基于物聯網層次架構的安全接入與安全管理平臺

羅　振　光纖通信技術和網絡國家重點實驗室工程師桑梓勤　光纖通信技術和網絡國家重點實驗室教授級高級工程師

基于物聯網層次架構的安全接入與安全管理平臺

羅振光纖通信技術和網絡國家重點實驗室工程師
桑梓勤光纖通信技術和網絡國家重點實驗室教授級高級工程師

提出了一種基于物聯網3層架構的安全技術體系。在物聯網的層次架構中，“物聯網安全接入平臺”在網絡傳輸層實現網絡的安全接入，“物聯網安全管理平臺”在業務應用層實現信息的安全管理。通過這兩個平臺所提供的統一和集中的網絡與信息安全技術支撐，以確保信息孤島模式下的各種物聯網系統都能具備必要的網絡和信息安全保障。

物聯網；網絡與信息安全；電信網；互聯網；物聯網業務應用

1　引言

物聯網是指通過部署具有一定感知、計算、執行和通信等能力的各種設備，獲得物理世界的信息，通過網絡實現信息的傳輸、協同和處理，從而實現人與物通信、物與物通信的互聯的網絡。

物聯網是一種自動化、智能化的信息通信技術應用，從現場的傳感器，經過通信網絡，到后臺的監控軟件，形成了獨立、完整的系統應用。物聯網主要針對于垂直行業，通過物體的自動聯網和自動處理來實現數據采集、網絡傳輸和控制管理。由于服務對象、實施場景和實現方式的不同，物聯網存在著多種多樣的應用模式，因此也將面臨復雜的網絡與信息安全問題。

2　背景

2.1物聯網運營主體分散

物聯網以其“物”所歸屬的對象為主體，來進行規劃、設計、部署以及最終的運營。受到各種不同的客戶需求和業務場景的影響，運營主體所選擇實施的物聯網系統，完全取決于運營主體的行業與區域特性，這樣也就導致了各種物聯網系統的運營主體各自為政，相對分散，難以形成整合與統一的運營體系。

2.2物聯網技術體系雜亂

由于運營主體的多樣性，不同行業和區域中對于物聯網的理解和積累各有不同，隨之產生了不同的技術路線和解決方案，從而導致了物聯網技術體系同樣具有多樣性。而在各種運營主體各自所形成的不同產業鏈中，各種物聯網技術體系種類繁多，自成一體，難以形成集成與交互的技術體系。

2.3物聯網的網絡與信息安全缺失

由于運營主體的分散，以及技術體系的雜亂，物聯網的網絡與信息安全，往往局限于各個物聯網應用系統內部來獨自解決。但是，受限于行業和區域的信息化和智能化水平的差異，不同運營主體對于網絡與信息安全的認識理解、管控能力和開支投入也存在較大差異，在不同物聯網應用系統的安全性最終表現上，也存在明顯的參差不齊現象。

例如，信息化、智能化較高的交通運輸物流領域，對于M 2M和RFID等高度發達和成熟的物聯網技術需求非常迫切，而這些技術對其節點、終端和應用的安全程度也是比較高的，因而使得交通運輸物流相關應用的安全性得到了較好的保障。但是，對于某些基于ISM頻段實施的無線傳感器網絡應用，其無線信道基本上屬于區域性開放，網絡與信息安全沒有成熟通用技術可以參照，如果在信道加密和節點認證等環節沒有足夠的技術難度，包括節點、信道和應用在內的整個無線傳感器網絡應用系統，其安全性是無法得到可靠保障的。

3　安全特點分析

相對于傳統的電信網、互聯網，物聯網的網絡與信息安全，與傳統的網絡與信息安全存在以下區別：

（1）電信網、互聯網已有的一些成熟的網絡與信息安全技術和方案，不能完全適用于物聯網的用戶需求和業務場景。

（2）物聯網系統中的終端節點所具有的小顆粒業務特點，與電信網、互聯網中的終端大顆粒業務存在明顯區別。

（3）物聯網系統中的終端節點，完全是自動化、智能化的非人為操控，與電信網、互聯網中完全是人為操控終端截然不同。

物聯網系統的實質，并非具體的產品或技術，而是集成融合了多種信息通信技術的復合型業務應用。物聯網對于信息數據的開放與共享，業務應用的集成與協同，管理控制的自動與智能，都存在較高程度的需求，而物聯網在運營主體上的分散性和技術體系上的多樣性，則進一步加劇了這些需求的實現難度，同時也加劇了網絡和信息安全的復雜性。

4　層次架構中的安全平臺

4.1物聯網層次架構中的安全體系

如圖1所示，“感知末梢層—網絡傳輸層—業務應用層”構成了物聯網的3層架構。

圖1　層次架構的安全體系

其中，感知末梢層存在兩種接入方式，其一就是具備公網通信能力的“物聯網終端”，從終端可以直接經過承載網連接到物聯網業務應用管理平臺。比較典型的實例就是M 2M/MTC終端，其網絡與信息安全的功能，基本上歸屬于M 2M終端/平臺/應用的承載網絡來實現。確切地說，就是由各種制式的移動通信網絡來實現“物聯網終端”的網絡與信息安全功能。因其運營主體為少數幾家電信運營商，而各大移動通信網絡制式的技術體系非常成熟且高度標準化，在網絡與信息安全的問題上沒有明顯的空白研究空間，所以在此不做贅述。

感知末梢層中，在“物聯網終端”之外，還有另外一種“物聯網端節點”的模式。同處于感知末梢層中的“物聯網子節點”和“物聯網父節點”共同構成了“物聯網端節點”，子節點和父節點既可以直接簡單連接，也可以通過復雜的“感知末梢網絡”進行連接。由于“感知末梢網絡”有多種傳感器網絡技術可以采用，因而“物聯網端節點”的具體實現也存在技術多樣性，非常符合“運營主體分散”和“技術體系雜亂”的情況，且其標準化程度明顯欠成熟，網絡和信息安全隱患極大，所以存在較大的空白研究空間。

在感知末梢層中，“物聯網端節點”最大的特點就是：多源異構性，“物聯網端節點”往往功能簡單、接口帶寬較小、電源容量偏低，從基礎配置上就明顯限制了其網絡和信息安全的功能實現，而感知末梢網絡也存在多種傳感器網絡技術可以選擇。無論是節點和網絡的軟硬件配置，還是采用技術的多樣性，對于整個感知末梢層，都不存在普適的標準，也無法實現統一的標準，所以在感知末梢層中，難以提供統一的網絡和信息安全保障。因此，對于物聯網的網絡與信息安全，只能從相對容易的網絡傳輸層和業務應用層來著手。

4.2物聯網安全接入平臺

物聯網的網絡安全，主要體現在“物聯網端節點”通過“物聯網網關”接入到“物聯網安全接入平臺”，并實現相應的網絡安全功能，以支撐后續的信息安全功能。

如圖2所示，網絡傳輸層中的“物聯網網關”由“物聯網—電信網網橋”和“物聯網根節點”組成。“物聯網網關”通過“物聯網根節點”與感知末梢層中的“物聯網父節點”相連，并通過“物聯網—電信網網橋”連接到“物聯網安全接入平臺”，實現物聯網的網絡安全功能。在某些電路配置相對精簡的情況下，“物聯網網關”將不再區分網橋和根節點，直接以單一設備的形式出現，而在某些電路配置極為精簡的情況下，“物聯網網關”也會與“物聯網父節點”合并，以單一節點的形式存在。

圖2　安全接入平臺

“物聯網安全接入平臺”，主要包括以下功能模塊：

●接入匯聚：實現不同“物聯網端節點”的網絡接入和線路匯聚，以便進行后續的網絡安全監控與管理。

●交換路由：類似于傳統意義上的交換機和路由器，在接入平臺進行統一的交換路由處理，以便與電信網和互聯網的網絡信息流量進行分流。

●節點驗證：對“物聯網端節點”進行節點驗證，以確保節點的真實性、合法性和后續處理的有效性。

●網關驗證：對“物聯網網關”進行網關驗證，以確保網關的真實性、合法性和后續處理的有效性。

●網絡監控：基于前面的幾個功能模塊，對接入網絡數據包進行按需定制的監控，確保在上述功能模塊的作用下，網絡使用過程中各環節的可記錄、可追溯。

●管理接口：將“物聯網安全接入平臺”匯總的網絡安全數據提供給在業務應用層中的上級平臺——物聯網安全管理平臺，以支撐實現物聯網業務應用層面的信息安全。

4.3物聯網安全管理平臺

物聯網的信息安全，主要體現在“物聯網安全管理平臺”獲取來自于“物聯網安全接入平臺”的網絡安全數據，實現相應的信息安全功能，同時對“物聯網業務應用管理平臺”提供網絡和信息安全的技術支撐。

傳統模式下的物聯網業務應用，即便是存在一定程度網絡和信息安全功能，往往也都是基于運營主體自成一體、各行其道。這種信息孤島的情況，一方面存在重復投入、效率低下的問題；另一方面，也不利于在不同物聯網系統之間的信息數據開放與共享、業務應用的集成與協同。而“物聯網安全管理平臺”，可以為各種物聯網業務應用提供一種公共、開放、普適的信息安全支撐，從信息安全的角度促進信息孤島的相互融合。

圖3中的“物聯網安全管理平臺”主要包括以下功能模塊：

●接入接口：與“安全接入平臺”之間的接口，獲取其匯總的網絡安全數據。

●密鑰證書：為“物聯網業務應用管理平臺”提供統一的密鑰與證書的生成、發放和管理。

●信息監控：對各種物聯網業務應用所產生的信息流進行安全監控，集中管控非法的信息處理行為。

●流量統計：對各種物聯網業務應用所產生的信息流進行流量統計，包括記錄和備份。

●管理策略：針對不同物聯網業務應用的不同安全需求，提供不同的安全管理級別和方式。

●能力開放：對于某些信息安全能力（如終端節點的定位軌跡加密、終端用戶的個人信息加密、物聯網業務應用中數據處理結果的加密等），可以為有需要的物聯網業務應用針對性開放，以降低其信息安全的實現成本。

圖3　安全管理平臺

4.4技術特點

通過將網絡安全放在物聯網3層架構中的網絡傳輸層集中解決，將信息安全放在物聯網3層架構中的業務應用層集中解決，并不會改變或明顯影響原有的物聯網系統架構，還能從技術角度降低其實施成本，提高其運行效率，促進其安全保障，是一種簡單、可行的技術方案。同時，集中的網絡與信息安全處理，也有利于將分散的物聯網系統，融合到統一的智慧城市中，以促進各個物聯網系統發揮更大的作用。

5　結束語

針對物聯網的“感知末梢層—網絡傳輸層—業務應用層”3層架構，通過“物聯網安全接入平臺”實現網絡安全，通過“物聯網安全管理平臺”實現信息安全，有利于促進信息孤島模式下各種物聯網業務應用更好地實現融合，同時也能集中、高效地促進物聯網在網絡與信息安全方面的技術和產業發展。

［1］楊庚，許建，陳偉，祁正華，王海勇.物聯網安全特征與關鍵技術［J］，南京郵電大學學報（自然科學版）.2010（8）.

［2］林柏鋼.物聯網安全架構與服務計算安全［J］.保密科學技術，2011（10）.

［3］中國通信行業標準：物聯網總體框架與技術要求.YD/T 2437-2012.

［4］中國通信標準化協會標準：物聯網安全需求.YDB 101-2012.

愛立信在世界移動通信大會2016發布新品

愛立信日前推出多個針對網絡覆蓋、網絡性能和管理的最新產品和解決方案，幫助運營商抓住5G漸近所帶來的商業機遇。這些解決方案在2月22—25日西班牙巴塞羅那舉行的2016年世界移動通信大會（MWC）上進行了展示。

在物聯網、5G及云的推動下，運營商將看到數量眾多、形式各異的網絡用例，這些用例會催生新的價值鏈、金融模式和商業機會。要捕捉未來的機遇，運營商需要不斷轉變，并采用新的方式為消費者創造價值。除了這些方面的發展外，網絡性能的重要性與日俱增，重要性伴隨著更加艱巨的挑戰。《愛立信移動市場報告》巴展版中一項最新研究表明，糟糕的視頻流體驗會產生“雙重打擊”效應，不僅有損服務提供商的品牌價值，還會反之幫助競爭品牌提升品牌價值。

愛立信為電視和媒體運營商推出功能強大的商業情報工具包

現今，大量涌現的視頻正在與傳統的電視爭奪觀眾。觀眾的注意力被吸引到專業制作和用戶自創的內容上，內容運營商、廣播公司及電視服務運營商等媒體運營商需要能夠提供準確的商業情報的分析解決方案。為了貼近用戶，媒體運營商不僅要確保其交付渠道擁有最佳性能，還要了解用戶希望獲得哪些內容，用戶最看重什么，以及用戶不需要或不喜歡哪些內容。

為了提供這種商業情報，愛立信推出名為Integrated Video Insights的強大的數據分析工具包，幫助媒體運營商匯聚并分析從用戶、視頻平臺和網絡獲取的大量數據。該工具包采用全面的端到端框架，能夠滿足媒體業在運營、商用部署和客戶服務等各個方面的大數據處理需求。借助Integrated Video Insights，媒體運營商能夠改善其內容商業化戰略，確定每個用戶利潤率增長所需的投資，并確保自己的內容在最佳條件下交付給用戶付費觀看。

IoT Security Access and Management Platform Based on the IoT Level Framework

Luo Zhen，Sang Ziqin

This article presents a security technology system based on three levels framework of IoT.In the leveled framework of IoT，“IoT Security Access Platform”fulfill the security networks access in the layer of network transmission，“IoT Security Management Platform”fulfill the security information management in the layer of service application.Through the unified and intensive network and information security technology support provided by the two platforms，various IoTsystem sin the information isolated islands can get necessary security assurance of network and information.

IoT；security of Network and information；Telecom Network；Internet；services and applications of IoT

2015-12-10）