物联网技术下的通信管道安全控制

物联网技术下的通信管道安全控制

摘要:近年来,物联网技术发展迅速,应用场景不断拓展。但是,作为互联网技术向物理世界延伸和拓展的物联网技术,也同样面临着来自互联网内部存在的各种安全威胁,而通信管道安全就是其中之一。基于此,本文从安全管理平台架构、安全控制方案实现流程、密匙管理三个方面探讨了以物联网技术为基础的通信管道安全控制方案,并分析了该方案的主要特点和优势,希望能够为以后相关方面的研究工作提供一些参考。

关键词:物联网技术;通信管道;安全控制

近年来,随着我国互联网技术的快速发展,催生了一大批新技术,比如,物联网、大数据、云计算等。其中,物联网技术实际上是互联网的进一步拓展和延伸,因此,传统互联网面临的各种安全风险,也会威胁到物联网的安全运行。并且由于在现实世界中物联网牵涉众多方面,原本只存在于虚拟世界的安全风险也会随之向真实的物理世界延伸,从而使其面临更加严峻的安全形势。在这种情况下,要想确保物联网业务的进一步发展,就必须保证物联网的运行安全。而作为物联网建设过程中的重要一员,电信运营商必须要重视研究物联网建设初期阶段面临的安全问题,只有这样,才能够促进物联网业务间的健康发展。

1安全管理平台架构

本文所研究的通信管道安全控制方案主要依靠相应的安全管理平台实现,如图1所示。能力租用管理主要提供安全服务管理,包括其他系统租用本平台的安全管理能力以及本平台租用其他安全平台的能力两种能力租用。该安全管理平台采用云计算架构,所提供的安全管控能力主要包括以下几个方面:一是提供一些基础性的安全服务,比如,密匙管理、统一身份认证等,使物联网接入以及通信安全性得到有效提高;二是提供配置与安全策略集中分发与检校功能,该服务主要针对物联网终端,能够使物联网终端的安全管控能力得到有效的提高,从而使终端所面临的安全风险大幅减少;三是以流量变化为依据对安全策略实施动态调整,通过错峰上传等措施使突发流量对网络的冲击得以有效缓解。

2安全控制方案实现流程

第一,安全管理平台对应用系统和终端进行安全认证,充分保证双方身份的合法性;第二,安全管理平台对发起访问请求的一方进行验证,确定其拥有访问权限后,以之前配置好的安全策略为依据,向双方下发相应的安全控制策略,主要包括访问期限、访问控制策略等;第三,将相应的安全策略配置给双方后,可以进行互访。但是,由于物联网牵涉大量的设备,而在网络中短时间内接入大量的设备,则会产生大量需要进行认证的信令流量,从而堵塞网络。因此,本文所设计的方案中安全选择域网关,这样可以直接使用域网关的安全对有效期内的令牌进行验证,从而使大量的认证请求得以有效解决,尤其是能够有效应对突发请求大量消耗网络资源的问题。具体方案也包括三个方面:一是终端原始凭证由安全管理平台进行认证且通过后,管理平台将相应的安全配置信息经过域网关发送给终端,主要包括认证令牌等,同时,相应的终端安全策略下发给域网关;二是由域网关的安全在令牌的有效期内对终端进行认证,并且不必向管理平台发送请求,与此同时,也不必再向管理平台发送终端的访问请求,而是由域网关根据相应的控制策略直接进行控制;三是如果平台出现空闲现象,那么,终端在管理平台控制下会进行重认证。图1安全管理平台主要功能

3密匙管理

为了使数据传输的安全性得到有效的保证,必须加密处理通信管道。在本文所设计规划的方案中,由安全管理平台负责管理感知网络通信密匙,并统一下网关节点下发,之后感知网络内密匙的维护和分发就由网关节点负责。不过,与普通节点和普通节点之间的通信相比,普通节点与网关节点之间的通信具有更高的安全性,因此,在本方案中共有两类通信密匙,即网关通信密匙和网内通信密匙,前者主要用于普通节点与网关节点之间的通信,后者则主要应用于普通节点与普通节点之间的通信。需要注意的是,与网内通信密匙相比,网关通信密匙的要求更高,不能将两者混用。另外,网关节点对于应用服务器与普节点之间的数据传输需要进行转发,因此,在加密数据时需要将其分为两段,数据被网关接收后进行解密,之后重新使用远距离传输密匙进行加密并进行上传。此外,在本文的研究中使用的密匙采用以下共享机制对多节点和资源有限的情况进行应对:(1)网关通信密匙。所采用的密匙共享机制为1:n,就是说,与网关共享密匙的普通节点不超过n个,而n的配置则由安全平台负责。通信安全性与n所表示的数量密切相关,n如果相对减少,则安全性就相对提高,此时,对网关节点密匙维护的要求也会相对提高。而n如果相对增加,就会降低通信安全性,同时,降低网关节点的维护要求;(2)网内通信密匙。网内通信密匙不同于网关通信密匙,其主要采用组密匙机制,具体就是根据普通节点的数量划分为若干个小组,之后为每个小组配置一个密匙,由组内各普通节点共享。每个节点能够加入的组最多为m个,由安全管理平台控制m的具体个数。为了使跨组节点的正常通信得到充分的保障,各个组之间的通信也需要设置一个密匙。在初始状态下,各个节点的网关通信密匙由感知网络进行提前配置,网关节点需要对M个网内通信密匙以及N个网管密匙进行维护。不过,将网关通信密匙应用在普通节点也可以正常上传相应的数据。而普通节点之间进行通信的过程中,双方需要对自身支持的密码组进行交换并进行协商,如果双方都支持其中的某个密码组,那么,进行加密时直接采用该密码组即可,如果不存在则向网关申请密匙,网关接收到请求信号后,会随机向双方分配一组维护中的密匙,然后,进行加密时采用该密码组即可。不过,为了对密匙扩散范围进行有效的控制,每个节点所分配的密匙最多只能为m个,如果一个节点已经分配了最大数目的密匙,此时,需要与其他节点进行通信且并无相同的密匙,那么,网关则会将相应组间通信密匙分配给需要进行通信的双方。除了采用预配置的策略管理密匙之外,通常还会结合使用动态更新这种方法。各个节点预配置网关节点通信的初始密码的同时,会依据各个网关节点接收到的安全平台下发的策略以及通信密匙,然后,向普通节点,与此同时,分组和密匙也会定期动态更新。目前,通常采用以统计分析为基础的动态分组策略作为密匙的更新机制,可以采用生成树算法,网内各个节点间的通信关系由网关构建成为森林,对组内通信密匙进行相应的分配,从而对密匙的范围和效率进行有效的控制,从而实现其平衡。

4方案特点

本文所设计的通信管道安全控制方案,通过安全管理平台对感知网络安全策略以及密匙进行统一管理并发送给网关节点,之后安全策略、密匙以及维护均由网关节点在感知网络内实施,这样能够使大量认证请求得到有效的解决。另外,安全管理平台可以通过流量的变化情况对安全策略进行动态调整,并以错峰上传等方法使突发流量对网络的冲击得以有效缓解了。另外,在本方案中由安全管理平台对物联网终端与应用服务器以及终端与终端之间的互相访问进行控制,由于安全控制策略由安全管理平台统一实施吗,并且通信双方的安全策略为动态配置,因此,只需要按照实际需求开放最小的访问权限即可,从而使安全风险有效减少。

5结语

总而言之,要想实现物联网的大规模应用,就必须保障互联网的安全,这是因为物联网与互联网关系密切,其本质是互联网的进一步延伸和发展,因此,在设计规划通信管道安全控制方案时,应特别注意。

作者:刘涛 单位:大庆油田信息技术公司大庆中基石油通信建设有限公司