劉倩倩

（山西工程職業(yè)學(xué)院，山西 太原 030000）

0 引言

近年來(lái)，信息世界的交互已不再滿足于計(jì)算機(jī)與計(jì)算機(jī)之間，逐漸向各種各樣的物體或設(shè)備上蔓延，如智能穿戴、智能電表、共享單車等。物體與物體之間通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)相互連接、相互通信，這就是物聯(lián)網(wǎng)的概念[1]。物聯(lián)網(wǎng)技術(shù)是一個(gè)統(tǒng)稱，它包含了感知、傳輸、支撐與應(yīng)用等多方面多結(jié)構(gòu)的先進(jìn)技術(shù)。由于技術(shù)涵蓋廣泛，應(yīng)用靈活，物聯(lián)網(wǎng)的涉足領(lǐng)域越來(lái)越大，智能家居、交通運(yùn)輸、物流管理、公共設(shè)施、醫(yī)療設(shè)備、農(nóng)業(yè)種植等行業(yè)都有了物聯(lián)網(wǎng)的身影[2]。全球企業(yè)緊跟時(shí)代步伐，積極研發(fā)物聯(lián)網(wǎng)設(shè)備，或?qū)鹘y(tǒng)設(shè)備進(jìn)行數(shù)字化改造，添加物聯(lián)網(wǎng)功能，使設(shè)備可以通過(guò)網(wǎng)絡(luò)進(jìn)行監(jiān)控、升級(jí)、數(shù)據(jù)采集等操作，大大提高了設(shè)備的生產(chǎn)效率。

在物聯(lián)網(wǎng)設(shè)備中，無(wú)論是從現(xiàn)場(chǎng)采集的數(shù)據(jù)，還是服務(wù)器下發(fā)的指令，這些信息都通過(guò)網(wǎng)絡(luò)進(jìn)行傳遞，所以整個(gè)過(guò)程中，必須采取一定措施與方案將數(shù)據(jù)進(jìn)行防護(hù)，以免被外界竊取或攻擊。而目前部分廠商在配置或升級(jí)數(shù)字化、信息化的物聯(lián)網(wǎng)設(shè)備時(shí)，礙于技術(shù)限制或成本問(wèn)題，其數(shù)據(jù)安全防護(hù)配置并未同步，對(duì)設(shè)備安全造成很大漏洞。同時(shí)由于物聯(lián)網(wǎng)終端與應(yīng)用的不斷融合，以及場(chǎng)景適配的多樣性，物聯(lián)網(wǎng)的安全問(wèn)題更加突出。

在傳統(tǒng)的互聯(lián)網(wǎng)中，一般使用安全協(xié)議來(lái)保障各個(gè)層級(jí)中數(shù)據(jù)的安全，如SSL/TLS、Telnet、SSH等，然而物聯(lián)網(wǎng)體系架構(gòu)、應(yīng)用協(xié)議、產(chǎn)品特征等都與傳統(tǒng)互聯(lián)網(wǎng)不同，大多數(shù)物聯(lián)網(wǎng)設(shè)備資源受限，在存儲(chǔ)空間和計(jì)算能力上嚴(yán)重不足。所以絕大多數(shù)情況下，這些傳統(tǒng)的互聯(lián)網(wǎng)安全協(xié)議都無(wú)法部署于物聯(lián)網(wǎng)設(shè)備中。因此，對(duì)于物聯(lián)網(wǎng)設(shè)備，需要一些更具適配性的安全防護(hù)方案，來(lái)保證數(shù)據(jù)的安全。

本文通過(guò)分析目前物聯(lián)網(wǎng)中比較先進(jìn)的一種技術(shù)——窄帶物聯(lián)網(wǎng)NB-IoT，來(lái)闡述針對(duì)NB-IoT技術(shù)與其應(yīng)用場(chǎng)景中的數(shù)據(jù)傳輸安全協(xié)議DTLS的適用性。

1 窄帶物聯(lián)網(wǎng)的特點(diǎn)與安全威脅

1.1 窄帶物聯(lián)網(wǎng)NB-IoT

隨著物聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，其通信方式已不滿足于近距離傳輸，如藍(lán)牙、Wi-Fi、ZigBee等，這些傳輸方式可以很好地應(yīng)用在一個(gè)小范圍空間內(nèi)，如家庭內(nèi)部、寫(xiě)字樓 等。然而隨著應(yīng)用場(chǎng)景的擴(kuò)大，物聯(lián)網(wǎng)設(shè)備的通信已逐漸不滿足于局域傳輸，同時(shí) 增加了更多的需 求，如超低功耗、海量連接等。在一些特定的應(yīng)用場(chǎng)景下，例如在許多偏遠(yuǎn)地區(qū)以及山林等人煙稀少的場(chǎng)所安裝物聯(lián)網(wǎng)設(shè)備并對(duì)其遠(yuǎn)程操控，這時(shí)就需要一種能同時(shí)實(shí)現(xiàn)廣域通信和海量連接的物聯(lián)網(wǎng)產(chǎn)品來(lái)滿足應(yīng)用需求，所以基于蜂窩網(wǎng)絡(luò)的物聯(lián)網(wǎng)技術(shù)逐漸受到市場(chǎng)的追捧，如 GPRS、CDMA、LTE等，甚至為了滿足低功耗、低速率的應(yīng)用需求，推出了專門針對(duì)物聯(lián)網(wǎng)的NB-IoT與LoRa等新型蜂窩技術(shù)，這些新型蜂窩技術(shù)在功耗、帶寬、數(shù)據(jù)傳輸方式等方面對(duì)于物聯(lián)網(wǎng)應(yīng)用都具有絕對(duì)的優(yōu)勢(shì)。

特別是窄帶物聯(lián)網(wǎng)NB-IoT，在目前物聯(lián)網(wǎng)應(yīng)用方面表現(xiàn)非常出色，它由NB-CIoT與NB-LTE兩項(xiàng)技術(shù)結(jié)合構(gòu)成，所以NB-IoT技術(shù)在部署方式上非常靈活，既可以在帶內(nèi)或在保護(hù)帶部署，同時(shí)也支持獨(dú)立部署[3]。之所以被稱為“窄帶”物聯(lián)網(wǎng)的原因是由于NB-IoT的帶寬只占了180 kHz。相較于傳統(tǒng)的廣域蜂窩網(wǎng)技術(shù)和Bluetooth、Wi-Fi、ZigBee等短距離傳輸技術(shù)，NB-IoT具備很多優(yōu)勢(shì)。首先是海量連接，NB-IoT技術(shù)中，每個(gè)扇區(qū)可接受高達(dá)10萬(wàn)個(gè)設(shè)備同時(shí)連接；其次是廣域覆蓋，只要有蜂窩網(wǎng)絡(luò)的地點(diǎn)都可部署NB-IoT，而且覆蓋面積比傳統(tǒng)蜂窩網(wǎng)擴(kuò)大了上百倍；三是超低功耗，模塊的正常使用時(shí)間可長(zhǎng)達(dá)十年或以上；不僅如此，NB-IoT模塊還具有成本低廉的優(yōu)勢(shì)，單個(gè)模塊成本小于5美元。

NB-IoT技術(shù)非常適用于數(shù)據(jù)需求小的網(wǎng)絡(luò)指令業(yè)務(wù)，如共享單車、智能電表、煙霧報(bào)警器、智能門鎖等，由于其優(yōu)點(diǎn)眾多，越來(lái)越多的企業(yè)開(kāi)始采用NB-IoT技術(shù)提升競(jìng)爭(zhēng)力，而運(yùn)營(yíng)商層面也在大力支持NB-IoT技術(shù)的發(fā)展。專家預(yù)測(cè)，NB-IoT的物聯(lián)網(wǎng)連接量未來(lái)會(huì)達(dá)到總連接量的四分之一，可以肯定的是，NB-IoT技術(shù)已成為物聯(lián)網(wǎng)生態(tài)越來(lái)越重要的一部分。

1.2 NB-IoT應(yīng)用場(chǎng)景中存在的安全需求

NB-IoT技術(shù)優(yōu)點(diǎn)眾多，應(yīng)用場(chǎng)景廣泛。NB-IoT物聯(lián)網(wǎng)技術(shù)在大力發(fā)展的同時(shí)，信息安全成為NB-IoT技術(shù)需要考慮的重要問(wèn)題。物聯(lián)網(wǎng)的層級(jí)架構(gòu)共三層：感知層、傳輸層與應(yīng)用層，每一層都存在受到安全威脅的可能性。感知層與應(yīng)用層安全防護(hù)技術(shù)目前已經(jīng)成熟，一般可用終端邊界防護(hù)、蜂窩通信、訪問(wèn)控制、數(shù)據(jù)校驗(yàn)等技術(shù)進(jìn)行安全防護(hù)，而互聯(lián)網(wǎng)的傳輸層安全主要是靠安全傳輸協(xié)議TLS/SSL來(lái)防護(hù)，TLS/SSL協(xié)議建立在傳輸層TCP 與應(yīng)用層之間，通 過(guò)數(shù)字證書(shū)認(rèn)證與非對(duì) 稱加密算法來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?。但由于NB-IoT模塊的功耗和成本都有嚴(yán)格限制，在很多場(chǎng)景下，傳輸層協(xié)議并未選擇TCP，而是選擇占用系統(tǒng)資源較少、傳輸方式更簡(jiǎn)單的UDP協(xié)議，然而安全傳輸協(xié)議TLS/SSL只能建立在TCP之上，無(wú)法應(yīng)用于UDP之上，即無(wú)法使用傳統(tǒng)的安全傳輸層協(xié)議TLS/SSL 來(lái)為小容量、低功耗模塊NB-IoT提供數(shù)據(jù)傳輸?shù)谋Ｃ苄?。為了確保NBIoT模塊數(shù)據(jù)傳輸?shù)陌踩裕枰环N更具適配性的安全傳輸方案。

2 基于DTLS在窄帶物聯(lián)網(wǎng)中的安全機(jī)制

2.1 DTLS協(xié)議在窄帶物聯(lián)網(wǎng)中應(yīng)用的可行性

DTLS的英文全稱為Datagram Transpor t Layer Security，中文叫做數(shù)據(jù)包傳輸層安全協(xié)議。

DTLS在原本的TLS協(xié)議代碼架構(gòu)上做了升級(jí)和適配，所以它的安全防護(hù)機(jī)制不變，而且并不低于TLS安全防護(hù)等級(jí)，對(duì)于信息的竊聽(tīng)與非法篡改，以及虛假身份驗(yàn)證等安全問(wèn)題，都可以有效解決。DTLS部署于UDP之上，專門為基于UDP的數(shù)據(jù)傳輸提供安全保障。當(dāng)窄帶物聯(lián)網(wǎng)NB-IoT模塊應(yīng)用在對(duì)功耗、存儲(chǔ)空間、計(jì)算資源都有一定限制的場(chǎng)景中時(shí)，為了提高模塊的通信效率，在傳輸層往往選擇UDP協(xié)議。所以針對(duì)此類情況，選擇DTLS協(xié)議作為傳輸層的安全防護(hù)解決方案，可有 效保證NB-IoT模塊傳輸層數(shù)據(jù)的安全性與私密性。

2.2 DTLS的作用流程

DTLS是TLS的子集，目前OpenSSL庫(kù)中已經(jīng)包含DTLS1.0和DTLS1.2的版本。DTLS協(xié)議中包含多種加密算法，與TLS一樣，秘鑰協(xié)商在握手流程中完成。根據(jù)加密方式的不同，DTLS中的加密算法也可分為非對(duì)稱加密和對(duì)稱加密兩大類。兩類加密方式在算法強(qiáng)度、通信效率等方面各有所長(zhǎng)，針對(duì)不同的應(yīng)用場(chǎng)景，可選擇不同的加密方式。

非對(duì)稱加密，即基于橢圓加密算法的ECC加密方式。在握手連接階段使用ECDH秘鑰協(xié)商算法與ECDSA數(shù)字簽名算法產(chǎn)生公鑰、私鑰與數(shù)字簽名，而且需要通信雙方互相驗(yàn)證數(shù)字證書(shū)；在數(shù)據(jù)傳輸階段加密與解密使用不同的秘鑰，這就是非對(duì)稱加密的含義。這種非對(duì)稱加密方式安全可靠，加密等級(jí)高，但是算法相對(duì)復(fù)雜，加密解密速度慢，同時(shí)對(duì)模塊系統(tǒng)資源要求較高，但是在針對(duì)很多具體的NB-IoT應(yīng)用中，尤其是一些微型設(shè)備上，其計(jì)算資源和內(nèi)存空間都非常小，使用基于ECC的非對(duì)稱加密方式會(huì)給設(shè)備造成不小的壓力。因此，在大多數(shù)情況下，NB-IoT設(shè)備中采用更為輕量級(jí)的加密方式——基于PSK的對(duì)稱加密算法。

PSK全稱為Pre Shared Key，即預(yù)共享秘鑰。支持使用PSK算法的通信雙方會(huì)預(yù)先在本地存取對(duì)方的PSK秘鑰（psk_id）與秘鑰長(zhǎng)度（psk_id_ length）。建立握手連接時(shí)，雙方分別在server_key_ exchange與client_key_exchange報(bào)文段中攜帶各自的psk_id及psk_id_length發(fā)送給對(duì)方，只有通信雙方接收的PSK秘鑰與本地預(yù)先存儲(chǔ)的對(duì)應(yīng)IP地址的秘鑰完全一致才能通過(guò)身份驗(yàn)證進(jìn)入下一個(gè)握手流程。通過(guò)身份驗(yàn)證后，雙方使用建立連接時(shí)各自端產(chǎn)生的32字節(jié)隨機(jī)數(shù)生成對(duì)稱的會(huì)話秘鑰，用于握手成功后應(yīng)用數(shù)據(jù)的加密與解密。因此可以保證，雖然本地預(yù)先存儲(chǔ)的PSK秘鑰未變，但每次建立通信時(shí)的臨時(shí)會(huì)話秘鑰都會(huì)發(fā)生變化，從而使傳輸層數(shù)據(jù)的安全性和抗攻擊性得到了保證。

從PSK的加密流程中可以看出，對(duì)比基于ECC的加密方式，PSK在握手過(guò)程中報(bào)文更為簡(jiǎn)潔，減少了復(fù)雜算法的加密與解密，在傳輸應(yīng)用數(shù)據(jù)時(shí)使用對(duì)稱秘鑰，為數(shù)據(jù)傳輸提供安全可靠性的同時(shí)提高了通信效率，同時(shí)降低了模塊功耗，滿足了NB-IoT模塊應(yīng)用場(chǎng)景中低功耗、計(jì)算資源有限的需求。

2.3 性能優(yōu)化方案

基于PSK的加密方式不僅保證了傳輸層通信過(guò)程中應(yīng)用數(shù)據(jù)的安全性，同時(shí)又滿足NB-IoT模塊資源受限的特點(diǎn)。在一些更為極限的條件下，為了延長(zhǎng)模塊的使用壽命，提高通信效率，若客戶端與服務(wù)器需要頻繁建立連接進(jìn)行數(shù)據(jù)傳輸，在通信雙方第一次握手成功后，通信雙方可將對(duì)方的IP地址、端口號(hào)、加密方式、PSK秘鑰等標(biāo)識(shí)，作為一條新的標(biāo)識(shí)進(jìn)行儲(chǔ)存，當(dāng)再次建立握手連接時(shí)，在報(bào)文中加入新的標(biāo)識(shí)，對(duì)方收到報(bào)文后便可通過(guò)身份驗(yàn)證，直接進(jìn)行應(yīng)用數(shù)據(jù)的傳輸，此方案可大大減小頻繁通信時(shí)雙方發(fā)送與接收的報(bào)文量，進(jìn)一步節(jié)約模塊功耗。

3 結(jié)束語(yǔ)

本文通過(guò)介紹窄帶物聯(lián)網(wǎng)NB-IoT技術(shù)的特點(diǎn)，分析了NB-IoT模塊的應(yīng)用場(chǎng)景和安全需求，提出了基于DTLS安全傳輸協(xié)議在NB-IoT模塊中應(yīng)用的可行性，著重闡述了DTLS協(xié)議中的PSK加密方式對(duì)于NB-IoT模塊應(yīng)用場(chǎng)景的適用性?；赑SK的加密方式不僅為模塊的數(shù)據(jù)傳輸提供機(jī)密性與可靠性，同時(shí)在降低功耗、節(jié)省空間與計(jì)算資源方面也更加適用于窄帶物聯(lián)網(wǎng)模塊；最后提出了一種基于PSK安全加密的改進(jìn)方式，可在PSK算法優(yōu)點(diǎn)的基礎(chǔ)上將功率消耗降到更低，進(jìn)一步提高通信效率。該方案可應(yīng)用于窄帶物聯(lián)網(wǎng)對(duì)于功耗、資源更為苛刻的場(chǎng)景中，鞏固PSK算法的輕量級(jí)實(shí)現(xiàn)。