基于阿里物联网云的智能门禁系统开发：翻译.docVIP

7

安全

安全对于今天的网络来说是至关重要的，并且在明天的世界中将变得更加重要。有了互联网，就有必要不断发明新的程序，以确保不泄露太多要素，如地点、被验证方的名称、消息的语义、私人信息等。在各种可能的解决方案中，我们将详细讨论两个：安全元素的使用和安全云。虽然第一种解决办法已经使用了很长一段时间，但第二种是一种新的范式，它正变得越来越普遍。

网络世界中的安全是一种模式，它没有一个简单的解决方案，除了改进现有的算法，其中已经有非常多的算法，以处理新的攻击。然而，本章讨论了安全世界中的一个新解决方案：安全之云也就是一个云，其目的是确保运营商、公司和公众世界中的数据和网络的安全。安全云的初始图如图7.1所示。安全云包含许多用于安全的虚拟机，如身份验证服务器、授权服务器、身份管理服务器，但也包含防火墙，甚至是对应于特定应用程序的非常特殊的防火墙。我们有时还会找到安全的元素服务器，其中可能包含数千个SIM卡或HSM（硬件安全模块）。

软件网络：虚拟化、SDN、5G与安全、第一版。盖伊·普约尔。

2015年ISTE有限公司。由ISTE有限公司和JohnWileySons公司出版。

190 软件网络

图7.1安全之云

我们现在将从DPI（DeepPacketInspection）开始，描述安全云中托管的三个服务器示例。DPI的目标是确定在通过网络的流动中传输的应用程序。为了做到这一点，DPI仔细检查流并寻找应用程序签名，这些签名通常可以通过检查应用程序的语法来找到。每个互联网应用程序都有自己的签名。DPI检查一系列位并确定签名。与检查端口号相比，此解决方案的优点是，可以验证通过的所有位，而不仅仅是帧和数据包的头。实际上，攻击者将其攻击封装在一种已知类型的消息中，这种消息很容易通过传统防火墙。然而，在高速流入的流量中检测签名特别复杂，需要顶级硬件，因此也很昂贵。随着将检测流量中的位以找到签名的功能转移到云上，DPI的成本可以大大降低。因此，我们将流量的确定功能转移到一个强大的数据中心。成本通常是传输需要发送到数据中心的流动的成本。市场上有各种各样的解决方案，视需求而定。例如，只有消息头可以被反馈，这大大减少了要检查的流量，但同时也带来了丢失封装位的风险。

第二个例子是防火墙。云计算的世界再一次从根本上改变了这些模块，将它们的软件转移到具有众多优势的数据中心。第一个优点是每个应用程序都有专门的虚拟防火墙。通过DPI，我们检测应用程序的性质，并将所涉流程发送到相应的防火墙。

安全 191

防火墙有处理能力来检查流程的所有细节。处理所有流程的低功率防火墙被一组非常强大的、专门的防火墙所取代。缺点与流量有关，这些流量需要发送到专门的防火墙，然后必须返回给公司，尽管有可能的优点是能够隐藏防火墙，以防止对它们的拒绝服务攻击。

第三个例子是一个安全的元素服务器，我们将在本章中看到，它可以用于安全访问敏感服务，如移动支付。这些安全元素服务器可以包含数千个，甚至数百万个安全元素，如智能卡，这些元素可以通过需要高安全性服务的安全通道到达。

此外，为了纳入云安全，我们可以引用许多服务器，如身份验证服务器、身份管理服务器、编码服务器（尽管这些服务器具有必须非常接近用户的特性）、入侵检测服务器等。

安全元件

严格地说，这一章根本不讨论传统的安全问题，而是一个在过去几年逐步建立起来的新一代安全问题。新一代使用安全元素作为基础。实际上，高安全性不能仅仅靠软件来满足，软件总是会被内存转储和对密钥位置的良好了解所破坏实际上，高安全性不能简单地通过软件来满足，软件总是可以被内存转储和对密钥位置和其他管理系统的良好了解所破坏。安全元素有不同的形式，但今天最常见的是智能卡。因此，我们首先将智能卡描述为今天的元素。

图7.2展示了一个包含普通计算机所有物理元素的智能卡：微处理器、ROM、RAM、持久存储器、EEPROM、通信总线和输入/输出。在USB密钥中嵌入的新智能卡被释放之前，通信通道代表了一个弱点，但现在已经不是这样了。

图7.2智能卡的硬件结构

192软件网络

大多数智能卡的核心是一个8位微处理器，以3.5mhz的频率计算能力约为1-3mips（每秒百万条指令）。例如，这种微处理器需要17ms来执行编码算法DES（数据加密标准）。应该注意的是，智能卡处理器的能力正在以这样的速度增长，新的安全卡将能够支持更复杂的算法。

基于具有100万个晶体管的RISC处理器的32位体系结构构成了新一代微处理器，在33mhz下具有约30mips的计算能力。这种微处理器只需要大约50微秒就可以执行DES，300毫秒就可以使用2048位密钥对RSA进行加密。

除了处理器之外，不同类型的内存是微控制器的主要元素。它们用来保存程序和数据。智能