国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

智能物聯(lián)終端安全可信接入關(guān)鍵技術(shù)研究

2022-10-12 08:05曾彬王雷文吉剛蘇亮源
長沙大學(xué)學(xué)報 2022年5期
關(guān)鍵詞:物聯(lián)接入網(wǎng)終端

曾彬,王雷,文吉剛,蘇亮源

(1.湖南友道信息技術(shù)有限公司,湖南 長沙 410208;2.長沙學(xué)院計算機科學(xué)與工程學(xué)院,湖南 長沙 410022)

隨著萬物互聯(lián)技術(shù)廣泛應(yīng)用,大量非受控終端設(shè)備高比例接入,供給側(cè)和需求側(cè)高頻互動,導(dǎo)致海量終端與網(wǎng)絡(luò)通信產(chǎn)生高并發(fā)和隨機性[1]。這些特性導(dǎo)致物聯(lián)網(wǎng)遭受的攻擊面和攻擊機會增大[2-3]。為改變物聯(lián)網(wǎng)業(yè)務(wù)對網(wǎng)絡(luò)帶寬、覆蓋、質(zhì)量、接入方式等無序要求給通信網(wǎng)絡(luò)帶來的復(fù)雜安全運維困境,我們在突破安全、可信、經(jīng)濟的統(tǒng)一通信接入網(wǎng)關(guān)技術(shù)方面展開研究,支持物聯(lián)網(wǎng)終端輕量級加密和認證,通過哨兵、加密、WAPI認證、資產(chǎn)識別與異常監(jiān)測、防病毒、入侵防御、VPN、防火墻等多種手段,并且基于機器學(xué)習(xí)算法的終端設(shè)備畫像技術(shù),實現(xiàn)物聯(lián)網(wǎng)內(nèi)終端設(shè)備行為異常發(fā)現(xiàn)與識別,提高泛在物聯(lián)網(wǎng)邊界安全防護能力,構(gòu)建多層次泛在物聯(lián)網(wǎng)終端的安全防護體系。

1 研究背景

隨著泛在物聯(lián)網(wǎng)建設(shè)的推進,網(wǎng)絡(luò)邊界變得更加復(fù)雜模糊,網(wǎng)絡(luò)安全防護面臨諸多新問題。一方面,面向物聯(lián)終端的可信身份認證能力不足,導(dǎo)致物聯(lián)終端產(chǎn)生被仿冒、敏感數(shù)據(jù)泄露等風(fēng)險,海量、異構(gòu)物聯(lián)終端自身缺少可信身份標識及認證機制,難以實現(xiàn)可信網(wǎng)絡(luò)準入與數(shù)據(jù)加密傳輸。另一方面,開放與共享的網(wǎng)絡(luò)末梢延伸導(dǎo)致物聯(lián)邊界更加模糊[4-5],泛在物聯(lián)網(wǎng)建設(shè)突破了原有基于網(wǎng)絡(luò)隔離的安全防護體系,網(wǎng)絡(luò)安全暴露面不斷增大,邊界安全防護難度日益上升。泛在物聯(lián)網(wǎng)的具體挑戰(zhàn)包括:

(1)在業(yè)務(wù)接入側(cè),要求提供標準化的有線和無線通信接口,實現(xiàn)多業(yè)務(wù)安全隔離的切片式接入模式;

(2)在網(wǎng)絡(luò)側(cè),能根據(jù)業(yè)務(wù)需求靈活適配本地、遠程、有線、無線、公網(wǎng)、專網(wǎng)等網(wǎng)絡(luò)通信通道,實現(xiàn)單通道業(yè)務(wù)共享、多通道無縫切換及聚合能力;

(3)在通信終端設(shè)備設(shè)計方面,要引入軟件定義網(wǎng)絡(luò)(SDN)體系結(jié)構(gòu),實現(xiàn)通信、安全和邊緣計算能力靈活組合,支持業(yè)務(wù)接入能力平滑擴展和網(wǎng)絡(luò)通信通道資源自適應(yīng)分配;

(4)在終端接入管控方面,要能對終端與業(yè)務(wù)的運行狀態(tài)和風(fēng)險等級進行實時監(jiān)控與智能準入控制。

另外,接入網(wǎng)關(guān)需要在不同的場景下提供多種運營管理功能,如認證、授權(quán)和計費(AAA),基于流量工程策略的網(wǎng)絡(luò)管理,信道的配置和沖突的管理,移動漫游的管理,負載均衡,QoS保證等。Aruba、Ruckus、Motorola、Meru等廠商提供了其私有的傳統(tǒng)無線網(wǎng)絡(luò)解決方案,即通過高度耦合的軟硬件逐一實現(xiàn)各種運營管理功能[6]。這些方案是完全封閉的,且不同廠商的接口之間存在巨大差異,因此新的功能需求必須依賴于原方案廠商的軟件或硬件更新[7]。如果原廠商對此不支持,就很可能無法實現(xiàn)新功能,這就使接入網(wǎng)的技術(shù)演進受到了極大的限制。因此,企業(yè)級接入網(wǎng)越來越昂貴、臃腫,難以被管理和控制[8]。

傳統(tǒng)接入網(wǎng)關(guān)由于采用了軟硬件高度耦合的架構(gòu),靈活性差,無法對接入網(wǎng)絡(luò)的優(yōu)化策略提供很好的支持,迫切需要更開放靈活的、支持集中式管理和控制的架構(gòu),同時能開放可編程接口支持新應(yīng)用和功能的開發(fā)。

2 系統(tǒng)設(shè)計

我們提出一種基于虛擬化和軟件定義的接入架構(gòu),其不需要對現(xiàn)有終端進行修改,具有開放可編程、虛擬化隔離和集中管理的特點,支持細粒度的無線測試模式控制,能改善終端漫游時的無線狀態(tài)測試,優(yōu)化資源調(diào)度策略并實現(xiàn)多租戶機制。

針對多種測試業(yè)務(wù)安全可信接入通信終端的軟件分為收發(fā)模塊和控制模塊。收發(fā)模塊支持多種有線/無線接口類型與協(xié)議。控制模塊負責(zé)硬件資源的抽象,南向充分挖掘可編程能力,北向提供統(tǒng)一的集中控制接口;智能管控模塊完成終端資產(chǎn)發(fā)現(xiàn)與管控、安全運維策略的制定與下發(fā)、網(wǎng)絡(luò)安全隔離與安全事件分析等,接口配置模塊負責(zé)執(zhí)行智能信道/功率調(diào)整、動態(tài)哨兵模式切換等調(diào)度邏輯。軟件結(jié)構(gòu)如圖1所示。

圖1 軟件結(jié)構(gòu)

系統(tǒng)南向適配無線/有線/藍牙等信號采集、網(wǎng)絡(luò)流量采集,以及接入、通信、計算和存儲資源的管理與調(diào)度。應(yīng)用層支持軟件定義與虛擬化架構(gòu),獨立實現(xiàn)各模塊的管理功能,也可利用中間件進行快速交互,模塊化的設(shè)計也可支持功能的動態(tài)加載與銷毀。應(yīng)用層核心功能包括非法接入分析、判定與壓制,業(yè)務(wù)異常行為分析,全局網(wǎng)絡(luò)優(yōu)化,狀態(tài)實時監(jiān)控,資源靈活配置,策略智能生成。表示層支持界面友好的人機交互,數(shù)據(jù)的快速檢索與安全策略下發(fā)。接入系統(tǒng)的整體結(jié)構(gòu)如圖2所示。

圖2 整體結(jié)構(gòu)

接入系統(tǒng)在表示層支持瀏覽器多種業(yè)務(wù)的按鈕式操作,對多種監(jiān)測的結(jié)果能夠直接反映到頁面上,能夠直觀地呈現(xiàn)終端業(yè)務(wù)數(shù)據(jù)的動態(tài)變化。同時,基于多種測試模式和多種攻擊方法的測試,可以通過高效的數(shù)據(jù)結(jié)構(gòu),以及并行的數(shù)據(jù)分析和統(tǒng)計方法,在頁面切換時快速反映網(wǎng)絡(luò)狀態(tài)變換與可能出現(xiàn)的性能缺陷。

3 關(guān)鍵技術(shù)

以下介紹系統(tǒng)實現(xiàn)的一些關(guān)鍵問題及解決方法。

3.1 基于協(xié)議指紋的資產(chǎn)掃描、識別技術(shù)

主被動結(jié)合是進行物聯(lián)網(wǎng)空間資產(chǎn)發(fā)現(xiàn)探測的主要手段[9]。以資產(chǎn)和業(yè)務(wù)為中心,研究精準的資產(chǎn)掃描和業(yè)務(wù)識別技術(shù)是關(guān)鍵點和難點。我們針對終端操作系統(tǒng)和應(yīng)用軟件的精準識別問題,結(jié)合主被動掃描和特征工程方法,研究實現(xiàn)針對終端網(wǎng)絡(luò)及其流量的端口探測、協(xié)議指紋、數(shù)據(jù)包深度解析、網(wǎng)絡(luò)秩序流重構(gòu)等方法,并從中分析終端操作系統(tǒng)和應(yīng)用軟件的特征(見圖3)。其中,為緩解網(wǎng)絡(luò)流量加密對終端操作系統(tǒng)和軟件版本識別的影響,重點通過綜合SSL/TLS握手過程特征和流統(tǒng)計特征的提取方法。

圖3 終端指紋提取與識別方法

3.2 多維度業(yè)務(wù)安全接入控制機制

由于無線網(wǎng)絡(luò)具有共享信道特性,我們更應(yīng)該注重其網(wǎng)絡(luò)安全,需要對其進行有效的安全接入控制,檢測非法入侵[10]?;赟DN架構(gòu)的無線通信技術(shù)支持高度的接入控制和智能無線感知,包括有效識別非法終端、非法接入點、異常流量等,可提高正常終端無線接入的安全性,通過可編程的無線管理邏輯,可實現(xiàn)專業(yè)靈活的無線隱藏和接入控制。

通過功率動態(tài)調(diào)整并屏蔽低速傳輸,結(jié)合終端定位技術(shù),能夠確保非法終端只有在場景內(nèi)或非常接近才能接入。在此基礎(chǔ)上,通過進一步基于軌跡的分析,可以實時發(fā)現(xiàn)從外部進入場景中的終端設(shè)備(見圖4)。

圖4 非法終端入侵控制機制

此外,還可以通過設(shè)置SSID感知模式,為不同終端配置不同SSID(可根據(jù)終端MAC按算法生成),來進行安全接入控制。每個終端需要正確算出其SSID,只有白名單中的MAC正確算出SSID并知曉對應(yīng)密碼方能接入,從而確保每個SSID只允許對應(yīng)MAC接入(見圖5)。

圖5 SSID與MAC地址綁定機制

對于非法網(wǎng)關(guān),除了需要有效識別其相關(guān)信息,還需要通過信號壓制技術(shù)將此類安全事件的危害降到最低。對于異常數(shù)據(jù)流,要通過服務(wù)鏈中的IDS/IPS的網(wǎng)絡(luò)功能進行識別和防護。

3.3 多業(yè)務(wù)共享資源隔離及切片技術(shù)

物聯(lián)接入網(wǎng)承載了諸如視頻監(jiān)控、智能機器人巡檢等多種業(yè)務(wù)接入,每個業(yè)務(wù)的接入資源、接入邏輯、業(yè)務(wù)安全性要求等各不相同。在共享通信資源的業(yè)務(wù)接入框架基礎(chǔ)上,系統(tǒng)對各個業(yè)務(wù)屏蔽關(guān)鍵的系統(tǒng)資源和邏輯資源,限制各個業(yè)務(wù)之間的資源可見性,設(shè)置不同的訪問控制權(quán)限,保證不同業(yè)務(wù)的安全性。因此,我們需要在保證提高共享資源利用率的同時,利用終端切片技術(shù),隔離不同終端在網(wǎng)絡(luò)上的資源,通過訪問權(quán)限的控制,更好地保證終端業(yè)務(wù)的安全性。利用虛擬化技術(shù)實現(xiàn)邏輯上的隔離,基于終端、虛擬AP、VLAN的不同對應(yīng)關(guān)系形成網(wǎng)絡(luò)切片,使切片間相互隔離,發(fā)生異常則阻斷對應(yīng)切片(見圖6)。

圖6 切片式服務(wù)及隔離方式

4 系統(tǒng)應(yīng)用

以某獄所安防網(wǎng)部署環(huán)境為例,對其分布視頻攝像頭、攝像機、錄像機、智能門禁、智能報警、人臉識別系統(tǒng)、電腦主機、筆記本、服務(wù)器、路由設(shè)備等多個品牌、類型、型號的智能物聯(lián)設(shè)備的具體組網(wǎng)及系統(tǒng)部署方案如圖7所示。

圖7 典型安防物聯(lián)網(wǎng)的系統(tǒng)部署

該獄所網(wǎng)絡(luò)環(huán)境包含視頻監(jiān)控系統(tǒng)、監(jiān)區(qū)門禁系統(tǒng)、AB門訪客管理系統(tǒng)、電動門系統(tǒng)、詢問系統(tǒng)、會見管理系統(tǒng)、電化教育系統(tǒng)、機房系統(tǒng)等,總計智能物聯(lián)終端三千余個,涉及數(shù)十個廠家,上百個型號產(chǎn)品?;谖覀兊南到y(tǒng)技術(shù),獄所云監(jiān)控中心實現(xiàn)智能物聯(lián)終端的統(tǒng)一管理、安全接入、集中管控,資產(chǎn)識別率90%以上,可信接入率100%,極大地降低了不良資產(chǎn)、非法資產(chǎn)、侵入行為等帶來的安全風(fēng)險,如圖8所示。系統(tǒng)北向支持WAN口、4/5G等;南向支持寬帶窄帶,支持ZigBee、NB-IoT、LoRa、Wi-Fi6等實現(xiàn)南向傳感器設(shè)備無線接入和組網(wǎng)通信;支持識別物理終端、虛擬設(shè)備、操作系統(tǒng)類型、業(yè)務(wù)、應(yīng)用、IP地址、端口。

圖8 終端發(fā)現(xiàn)及安全接入系統(tǒng)

網(wǎng)絡(luò)安全與行為管控能力的統(tǒng)一分發(fā),支持安全審計、資產(chǎn)管理、漏洞掃描、入侵防御、防病毒、威脅情報分析、行為管理和防火墻等能力的定制與動態(tài)加載,如圖9所示。

圖9 業(yè)務(wù)能力統(tǒng)一分發(fā)

5 總結(jié)

我們結(jié)合軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)空間資產(chǎn)探測、安全準入控制、風(fēng)險評估等技術(shù),研究物聯(lián)終端安全可信接入關(guān)鍵技術(shù),有效應(yīng)對針對新型業(yè)務(wù)場景的復(fù)雜多變的攻擊,有效防范新型業(yè)務(wù)應(yīng)用與終端接入帶來的安全風(fēng)險,提升物聯(lián)網(wǎng)安全防護體系的縱深防御能力,有利于提升整體的安全運維水平。

猜你喜歡
物聯(lián)接入網(wǎng)終端
《智能物聯(lián)技術(shù)》征稿啟事
復(fù)雜線束在雙BCI耦合下的終端響應(yīng)機理
王永崗:改造物聯(lián)服務(wù)鏈助力現(xiàn)代農(nóng)業(yè)
與5G融合的低軌星座饋電鏈路切換設(shè)計
X美術(shù)館首屆三年展:“終端〉_How Do We Begin?”
基于聲波檢測的地下防盜終端
接入網(wǎng)技術(shù)在鐵路通信網(wǎng)中的應(yīng)用
創(chuàng)享物聯(lián)時代新風(fēng)潮
“吃人不吐骨頭”的終端為王
物聯(lián)智能家居組合
芒康县| 定陶县| 伊川县| 孟津县| 卓资县| 叙永县| 文水县| 西峡县| 扶沟县| 义马市| 重庆市| 和政县| 阿尔山市| 苍梧县| 壤塘县| 龙川县| 唐河县| 揭阳市| 民乐县| 安岳县| 芦山县| 大姚县| 石泉县| 汉源县| 天等县| 将乐县| 民和| 高安市| 湟源县| 丹江口市| 达拉特旗| 萨迦县| 漳浦县| 甘泉县| 鞍山市| 龙口市| 三台县| 天等县| 玉溪市| 综艺| 清水县|