关注我们,一起遇见万物互联。


随着移动通信网络、无线通信网络、人工智能等新技术的飞速发展,万物智能互联时代加速到来。物联网作为智能互联的基础,是以感知技术和网络通信技术为主要手段,实现人、机、物的泛在连接,提供信息感知、信息传输、信息处理等服务的基础设施 。作为新一代信息技术的高度集成和综合运用,物联网以其“无缝连接、全面感知、智能处理、虚实交织”的突出特点,已成为智能互联时代新型基础设施建设的重要组成部分。


近年来5G 移动通信网的部署促进了工业互联网、智慧城市等垂直行业中物联网场景的加速发展 ,物联网安全事件的影响范围逐渐扩大,物联网领域的安全将直接影响到垂直行业安全、基础设施安全乃至国家与社会安全。因此,在智能互联时代下构建物联网安全保障体系、全面提升物联网安全发展水平至关重要。


01

1 智能物联网分层架构模型


万物互联时代下,物联网各组成部分紧密相关,结合多种连接方式,智能物联网已形成分层的体系架构 ,包括感知层、网络层、平台层、应用层(见下图)。





1.1 感知层


感知层是物联网感知和采集信息的关键部分,包括终端和接入两个子层。终端子层由多类型终端设备组成,实现对人或物的信息采集和/ 或执行操作,并通过联网进行通信 。



根据终端联网通信方式的不同,可将物联网终端分为有卡终端与无卡终端


有卡终端即蜂窝物联网终端,接入方式是通过插入基础电信企业的物联网卡,经窄带物联网(NB-IoT )、大规模机器通信(mMTC)等授权频段的蜂窝移动网络进行通信,如智能电表、智能手表等;


无卡终端的接入方式是通过内嵌无线通信模块,经Wi-Fi、蓝牙、ZigBee 等自组织网络进行通信,或直接通过有线方式接入通信,如智能家居、智能工厂摄像头等 。同时,终端也可以先接入物联网网关,再转接至网络层,完成感知层与网络层的连接及不同类型通信协议的转换。



1.2 网络层


网络层是感知信息传递的核心支撑部分,分为接入网和核心网,网络形态包括固网、移动通信网等。网络层在提供物联网设备连接能力的同时,也要支持物联网信息的双向传输和控制、移动性管理、互联互通等能力 。



根据网络服务对象的不同,物联网网络可分为公共网络和专用网络。公共网络适用于智慧城市、新媒体、智能交通等场景,具有服务范围广、灵活性高、成本低、建设周期短等优势;专用网络适用于高精制造、军队、电力等专属需求大、安全要求高、业务连续性要求高等场景。



1.3 平台层


平台层是为提升物联网终端管理效率、简化上层物联网应用开发复杂度而提供的共性管理能力与基础服务支撑。按照功能可将物联网平台分为设备管理平台(DMP)、连接管理平台(CMP)、应用使能平台(AEP )和业务分析平台(BAP)。


其中,DMP 提供物联网设备升级、配置、重启、关闭、数据查询、报警等设备管理功能;CMP 提供面向终端的可连接性管理、优化、维护等功能;AEP 为开发者提供快速开发部署物联网应用服务的工具、接口、中间件等能力;BAP 通过大数据、人工智能、机器学习等方法实现对物联网数据的深度解析,提供物联网业务发展预测及设备预防性维护等功能。



 1. 4  应用层


应用层是物联网分层架构模型中的最顶层,给公众、行业用户等对象提供不同的应用服务。


其中,面向公众服务的应用可满足用户在日常生活中的物联网设备操作需求,如智能摄像头应用、智能音箱应用、可穿戴设备应用等;


面向行业用户的应用是根据行业特征与场景需要,提供支撑行业业务正常运行开展的软件或系统,如智能交通态势感知应用、智慧工业设备管理应用等。


02

2 智能物联网分层安全架构


物联网各层因组成元素和使用边界不同,面临着不同安全风险与挑战,而万物智能互联使得物联网每个组成部分的安全性息息相关。基于智能物联网分层架构模型,结合各层安全需求,提出智能物联网分层安全架构(见下图),为建设安全可靠的智能物联网提供总体思路。



智能物联网分层安全架构对应物联网分层架构模型,包括基础能力、感知安全、网络安全、平台安全、应用安全、安全防护六大安全能力。



2. 1 基础能力


物联网安全能力建设源于基础安全技术,通过AES、RSA、SHA 等算法和SM2、SM9 等国密算法实现对物联网敏感数据的加解密,并在密钥生成、分发、验证、更新、存储、销毁等阶段实现密钥的全生命周期管理。



2. 2 感知安全


物联网感知层终端数量庞大,放置位置广泛且分散,由于使用场景不同,其功能、性能、安全能力也各不相同。在缺乏实时有效的监测和管理时,物联网终端极易被攻击利用,因此面临着物理破坏、恶意攻击、非法访问与数据篡改等风险 。

同时,物联网网关作为接入子层的“纽带”,也因协议安全性不足、汇聚数据多等特点,面临着易被攻击、数据泄露等风险。



针对感知层安全风险,将物联网分层安全架构中的感知安全分为终端安全和网关安全


不同应用场景下物联网感知终端的安全能力需求有所不同,智能水表、电表等终端需具备硬件安全保护、固件安全升级、加密通信、敏感数据存储等基本安全能力,智能门锁、智能车等终端还需通过安全启动能力部署、可信环境构建等机制实现更高层次的安全能力。


网关作为入网接口兼容多种协议,应具备身份鉴别、分级访问控制、操作日志审计、安全通信协议、数据防篡改等自身安全防护能力 。



2. 3 网络安全


物联网网络层面临的安全风险与固网、移动通信网面临的安全风险基本一致,但因物联网承载业务多样、数据种类丰富、部分场景数据敏感度高等特点,若网络设备存在资源隔离不彻底、传输安全能力不足、网络稳定性不够等问题,物联网网络层将面临异常干扰、跳板攻击、数据泄露、非法访问等安全风险。


物联网网络安全包括接入网安全与核心网安全。

接入网通过WPA2、双向认证与鉴权等机制实现终端经无线局域网、移动通信网络的可信接入 ;基于IPSec、SSL / TLS 等安全协议与加密算法实现数据传输安全;核心网通过访问控制列表、IP 信息包过滤等方式具备访问控制能力,通过IPv6 解决现有网络空间地址短缺及异构网络跨网认证问题;采用虚拟局域网隔离技术(VLAN)、虚拟专用网络(VPN)等隔离技术保障网络安全隔离;网络运行过程中持续监控网络稳定性与安全性。




 2. 4 平台安全


物联网终端采集上传的数据和上层业务系统的应用数据均汇聚至平台层数据库,平台层极易成为攻击焦点,因此面临着拒绝服务攻击、数据篡改、信息泄露等风险;同时,平台开放应用程序编程接口(API),在带来资源共享、开发便利、互联互通等优势的同时,也使平台面临接口未授权调用、越权访问、非法控制等风险。


优化的平台架构与漏洞少、风险低的平台操作系统是平台层安全的基础。

通过独立数据库系统、独立表空间等方式,可为物联网行业用户提供独立、安全的平台资源与数据隔离保障;在平台设置身份认证、访问控制等机制,确保用户登录和使用安全;通过应用加密算法及加密机制实现数据在传输、计算、存储等环节的安全性 ;平台通过支持快照、本地数据备份与恢复、异地数据备份等保护能力,防止黑客攻击造成的数据不可用与平台瘫痪。



2. 5 应用安全


应用层直接面向物联网用户与服务提供商,若应用层资源隔离不彻底、承载和运维应用分权分域机制不完善、用户管理与资产维护能力不完善,则将面临用户数据泄露、跳板攻击、错误运行等安全风险。



应用安全首先要确保应用程序在开发过程中的安全性,应遵循应用开发规范开展应用生产与测试;同时,在应用开发阶段融入基础安全功能,包括应用权限管理、访问控制、日志审计、异常告警等,保障应用在使用过程中的安全稳定;利用隐私信息保护、信息泄露追踪等技术,实现应用层的数据安全保护。


此外,可通过部署应用安全产品进行网络资产识别,并基于用户行为分析能力,结合安全威胁监测结果,及时做出应用风险告警和威胁处置。



2. 6 安全防护


部署安全防护措施作为保障物联网安全的重要手段,贯穿感知安全、网络安全、平台安全、应用安全的全环节。防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)等网络安全设备或产品可保障物联网网络边界安全;通过高级持续性威胁(APT)检测防御解决方案,可及时检测出未知漏洞及已有威胁,从而有效应对APT 攻击;当物联网面临恶意攻击时,可通过攻击源捕获、溯源反制、攻击者画像等技术实现对恶意攻击的溯源分析;在需要登录验证的环节增加防暴力破解机制,有效保障用户使用安全;在核心关键位置安装具备防木马、防病毒等功能的安全产品,实现对物联网的全生命周期安全监测。


03

3 结束语


面对日益复杂化、智能化的物联网,为保障其安全,应基于基础安全能力,从感知层、网络层、平台层、应用层出发部署相应安全手段,结合安全防护措施,全面建设涵盖接入安全、传输安全、存储安全、数据安全、个人信息安全等方面的智能物联网安全保障体系。


在上海天鹤物联网节能的业务模型中,这份总体的物联网安全保障思路的价值反映得尤为明显。面对各种安全风险,我们凭借此思路能够提供高效、全面的解决策略,联合物联网的每一个层面,为我们的节能解决方案铺就一条稳固且必经的道路。


赋予我们解决方案安全性的重要性不容小视,这也意味着我们需要在基础、感知、网络、平台和应用每一环节都要保证绝对安全,只有这样,我们才能在保障客户无忧使用的同时,提升在业务应用中的合规性、持续性和可靠性。即使面对可能的网络攻击或数据泄露威胁,我们的客户也会感到安心,因为我们的综合安全防护能力。


同时,这也将提升我们的业务持久性和稳定性,深化我们对物联网节能行业的理解,推动我们向更好的未来稳步前进。通过这一全面的物联网安全保障思路,我们的物联网节能业务将以更安全、更可靠且更具效率的方式驱动,满足并超越我们的客户在可持续性和安全上的期望。






END

天鹤物联

让连接更简单,让梦想能实现



上海天鹤聚焦于办公楼宇、工厂、医院、酒店、园区等用能安全和数字化节能改造控制。通过物联网和大数据统一采集和场景化的算法分析,对办公楼宇节能减碳,中央空调系统和空压机系统节能改造,配电房安全监测等进行精细化能耗监测和管理控制,旨在满足用户实时智慧监测、节能减碳、安全运维、数字化管理等方面的管理需求.

刘婧璇, 卢丹. 智能互联时代下物联网分层安全架构及标准化进展[ J]. 信息通信技术与政策, 2023,49(5):85-90.



本篇文章来源于微信公众号: 天鹤节能研究院