智能物聯(lián)終端安全可信接入關鍵技術研究

曾彬，王雷，文吉剛，蘇亮源

（1.湖南友道信息技術有限公司，湖南 長沙 410208；2.長沙學院計算機科學與工程學院，湖南 長沙 410022）

隨著萬物互聯(lián)技術廣泛應用，大量非受控終端設備高比例接入，供給側和需求側高頻互動，導致海量終端與網絡通信產生高并發(fā)和隨機性［1］。這些特性導致物聯(lián)網遭受的攻擊面和攻擊機會增大［2-3］。為改變物聯(lián)網業(yè)務對網絡帶寬、覆蓋、質量、接入方式等無序要求給通信網絡帶來的復雜安全運維困境，我們在突破安全、可信、經濟的統(tǒng)一通信接入網關技術方面展開研究，支持物聯(lián)網終端輕量級加密和認證，通過哨兵、加密、WAPI認證、資產識別與異常監(jiān)測、防病毒、入侵防御、VPN、防火墻等多種手段，并且基于機器學習算法的終端設備畫像技術，實現(xiàn)物聯(lián)網內終端設備行為異常發(fā)現(xiàn)與識別，提高泛在物聯(lián)網邊界安全防護能力，構建多層次泛在物聯(lián)網終端的安全防護體系。

1 研究背景

隨著泛在物聯(lián)網建設的推進，網絡邊界變得更加復雜模糊，網絡安全防護面臨諸多新問題。一方面，面向物聯(lián)終端的可信身份認證能力不足，導致物聯(lián)終端產生被仿冒、敏感數(shù)據(jù)泄露等風險，海量、異構物聯(lián)終端自身缺少可信身份標識及認證機制，難以實現(xiàn)可信網絡準入與數(shù)據(jù)加密傳輸。另一方面，開放與共享的網絡末梢延伸導致物聯(lián)邊界更加模糊［4-5］，泛在物聯(lián)網建設突破了原有基于網絡隔離的安全防護體系，網絡安全暴露面不斷增大，邊界安全防護難度日益上升。泛在物聯(lián)網的具體挑戰(zhàn)包括：

（1）在業(yè)務接入側，要求提供標準化的有線和無線通信接口，實現(xiàn)多業(yè)務安全隔離的切片式接入模式；

（2）在網絡側，能根據(jù)業(yè)務需求靈活適配本地、遠程、有線、無線、公網、專網等網絡通信通道，實現(xiàn)單通道業(yè)務共享、多通道無縫切換及聚合能力；

（3）在通信終端設備設計方面，要引入軟件定義網絡（SDN）體系結構，實現(xiàn)通信、安全和邊緣計算能力靈活組合，支持業(yè)務接入能力平滑擴展和網絡通信通道資源自適應分配；

（4）在終端接入管控方面，要能對終端與業(yè)務的運行狀態(tài)和風險等級進行實時監(jiān)控與智能準入控制。

另外，接入網關需要在不同的場景下提供多種運營管理功能，如認證、授權和計費（AAA），基于流量工程策略的網絡管理，信道的配置和沖突的管理，移動漫游的管理，負載均衡，QoS保證等。Aruba、Ruckus、Motorola、Meru等廠商提供了其私有的傳統(tǒng)無線網絡解決方案，即通過高度耦合的軟硬件逐一實現(xiàn)各種運營管理功能［6］。這些方案是完全封閉的，且不同廠商的接口之間存在巨大差異，因此新的功能需求必須依賴于原方案廠商的軟件或硬件更新［7］。如果原廠商對此不支持，就很可能無法實現(xiàn)新功能，這就使接入網的技術演進受到了極大的限制。因此，企業(yè)級接入網越來越昂貴、臃腫，難以被管理和控制［8］。

傳統(tǒng)接入網關由于采用了軟硬件高度耦合的架構，靈活性差，無法對接入網絡的優(yōu)化策略提供很好的支持，迫切需要更開放靈活的、支持集中式管理和控制的架構，同時能開放可編程接口支持新應用和功能的開發(fā)。

2 系統(tǒng)設計

我們提出一種基于虛擬化和軟件定義的接入架構，其不需要對現(xiàn)有終端進行修改，具有開放可編程、虛擬化隔離和集中管理的特點，支持細粒度的無線測試模式控制，能改善終端漫游時的無線狀態(tài)測試，優(yōu)化資源調度策略并實現(xiàn)多租戶機制。

針對多種測試業(yè)務安全可信接入通信終端的軟件分為收發(fā)模塊和控制模塊。收發(fā)模塊支持多種有線/無線接口類型與協(xié)議。控制模塊負責硬件資源的抽象，南向充分挖掘可編程能力，北向提供統(tǒng)一的集中控制接口；智能管控模塊完成終端資產發(fā)現(xiàn)與管控、安全運維策略的制定與下發(fā)、網絡安全隔離與安全事件分析等，接口配置模塊負責執(zhí)行智能信道/功率調整、動態(tài)哨兵模式切換等調度邏輯。軟件結構如圖1所示。

圖1 軟件結構

系統(tǒng)南向適配無線/有線/藍牙等信號采集、網絡流量采集，以及接入、通信、計算和存儲資源的管理與調度。應用層支持軟件定義與虛擬化架構，獨立實現(xiàn)各模塊的管理功能，也可利用中間件進行快速交互，模塊化的設計也可支持功能的動態(tài)加載與銷毀。應用層核心功能包括非法接入分析、判定與壓制，業(yè)務異常行為分析，全局網絡優(yōu)化，狀態(tài)實時監(jiān)控，資源靈活配置，策略智能生成。表示層支持界面友好的人機交互，數(shù)據(jù)的快速檢索與安全策略下發(fā)。接入系統(tǒng)的整體結構如圖2所示。

圖2 整體結構

接入系統(tǒng)在表示層支持瀏覽器多種業(yè)務的按鈕式操作，對多種監(jiān)測的結果能夠直接反映到頁面上，能夠直觀地呈現(xiàn)終端業(yè)務數(shù)據(jù)的動態(tài)變化。同時，基于多種測試模式和多種攻擊方法的測試，可以通過高效的數(shù)據(jù)結構，以及并行的數(shù)據(jù)分析和統(tǒng)計方法，在頁面切換時快速反映網絡狀態(tài)變換與可能出現(xiàn)的性能缺陷。

3 關鍵技術

以下介紹系統(tǒng)實現(xiàn)的一些關鍵問題及解決方法。

3.1 基于協(xié)議指紋的資產掃描、識別技術

主被動結合是進行物聯(lián)網空間資產發(fā)現(xiàn)探測的主要手段［9］。以資產和業(yè)務為中心，研究精準的資產掃描和業(yè)務識別技術是關鍵點和難點。我們針對終端操作系統(tǒng)和應用軟件的精準識別問題，結合主被動掃描和特征工程方法，研究實現(xiàn)針對終端網絡及其流量的端口探測、協(xié)議指紋、數(shù)據(jù)包深度解析、網絡秩序流重構等方法，并從中分析終端操作系統(tǒng)和應用軟件的特征（見圖3）。其中，為緩解網絡流量加密對終端操作系統(tǒng)和軟件版本識別的影響，重點通過綜合SSL/TLS握手過程特征和流統(tǒng)計特征的提取方法。

圖3 終端指紋提取與識別方法

3.2 多維度業(yè)務安全接入控制機制

由于無線網絡具有共享信道特性，我們更應該注重其網絡安全，需要對其進行有效的安全接入控制，檢測非法入侵［10］。基于SDN架構的無線通信技術支持高度的接入控制和智能無線感知，包括有效識別非法終端、非法接入點、異常流量等，可提高正常終端無線接入的安全性，通過可編程的無線管理邏輯，可實現(xiàn)專業(yè)靈活的無線隱藏和接入控制。

通過功率動態(tài)調整并屏蔽低速傳輸，結合終端定位技術，能夠確保非法終端只有在場景內或非常接近才能接入。在此基礎上，通過進一步基于軌跡的分析，可以實時發(fā)現(xiàn)從外部進入場景中的終端設備（見圖4）。

圖4 非法終端入侵控制機制

此外，還可以通過設置SSID感知模式，為不同終端配置不同SSID（可根據(jù)終端MAC按算法生成），來進行安全接入控制。每個終端需要正確算出其SSID，只有白名單中的MAC正確算出SSID并知曉對應密碼方能接入，從而確保每個SSID只允許對應MAC接入（見圖5）。

圖5 SSID與MAC地址綁定機制

對于非法網關，除了需要有效識別其相關信息，還需要通過信號壓制技術將此類安全事件的危害降到最低。對于異常數(shù)據(jù)流，要通過服務鏈中的IDS/IPS的網絡功能進行識別和防護。

3.3 多業(yè)務共享資源隔離及切片技術

物聯(lián)接入網承載了諸如視頻監(jiān)控、智能機器人巡檢等多種業(yè)務接入，每個業(yè)務的接入資源、接入邏輯、業(yè)務安全性要求等各不相同。在共享通信資源的業(yè)務接入框架基礎上，系統(tǒng)對各個業(yè)務屏蔽關鍵的系統(tǒng)資源和邏輯資源，限制各個業(yè)務之間的資源可見性，設置不同的訪問控制權限，保證不同業(yè)務的安全性。因此，我們需要在保證提高共享資源利用率的同時，利用終端切片技術，隔離不同終端在網絡上的資源，通過訪問權限的控制，更好地保證終端業(yè)務的安全性。利用虛擬化技術實現(xiàn)邏輯上的隔離，基于終端、虛擬AP、VLAN的不同對應關系形成網絡切片，使切片間相互隔離，發(fā)生異常則阻斷對應切片（見圖6）。

圖6 切片式服務及隔離方式

4 系統(tǒng)應用

以某獄所安防網部署環(huán)境為例，對其分布視頻攝像頭、攝像機、錄像機、智能門禁、智能報警、人臉識別系統(tǒng)、電腦主機、筆記本、服務器、路由設備等多個品牌、類型、型號的智能物聯(lián)設備的具體組網及系統(tǒng)部署方案如圖7所示。

圖7 典型安防物聯(lián)網的系統(tǒng)部署

該獄所網絡環(huán)境包含視頻監(jiān)控系統(tǒng)、監(jiān)區(qū)門禁系統(tǒng)、AB門訪客管理系統(tǒng)、電動門系統(tǒng)、詢問系統(tǒng)、會見管理系統(tǒng)、電化教育系統(tǒng)、機房系統(tǒng)等，總計智能物聯(lián)終端三千余個，涉及數(shù)十個廠家，上百個型號產品。基于我們的系統(tǒng)技術，獄所云監(jiān)控中心實現(xiàn)智能物聯(lián)終端的統(tǒng)一管理、安全接入、集中管控，資產識別率90%以上，可信接入率100%，極大地降低了不良資產、非法資產、侵入行為等帶來的安全風險，如圖8所示。系統(tǒng)北向支持WAN口、4/5G等；南向支持寬帶窄帶，支持ZigBee、NB-IoT、LoRa、Wi-Fi6等實現(xiàn)南向傳感器設備無線接入和組網通信；支持識別物理終端、虛擬設備、操作系統(tǒng)類型、業(yè)務、應用、IP地址、端口。

圖8 終端發(fā)現(xiàn)及安全接入系統(tǒng)

網絡安全與行為管控能力的統(tǒng)一分發(fā)，支持安全審計、資產管理、漏洞掃描、入侵防御、防病毒、威脅情報分析、行為管理和防火墻等能力的定制與動態(tài)加載，如圖9所示。

圖9 業(yè)務能力統(tǒng)一分發(fā)

5 總結

我們結合軟件定義網絡、網絡空間資產探測、安全準入控制、風險評估等技術，研究物聯(lián)終端安全可信接入關鍵技術，有效應對針對新型業(yè)務場景的復雜多變的攻擊，有效防范新型業(yè)務應用與終端接入帶來的安全風險，提升物聯(lián)網安全防護體系的縱深防御能力，有利于提升整體的安全運維水平。