加入
我们
投稿
反馈
评论 返回
顶部

内容字号: 默认 大号超大号

段落设置: 段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

SSL还是IPsec?物联网设备安全密钥之争

2019-05-15 09:18 出处:未知 人气: 评论(

物联网(IoT)设备无处不在——从建造楼层和楼宇管理到视频监控和照明系统。然而,安全威胁是企业或家庭环境采用物联网设备的重要障碍,比如远程医疗监控的敏感应用。物联网安全可以分为以下三个不同的组件:

1.应用服务

2.终端设备

3.运输

虽然这三个对系统安全性至关重要,但这篇文章将仅讨论网络传输的安全性。

有两个主要领域,用户使用较少的设备增长量最快:消费和工业应用。 在消费者空间中,家庭安全系统和设备将理想地使用基于SSL的VPN,因为源点和目的地点可以被良好定义,例如,报警系统收集数据并将其发送到监控程序。

在工业领域,物联网将用于连接机器和自动化,以提高制造运营的产出和效率。传感器已经在许多工业系统中使用,例如,在同一工厂车间内,低容量传感器可以彼此靠近放置,以监视设备温度,编程PLC或控制照明系统。

大多数传感器不具有实现适当级别的加密所需的计算能力,因此需要网络来提供这种功能。这可以通过内部网络实现,在某些情况下甚至可以通过合作伙伴的网络实现。

在某些地区,IoT将导致小区域内设备的密度急剧上升,每个设备都需要安全保护关键数据。

由于这些应用程序大部分都链接到关键业务系统,因此它们通常与企业的IT基础设施集成。这带来了一系列独特的安全挑战。

SSL vs. IPsec

基于网络的加密,即SSL和IPsec,哪个最适合于在IoT上的安全网关和设备?

IPsec作为物联网网关的安全协议,可能是比SSL更好的选择,因为这些网关用于将非IP数据转换为IP。因此,它们可以是网络中的第一个IP连接点。这些网关用于连接不同类型的设备,并共享传感器数据,包括视频监控、照明、温度和工业控制系统。由于大多数低端传感器不支持加密(如灯泡),第一跳路由器可能是网络中的第一个加密点。

由于对多种类型的数据进行分段,IoT基础设施将需要适当的站点到站点加密。IPsec为远程访问站点到站点连接提供了好处。 由于IoT需要网络分段,因此可以在数据平面中在定义的点解密IPsec,如图所示,仅连接网络某些部分中的特定VPN段。

在实现IPsec的传统方法中,IKE控制和IPsec数据平面都被合并,不提供比SSL显着的益处。然而,使用软件定义网络(SDN)技术,可以扩展IPsec以使用因特网密钥交换(IKE)作为控制/管理信道,IPsec作为数据信道来提供数据控制平面分离。

SSL缺乏灵活性

SSL不能提供灵活性,因为它是需要在同一设备处终止连接的传输层协议。与SDN相关的主要优势之一是能够将控制和数据平面,从设备按设备垂直规模转换到分布式水平规模。

这在物联网环境中尤其重要,因为网络分段的使用增加了资源分配的重要性。例如,来自视频监控应用的低优先级流量不应该影响高优先级网络资源;又例如来自制造细分的PLC流量。

此外,控制和数据平面的水平分布实现了灵活的流量检查,这使得可以提供诸如IPS IDS的服务作为服务链,以便更好地管理容量。基于段和容量重新定位解密点的能力提供了更高的服务链灵活性,因为它不绑定到任何单个设备,并且可以与网络功能虚拟化一起水平移动。虽然流量应始终在源加密,但理想情况下,我们应该能够根据容量和安全要求在网络中的任何时间对其进行解密,这还能确保没有单个设备故障影响网络的可用性。

上面的图片显示了向不同网段提供服务的物联网设备的多个部分。第一段是照明系统;第二是视频监控系统。注意,在集中控制器之间存在可以使用IKE或任何其他IPsec密钥分发方法实现的控制连接。同时,除了它们与中央控制器的连接之外,在路由器R1至R8之间没有控制连接,这些可以独立扩展。这种架构的最大好处是没有单个设备故障影响数据平面和IPsec网关之间的控制连接的重新建立。

为了说明这一点,请考虑使用IPsec的此容量规划和故障情形。 来自一个远程分支的视频监控具有与路由器R4和R5的IPsec数据平面连接,并且出于策略的原因,所有业务流经R4。 如果R4失败,来自R1的所有流量将通过R5重新路由,而不需要重新建立任何连接。如果R4被淹没了,简单的组策略修改可以将站点重新路由到R5,并且可以添加另一路由器用于故障转移。

消除每个节点处控制平面的动态解密模型可以出于安全原因和容量规划而适应按需服务链接。此外,它可以水平扩展高可用性,然后垂直SSL网关终止大量连接,这将需要在发生故障时重新建立与另一个SSL网关的连接。

分享给小伙伴们:
本文标签:

更多文章

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。


Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有 Power by DedeCms