• banner1
  • banner2
  • banner3
当前位置:主页 > 产品案例 >

www.d88.comSSL仍是IPsec?物联网设备安全密钥之争

来源:http://www.i-fpga.com 责任编辑:尊龙d88 更新日期:2018-08-23 14:56

  SSL仍是IPsec?物联网设备安全密钥之争

  物联网(IoT)设备无处不在——从缔造楼层和楼宇办理到视频监控和照明体系。但是,安全要挟是企业或家庭环境选用物联网设备的重要妨碍,比方长途医疗监控的灵敏运用。物联网安全能够分为以下三个不同的组件:

  1.运用效劳

  2.终端设备

  3.运送

  尽管这三个对体系安全性至关重要,但这篇文章将仅评论网络传输的安全性。

  有两个首要范畴,用户运用较少的设备增长量最快:消费和工业运用。 在消费者空间中,家庭安全体系和设备将抱负地运用依据SSL的VPN,由于源点和意图地址能够被杰出界说,例如,报警体系搜集数据并将其发送到监控程序。

  在工业范畴,物联网将用于衔接机器和自动化,以进步制作运营的产出和功率。传感器已经在许多工业体系中运用,例如,在同一工厂车间内,低容量传感器能够互相接近放置,以监督设备温度,编程PLC或操控照明体系。

  大多数传感器不具有完成恰当等级的加密所需的核算才能,因而需求网络来供给这种功用。这能够经过内部网络完成,在某些情况下乃至能够经过合作伙伴的网络完成。

  在某些地区,IoT将导致小区域内设备的密度急剧上升,每个设备都需求安全维护要害数据。

  由于这些运用程序大部分都链接到要害事务体系,因而它们一般与企业的IT基础设施集成。这带来了一系列共同的安全应战。

  SSL vs. IPsec

  依据网络的加密,即SSL和IPsec,哪个最适合于在IoT上的安全网关和设备?

  IPsec作为物联网网关的安全协议,可能是比SSL更好的挑选,由于这些网关用于将非IP数据转换为IP。因而,它们能够是网络中的榜首个IP衔接点。这些网关用于衔接不同类型的设备,并同享传感器数据,包含视频监控、照明、温度和工业操控体系。由于大多数低端传感器不支持加密(如灯泡),榜首跳路由器可能是网络中的榜首个加密点。

  由于对多种类型的数据进行分段,IoT基础设施将需求恰当的站点到站点加密。IPsec为长途拜访站点到站点衔接供给了优点。 由于IoT需求网络分段,因而能够在数据平面中在界说的点解密IPsec,如图所示,仅衔接网络某些部分中的特定VPN段。

  在完成IPsec的传统办法中,IKE操控和IPsec数据平面都被兼并,不供给比SSL明显的优点。但是,运用软件界说网络(SDN)技能,能够扩展IPsec以运用因特网密钥交流(IKE)作为操控/办理信道,IPsec作为数据信道来供给数据操控平面别离。

  SSL缺少灵敏性

  SSL不能供给灵敏性,由于它是需求在同一设备处停止衔接的传输层协议。与SDN相关的首要优势之一是能够将操控和数据平面,凯发娱乐国际从设备按设备笔直规划转换到散布式水平规划。

  这在物联网环境中特别重要,由于网络分段的运用增加了资源分配的重要性。例如,来自视频监控运用的低优先级流量不应该影响高优先级网络资源;又例如来自制作细分的PLC流量。

  此外,操控和数据平面的水平散布完成了灵敏的流量查看,这使得能够供给比如IPS IDS的效劳作为效劳链,以便更好地办理容量。依据段和容量从头定位解密点的才能供给了更高的效劳链灵敏性,由于它不绑定到任何单个设备,而且能够与网络功用虚拟化一同水平移动。尽管流量应一直在源加密,但抱负情况下,咱们应该能够依据容量和安全要求在网络中的任何时刻对其进行解密,这还能保证没有单个设备毛病影响网络的可用性。

  上面的图片显现了向不同网段供给效劳的物联网设备的多个部分。榜首段是照明体系;第二是视频监控体系。留意,在会集操控器之间存在能够运用IKE或任何其他IPsec密钥分发办法完成的操控衔接。一起,除了它们与中心操控器的衔接之外,在路由器R1至R8之间没有操控衔接,这些能够独立扩展。这种架构的最大优点是没有单个设备毛病影响数据平面和IPsec网关之间的操控衔接的从头树立。

  为了阐明这一点,请考虑运用IPsec的此容量规划和毛病景象。www.d88.com, 来自一个长途分支的视频监控具有与路由器R4和R5的IPsec数据平面衔接,而且出于战略的原因,一切事务流经R4。 假如R4失利,来自R1的一切流量将经过R5从头路由,而不需求从头树立任何衔接。假如R4被淹没了,简略的组战略修正能够将站点从头路由到R5,而且能够增加另一路由器用于毛病搬运。

  消除每个节点处操控平面的动态解密模型能够出于安全原因和容量规划而习惯按需效劳链接。此外,它能够水平扩展高可用性,然后笔直SSL网关停止很多衔接,这将需求在发作毛病时从头树立与另一个SSL网关的衔接。

Copyright © 2013 尊龙d88_www.d88.com_尊龙用现金娱乐一下下载㊣ All Rights Reserved 网站地图