论文发表

计算机网络技术论文发表-工业物联网安全体系架构研究

摘要：随着物联网技术的发展，物联网在工业领域的应用也日益广泛，但物联网的安全隐患为其在工业领域的应用提出了新的挑战。本篇计算机网络技术论文发表通过建立工业物联网的多层体系架构，详细介绍了整体架构的设计原则和感知层、网络层、平台层、应用层四部分的设计方案，同时对工业物联网安全防护的相关技术进行了初步探讨。

关键词：工业物联网;感知层;网络层;平台层;应用层

中图分类号：TP316 文献标识码：A

在物联网和工业互联网深度融合的趋势下，物联网的安全备受关注，随着物联网技术应用的越来越广泛，物联网安全是首要考虑的问题。物联网的多源异构性、开放性、泛在性使其面临巨大的安全威胁。与传统安全领域威胁不同的是，物联网是与实际物体产生关联的，如果物联网安全受到威胁，损失的可能不仅仅是信息资料，更有可能影响到人身安全或者生产设备运行安全。种种风险提示我们：万物互联，安全先行。在此，我们提出一种基于四层架构的工业物联网安全体系架构。

1 设计原则

1.1由于物联网终端和网端节点可能处于无人值守的环境中，物联网终端的本地安全相较于现有通信网络终端的安全问题更加巨大，因此需要高度重视物联网终端和网端节点的安全性。

1.2物联网具有节点数量巨大、终端节点组群化、低移动性等特点，而且物联网终端运行环境复杂，需要构建更加符合物联网特性的、稳定可靠的体系架构。

1.3由于物联网尽可能地复用了现有网络，因此物联网安全保护强度不能低于现有网络安全强度，应避免在现有网络中制造新的安全薄弱环节 。

2 安全体系架构整体设计

物联网的安全架构实现如图1所示。本文对物联网安全体系结构中的感知层安全、网络层安全、平台层安全、应用层安全分别进行阐述。

2.1 感知层安全

感知层安全的设计中需要考虑物联网设备的计算能力、通信能力、存储能力等限制，不能直接在物理设备上应用复杂的安全技术,可采取的防护技术和措施如下：

2.1.1物理安全：采取防水、防尘、防震、防电磁干扰、防盗窃、防破坏等措施。

2.1.2接入安全：通过易集成的安全应用插件进行终端异常分析和加密通信，实现终端入侵防护，从而防止终端成为跳板，攻击关键网络节点。

2.1.3硬件安全：确保芯片内系统程序、终端参数、安全数据和用户数据不被篡改或非法获取。将身份识别、认证过程“固化”到硬件中，以硬件来生成、存储和管理密钥，并把加密算法、密钥及其他敏感数据存放于安全存储器中，增强物联网终端的硬件安全防护。

2.1.4操作系统安全：使用轻量级安全操作系统，实现操作系统对系统资源调用的监控、保护、提醒，确保系统行为总是在受控的状态下，防止出现用户在不知情情况下执行某种程序。

2.1.5应用安全：对要安装在其上的应用软件进行来源识别，对已经安装在其上的应用软件进行敏感行为的控制，确保预置在终端中的应用软件无未经授权的修改、删除、窃取用户数据等行为。

2.1.6 DDoS攻击防护：主要分为两种，一种是对设备进行攻击，如频繁向RFID发送恶意请求信息，使标签无法响应合法请求;另一种是控制很多工控设备对其他系统进行攻击。针对第一种攻击，物联网远端设备需要嵌入式系统抵抗拒绝服务攻击。针对第二种攻击，一方面加强对节点的保护，防止节点被劫持;另一方面也需要提供有效地识别被劫持节点的方法。

2.1.7数据安全：提供包括移动智能终端的密码保护、文件类用户数据的授权访问、用户数据的加密存储、用户数据的远程保护等。

2.1.8统一安全管理：提供可信的身份认证、安全的固件更新、因特网访问权限管控等功能。

2.2 网络层安全

传统网络层安全机制大部分依然适用于工业物联网，此外还要基于物联网网络层特征，采取特殊防护机制。主要防护技术和措施如下:

2.2.1通用网络防护：包括网络结构安全，合理划分网络安全域，加强安全边界隔离，避免安全问题的扩散。部署网络边界部署防火墙，制定访问规则，访问控制策略，实现系统内外网边界的访问控制。

2.2.2网络入侵防护：部署入侵监测设备，对网络攻击进行监控和报警，具备端口扫描、暴力破解、缓冲区溢出攻击、IP碎片攻击、网络蠕虫、病毒、木马、IP重用防护、DDoS等攻击的监控检测能力。

2.2.3网络安全审计：部署统一日志管理系统或安全管理平台，对网络设备运行状况、网络流量、用户行为等进行日志审计。

2.2.4接入防护：防火墙/网关要求能处理百万并发连接，支持海量接入的加密能力;实现白名单过滤技术，包括自定义协议能力;提供对终端资源消耗攻击和基于多行业应用流量攻击特征的自动防护;网络安全产品还需要提供基于物联网特征的病毒和高级威胁的防护功能。

2.2.5加密传输：工业物联网需要充分利用无线移动通信的物理层传输特性，通过认证、加密和安全传输等技术的应用，在保证用户通信传输质量的同时，防止未知位置的窃听和增加中间人攻击的难度。终端和网络基于无线标准进行双向认证，确保经过验证的合法的终端接入网络，在终端和网络之间建立安全通道，对终端数据提供加密和完整性保护，防止信息泄露、通信内容被篡改和窃听。

2.2.6安全路由协议：工业物联网的路由要跨越多类网络，有基于IP地址的互联网路由协议、基于标识的移动通信网和传感网的路由算法，因此我们要解决两个问题，一是多网融合的路由问题，二是传感网的路由问题。前者可以考虑将身份标识映射成工控网 IP 地址，实现基于地址的统一路由体系;后者由于传感网的计算资源的局限性和易受到攻击的特点，要设计抗攻击的安全路由算法。

2.3 平台层安全

平台层安全主要保障信息和数据在计算和存储的安全，云平台必须采取适当的安全策略来保证工业物联网中数据的完整性、保密性和不可抵赖性，此外还要保障接入安全及 API 安全。

2.3.1平台基础环境安全

保证平台数据计算与运行环境的安全，特别是基于虚拟化技术的云计算安全，重点应考虑虚拟化管理程序安全和虚拟服务器安全，虚拟机管理程序(VMM)安全。VMM 安全是保证客户虚拟机在多用户环境下相互隔离的重要手段，必须严格限制任何未经授权的用户访问虚拟化软件层，限制对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制。

2.3.2数据安全

数据安全隔离可以根据应用的需求，采用物理隔离、虚拟化等方案实现不同用户之间数据和配置信息的安全隔离，以保护每个用户数据的安全与隐私。

要实现数据在汇聚与存储、融合与处理、挖掘与分析过程的安全性，常采用的安全机制包括数据隔离与交换、数据库安全防护、数据备份、数据检错纠错、文件系统安全性、访问控制和身份鉴别、统一安全管理等。

2.3.3接入安全

对所有接入设备提供设备与平台采用双向验证，进行证书授权认证及权限管理，确保接入的终端设备与传输的信息安全可靠。消息传输使用加密传输，确保链路上传输消息的安全可靠性和数据完整性，保障用户信息安全。接入设备使用Wi-Fi连接的情况下，采用安全协议，如WAP2，禁用不安全协议，如WPA和TKIP。

2.3.4 API安全

加强API调用的访问控制，防止未授权访问，调用前进行用户鉴别和鉴权，验证用户凭据，对请求做身份认证，并且防止篡改，重放攻击，对敏感的数据做加密，防范数据被篡改。做好API过载保护，实现不同服务等级用户间业务的公平性和系统整体处理能力的最优化，并对API的调用进行日志记录。

2.4 应用层安全

应用层安全主要保障各类应用在用户使用过程安全，包括对用户的身份鉴别、访问控制、应用漏洞管理、外部攻击防护、APP安全、隐私保护等。

2.4.1身份和访问控制

应用访问时进行强制认证和业务权限控制，应尽可能采用双因素身份验证机制，加强权限管理，端口控制，敏感信息访问等。

2.4.2应用安全漏洞管理

防范应用本身漏洞而导致的数据被窃取或系统攻击，如SQL注入、跨站脚本编制、上传漏洞、命令注入、应用中间件漏洞、业务逻辑漏洞等，应用层安全漏洞检测主要通过应用漏洞扫描系统来实现，另外还包括渗透测试、代码审计等技术手段。应用层的安全漏洞修补主要通过中间件安全配置和应用程序安全代码整改实现。

2.4.3外部攻击防护

通过部署工业防火墙、IPS等设备，监控并过滤恶意的外部访问，能够对SQL注入、工控组件漏洞利用等已知攻击手段以及应用层DDoS攻击起到防护作用;并对恶意访问进行统计记录，作为安全工作决策及处置的依据。

2.4.4 APP安全

APP代码按照安全要求严格开发，做好代码加密、加壳防止反编译，APP与应用平台间数据要求加密传输，在上线前做好评估，上线后定期评测、加固漏洞。

2.4.5隐私保护

应用层在工控系统中会收集用户大量隐私数据，例如身份信息、个人健康数据等，因此必须针对工控物联网考虑其隐私保护问题，主要是面向用户提供一些安全手段来保证用户数据在传输、交换和使用过程中的安全性，防止用户数据被非法访问和泄露，常采用的安全技术措施包括存储加密、交换加密、身份认证与访问控制、接口安全、自我销毁技术等。

3 结束语

计算机网络技术论文发表提出：工业物联网作为一种新兴的技术与概念，在制造业有着极其广阔的应用和不可比拟的优势。本文针对工业物联网安全问题，以提升物联网安全总体防护水平为实施目标，给出一种工业物联网安全体系架构,为它的可持续发展提供全面的安全解决方案，在工业物联网今后的发展和应用过程中，需要不断借鉴、吸收国内外先进的技术理念，使其安全防护措施能够得到不断完善。

参考文献

[1]臧劲松.物联网安全性能分析[J].计算机安全，2010(6):51-52.

[2]李士宁.工业物联网技术及应用概述[J].电信网技术，2014 (3):26-31.

[3]宋慧欣.破解“工业控制系统信息安全”迷局[J].自动化博览,2012(7):30-35.

[4]范红,邵华,李程远等.物联网安全技术体系研究[J].电信网技术,2011(9):5-8.

[5]刘宴兵,胡文平.物联网安全模型及其关键技术[J].数字通讯,2013,37(4):28-29.

更多职称论文发表立刻咨询锦锐论文网：

qq：2604244082张老师

电话：010-52898037

手机：18810183632