全部新闻 行业观察企业新闻
您的位置:首页/ 新闻中心 / 行业观察

保护物联网网络层:“核心网络”的防御机制

作者:AIOT 发布时间:2022-08-13

   摘要: 物联网的网络层的工作就是把感知层收集到的数据安全地发送到信息处理层,然后根据不同的应用需求进行信息分析和处理,实现对客观事物的感知和控制。


物联网的网络层的工作就是把感知层收集到的数据安全地发送到信息处理层,然后根据不同的应用需求进行信息分析和处理,实现对客观事物的感知和控制。目前,全球物联网应用还处在初级阶段,关于网络层安全的相关法律法规尚未完善,系统体系也没有成型,这些不利因素使网络层成为了物联网最易遭受攻击的一层。

网络层的安全威胁主要来自以下几个方面:一是对终端的入侵,终端感染病毒,或者篡改软硬件模块,从而窃取存储的私密信息;二是对传输链路的入侵,通过删除、改写链路上的数据和对各种协议级的干扰,使数据传输堵塞;三是对核心网络的入侵,绝大多数物联网开发业务信息要用到互联网传输,移动通信与互联网的核心网络具有相对完整的安全保护能力,但核心网络很容易受到Ddos攻击和假冒攻击。

面对攻击,网络层的安全需求应涵盖以下几个方面:一是保证业务数据在承载网络中的传输安全,保证数据在传输过程中不被泄露与截获;二是解决终端和异构网络的鉴权认证,实现对物联网的连接认证和对异构网络互连的身份认证。三是异构网络下终端的安全接入。针对物联网M2M的工作特征,对网络框架和接入技术进行优化和改进。四是物联网协议总和的标准需求。即建立一个统一的协议栈和相应的技术标准,防止协议漏洞。五是大规模分布式安全监控。针对物联网关于实时性、稳定性、资源可靠性等方面的要求,对物联网终端进行大规模部署,建立安全的管控体系。

目前,核心网主要是指运营商的核心网络,其重要性不言而喻,其安全防御系统主要包括:安全通道管控设备、防火墙、网络密码设备、漏洞扫描设备、入侵检测设备、防病毒计算机、补丁分发服务器和综合安全管理设备。

我们对其中的最重要的几个设备的安全防护机制进行简要分析:

第一,综合安全管理设备。该设备能够对整个网络的安全情况进行统一的监视,并对安全设备进行系统的管理,构建全网安全管理体系;还可以对全网的安全事件进行汇总、上报,实现网络层各类安全设备和系统的互联互动。

第二,证书管理系统。该系统负责管理和签发数字证书,由证书注册中心、签发中心和证书目录服务器组成。该系统还有一些附加功能,如证书撤销、证书恢复、证书发布、密匙申请、日志审计、备份恢复和各种查询服务。证书管理系统的关系图如下:


保护物联网网络层:“核心网络”的防御机制


证书管理系统的关系图

第三,应用安全访问控制设备。该设备采用安全隧道技术,在服务器和物联网中间建立一条安全隧道,隔离两者的直接连接,而所有的查询和访问都必须经过安全隧道的同意。其工作原理是:终端将访问请求通过安全隧道发送给应用访问控制设备,该设备会马上做出响应,并验证终端设备的身份,然后查询终端设备的权限,最后决定是否允许终端设备访问。

应用安全访问控制设备需要的功能主要有:统一的安全保护机制、基于数字证书和USBKEY的身份认证、数据安全保护和透明转发。

第四,安全通道管控设备。该设备部署在物联网LNS服务器和运营商网关之间,主要用来防御公网和终端设备的各种安全威胁。它主要有两个特点:(1)对用户透明、对网络设备透明,信任度很高;(2)可以根据需求对网络通信的内容进行监视。

第五,漏洞扫描系统。在可扫描IP的范围内,该系统可以对不同操作系统的计算机进行漏洞检测,分析和指出计算机网络的薄弱环节,并可以针对监测到的网络安全隐患,提出相应的解决方法、安全建议和补救措施,从而提高安全保密分系统的保密能力和抗破坏能力。

第六,入侵检测设备。该设备为终端子网提供异常信息的监测,在第一时间发现攻击行为,并在全网开启警报。另外,分析检测设备还可以对网络层的大部分数据进行分析和排查,提供多种应用协议的审计,记录各个与之相关联的终端设备访问行为。

第七,防病毒服务器。该设备主要用于保护网络中的服务器和应用主机,防止主机和服务器因感染病毒而导致通信故障、数据丢失或瘫痪。防病毒服务器包括监控中心和客户端,客户端分别部署在主机和服务器上,监控中心则部署在基础子网中。

第八,补丁分发服务器。该服务器部署在安全防护系统内网之中,采用B/S架构,可在网络的任何终端,通过登录内网补丁分发服务器对页面进行管理、对各种信息进行查询服务。将来,补丁分发系统可以根据客户端数量和管理需求进行功能的无缝拓展。