智能物聯終端安全可信接入關鍵技術研究

曾彬，王雷，文吉剛，蘇亮源

（1.湖南友道信息技術有限公司，湖南 長沙 410208；2.長沙學院計算機科學與工程學院，湖南 長沙 410022）

隨著萬物互聯技術廣泛應用，大量非受控終端設備高比例接入，供給側和需求側高頻互動，導致海量終端與網絡通信產生高并發和隨機性［1］。這些特性導致物聯網遭受的攻擊面和攻擊機會增大［2-3］。為改變物聯網業務對網絡帶寬、覆蓋、質量、接入方式等無序要求給通信網絡帶來的復雜安全運維困境，我們在突破安全、可信、經濟的統一通信接入網關技術方面展開研究，支持物聯網終端輕量級加密和認證，通過哨兵、加密、WAPI認證、資產識別與異常監測、防病毒、入侵防御、VPN、防火墻等多種手段，并且基于機器學習算法的終端設備畫像技術，實現物聯網內終端設備行為異常發現與識別，提高泛在物聯網邊界安全防護能力，構建多層次泛在物聯網終端的安全防護體系。

1 研究背景

隨著泛在物聯網建設的推進，網絡邊界變得更加復雜模糊，網絡安全防護面臨諸多新問題。一方面，面向物聯終端的可信身份認證能力不足，導致物聯終端產生被仿冒、敏感數據泄露等風險，海量、異構物聯終端自身缺少可信身份標識及認證機制，難以實現可信網絡準入與數據加密傳輸。另一方面，開放與共享的網絡末梢延伸導致物聯邊界更加模糊［4-5］，泛在物聯網建設突破了原有基于網絡隔離的安全防護體系，網絡安全暴露面不斷增大，邊界安全防護難度日益上升。泛在物聯網的具體挑戰包括：

（1）在業務接入側，要求提供標準化的有線和無線通信接口，實現多業務安全隔離的切片式接入模式；

（2）在網絡側，能根據業務需求靈活適配本地、遠程、有線、無線、公網、專網等網絡通信通道，實現單通道業務共享、多通道無縫切換及聚合能力；

（3）在通信終端設備設計方面，要引入軟件定義網絡（SDN）體系結構，實現通信、安全和邊緣計算能力靈活組合，支持業務接入能力平滑擴展和網絡通信通道資源自適應分配；

（4）在終端接入管控方面，要能對終端與業務的運行狀態和風險等級進行實時監控與智能準入控制。

另外，接入網關需要在不同的場景下提供多種運營管理功能，如認證、授權和計費（AAA），基于流量工程策略的網絡管理，信道的配置和沖突的管理，移動漫游的管理，負載均衡，QoS保證等。Aruba、Ruckus、Motorola、Meru等廠商提供了其私有的傳統無線網絡解決方案，即通過高度耦合的軟硬件逐一實現各種運營管理功能［6］。這些方案是完全封閉的，且不同廠商的接口之間存在巨大差異，因此新的功能需求必須依賴于原方案廠商的軟件或硬件更新［7］。如果原廠商對此不支持，就很可能無法實現新功能，這就使接入網的技術演進受到了極大的限制。因此，企業級接入網越來越昂貴、臃腫，難以被管理和控制［8］。

傳統接入網關由于采用了軟硬件高度耦合的架構，靈活性差，無法對接入網絡的優化策略提供很好的支持，迫切需要更開放靈活的、支持集中式管理和控制的架構，同時能開放可編程接口支持新應用和功能的開發。

2 系統設計

我們提出一種基于虛擬化和軟件定義的接入架構，其不需要對現有終端進行修改，具有開放可編程、虛擬化隔離和集中管理的特點，支持細粒度的無線測試模式控制，能改善終端漫游時的無線狀態測試，優化資源調度策略并實現多租戶機制。

針對多種測試業務安全可信接入通信終端的軟件分為收發模塊和控制模塊。收發模塊支持多種有線/無線接口類型與協議。控制模塊負責硬件資源的抽象，南向充分挖掘可編程能力，北向提供統一的集中控制接口；智能管控模塊完成終端資產發現與管控、安全運維策略的制定與下發、網絡安全隔離與安全事件分析等，接口配置模塊負責執行智能信道/功率調整、動態哨兵模式切換等調度邏輯。軟件結構如圖1所示。

圖1 軟件結構

系統南向適配無線/有線/藍牙等信號采集、網絡流量采集，以及接入、通信、計算和存儲資源的管理與調度。應用層支持軟件定義與虛擬化架構，獨立實現各模塊的管理功能，也可利用中間件進行快速交互，模塊化的設計也可支持功能的動態加載與銷毀。應用層核心功能包括非法接入分析、判定與壓制，業務異常行為分析，全局網絡優化，狀態實時監控，資源靈活配置，策略智能生成。表示層支持界面友好的人機交互，數據的快速檢索與安全策略下發。接入系統的整體結構如圖2所示。

圖2 整體結構

接入系統在表示層支持瀏覽器多種業務的按鈕式操作，對多種監測的結果能夠直接反映到頁面上，能夠直觀地呈現終端業務數據的動態變化。同時，基于多種測試模式和多種攻擊方法的測試，可以通過高效的數據結構，以及并行的數據分析和統計方法，在頁面切換時快速反映網絡狀態變換與可能出現的性能缺陷。

3 關鍵技術

以下介紹系統實現的一些關鍵問題及解決方法。

3.1 基于協議指紋的資產掃描、識別技術

主被動結合是進行物聯網空間資產發現探測的主要手段［9］。以資產和業務為中心，研究精準的資產掃描和業務識別技術是關鍵點和難點。我們針對終端操作系統和應用軟件的精準識別問題，結合主被動掃描和特征工程方法，研究實現針對終端網絡及其流量的端口探測、協議指紋、數據包深度解析、網絡秩序流重構等方法，并從中分析終端操作系統和應用軟件的特征（見圖3）。其中，為緩解網絡流量加密對終端操作系統和軟件版本識別的影響，重點通過綜合SSL/TLS握手過程特征和流統計特征的提取方法。

圖3 終端指紋提取與識別方法

3.2 多維度業務安全接入控制機制

由于無線網絡具有共享信道特性，我們更應該注重其網絡安全，需要對其進行有效的安全接入控制，檢測非法入侵［10］。基于SDN架構的無線通信技術支持高度的接入控制和智能無線感知，包括有效識別非法終端、非法接入點、異常流量等，可提高正常終端無線接入的安全性，通過可編程的無線管理邏輯，可實現專業靈活的無線隱藏和接入控制。

通過功率動態調整并屏蔽低速傳輸，結合終端定位技術，能夠確保非法終端只有在場景內或非常接近才能接入。在此基礎上，通過進一步基于軌跡的分析，可以實時發現從外部進入場景中的終端設備（見圖4）。

圖4 非法終端入侵控制機制

此外，還可以通過設置SSID感知模式，為不同終端配置不同SSID（可根據終端MAC按算法生成），來進行安全接入控制。每個終端需要正確算出其SSID，只有白名單中的MAC正確算出SSID并知曉對應密碼方能接入，從而確保每個SSID只允許對應MAC接入（見圖5）。

圖5 SSID與MAC地址綁定機制

對于非法網關，除了需要有效識別其相關信息，還需要通過信號壓制技術將此類安全事件的危害降到最低。對于異常數據流，要通過服務鏈中的IDS/IPS的網絡功能進行識別和防護。

3.3 多業務共享資源隔離及切片技術

物聯接入網承載了諸如視頻監控、智能機器人巡檢等多種業務接入，每個業務的接入資源、接入邏輯、業務安全性要求等各不相同。在共享通信資源的業務接入框架基礎上，系統對各個業務屏蔽關鍵的系統資源和邏輯資源，限制各個業務之間的資源可見性，設置不同的訪問控制權限，保證不同業務的安全性。因此，我們需要在保證提高共享資源利用率的同時，利用終端切片技術，隔離不同終端在網絡上的資源，通過訪問權限的控制，更好地保證終端業務的安全性。利用虛擬化技術實現邏輯上的隔離，基于終端、虛擬AP、VLAN的不同對應關系形成網絡切片，使切片間相互隔離，發生異常則阻斷對應切片（見圖6）。

圖6 切片式服務及隔離方式

4 系統應用

以某獄所安防網部署環境為例，對其分布視頻攝像頭、攝像機、錄像機、智能門禁、智能報警、人臉識別系統、電腦主機、筆記本、服務器、路由設備等多個品牌、類型、型號的智能物聯設備的具體組網及系統部署方案如圖7所示。

圖7 典型安防物聯網的系統部署

該獄所網絡環境包含視頻監控系統、監區門禁系統、AB門訪客管理系統、電動門系統、詢問系統、會見管理系統、電化教育系統、機房系統等，總計智能物聯終端三千余個，涉及數十個廠家，上百個型號產品?；谖覀兊南到y技術，獄所云監控中心實現智能物聯終端的統一管理、安全接入、集中管控，資產識別率90%以上，可信接入率100%，極大地降低了不良資產、非法資產、侵入行為等帶來的安全風險，如圖8所示。系統北向支持WAN口、4/5G等；南向支持寬帶窄帶，支持ZigBee、NB-IoT、LoRa、Wi-Fi6等實現南向傳感器設備無線接入和組網通信；支持識別物理終端、虛擬設備、操作系統類型、業務、應用、IP地址、端口。

圖8 終端發現及安全接入系統

網絡安全與行為管控能力的統一分發，支持安全審計、資產管理、漏洞掃描、入侵防御、防病毒、威脅情報分析、行為管理和防火墻等能力的定制與動態加載，如圖9所示。

圖9 業務能力統一分發

5 總結

我們結合軟件定義網絡、網絡空間資產探測、安全準入控制、風險評估等技術，研究物聯終端安全可信接入關鍵技術，有效應對針對新型業務場景的復雜多變的攻擊，有效防范新型業務應用與終端接入帶來的安全風險，提升物聯網安全防護體系的縱深防御能力，有利于提升整體的安全運維水平。