IoT云連接中輕量級(jí)IPSec VPN的部署

曾喜娟

(黎明職業(yè)大學(xué)智能制造工程學(xué)院，福建泉州 362000)

0 引言

物聯(lián)網(wǎng)通過(guò)智能物件及網(wǎng)絡(luò)技術(shù)，將物理世界的各類(lèi)感知器件連接起來(lái)，通過(guò)無(wú)線傳感技術(shù)采集物理世界的信息，經(jīng)互聯(lián)網(wǎng)傳給云端服務(wù)器.在物聯(lián)網(wǎng)部署的海量終端一般是資源受限、異構(gòu)的瘦客戶(hù)端，通過(guò)攝像頭、傳感器等收集的數(shù)據(jù)信息與人們的日常生活密切相連[1]，在物聯(lián)網(wǎng)業(yè)務(wù)環(huán)境中，通信、數(shù)據(jù)協(xié)同等操作將更加頻繁，這個(gè)龐大的系統(tǒng)如果不加于安全隱私的規(guī)范，某些生活隱私或者敏感數(shù)據(jù)有可能會(huì)造成泄密.而物聯(lián)網(wǎng)終端和一般的通用計(jì)算機(jī)系統(tǒng)不同，大多為資源受限的低功耗的智能物件，容易受到拒絕服務(wù)攻擊(Denial of Service，Dos),面向傳統(tǒng)數(shù)據(jù)集的安全技術(shù)難以直接應(yīng)用.現(xiàn)有的一些非IP物聯(lián)網(wǎng)技術(shù)如ZigBee及Z-wave等聯(lián)盟提出AES加密、數(shù)據(jù)完整性、鑒權(quán)等[2]，都只是在數(shù)據(jù)鏈路層進(jìn)行，此類(lèi)協(xié)議無(wú)法直接與基于IP協(xié)議的互聯(lián)網(wǎng)相連，必須通過(guò)相關(guān)網(wǎng)關(guān)將其轉(zhuǎn)換為IP包，此時(shí)基于數(shù)據(jù)鏈路層技術(shù)無(wú)法保護(hù)在互聯(lián)網(wǎng)的數(shù)據(jù)安全.IPSO聯(lián)盟提出在智能物件中使用IP協(xié)議，把IEEE802.15.4 上引入6LoWPAN適配層[3]，支持IPV6協(xié)議，因此可以把IP的安全機(jī)制應(yīng)用于物聯(lián)網(wǎng)中，如SSL及IPSec.其中SSL運(yùn)行于傳輸層，為兩個(gè)網(wǎng)絡(luò)端點(diǎn)提供了基于TCP的端對(duì)端的安全信道，在認(rèn)證階段使用了非對(duì)稱(chēng)加密算法，卻不適合在計(jì)算能力有限的智能物件上使用，且只支持TCP，不支持對(duì)整個(gè)IP協(xié)議棧其他協(xié)議如udp等的安全防護(hù).而IPSec作為標(biāo)準(zhǔn)IPV6網(wǎng)絡(luò)層下方的一個(gè)必……