵活性和可互操作性，让新的设备、协议的接入更加容易。

二、物联网安全系统架构关键技术1.物联网安全协议物联网安全协议是保证物联网数据传输安全的基础，一般分为传输协议和应用层协议。

常见的传输协议有：TLS、IPSec、SSH 等。

应用层协议的安全机制则需要根据具体业务实现，包括身份认证、访问控制、加密机制、消息完整性保护等。

2.物联网安全管理平台物联网安全管理平台是实现物联网安全管理的关键，包括终端设备的认证和授权、安全事件的处理和管理、日志审计、策略管理等功能，可用于实现物联网内部的安全防范和事件响应。

物联网安全架构研究

目前在网络环境下会遇到多方面的安全挑战．而基于物联网的网
感知层、传输层和应用层三个层面总结了物联网面临的安全威胁．并提络层也面临着更高更为复杂的安全威胁主要是因为物联网网络层由出了相应的安全措施．为建立物联网的安全架构提供了理论参考框架多样化的异构性网络相互连通而成．因此实施安全认证需要跨网络架１感知层的安全性．构，这会带来许多操作上的困难。通过调查分析可以认为网络层有后（假１中间人攻击等：）Ｏ（ＤＳ攻击、２感知层是最为基本的一层．负责完成物体的信息采集和识别。感面几种情形的安全威胁：）冒攻击、ＤＳ（跨异构网络的网络攻击。目的物联网网络层中，３在前传知层需要解决高灵敏度、面感知能力、全低功耗、微型化和低成本问ＤＯ攻击；）题。感知层包括多种感知设备．ＲＩ如ＦＤ系统、各类型传感器、摄像头、统的互联网仍是传输多数信息的核心平台在互联网上出现的安全威如ＯＤＳ等．因此我们可以ＧＳ系统等。Ｐ在基于物联网的应用服务中，感知信息来源复杂，需要综胁仍然会出现在物联网网络层上．ＤＳ和ＤＯ
都具有较好的计算能力和通信能力。此外人侵检测方法和联通性安全等也是传感网常用的安全手段因为传感网有一定的独立性和封闭性。它的安全性一般不会影响到其他网络的安全相比与传统的互联网，物联网的构成环境更为复杂，的外部威胁会大大增多．面对因此面向传感网应用传统的安全解决方案．必须增强它们的安全技术和级别后方能应用到实际场合中。目前密码技术发展较快．多种密码技术有可应用在传感网的安全架构中，如轻量级密码协议、轻量级密码算法、可设定安全级别的密码技术等

智能互联时代下物联网分层安全架构及标准化进展研究

智能互联时代下物联网分层安全架构及标准化进展研究随着智能互联时代的到来，物联网已经成为了推动社会发展、提升人民生活质量的重要力量。

然而，随着物联网的广泛应用，其面临的安全问题也日益突出。

为了保障物联网的安全稳定运行，需要建立完善的分层安全架构。

本文将探讨智能互联时代下物联网分层安全架构及标准化进展。

一、物联网分层安全架构物联网分层安全架构一般包括以下几个层次：1.感知层感知层是物联网的最底层，主要负责采集各种信息，包括温度、湿度、压力、位置等信息。

感知层还需要对采集的信息进行初步处理，例如过滤噪音、数据融合等。

感知层的安全主要涉及数据加密、认证授权、数据完整性保护等方面。

2.网络层网络层是物联网的传输层，主要负责将感知层采集的信息进行传输。

网络层的安全主要涉及网络安全、数据传输安全等方面。

为了保证数据传输的安全性，网络层需要采用加密技术、认证技术、访问控制技术等安全技术。

3.应用层应用层是物联网的最顶层，主要负责实现具体业务逻辑。

应用层的安全主要涉及数据隐私保护、应用系统安全等方面。

在应用层中，需要采用多种安全措施来保证应用系统的安全性，例如访问控制、数据加密、安全审计等。

4.跨层安全在物联网的分层安全架构中，还需要考虑跨层安全问题。

例如，在感知层和网络层之间，需要保证数据的机密性和完整性；在网络层和应用层之间，需要保证数据传输的安全性和可靠性。

为了解决跨层安全问题，需要采用更加灵活的安全机制，例如加密算法的选择、认证授权的方式等。

二、物联网分层安全架构的标准化进展为了推动物联网分层安全架构的标准化，各个国家和地区都开展了一系列工作。

以下是几个典型的进展：1.中国国家标准《物联网总体框架与系统构架》该标准规定了物联网系统的总体框架和系统构架，包括物联网的感知层、网络层、应用层和跨层安全。

该标准对于推动我国物联网产业的发展和保障物联网系统的安全性具有重要意义。

2.欧洲标准组织（ETSI）的物联网安全标准ETSI制定了一系列物联网安全标准，包括ETSI TS 103 645、ETSI GS IoT 004等。

物联网安全架构与技术路线研究

标识、跟踪、接、联控制、管理地球上的物体的一举一动，比给地球加上了好一申经系统。这个神经系统有末梢（物联网终端）、
●
收稿时间：０２０— ６２１ — ３２
基金项目：国家自然科学基金面上项目［１７２７、湖北省高等学校省级教学研究项目［０１２、２１１５６１０１］２１１３０１２］作者简介：任伟（９３）１７一，湖北，副教授，博士，中国计算机学会计算机安全专委会委员，主要研究方向：密码学和信息网络安全。
１物联网的基本概念与发展历程
１１物联网的概念．文献［认为：１］物联网（ｎｅｎｔｆｈｎｓ是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物Ｉｔｒｅｏｉｇ）Ｔ
理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化３个重要特征方审定，但是传播范围很广：过ＲＩ通ＦＤ、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通信，
信网中以人为中心的接入方式不同，Ｍ２中接人的对象是设Ｍ备，且这些设备通常是无人看守的（因此Ｍ２Ｍ设备可能是机
卡一体的）。当然，广义上Ｍ２Ｍ可泛指机器之间的通信。
圈困圈圜
图１物联网体系架构
圈
Ｉｌ ———］传 ——— — 嘲— ｌｒ］厂———— Ｉ ———峭］ｌ —一—关］感Ｉ。写 — — 读嚣广— — Ｉ感器关厂Ｉ接入
作用是为远端设备提供无线通信接人Ｉｔｒｅ的能力。Ｍ２ｎｅｎｔＭ很多时候可视为一种接入方式，这种接入方式和无线移动通

基于nb-iot网络的物联网安全防护研究及架构设计

基于NB-IoT网络的物联网安全防护研究及架构设计李琦1㊀刘丹妮2(1.中国移动通信集团吉林有限公司网络管理中心,长春130033;2.国网吉林省电力有限公司信息通信公司,长春130000)摘要:随着NB-IoT商用部署进程的不断加快,基于NB-IoT网络的物联网安全防护研究受到了广泛关注㊂介绍了NB-IoT技术特点和系统架构,并通过业务平台及业务安全㊁NB-IoT网内安全及互联网终端设备安全3方面进行安全防护研究,提出了一种基于NB-IoT网络的物联网安全架构模型㊂关键词:物联网;NB-IoT;安全防护;安全架构1㊀引言随着万物互联技术的成熟,物联网已进入快速发展时期,被正式列为国家五大新兴战略之一㊂国家十三五规划提出发展物联网技术和应用 ,并将物联网应用推广列为国家八大信息化专项工程㊂窄带物联网(Narrow Band Internet of Things,NB-IoT)采用授权频段180kHz带宽,可直接部署于GSM㊁UMTS或LTE网络,支持低功耗设备在广域网的蜂窝数据连接,具有广覆盖㊁支持海量连接㊁低功耗㊁低成本等技术特点㊂目前,NB-IoT已经成为物联网的重要分支及新兴技术,在智慧城市㊁农业生产与环境等应用领域具有重要意义,备受全球范围内各行各业关注㊂我国各大运营商正在加快推进NB-IoT的商用部署,基于授权频谱运营商级的NB-IoT技术的普及,将为运营商业务发展带来新的机遇㊂然而,NB-IoT因其大规模互联网终端部署及开放的无线传输环境,不仅面临传统互联网的安全问题,也面临着诸如接入鉴权㊁信息泄露㊁接入认证绕过㊁无线传感器节点防伪等安全威胁㊂因此,基于NB-IoT网络的物联网安全防护研究已成为NB-IoT商用部署进程中迫切需要关注的焦点㊂2㊀基于NB-IoT网络的物联网架构概述2.1㊀NB-IoT技术NB-IoT是3GPP标准组织于2015年提出的窄带蜂窝物联网技术,是一种长距离无线通信技术㊂NB-IoT物理层设计大部分沿用LTE系统设计,如上行采用SC-FDMA,下行采用OFDM技术,核心网部分基于S1接口连接建立,能够实现平滑升级,是LTE的一项重要增强技术,同时与LTE㊁LTE-U并称为5G的3个标准,对5G技术的发展起着重要作用㊂NB-IoT的具体技术特点如下㊂(1)广覆盖NB-IoT广覆盖能力是因为应用窄带技术,能够调度小颗粒资源,通过窄带可以获得17dB增益,另外通过重传技术获得额外的9dB~12dB(8~16次重传)㊂因此,NB-IoT比现有的GSM/LTE网络增益20dB,覆盖面积扩大100多倍,且室内覆盖效果更优,有效提升了网络覆盖范围㊂(2)支持海量连接基于NB-IoT业务对时延不敏感,可以设计更多的用户接入;另外,NB-IoT因其基于窄带技术,调度颗粒小很多,资源利用率高,因此能够实现每个扇区支持10万个连接,为业务的海量接入提供契机㊂(3)低功耗基于NB-IoT技术,物联网终端在发送数据包之后,立刻进入休眠状态,等到有上传数据请求时,会唤醒自己,随后发送数据,然后又进入睡眠㊂按照NB-IoT终端的行为习惯,会达到99%的时间在休眠状态,使得功耗非常低,经实验室模拟其待机时间可长达10年,能够有效降低维护成本,有利于大规模终端部署㊂(4)低成本NB-IoT 能够在现有的网络基础上直接部署,有效地降低终端部署成本;且功耗低,使用年限及维护成本低,为NB-IoT 的大规模应用提供有力支持㊂2.2㊀NB -IoT 物联网体系架构物联网具有形式多样㊁技术复杂等特点,其体系架构按照功能不同,自上而下可分为顶层(应用层)㊁中间层(网络层)㊁底层(感知层)㊂应用层提供丰富的基于物联网的应用,是物联网发展的根本目标;网络层是实现物联网的基础设施,即广泛覆盖的通信网络,负责将感知层采集的数据接入互联网并传输到应用层,连接物联网的感知层和应用层;感知层实现物联网全面感知的核心技术,实现数据的感知㊁采集㊁分析及处理㊂NB-IoT 作为物联网领域新兴技术,因其广覆盖㊁低功耗㊁海量连接的特点受到广泛关注,本文介绍具有云-管-端全方位布局的NB-IoT 物联网体系架构(见图1)㊂图1㊀NB -IoT 物联网体系架构图(1)云端集中部署了OneNET 平台,向下接入分散的物联网网络层,应用汇集传感数据,向上层应用服务提供商提供应用开发的基础性平台和面向底层网络的统一数据接口,支持具体的基于传感数据的物联网应用㊂能够提供海量连接数据存储设备管理应用孵化能力输出信息发布数据监控数据分析等功能,目前接入设备已超过千万,覆盖交通物流㊁智能安防㊁智慧城市等8大行业㊂(2)管道侧智能连接基于NB-IoT 无线技术,包括NB-IoT 基站和NB-IoT 核心网,建立物联网专网,提供各种网络接入,并为感知层获取的信息数据提供数据传输通道,具有开放式互联特点,面临网络攻击等安全威胁㊂(3)端侧即物联网感知层,包括NB-IoT 通信模组集成芯片㊁外围电路㊁各类接口等,内置嵌入式软件,提供NB-IoT 通信能力,能够广泛应用于智慧城市㊁公共产业㊁农业等场景㊂随着物联网技术的不断革新,NB-IoT 终端将进行大规模部署,然而NB-IoT 终端本身防护能力较弱,会面临恶意节点伪造及攻击等安全问题㊂3㊀基于NB -IoT 网络的物联网安全防护根据NB-IoT 物联网体系架构图,将详细分析NB-IoT 系统面临的安全问题,并针对具体的安全威胁提供安全防护措施,设计了NB-IoT 网络安全防护架构,对推动NB-IoT 的商用部署进程起到重要的作用㊂3.1㊀业务平台及业务安全防护物联网业务平台位于云-管-端体系架构的云端,处于NB-IoT网络的上层,主要包含业务平台安全和业务安全两方面㊂(1)业务平台安全在业务平台安全方面,主要面临系统漏洞㊁客户信息数据泄露等传统安全问题㊂因此,应定期对系统软件更新,进行安全基线检查;对平台间接口的合法性进行校验和设置访问权限黑白名单机制;加强不良信息管控,强化数据安全防护,使用加密技术提高数据自身安全,当对外数据开放时须进行数据脱敏处理;同时,加强人员权限控制,减少数据越权访问,运用大数据分析等手段开展用户行为分析,监测异常访问和数据外泄㊂(2)业务安全在业务安全方面,NB-IoT业务接入会面临带病入网㊁恶意欺诈等安全威胁㊂因此,从管理角度,应在规划㊁建设㊁运行过程中严格遵循三同步要求,同步开展安全规划㊁安全建设㊁安全运行;从业务管控角度,应在物联卡运营和日志留存两个方面做好安全防护,主要体现在:应使用4A管理平台,实现认证㊁账号㊁授权和审计的统一管理;物联卡在进行业务开通及使用中,应遵循功能最小化原则 ;应支持认证登录㊁互联网访问信息的留存㊂3.2㊀NB-IoT网内安全防护NB-IoT网络是云-管-端体系架构中管道侧重要的无线连接方式,是连接业务平台和终端设备的桥梁,NB-IoT网络将终端设备采集的数据传输到相关的业务平台㊂NB-IoT无线接入网架构由一个或多个基站(eNB)组成,基站通过S1接口连接到核心网EPC 或物联网专有EPC,NB-IoT基站之间可以通过X2接口连接(见图2)㊂图2㊀NB-IoT网络架构NB-IoT网内安全主要涉及网络接入安全㊁数据传输安全及网络异常流量等方面,为有效提高NB-IoT网内安全,应做到以下几个方面㊂(1)加强接入认证NB-IoT网络应加强与用户设备(User Equipment, UE)的双向身份识别和认证,提高接入认证强度㊁完善上网日志留存等网络层面溯源手段㊂其原理为:UE和移动性管理实体(Mobility Man-agement Entity,MME)应产生并共享一个中间密钥KASME,MME应能向UE分配一个唯一临时标识(Globally Unique Temporary UE Identity,GUTI),以保护用户身份的机密性㊂当MME不能根据GUTI识别用户身份时,应当由MME发起用户识别身份标识流程,向用户请求永久身份标识(International Mobile Subscriber Identification Number,IMSI),完成身份的双向认证㊂(2)提高传输通道安全保证NB-IoT网络数据传输安全,采用密码复杂程度较高的算法对传输通道进行加密,防止用户数据在传输过程中遭到中间人㊁重放攻击,避免用户数据被窃取㊁篡改,有效保证数据的机密性和完整性㊂此外,为防止遭到DDoS拒绝服务攻击,提高NB-IoT网络安全防护能力,应部署网络安全防护手段,加强核心网与互联网边界安全,采用纵深防御模式,通过多层防护㊁多点联动等方式实施全面安全防护,有效保证数据的可用性㊂3.3㊀物联网终端设备安全防护物联网终端设备位于云-管-端体系架构的端侧,处于NB-loT网络的底层,是最直接接触用户的部分,因此容易发生客户信息及用户数据泄露风险㊂此外,由于NB-IoT终端设备成本较低,并缺少相应的日常安全检测手段,物联网终端设备容易存在硬件㊁系统㊁应用等方面的漏洞㊂为有效加强物联网终端设备安全防护,应做到以下两个方面㊂(1)加强敏感信息管控对于支持外围接口的物联网终端设备,应当向用户提示,仅当授权用户确认本次连接时,连接才可以建立;对于支持外置存储设备的物联网终端设备,应限制非授权应用软件对外置存储设备的访问,终止非授权实体的访问行为,并提供授权用户可察觉的报警功能㊂(2)建立日常安全检测手段定期检查终端设备安全,及时发现终端脆弱性,对自有设备及时整改,对用户设备及时提醒;定期对系统安全漏洞进行修复和加固升级,系统不应存在官方或权威机构发布的已知漏洞,增加安全启动认证,遵从权限最小化原则㊂图3㊀物联网安全防护架构模型4㊀基于NB -IoT 网络的物联网安全防护架构设计㊀㊀基于对NB-IoT 网络安全防护分析研究,并按照云-管-端体系架构和物联网应用㊁网络㊁感知 3层结构,提出了一种基于NB-IoT 网络的物联网安全防护架构模型(见图3)㊂如图3所示,安全防护架构模型分为NB-IoT 感知层㊁NB-IoT 网络层和NB-IoT 应用层㊂(1)NB-IoT 感知层主要负责对物联网终端设备的数据采集,涉及对物联网终端安全的防护,物联网终端设备主要存在物理硬件安全㊁相关系统及应用版本较低㊁未对用户敏感信息有效管控等问题㊂因此,本层应采取隐私保护㊁授权认证㊁脆弱性检查和权限最小化等安全防护措施㊂(2)NB-IoT 网络层是物联网安全防护架构模型的核心,主要负责对物联网终端设备所采集的数据进行接入和传输,主要存在接入认证不强㊁传输数据窃取泄露和拒绝服务攻击等㊂因此,本层应加强接入安全和传输安全,采用双向认证技术,并部署抗DDoS 攻击清洗设备㊂(3)NB-IoT 应用层是对所采集数据的应用和管理,主要包括业务平台及业务,本层应采取数据脱敏㊁访问控制㊁安全同步和日志留存等安全管理和防护措施㊂5㊀结束语随着NB-IoT 技术的不断发展以及商用进程的不断加快,基于NB-IoT 网络的物联网安全防护研究已成为一个热点研究课题㊂只有解决NB-IoT 在业务平台㊁NB-IoT 网络内和物联网终端设备方面的安全问题,确保数据在采集㊁接入㊁传输及存储等方面的保密性㊁完整性和可用性,才能保证NB-IoT 的安全可靠,促进物联网的健康发展,推动NB-IoT 的商用部署进程㊂参考文献[1]金舰,蒋鑫,吴星,等.NB-IoT 与eMTC 技术对比与发展现状分析[J ].信息通信技术与政策,2019(01):89-94.[2]刘东,常清雪,马楠,等.NB-IoT 移动通信技术的应用及安全防护[J ].信息安全研究,2018,4(08):728-733.[3]RATASUK R ,VEJLGAAD B ,MANGALVEDHEN .NB_IoT system for M 2M communication [C ].IEEE Wire-less Communications and Networking Conference ,2016.[4]KRAIJAK S,TUWANUT P.Asurvey on IoT architectures,protocols,applications,security,privacy,Real-word implementation and future trends[C].11th International Conference on Wireless Communications,Networking and Mobile Computing,2016.作者简介:李琦㊀㊀中国移动通信集团吉林有限公司网络管理中心网络安全工程师刘丹妮㊀国网吉林省电力有限公司信息通信公司通信网络工程师Research and architecture design of the security protection of Internet ofThings based on NB-IoT NetworkLI Qi1,LIU Danni2(work management center,China Mobile Communications Group Jilin Co.,Ltd,Changchun,130000,China;rmation and Communication Company,State Grid Jilin Electric Power Company,Changchun,130000,China)Abstract:With the continuous acceleration of the commercial deployment process of NB-IoT,the research on security protection of Internet of Things based on NB-IoT network has received extensive attention.This paper introduces the technology features and system architecture of the NB-IoT network.And then,it makes a research on the security protection of the business platform and business,NB-IoT network and Internet terminal equipment.Finally,a security architecture model is proposed based on the NB-IoT network.Key words:Internet of Things;NB-IoT;security protection;security architecture(收稿日期:2019-12-26)。

物联网安全防护体系的架构与实施方案

物联网安全防护体系的架构与实施方案随着物联网（Internet of Things，简称IoT）的迅猛发展，人们的生活变得更加便利和智能化，同时也带来了新的安全隐患。

为了确保物联网系统的安全性和可靠性，建立一个完善的物联网安全防护体系是非常必要的。

本文将讨论物联网安全防护体系的架构与实施方案。

首先，物联网安全防护体系的架构应该由以下几个方面组成：边缘安全、网络安全、设备安全、数据安全和应用安全。

边缘安全层是物联网安全防护体系的第一层，负责保护物联网设备与外部世界的通信接口。

该层应包括设备认证、身份验证和权限管理等功能，以确保只有授权的设备可以与系统进行通信。

此外，边缘安全层还应该具备监测异常行为和防止入侵的功能，以及能够及时应对各类网络攻击。

网络安全层是物联网安全防护体系的第二层，负责保护物联网系统内部的网络。

该层应包括网络隔离、防火墙、入侵检测和防御系统等功能，以防止未经授权的访问和网络攻击。

此外，网络安全层还应该具备流量分析和监控功能，及时发现和应对潜在的网络威胁。

设备安全层是物联网安全防护体系的第三层，负责保护物联网设备本身的安全性。

该层应包括设备身份认证、数据加密、固件更新和漏洞修复等功能，以防止设备被篡改、攻击或滥用。

此外，设备安全层还应该具备设备失效检测和物理安全保护功能，以确保设备在面临各种风险时能够及时响应并保护自身的安全。

数据安全层是物联网安全防护体系的第四层，负责保护物联网系统中的数据安全。

该层应包括数据加密、数据备份和恢复、数据审计和访问控制等功能，以确保数据在传输和存储过程中不被篡改、丢失或泄露。

此外，数据安全层还应该具备数据隔离和权限管理功能，以确保只有具备相应权限的用户才能访问和使用数据。

应用安全层是物联网安全防护体系的最后一层，负责保护物联网应用程序的安全性。

该层应包括应用程序认证、访问控制和数据过滤等功能，以防止未经授权的应用程序访问和滥用系统资源。

此外，应用安全层还应该具备应用程序漏洞扫描和修复功能，以及应用程序数据备份和恢复功能，以确保应用程序安全性和可用性。

物联网安全架构与技术路线研究_任伟

doi：10.3969/j.issn.1671-1122.2012.05.020物联网安全架构与技术路线研究任伟（中国地质大学（武汉）计算机学院信息安全系，湖北武汉 430074）摘　要：文章回顾了物联网的概念和发展历程，讨论了如何理解物联网概念。

介绍了物联网的体系结构，并指出物联网架构中有特色的网络技术是：6LoWPAN、EPCglobal和M2M。

提出了物联网的安全架构，及一些思考，包括：物联网安全的总体概貌、物联网安全架构的层次模型、物联网安全设计的参考流程图。

最后分析了物联网安全学科与信息安全学科以及物联网工程学科的关联。

关键词：物联网安全架构；物联网安全模型；物联网安全设计；物联网安全学科中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2012）05-0070-04A Study of Security Architecture and Technical Approaches inInternet of ThingsREN Wei( Department of Information Security, School of Computer Science, China University of Geosciences (Wuhan),Wuhan Hubei 430074, China )Abstract: The paper reviews the concept and history of Internet of Things (IoT) firstly, and discusses key points in such concept. It also introduces the architecture of the IoT. We point out that the key networkingtechniques in IoT have three folders: 6LoWPAN EPCglobal and M2M. We also propose architecture of IoTsecurity. Together with some ideas, such as the global view of IoT security, the layered model of IoT security, andthe analysis and design ﬂ ow chat of IoT security. We ﬁ nally analyze the relation of IoT security with other subjectssuch information security and IoT engineering from the viewpoint of curriculum.Key words: IoT security architecture; IoT security model; IoT security design; IoT security subject1 物联网的基本概念与发展历程1.1 物联网的概念文献[1]认为：物联网（Internet of Things）是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。

物联网系统架构概述

▪ 物联网定义
1.物联网是一种通过网络技术将物理世界与数字世界相连接的系统，实现了各种设备、传感器和执行器之间的互联互通。 2.物联网的定义包括三个关键要素：感知、传输和应用。 3.物联网不仅仅是互联网的延伸，更是对现实世界的数字化，为企业和个人提供了更多的数据和服务。
▪ 物联网概述
1.物联网的发展历程可分为四个阶段：概念萌芽、技术成熟、应用普及和智能化升级。 2.物联网的应用范围广泛，涉及到智能家居、智慧城市、工业 4.0、医疗健康等多个领域。 3.物联网的未来发展趋势是向着更高效的连接、更智能的应用和更安全的保障方向发展。以上内容专业、简明扼要、逻辑清晰，符合学术化要求，希望能够帮助您在《物联网系统架构》的简报PPT中更好地介绍物联网的定义与概述。
物联网安全与隐私保护
▪ 物联网隐私保护法律法规与政策
1.加强物联网隐私保护的法律法规制定和实施。 2.建立物联网隐私保护的政策和标准，规范隐私保护行为。 3.加强对物联网隐私保护的监管和执法力度。
▪ 物联网隐私保护技术与方案
1.采用数据加密、匿名化等技术保护物联网隐私。 2.设计合理的隐私保护方案，避免数据泄露和滥用。 3.加强物联网设备的隐私保护设置和提示，提高用户隐私保护意识。
物联网系统架构
物联网系统架构组成
物联网系统架构组成
▪ 设备层
1.设备层负责采集和传输来自各种物理设备的原始数据，包括传感器、执行器、RFID标签、摄像头等。 2.设备层需要保证数据传输的准确性和实时性，以满足物联网应用的需求。 3.随着IoT技术的发展，设备层的设备数量和种类都在不断增加，这需要对设备进行有效的管理和维护。
物联网应用案例分析
智能交通
1.物联网技术可以实现交通信号的智能化控制，提高交通流量和路面通行效率。 2.通过智能化设备，可以实时监测车辆运行情况和道路状况，提高交通安全性。 3.物联网技术有助于实现交通信息的数字化管理，为交通规划和管理提供数据支持。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

专家新论
物联网安全系统架构研究
郭莉，严渡，沈延
（江南计算技术研究所．江苏无锡２１４０８３）
【摘要】介绍了物联网的基本概念和组成，分析了物联网当前所面ｌ临的安全问题和安全需求。为了降低物联网使用的

安全风险，在给出物联网传统系统架构的基础上，通过在用户、物品和信息中心之间采取有效的安全防护措施，构建
了一种物联网安全系统架构。并详细说明了其组成结构以及认证、加密和访问控制机制的实现原理。通过部署安全系
１．１物联网的概念随着信息通信技术的不断进步．通信网络作为信息通信技
术的重要基础，已经从人到人的通信发展到人与物以及物与物（Ｍ２Ｍ），并逐渐趋向于从纵向的局部物物相连过渡到横向的跨应用、跨地域的物联网（ＩｎｔｃｍｅｔｏｆＴｈｉｎｇｓ，ＩＯＴ）。２００５年１１月１７日．在突尼斯举行的信息社会世界峰会上，国际电信联盟（ＩＴＵ）发布了《ｒｒＵ互联网报告２００５：物联网》，正式提出了“物联网” 的概念”。。物联网是指物品通过各种信息传感设备如射频识别、红外感应器、全球定位系统及激光扫描器等信息传感设备。按约定的协议．把任何物品与互联网连接起来，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络”’。物联网是在ＴＣ跏Ｐ网络的延续和扩展．将网络的用户端延伸和扩展到任何物与物之间，它是一种新型的信息传输和交换形态，物联网时代已经到来。１．２物联网的组成
７４ＷＷＷ．ｃｌｓｍａｇ．ｃｏｍ．ｃｎ
万方数据
专家新论
备应拒绝接收或向其发送除认证信息之外的指令或数据信息；
风险。然而，因每一个消息所经过的节点都要以此目的地址来确定如何传输消息，这就导致端刭端加密方式不能掩盖被传输消息的源点与终点．容易受到恶意攻击。因此，可根据物联网不同的应用场合和模式．选择合适的加密机制；
参考文献【１】胡向东．物联网研究与发展综述【Ｊ】．数字通信．２０１０（０２）：
１９－２３．
【２】武明虎，张宇．试论物联网引入带来的机遇与挑战【Ｊ】．信息技术，２０１０（０５）：９７－９９．
【３】陈柳钦．物联网：国内外发展动态及亟待解决的关键问题【ＥＢ／ＯＬ］．（２０１０—８—１０）［２０１０—９—１０］．ＷＷＷ．ｃｈｉｎａｖａｌｕｅ．ｎｅｔ／Ａｒｔｉｃｌｅ／Ａｒｃｈｉｖｅ／２０１０／８／１０／１９２２７１—１３．ｈｔｍｌ．‘蹬
收稿日期：２０１０—０９—１６作者简介－郭莉。１９７８年生。女，江南计算技术研究所工程师，研究方向：信息安全；严波。１９７８年生，男。江南计算技术研究所工程师．研究方向：网络安全；沈延。１９８３年生，男，江南计算技术研究所助理工程师．研究方向：信息安全。。基金项目：科技部支撑计划资助项目（编号：２００８ＢＡＨ２２８０２）。
传统物联网系统架构中，采集和传输的信息暴露在网络中，无任何安全措施。无法保证信息的真实性、机密性和完整性。３．２安全系统架构
由于物联网必须兼容和继承现有的ＴＣＰ／ＩＰ网络和无线移动网络等．因此现有网络安全体系中的大部分机制仍然可以适用于物联网，并能够提供一定的安全性。在传统物联网体系架构基础上增加安全措施，满足系统安全需求，实现安全系统架构。物联网安全系统架构如图２所示。
可以适用于所有业务．即不同的业务可以在统一的物联网业务平台上实施安全管理，从而做到安全机制对业务的透明。端到端加密在应用层进行。发送端加密，只能在接收端解密，可以根据业务类型选择不同的安全策略，从而为高安全要求的业务提供高安全等级的保护。在物联网中，根据不同的需求，考虑采取不同的加密方式．为信息提供全方位的安全加密防护；
③访问控制机制：访问控制机制在物联网环境下被赋予了新的内涵，从主要给人进行授权和访问控制．扩展到给机器和物体进行授权和访问控制，有效阻断非法实体对资源的访问。访问控制机制应在认证机制确认实体身份的基础上才能正确实施。
３系统安全加固方案
３．１传统系统架构传统的物联网系统架构如图ｌ所示。
图１物联网传统系统架构
０引言
１概述
物联网是信息技术发展到一定阶段的产物，是全球信息产业的又一次科技与经济浪潮，将影响到许多重大技术创新和产业发展，受到各国政府、企业和科研机构的高度重视。伊朗在建的布什尔核电站遭到Ｓｔｕｘｎｅｔ病毒攻击的消息一经伊朗媒体报道，便成为网上热议的话题之一。Ｓｔｕｘｎｅｔ病毒的出现，使得物联网的信息安全成为不容回避、刻不容缓的问题。同时，物联网的信息安全问题是关系物联网产业能否安全可持续发展的核心问题之一，必需引起高度重视。因此如何建立合理的物联网安全架构和安全体系将对物联网的安全使用和可持续发展有着重大影响。
当前，中国物联网的发展还在初级阶段．关于物联网的安全机制基本还处于概念阶段．研究１二作任重而道远。但是，与传统网络相比，物联网发展带来的信息安全、网络安全、数据安全乃至国家安全问题更为严峻．更为突出。因此，物联网的发展必须把安全放在首位，超前研究和解决产业发展可能带来的安全问题．加强法制和技术手段建设，提高自主防范能力。以便在新的技术革命和社会变革中掌握更多的话语权和主动权。
４结语
图２物联网安全系统架构
②加密机制实现信息在物联网中以数字信封的方式传送，以保证信息传输的机密性和完整性。信息发送者使用对称算法用对称密钥加密要传输的信息，再使用接收者的公钥加密对称密钥信息，拼装后发送。数字信封的加密可采用节点到节点加密（即逐跳加密），或端到端加密两种方式。如采用节点到节点的加密方式，则数字信封的加密头在每跳节点需替换信封加密头。直至传送至终点。但是，因节点到节点的加密方式在各节点都存在将加密消息解密的风险，因此逐跳加密对传输路径中的各传送节点的可信任度要求很高。如采用端到端加密的方式，仅在终端节点解密消息。规避了消息在传输中间环节被解密的
③第三层是应用层，完成信息的分析处理和控制决策，以实现用户定制的智能化应用和服务，最终达到物与物、人与物之间的连接、识别和控制。
２信息安全问题与需求
物联网的推广使用能够给人们的生活带来便利。大大提高工作效率，推动国民经济的大力发展，但是也必须注意到物联网的使用会带来巨大的安伞隐患。信息化与网络化带来的风险问题，在物联网中会变得更加迫切与复杂。因此在物联网时代，安全问题面Ｉ临前所未有的挑战，如何建立安全、可靠的物联网是摆在面前的迫切问题。２．１信息安全问题
信息安全面临的问题有以下方面： ①信息安全隐私：如射频识别技术被用于物联网系统时，射频识别电子标签将被嵌入任何物品中，比如人们的日常生活用品中，应当确保此类信息的隐私性，防止被非法获取。 ②假冒攻击：由于智能传感终端、射频识别电子标签相对于攻击者来说是“裸露”的，且在一定范围内信息是在空中传输的，导致传感器网络中的假冒攻击易实施。它极大地威胁着传感器节点问的协同工作。 ③恶意代码攻击：恶意程序易入侵无线网络环境和传感网络环境，它的传播性、隐蔽性和破坏性等相比ＴＣＰ／ＩＰ网络更加难以防范。如蠕虫这样的恶意代码，本身不需要寄生文件，在物联网环境中检测和清除此类恶意代码将很困难。 ④信息传输和处理的安全隐患：在物联网中，信息的传输和处理面临现有ＴＣＰ／［Ｐ网络的所有安全问题。同时，由于物联网在感知层所采集的数据格式多样，来自各种各样感知节点的数据是海量的，且是多源异构数据，带来的网络安全问题将更加复杂”１。２．２信息安全需求为了解决物联网信息安全的诸多问题，对物联网的安全机制也提出了相应的要求，如下所述： ①认证机制：认证机制是指通信的双方能够确认对方真实身份的实现方式。从物联网的体系结构来看，感知层和网络层的认证机制是非常有必要，能有效防止假冒攻击，确保信息的有效性。可使用ＰＫＩ公钥基础设施，实现基于公钥证书的双向强身份认证，解决物联网中实体认证的问题； ②加密机制：加密机制能够保障信息传输的机密性和完整性。防止信息在传输过程中被窃取或被篡改。在物联网中，可采用节点到节点加密（即逐跳加密）和端到端加密两种方式。节点到节点加密在网络层进行。在每个节点上进行密文的转换。
物联网是—个由感知层、网络层和应用层共同构成的大规模信息系统。它具备三大特征：全面感知、可靠传递和智能处理”’：
万方数据
信息安全与谴信保密－２０１０．１２７３
①第一层是感知层，可由智能卡、射频识别电子标签及传感器网络等组成，主要承担信息的采集工作；
②第二层是网络层，可由计算机、无线网络与有线网络等组成，主要承担信息的传输工作；
安全系统架构中，在终端设备上内置密码芯片，信息处理中心配置密码机，信息处理中心和互联网之间部署数据安全网关。能提供信息的真实性、机密性和完整性保护，可有效阻断非法实体对资源的访问。并可实现以下功能：
①认证机制实现：在信息处理中心安装安全登录认证系统。实现基于ＰＫＩ公钥证书的登录认证机制。持有合法证书的用户或机器等实体必须首先登录系统．与信息处理中心完成基于证书的双向身份认证，才能进行后续的数据交换处理。终端设备通过信息发送接收设备中转。完成与信息处理中心的身份认证。对于未通过认证的终端设备，信息发送接收设
统架构，能对物联网的信息传输和信息访问提供有效的安全防护，有效提升物联网整体安全。
【关键词】物联网（ＩＯＤ；认证；加密；访问控制
【中图分类号】ＴＰ３９３
【文献标识码】Ａ
【文章编号】１００９—８０５４（２０１０）１２－００７３—０３
●
ＳｔｕｄｙｏｎＳｅｃｕｒｅＳｙｓｔｅｍＡｒｃｈｉｔｅｃｔｕｒｅｏｆＩｏＴＧＵ０Ｌｉ。ＹＡＮＢｏ．ＳＨＥＮＹａｎ
③访问控制机制实现：部署在信息处理中心和互联网之间的安全数据网关，能有效地实现信息资源的访问控制。首先，只有与信息处理中心通过了身份认证的合法终端实体的消息，才能进出安全数据网关。其次．安全数据网关对进出的消息进行检查过滤，拒绝可能携带病毒、木马和恶意代码的有害信息传输。最后。安全数据网关还要对访问资源的请求进行访问控制决策，阻断非授权用户对资源的非法访问。