基干SDN物联网安全架构探究.doc

基干SDN物联网安全架构探究 　　随着物联网技术的广泛应用，大量的RFID和无线传感器需要接入网络，海量的关键信息数据需要通过网络传递，使得物联网相比较传统网络对网络安全提出了更高的要求，因此提出了一种基于SDN的物联网安全架构，利用SDN技术控制与转发相分离、网络虚拟化等特点，整合网络安全资源，从网络全局角度分析安全风险、执行安全策略，将物联网各层面的安全问题进行集中分析处理，简化物联网末端安全设施的部署。在给出基于SDN的物联网安全架构基础上，分析介绍了应用层、控制层、感知层的安全模块和安全策略，最后给出了下一步开展研究工作的重点和方向 SDN 物联网 网络安全 安全策略 1 引言 物联网概念于1999年由美国麻省理工学院Auto-ID中心的Kevin Ashton教授[1]首次提出，它是指通过射频识别（RFID，Radio Frequency Identification Technology）、红外传感器、全球定位系统、激光扫描器等信息传输设备，按约定的协议，把任何物品与互联网连接起来进行信息交互，以实现智能识别、定位、跟踪、监控、和管理的一种网络。物联网实际上是物物相连的互联网，它是在互联网基础上的延伸和拓展。通过物联网，任何物品可以相互连接，进行信息交换和通讯。当前，物联网技术正在蓬勃发展，小到智能家居，大到智慧地球，各行各业都在发展和利用物联网技术、物联网概念[2]。随着物联网用户和终端的高速增长，基础设施和网络结构面临着巨大的挑战，网络的结构、协议、安全及管理等变得日趋复杂。由于物联网末端传感网络规模庞大，部署环境复杂多样，以及物联网用户缺乏专业能力，确保数十亿物联网设备的网络安全已经变得越来越困难。传统的安全机制如防病毒、网络代理机制等，不足以解决物联网网络[3]所带来的网络安全挑战 SDN技术的运用为解决物联网面临的网络安全问题提供了一种创新的解决途径。SDN技术由斯坦福大学的研究机构[4]首先提出，实现了控制与转发相分离、控制层逻辑集中、网络功能可编辑等功能，随着SDN技术的不断发展和完善，SDN技术可以为网络提供统一的管理接口和运行环境，具备网络虚拟化NFV和资源调度系统功能。本文提出一种基于SDN的物联网安全架构，在物联网的网络和应用层应用SDN技术，实现网络控制与业务转发相分离，实现网络功能部署的软件化，同时将网络安全作为一种应用面向物联网用户提供服务，实现对网络安全资源的集中调度、网络安全标准的统一整合、网络安全策略的灵活配合 2 IoT面临的主要安全问题 IoT逐步应用于社会的各个行业，IoT的网络安全问题变得日趋重要。由于IoT众多信息普遍通过无线方式实现互通，信息安全面临严峻挑战。IoT的传感器数量庞大，功能各异，而且采集传递着大量的身份识别、监控数据、支付信息等高等级安全信息，因此传感器网络的安全问题变得极其重要，这也是IoT网络安全与互联网网络安全的主要差别所在 IoT的无线传感器网络由多个传感器节点、节点网关、可以充当通信基站的设备及后台系统组成。通信链路存在于传感器与传感器之间、传感器与网关节点之间和网关节点与后台系统之间。对于攻击者来说，这些设备和通信链路都有可能成为攻击对象，所以IoT网络面临的安全问题与传统网络相比有其独有的特点，图1为IoT网络攻击模型示意图： 由于具备了无线的信道、有限的能量、分布式控制等特点，使得无线传感器网络更容易受到攻击。被动窃听、主动入侵、拒绝服务则是这些攻击的常见方式，无线传感器网络可能遭到的安全挑战[5]包括下列情况： （1）网络的网关节点被敌手控制，则安全性全部丢失； （2）网络的普通节点被敌手控制； （3）网络的普通节点被敌手捕获； （4）网络的节点受来自网络的拒绝服务攻击； （5）接入到物联网的超大量传感节点的标识、识别、认证和控制问题 此外，IoT网络还拥有大量RFID系统，主要由电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道等组成。RFID系统也是IoT网络遭受攻击的主要对象，主要包括被动攻击、主动攻击、物理攻击等： （1）被动攻击。被动攻击不对系统数据做任何修改，而是通过窃听截获电子标签中的关键数据，再结合被窃听对象的其他信息及窃听的时间、地点等数据，就可以分析出大量有价值的信息 （2）主动攻击。主动攻击涉及对系统数据的篡改或增加虚假的数据，其手段主要包括假冒、重放、篡改、拒绝服务和病毒攻击等 （3）物理攻击。物理攻击需要接触系统的软/硬件，并对其进行破解或破坏。对于RFID系统而言由于标签数量巨大，难以控制，所以物理攻击是RFID系统面临的最大的安全威胁 3 基于SDN的物联网安全架构 基于SDN物联网的系统架构是在SD