物联网安全技术第5章局域网相关技术及解决方案.ppt

;5.1信息传输需求;网络层概述;图5-1;信息传输面临的平安问题

;〔3〕物联网和互联网的关系是密不可分、相辅相成的。互联网基于优先级管理的典型特征使得其对于平安、可信、可控、可管都没有特殊要求，但是，物联网对于实时性、平安可信性、资源保证性等方面却有很高的要求。

〔4〕物联网需要严密的平安性和可控性，物联网的绝大多数应用都涉及个人隐私或企业内部秘密，物联网必须提供严密的平安性和可控性，具有保护个人隐私、防御网络攻击的能力。

2．物联网的网络平安需求

从信息与网络平安的角度来看，物联网作为一个多网并存的异构融合网络，不仅存在与传感器网络、移动通信网络和互联网同样的平安问题，同时还有其特殊性，如隐私保护问题、异构网络的认证与访问控制问题、信息的存储与管理等。物联网的网络层主要用于实现物联网信息的双向传递和控制，网络通信适应物物通信需求的无线接入网络平安和核心网的平安，同时在物联网的网络层，异构网络的信息交换将成为平安性的脆弱点，特别在网络鉴权认证过程，防止不了网络攻击。这些攻击都需要有更高的平安防护措施。;网络层平安框架

;5.2物联网核心网平安;现有核心网典型平安防护系统部署;2．证书管理系统

证书管理系统签发和管理数字证书，由证书注册中心、证书签发中心及证书目录效劳器组成。系统结构及相互关系如图5-4所示。;证书注册：审核注册用户的合法性，代理用户向证书签发中心提出证书签发请求，并将用户证书和密钥写入身份令牌，完成证书签发〔包括机构证书、系统证书和用户证书〕；

证书撤销：当用户身份令牌丧失或用户状态改变时，向证书签发中心提出证书撤销请求，完成证书撤销列表的签发；

证书恢复：当用户身份令牌损坏时，向证书签发中心提出证书恢复请求，完成用户证书的恢复；

证书发布：负责将签发或恢复后的用户证书及证书撤销列表发布到证书目录效劳器中；

身份令牌：为证书签发、恢复等模块提供用户身份令牌的操作接口，包括用户临时密钥对的产生、私钥的解密写入、用户证书的写入及用户???息的读取等；

证书签发效劳：接收证书注册中心的证书签发请求，完成证书签发〔包括机构证书、设备证书和用户证书〕；

证书撤销效劳：接收证书注册中心的证书撤销请求，完成证书撤销列表的签发；;是否允许终端设备的访问。应用平安访问控制设备需实现的主要功能包括如下几种。

统一的平安保护机制：为网络中多台〔套〕应用效劳器系统提供集中式、统一的身份认证、平安传输、访问控制等；

身份认证：基于USBKEY+数字证书的身份认证机制，在应用层严格控制终端设备对应用系统的访问接入，可以完全防止终端设备身份假冒事件的发生；

数据平安保护：终端设备与应用访问控制设备之间建立访问被保护效劳器的专用平安通道，该平安通道为数据传输提供数据封装、完整性保护等平安保障；

访问控制：结合授权管理系统，对FTP、HTTP应用系统能够实现目录一级的访问控制，在授权管理设备中没有授予任何访问权限的终端设备，将不允许登录应用访问控制设备；

透明转发：支持根据用户策略的设置，实现多种协议的透明转发；

日志审计：能够记录终端设备的访问日志，能够记录管理员的所有配置管理操作，可以查看历史日志；

应用平安访问控制设备和授权管理设备共同实现对访问效劳区域的终端设备的身份认证及访问权限控制；通过建立统一的身份认证体系，在终端部署认证机制，通过应用访问控制设备对访问应用效劳平安域应用效劳器的终端设备进行身份认证和授权访问控制。;4．平安通道管控设备

平安通道管控设备部署于物联网LNS效劳器与运营商网关之间，用于抵御来自公网或终端设备的各种平安威胁。其主要特点表达在两个方面：透明，即对用户透明、对网络设备透明，满足电信级要求；管控，即根据需要对网络通信内容进行管理、监控。

5．网络加密机

网络加密机部署在物联网应用的终端设备和物联网业务系统之间，通过建立一个平安隧道，并且隔离终端设备和中心效劳器之间的直接连接，所有的访问都必须通过平安隧道网络加密机采用对称密码体制的分组密码算法，加密传输采用IPSec的ESP协议、通道模式进行封装。在公共移动通信网络上构建自主平安可控的物联网虚拟专用网〔VPN〕，使物联网业务系统的各种应用业务数据平安、透明地通过公共通信环境，确保终端数据传输的平安保密。;8．入侵检测设备

入侵检测设备为终端子网提供异常数据检测，及时发现攻击行为，并在局域或全网预警。攻击行为的及时发现可以触发平安事件应急响应机制，防止平安事件的扩大和蔓延。入侵检测设备在对全网数据进行分析和检测的同时，还可以提供多种应用协议的审计，记录终端设