工业物联网安全及防护技术研究

1.4综合应用层的安全风险

综合应用层面向终端用户提供个性化业务,包括身份认证、隐私保护等,同时面向协同处理层,预留人机交互接口并提供用户操作指令,用户通过这些接口可以使用TV端、PC端、移动端等多终端设备对网络进行访问。综合应用层具有多样性和不确定性的特点,不同的工业现场应用环境对安全有不同的需求,其面临的威胁也呈现出多样化:超大量终端、海量数据、异构网络和多样化系统下的多种不同安全问题,有些安全威肋、难以预测;数据共享是物联网应用层的特征之一,但数据共享可能带来数据隐私性、访问权限可控性、信息泄露追踪等方面的问题;应用场景的不同将决定对安全需求的不同,例如隐私保护问题就是在特殊应用环境中出现的。

2.工业物联网安全及防护关键技术

在当前的物联网技术水平下,大多数工业物联网体系的构建都是以现有的移动网络为基础,再将工业感知网络和工业应用平台整合、聚集而成,因此大部分的移动网络安全机制仍然可以适用于此并提供一定程度的安全性保障,如安全认证机制、安全加密机制等。此外,在传统网络体系结构中,网络层与业务层在安全及防护层面是互相隔断且独立的,而工业物联网则因构成方式而具备自身的特殊性,故而需要根据其特征对安全机制进行相应的补充和调整。

2.1工业物联网中的业务认证机制

传统认证过程中,网络层认证和业务层认证都只负责各自层面的身份鉴别,两者互相独立;而工业物联网中的设备一般都拥有特定用途,因此多数情况下其业务层的应用与网络通信紧密捆绑,基于此,加之网络层认证的不可或缺性,则其业务层认证机制不再必需,可以根据业务提供方的不同和安全敏感程度的高低来进行设计。

具体来看,可以通过以下几种情况为例:(1)工业物联网的业务由运营商提供,可以跳过业务层认证,只采纳网络层认证结果即可; ( 2)工业物联网的业务由第三方提供,且无法通过网络运营商获得安全参数,可以不考虑网络层认证结果,发起独立的业务层认证; (3)当工业物联网所涉及的业务敏感度较高,如军事类业务等,业务提供者一般情况下无法采信网络层认证结果,会使用更高级别的业务层认证; (4)当工业物联网涉及普通业务,如气温采集业务等,业务提供者认为网络认证的结果可以采信,则无需再进行业务层认证。

2.2工业物联网中的加密机制

传统的加密机制中,网络层采用逐跳加密机制,而业务层则采用端到端加密机制,两者具有很大的区别;逐跳加密机制可以保证信息在传输过程中是加密的,但是需要在途经栽点之上不断地进行解密和加密,即信息在每个栽点上都是明文的;端到端加密机制可以保证信息在传输过程和转发;'上都是密文,只在发送端和接收端才是明文。在目前的工业物联网应用中,网络连接和业务使用密切相关,因而面临到底是使用逐跳加密机制还是端到端加密机制的选择。