智能物联终端安全可信接入关键技术研究
2022-10-12曾彬王雷文吉刚苏亮源
曾彬,王雷,文吉刚,苏亮源
(1.湖南友道信息技术有限公司,湖南 长沙 410208;2.长沙学院计算机科学与工程学院,湖南 长沙 410022)
随着万物互联技术广泛应用,大量非受控终端设备高比例接入,供给侧和需求侧高频互动,导致海量终端与网络通信产生高并发和随机性[1]。这些特性导致物联网遭受的攻击面和攻击机会增大[2-3]。为改变物联网业务对网络带宽、覆盖、质量、接入方式等无序要求给通信网络带来的复杂安全运维困境,我们在突破安全、可信、经济的统一通信接入网关技术方面展开研究,支持物联网终端轻量级加密和认证,通过哨兵、加密、WAPI认证、资产识别与异常监测、防病毒、入侵防御、VPN、防火墙等多种手段,并且基于机器学习算法的终端设备画像技术,实现物联网内终端设备行为异常发现与识别,提高泛在物联网边界安全防护能力,构建多层次泛在物联网终端的安全防护体系。
1 研究背景
随着泛在物联网建设的推进,网络边界变得更加复杂模糊,网络安全防护面临诸多新问题。一方面,面向物联终端的可信身份认证能力不足,导致物联终端产生被仿冒、敏感数据泄露等风险,海量、异构物联终端自身缺少可信身份标识及认证机制,难以实现可信网络准入与数据加密传输。另一方面,开放与共享的网络末梢延伸导致物联边界更加模糊[4-5],泛在物联网建设突破了原有基于网络隔离的安全防护体系,网络安全暴露面不断增大,边界安全防护难度日益上升。泛在物联网的具体挑战包括:
(1)在业务接入侧,要求提供标准化的有线和无线通信接口,实现多业务安全隔离的切片式接入模式;
(2)在网络侧,能根据业务需求灵活适配本地、远程、有线、无线、公网、专网等网络通信通道,实现单通道业务共享、多通道无缝切换及聚合能力;
(3)在通信终端设备设计方面,要引入软件定义网络(SDN)体系结构,实现通信、安全和边缘计算能力灵活组合,支持业务接入能力平滑扩展和网络通信通道资源自适应分配;
(4)在终端接入管控方面,要能对终端与业务的运行状态和风险等级进行实时监控与智能准入控制。
另外,接入网关需要在不同的场景下提供多种运营管理功能,如认证、授权和计费(AAA),基于流量工程策略的网络管理,信道的配置和冲突的管理,移动漫游的管理,负载均衡,QoS保证等。Aruba、Ruckus、Motorola、Meru等厂商提供了其私有的传统无线网络解决方案,即通过高度耦合的软硬件逐一实现各种运营管理功能[6]。这些方案是完全封闭的,且不同厂商的接口之间存在巨大差异,因此新的功能需求必须依赖于原方案厂商的软件或硬件更新[7]。如果原厂商对此不支持,就很可能无法实现新功能,这就使接入网的技术演进受到了极大的限制。因此,企业级接入网越来越昂贵、臃肿,难以被管理和控制[8]。
传统接入网关由于采用了软硬件高度耦合的架构,灵活性差,无法对接入网络的优化策略提供很好的支持,迫切需要更开放灵活的、支持集中式管理和控制的架构,同时能开放可编程接口支持新应用和功能的开发。
2 系统设计
我们提出一种基于虚拟化和软件定义的接入架构,其不需要对现有终端进行修改,具有开放可编程、虚拟化隔离和集中管理的特点,支持细粒度的无线测试模式控制,能改善终端漫游时的无线状态测试,优化资源调度策略并实现多租户机制。
针对多种测试业务安全可信接入通信终端的软件分为收发模块和控制模块。收发模块支持多种有线/无线接口类型与协议。控制模块负责硬件资源的抽象,南向充分挖掘可编程能力,北向提供统一的集中控制接口;智能管控模块完成终端资产发现与管控、安全运维策略的制定与下发、网络安全隔离与安全事件分析等,接口配置模块负责执行智能信道/功率调整、动态哨兵模式切换等调度逻辑。软件结构如图1所示。
图1 软件结构
系统南向适配无线/有线/蓝牙等信号采集、网络流量采集,以及接入、通信、计算和存储资源的管理与调度。应用层支持软件定义与虚拟化架构,独立实现各模块的管理功能,也可利用中间件进行快速交互,模块化的设计也可支持功能的动态加载与销毁。应用层核心功能包括非法接入分析、判定与压制,业务异常行为分析,全局网络优化,状态实时监控,资源灵活配置,策略智能生成。表示层支持界面友好的人机交互,数据的快速检索与安全策略下发。接入系统的整体结构如图2所示。
图2 整体结构
接入系统在表示层支持浏览器多种业务的按钮式操作,对多种监测的结果能够直接反映到页面上,能够直观地呈现终端业务数据的动态变化。同时,基于多种测试模式和多种攻击方法的测试,可以通过高效的数据结构,以及并行的数据分析和统计方法,在页面切换时快速反映网络状态变换与可能出现的性能缺陷。
3 关键技术
以下介绍系统实现的一些关键问题及解决方法。
3.1 基于协议指纹的资产扫描、识别技术
主被动结合是进行物联网空间资产发现探测的主要手段[9]。以资产和业务为中心,研究精准的资产扫描和业务识别技术是关键点和难点。我们针对终端操作系统和应用软件的精准识别问题,结合主被动扫描和特征工程方法,研究实现针对终端网络及其流量的端口探测、协议指纹、数据包深度解析、网络秩序流重构等方法,并从中分析终端操作系统和应用软件的特征(见图3)。其中,为缓解网络流量加密对终端操作系统和软件版本识别的影响,重点通过综合SSL/TLS握手过程特征和流统计特征的提取方法。
图3 终端指纹提取与识别方法
3.2 多维度业务安全接入控制机制
由于无线网络具有共享信道特性,我们更应该注重其网络安全,需要对其进行有效的安全接入控制,检测非法入侵[10]。基于SDN架构的无线通信技术支持高度的接入控制和智能无线感知,包括有效识别非法终端、非法接入点、异常流量等,可提高正常终端无线接入的安全性,通过可编程的无线管理逻辑,可实现专业灵活的无线隐藏和接入控制。
通过功率动态调整并屏蔽低速传输,结合终端定位技术,能够确保非法终端只有在场景内或非常接近才能接入。在此基础上,通过进一步基于轨迹的分析,可以实时发现从外部进入场景中的终端设备(见图4)。
图4 非法终端入侵控制机制
此外,还可以通过设置SSID感知模式,为不同终端配置不同SSID(可根据终端MAC按算法生成),来进行安全接入控制。每个终端需要正确算出其SSID,只有白名单中的MAC正确算出SSID并知晓对应密码方能接入,从而确保每个SSID只允许对应MAC接入(见图5)。
图5 SSID与MAC地址绑定机制
对于非法网关,除了需要有效识别其相关信息,还需要通过信号压制技术将此类安全事件的危害降到最低。对于异常数据流,要通过服务链中的IDS/IPS的网络功能进行识别和防护。
3.3 多业务共享资源隔离及切片技术
物联接入网承载了诸如视频监控、智能机器人巡检等多种业务接入,每个业务的接入资源、接入逻辑、业务安全性要求等各不相同。在共享通信资源的业务接入框架基础上,系统对各个业务屏蔽关键的系统资源和逻辑资源,限制各个业务之间的资源可见性,设置不同的访问控制权限,保证不同业务的安全性。因此,我们需要在保证提高共享资源利用率的同时,利用终端切片技术,隔离不同终端在网络上的资源,通过访问权限的控制,更好地保证终端业务的安全性。利用虚拟化技术实现逻辑上的隔离,基于终端、虚拟AP、VLAN的不同对应关系形成网络切片,使切片间相互隔离,发生异常则阻断对应切片(见图6)。
图6 切片式服务及隔离方式
4 系统应用
以某狱所安防网部署环境为例,对其分布视频摄像头、摄像机、录像机、智能门禁、智能报警、人脸识别系统、电脑主机、笔记本、服务器、路由设备等多个品牌、类型、型号的智能物联设备的具体组网及系统部署方案如图7所示。
图7 典型安防物联网的系统部署
该狱所网络环境包含视频监控系统、监区门禁系统、AB门访客管理系统、电动门系统、询问系统、会见管理系统、电化教育系统、机房系统等,总计智能物联终端三千余个,涉及数十个厂家,上百个型号产品。基于我们的系统技术,狱所云监控中心实现智能物联终端的统一管理、安全接入、集中管控,资产识别率90%以上,可信接入率100%,极大地降低了不良资产、非法资产、侵入行为等带来的安全风险,如图8所示。系统北向支持WAN口、4/5G等;南向支持宽带窄带,支持ZigBee、NB-IoT、LoRa、Wi-Fi6等实现南向传感器设备无线接入和组网通信;支持识别物理终端、虚拟设备、操作系统类型、业务、应用、IP地址、端口。
图8 终端发现及安全接入系统
网络安全与行为管控能力的统一分发,支持安全审计、资产管理、漏洞扫描、入侵防御、防病毒、威胁情报分析、行为管理和防火墙等能力的定制与动态加载,如图9所示。
图9 业务能力统一分发
5 总结
我们结合软件定义网络、网络空间资产探测、安全准入控制、风险评估等技术,研究物联终端安全可信接入关键技术,有效应对针对新型业务场景的复杂多变的攻击,有效防范新型业务应用与终端接入带来的安全风险,提升物联网安全防护体系的纵深防御能力,有利于提升整体的安全运维水平。