邬群辉 甘勇 王凯莉
摘 要:物联网时代终将到来,IPv6地址的使用需求不断提高以及IPv6地址的普及必将成为现实,但是物联网存在信息泄露等安全性问题,某些方面可以使用VPN技术加以解决。物联网中的私人设备与用户相联结的设备(即该用户所掌控设备组成的物联网的核心设备)通过VPN技术合理联结,使物联网的安全性得到有效提高。
关键词:IPv6;VPN;安全性
中图分类号:TP393.1 文献标识码:A 文章编号:2096-4706(2018)08-0191-03
Abstract:In view of the coming of the internet of things,the need for the use of IPv6 addresses and the popularity of IPv6 addresses will become a reality. But there are security problems such as information leakage in the internet of things,and some aspects can be solved by using VPN technology. The equipment associated with the user in the internet of things (the core equipment of the internet of things that the user controls the equipment) is connected by VPN technology so that the security of the internet of things is effectively improved.
Keywords:IPv6;VPN;security
0 引 言
物联网(IoT)可以应用于人们日常生活和工作的方方面面,所涉及的學科和行业也比较多。关键技术包括RFID、传感器、通信技术、嵌入式软件以及传输数据计算等。物联网由各种不同功能的节点组成,具有数量大、节点分散和管理复杂等特点,在数据通信和管理上网络安全尤为重要[1]。物联网节点主要安装在无人监控的场所,攻击者较容易接触到这些物理节点,甚至改变其操作特性。此外,攻击者还可以越权或冒充合法节点与其他节点通信来享受其服务,因此,不同结构的物联网都有可能存在一定数量的损坏节点和恶意节点。IoT的标签管理体系无法证明自身信息发给哪个阅读器,所以攻击者可以获得已认证的身份,多次获得其节点服务。攻击者可以通过破坏标签数据,使节点的服务无法完成,也可以窃取或者伪造标识窃取数据,以获得相关服务或者为进一步的攻击做准备。攻击者还可以通过协议漏洞以及网络本身的脆弱性,使某些节点获取较高级别服务,甚至可以完成对物联网其他节点的运行控制。
传统的认证通过不同层次服务加以区分,如网络层认证仅负责网络层的身份鉴别和认证,业务层认证仅负责业务层的身份鉴别和认证,相互独立存在。尤其是嵌入式IoT多为专用网络结构[2],也就是说,业务应用与网络通信在规划和设计时已经是一体的。网络层的认证是不可缺少的,所以IoT的业务层认证机制可以不予设计[3],在传统的安全认证中,仅仅区分不同的类型和层次[4]。不同层次的认证仅局限于当前层次的不同身份鉴定,但是在物联网中,大部分机器都有专有的职能,因而其中的层次都是绑定的,比如业务层和应用层的通讯。由于网络层的认证是不可缺少的,其业务层的认证机制就不再是必需的,而是可以根据业务由谁来提供和业务的安全敏感程度来设计。
在不久的将来,我们生活中的每个人,甚至每一个物品都可以在任意时间、任意地点与网络连接在一起,可以被感知其存在性。这时候就会出现一个问题:信息的安全性和隐私性的问题。防止个人信息、财产信息和其他信息丢失或者被盗用,这必将是未来物联网向前推进的一大难题,解决好这个问题是物联网发展关键所在。
1 IPv6-VPN安全物联网设计
1.1 IPv6-VPN安全优势
与IPv4相比,IPv6具有以下几个优势:(1)IPv6具有更大的地址空间。IPv4中规定IP地址长度为32,最大地址个数为2^32;IPv6中IP地址的长度为128,即最大地址个数为2^128。与32位地址空间相比,其地址空间增加了2^128~2^32个;(2)IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度;(3)IPv6增加了增强的组播(Multicast)支持以及对流的控制(Flow Control),使网络上的多媒体应用得到了发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台;(4)IPv6加入了对自动配置(Auto Configuration)的支持,这是对DHCP协议的改进和扩展,使网络(尤其是局域网)的管理更加方便和快捷;(5)IPv6具有更高的安全性,在使用IPv6网络时,用户可以对网络层的数据进行加密,并对IP报文进行校验,IPv6中的加密与鉴别选项保证了分组的保密性与完整性,极大地增强了网络的安全性;(6)允许扩充。如果新的技术或应用需要时,IPv6允许协议进行扩充;(7)头部格式。IPv6使用新的头部格式,其选项与基本头部分开,如果需要,可将选项插入到基本头部与上层数据之间。这就简化和加速了路由选择过程,因为大多数的选项不需要由路器选择;(8)新的选项。IPv6有一些新的选项来实现附加的功能。
1.2 IPv6-VPN在物联网中的应用构想
1.2.1 解决IP地址稀缺问题
物联网被称为“物物相连的互联网”,相连的每一个“物”必须有唯一的标示[5]。由于要进入互联网,除了物理地址之外,还需要一个网络地址(即IP地址)。目前IPv4地址已经完全分配完毕,如果再给每一个物品分配一个IPv4的地址是实现不了的,所以使用IPv6地址是一个很好的选择。
1.2.2 IPv6地址对于物联网安全性的保障
IPv6地址是“每一粒沙子都能分配到一个地址”,无穷无尽的地址空间可以保证我们每一个存在的人都可以分配到IP地址,并对这些地址进行合理地分配和使用。
IPv6地址128位分8段,每段4个4位十六进制数,具体格式如下:xxxx;xxxx;xxxx;xxxx;xxxx:xxxx;xxxx;xxxx。
其中每个x是代表一个4位的十六进制数字格式。
现在全球人数为70亿左右,预计直到物联网普及也很难突破100亿,暂且假定为100亿人次,则标识出每个人大约需要8.3位十六进制数左右,那么可以用3段(12位)表示每一个使用IPv6地址的人。
未来的IP地址可以做如下分配:
第一个字段共16^4=65536位,用于标识不同的国家、地区、特殊机构以及保留位;第二、三个字段用于运营商标识、地区(省市县等各级)标识、国家重要机关标识和公司或民用标识等;第四、五、六字段用于标识个人身份,但会有一段保留的位置(如0000.0000.0000~0000.0000.0FFF),原因会在第4点介绍。由此可以发现一个人可能在不同的地区或公司有不同的IPv6地址,这就可以使用户在公司和家中的或者其他不同地点都可以凭借自己的ID使用或探测响应的设备;剩余两个字段供给用户自由分配给各类物联网设备,这两段可以设置不同权限消息。
其中,如果二、三字段中标识为公司,则设备由公司网络管理员分配IP地址,普通用户(假设载体为手机或电脑)进入公司即可被分配“各级标识+公司标识+自己个人身份标识+权限信息”的地址,即可使用对应权限的设备)。有的公司设备比较多,那么第3点中提到的保留位亦可用作分配。如果是民用地址,多数用于家庭或小公司,在二、三字段中区分则过于耗费资源,而且其设备量不多,后八位十六进制的数目就显得过于庞大,那么只要在后八位中划分出适当的位数作为统一标识分配给用户,带有相同标识的用户可使用权限字段中的设备。这里还需要用到一个IP绑定的设备,把一家人的IP绑定在一起,(个人地址不同,但在家中使用同一地址)这样才能共同使用家中的设备。小公司也是一样,因为人数不多,设备承受能力会比较好。
IP地址分配好之后,设定外部通信的地址仅限管理地址(手机或电脑的地址),其余设备仅在内部使用,仅可以为管理地址设备监听或读写,访问外网时需管理设备作为网关,这能一定程度上提高物联网的安全性。
2 VPN隧道技术以及VPN技术在物联网中的应用构想
2.1 VPN简介
VPN即虚拟专用网络。虚拟专用网络的功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件和软件等多种方式实现。
2.2 VPN优点
(1)VPN能够让员工和其他人员利用本地现有的高速宽带网连接企业网络。比如学校的成绩查询,如果不在学校,其他网络登不进系统,利用VPN就可以快速查询相关信息;(2)设计良好的宽带VPN是模块化和可升级的;(3)VPN可以给用户提供相对较高的安全性。VPN使用了加密和身份识别系统,避免用户信息不必要的丢失和被盗用,阻止不法分子(黑客或者其他不相干人员)窃取信息;(4)完全控制。用户可以完全掌握自己网络的安全,也可以管理其他的相关技术。在自己的网络中也能构建自己的虚拟专用网络。
2.3 VPN在物联网中的应用构想
VPN在现有水平可以保证相对的安全,在未来的物物相连中也应起到其相应的作用。除了之前所说的通过IP地址的划分来保证IP识别和使用设备,当远程需要通过外网链接的时候,VPN是个安全可靠的选择。每一个设备都分配一个外部IP地址和一个内部IP地址,管理设备在和内部设备需要使用外网通信的时候,可以使用隧道技术实现,这能很大程度地避免信息泄露,保障了用户的隐私。
现阶段,VPN在物联网中的应用主要体现在智能家居中[6]。假设家居中的组网采用Zigbee组网技术,通过协调器直连路由器进行数据交换,路由器可以设置VPN,使家中的一些隐私数据不流失到外网中。这里提到的隐私数据主要分为两类:一类是基于物联网应用功能的数据,即一些智能家居的控制信息数据;另一类是额外的、不影响物联网应用的数据,比如摄像头拍摄的视频和图片等。针对不同类型的信息,可以设置不同的保密等级,这样可以便于网络数据的统一管理,这个有点类似于QoS。在物联网将要普及的时代,用户应该拥有管理自己信息隐私的权利,所以在推广智能家居的同时,也应该对应给出一套由用户自己设定的隐私保护方案,我相信这将十分有利于未来物联网行业的规范发展,也将会有助于更多面对物联网,尚在观望的大众选择加入其中。
参考文献:
[1] 毛燕琴,沈苏彬.物联网信息模型与能力分析软件学报 [J].软件学报,2014(8):85-95.
[2] 徐杨,王晓峰,何清漪.物联网环境下多智能体决策信息支持技术 [J].软件学报,2014,25(10):25-45.
[3] 范红,邵华,李程远,等.物联网安全技术体系研究 [C]//第26次全国计算机安全学术交流会.第26次全国计算机安全学术交流会论文集.中国福建武夷山:《信息网络安全》编辑部,2011:13-16.
[4] 戴荣.关于网络工程安全防护技术的分析 [J].电子技术与软件工程,2016(9):214.
[5] 任宗伟.物联网基础技术 [M].北京:中国物资出版社,2011.
[6] 边倩,王振铎,张慧娥.IPv6协议在现代网络工程中的运用探析 [J].电子技术与软件工程,2016(16):13.
作者简介:邬群辉(1980-),男,工程师,本科。研究方向:计算机系统集成、计算機控制系统。