工业物联网安全及防护技术研究

逐跳加密机制是在网络层进行的,因而适用于所有业务,不同的业务可以通过统一的工业物联网业务平台进行安全管理,从而实现安全机制对业务的透明;此外,逐跳加密机制可以只针对有保护需求的链接进行信息加密,这就保证了逐跳加密机制的低时延性、低成本性、高效率性和高扩展性等特点。但是,逐跳加密机制需要在各传送节点对加密信息进行解密的特性也导致各栽点都有可能泄露加密信息的明文,因而对传输路径中各传送栽点提出了很高的可信任度要求。

采用端到端加密机制时,一般会根据所涉及的业务类型选择不同的安全策略,从而为高安全要求的业务提供高安全等级的保护。但是,端到端加密机制中每一个消息所经过的节点都要以消息最终目的地址来确定消息的传输方式,因而不能对此目的地址进行保护,这就导致端到端加密机制不能掩盖被传输消息的源点与终点,其通信业务过程容易受到分析而遭受恶意攻击。此外,从国家安全的角度来看,端到端加密机制也无法满足国家合法监听的实际需求。

综上所述可知,对于安全要求不是很高的普通业务,网络层逐跳加密机制已经能够提供足够的安全防护,因而业务层端到端加密机制并不是必需的;但是一旦涉及高安全需求的业务,仍然首选端到端加密机制。因而,可以依据工业物联网业务项目具体的安全级别需求而选择相应的加密机制。

2.3大规模实体身份标识和认证技术

在实际的工业物联网项目应用过程中,通常会采用外部网络与末梢网络栽旬旬的双向认证技术来实现网络与实体之间的互信机制,这部分技术主要在传输层实现,包括安全密码算法(对称和公钥密码)的设休密钥管理、栽点对栽点机密性、端对端机密性、强认证协议、密码算法和密码协议标准化等内容。但是,在现有的技术环境下,双向认证还必须考虑以下两个现实问题:(1)末梢网络资源通常是非常有限的,认证过程中必须充分地认识到这点,因而认证机制所涉及的计算量和通信开销必须尽可能小;(2)对外部网络而言,其连接的末梢网络数量巨大,且结构不尽相同,要在如此复杂的环境下建立一个高效的识别机制,以区分这些网络及其内部栽点,并赋予唯一的身份标识,需要完善的解决方案。

2.4工业物联网中的网络隐私保护技术

企业用户和个人用户在享受物联网个性化服务的同时,也会因为“无处不在”的网络环境和“无孔下人”的网络黑客而面临自身隐私信息泄露的可能;此外,工业物联网项目任务通常由多个网络栽点协同完成,协作过程中栽点的数据输出也会造成隐私泄露。因此,如何兼顾用户隐私机密性和系统数据分析处理效率,是一个函待解决的问题。

目前在工业物联网应用层面,隐私保护技术主要集中在数据发布、数据挖掘以及无线传感网等领域,具体的隐私保护方法可以分为3类:

(1)匿名化方法:该方法主要通过将敏感信息进行模糊化来保护隐私,即对原始信息的局部或全局敏感数据进行修改或隐藏。