中國云安全：物聯網安全設計指南（82頁）.pdf

《中國云安全：物聯網安全設計指南（82頁）.pdf》由會員分享，可在線閱讀，更多相關《中國云安全：物聯網安全設計指南（82頁）.pdf（82頁珍藏版）》請在三個皮匠報告上搜索。

1、網絡傳輸過程中，受到的威脅主要有被竊取、被修改、被重放、被攔截等，必須采用相應的措施保障網絡傳輸的安全。網絡傳輸安全具體是指通過安全技術或方案為物聯網傳輸層提供安全保障以及安全性支持，為防范在傳輸過程信息被第三方惡意截獲、監控、分析、重放、篡改等。網絡傳輸安全需要采用端到端保護原則，確保在中間人無法惡意插入。數據傳輸應采用加密，即便數據被接觸也可以在生命周期內保障安全，網絡應采用隔離等手段，減少被截獲、篡改的風險。數據應采用完整性機制，在數據被篡改能及時發現，并采用時間戳和序列號方式，檢測攔截，避免重放等。物聯網傳輸安全框架采用端到端原則（end-to-end principle），即通信中的

2、兩端主機，其安全性不依賴其通信實際經過的物理路線的安全性，將連接的特性與功能放在網絡邊緣設備上而非核心網中。物聯網邊緣設備包括物聯網終端設備和物聯網應用層的各設備實體，在數據傳輸中位于數據最開始發送和最終處理的設備。物聯網系統的端到端數據安全傳輸應遵循以下原則： 建立數據傳輸的雙方應采用合適的認證機制，確保端點可信； 物聯網邊緣設備應盡可能進行安全的加密/解密、簽名/驗證等密碼功能； 控制數據與業務數據分離； 傳輸安全應盡量不依賴來于原有的通信網絡安全框架； 在第一條未能滿足的情況下，物聯網系統中完成安全傳輸功能的主體應盡量接近物聯網系統的邊緣；&nbs

3、p;系統應根據物聯網安全等級劃分規則選擇合適強度的加解密或完整性方案；高等級系統需要采用數字證書認證和加密； 數據的端到端安全傳輸原則保障物聯網系統中數據的發送節點到接收節點間實現安全傳輸，但是此設計應不影響中間節點中對數據進行鑒權、驗證和過濾。在杜絕明文傳輸的基礎上，進一步加強數據過濾、認證等加密操作，確保傳送數據的正確性。同時， 還可進行設備指紋、時間戳、身份驗證、消息完整性等多維度校驗， 最大程度保證數據傳輸的安全性。物聯網系統的傳輸加密應遵循以下原則：a) 選擇占用系統資源少或輕型的加密算法來控制智能硬件設備的功耗及流量成本，常用的是 AES 加密技術、SSL/TLS 加密技術；b) 加強數據過濾、認證等加密操作，確保傳送數據的正確性；c) 進行設備指紋、時間戳、身份驗證、消息完整性等多維度校驗，最大程度保證數據傳輸的安全性；