基于IPv6—VPN的物聯(lián)網(wǎng)本質(zhì)安全方法構(gòu)想

鄔群輝 甘勇 王凱莉

摘 要：物聯(lián)網(wǎng)時(shí)代終將到來(lái)，IPv6地址的使用需求不斷提高以及IPv6地址的普及必將成為現(xiàn)實(shí)，但是物聯(lián)網(wǎng)存在信息泄露等安全性問(wèn)題，某些方面可以使用VPN技術(shù)加以解決。物聯(lián)網(wǎng)中的私人設(shè)備與用戶(hù)相聯(lián)結(jié)的設(shè)備（即該用戶(hù)所掌控設(shè)備組成的物聯(lián)網(wǎng)的核心設(shè)備）通過(guò)VPN技術(shù)合理聯(lián)結(jié)，使物聯(lián)網(wǎng)的安全性得到有效提高。

關(guān)鍵詞：IPv6；VPN；安全性

中圖分類(lèi)號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）08-0191-03

Abstract：In view of the coming of the internet of things，the need for the use of IPv6 addresses and the popularity of IPv6 addresses will become a reality. But there are security problems such as information leakage in the internet of things，and some aspects can be solved by using VPN technology. The equipment associated with the user in the internet of things （the core equipment of the internet of things that the user controls the equipment） is connected by VPN technology so that the security of the internet of things is effectively improved.

Keywords：IPv6；VPN；security

0 引 言

物聯(lián)網(wǎng)（IoT）可以應(yīng)用于人們?nèi)粘Ｉ詈凸ぷ鞯姆椒矫婷?，所涉及的學(xué)科和行業(yè)也比較多。關(guān)鍵技術(shù)包括RFID、傳感器、通信技術(shù)、嵌入式軟件以及傳輸數(shù)據(jù)計(jì)算等。物聯(lián)網(wǎng)由各種不同功能的節(jié)點(diǎn)組成，具有數(shù)量大、節(jié)點(diǎn)分散和管理復(fù)雜等特點(diǎn)，在數(shù)據(jù)通信和管理上網(wǎng)絡(luò)安全尤為重要[1]。物聯(lián)網(wǎng)節(jié)點(diǎn)主要安裝在無(wú)人監(jiān)控的場(chǎng)所，攻擊者較容易接觸到這些物理節(jié)點(diǎn)，甚至改變其操作特性。此外，攻擊者還可以越權(quán)或冒充合法節(jié)點(diǎn)與其他節(jié)點(diǎn)通信來(lái)享受其服務(wù)，因此，不同結(jié)構(gòu)的物聯(lián)網(wǎng)都有可能存在一定數(shù)量的損壞節(jié)點(diǎn)和惡意節(jié)點(diǎn)。IoT的標(biāo)簽管理體系無(wú)法證明自身信息發(fā)給哪個(gè)閱讀器，所以攻擊者可以獲得已認(rèn)證的身份，多次獲得其節(jié)點(diǎn)服務(wù)。攻擊者可以通過(guò)破壞標(biāo)簽數(shù)據(jù)，使節(jié)點(diǎn)的服務(wù)無(wú)法完成，也可以竊取或者偽造標(biāo)識(shí)竊取數(shù)據(jù)，以獲得相關(guān)服務(wù)或者為進(jìn)一步的攻擊做準(zhǔn)備。攻擊者還可以通過(guò)協(xié)議漏洞以及網(wǎng)絡(luò)本身的脆弱性，使某些節(jié)點(diǎn)獲取較高級(jí)別服務(wù)，甚至可以完成對(duì)物聯(lián)網(wǎng)其他節(jié)點(diǎn)的運(yùn)行控制。

傳統(tǒng)的認(rèn)證通過(guò)不同層次服務(wù)加以區(qū)分，如網(wǎng)絡(luò)層認(rèn)證僅負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別和認(rèn)證，業(yè)務(wù)層認(rèn)證僅負(fù)責(zé)業(yè)務(wù)層的身份鑒別和認(rèn)證，相互獨(dú)立存在。尤其是嵌入式IoT多為專(zhuān)用網(wǎng)絡(luò)結(jié)構(gòu)[2]，也就是說(shuō)，業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信在規(guī)劃和設(shè)計(jì)時(shí)已經(jīng)是一體的。網(wǎng)絡(luò)層的認(rèn)證是不可缺少的，所以IoT的業(yè)務(wù)層認(rèn)證機(jī)制可以不予設(shè)計(jì)[3]，在傳統(tǒng)的安全認(rèn)證中，僅僅區(qū)分不同的類(lèi)型和層次[4]。不同層次的認(rèn)證僅局限于當(dāng)前層次的不同身份鑒定，但是在物聯(lián)網(wǎng)中，大部分機(jī)器都有專(zhuān)有的職能，因而其中的層次都是綁定的，比如業(yè)務(wù)層和應(yīng)用層的通訊。由于網(wǎng)絡(luò)層的認(rèn)證是不可缺少的，其業(yè)務(wù)層的認(rèn)證機(jī)制就不再是必需的，而是可以根據(jù)業(yè)務(wù)由誰(shuí)來(lái)提供和業(yè)務(wù)的安全敏感程度來(lái)設(shè)計(jì)。

在不久的將來(lái)，我們生活中的每個(gè)人，甚至每一個(gè)物品都可以在任意時(shí)間、任意地點(diǎn)與網(wǎng)絡(luò)連接在一起，可以被感知其存在性。這時(shí)候就會(huì)出現(xiàn)一個(gè)問(wèn)題：信息的安全性和隱私性的問(wèn)題。防止個(gè)人信息、財(cái)產(chǎn)信息和其他信息丟失或者被盜用，這必將是未來(lái)物聯(lián)網(wǎng)向前推進(jìn)的一大難題，解決好這個(gè)問(wèn)題是物聯(lián)網(wǎng)發(fā)展關(guān)鍵所在。

1 IPv6-VPN安全物聯(lián)網(wǎng)設(shè)計(jì)

1.1 IPv6-VPN安全優(yōu)勢(shì)

與IPv4相比，IPv6具有以下幾個(gè)優(yōu)勢(shì)：（1）IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長(zhǎng)度為32，最大地址個(gè)數(shù)為2^32；IPv6中IP地址的長(zhǎng)度為128，即最大地址個(gè)數(shù)為2^128。與32位地址空間相比，其地址空間增加了2^128～2^32個(gè)；（2）IPv6使用更小的路由表。IPv6的地址分配一開(kāi)始就遵循聚類(lèi)（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長(zhǎng)度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度；（3）IPv6增加了增強(qiáng)的組播（Multicast）支持以及對(duì)流的控制（Flow Control），使網(wǎng)絡(luò)上的多媒體應(yīng)用得到了發(fā)展的機(jī)會(huì)，為服務(wù)質(zhì)量（QoS，Quality of Service）控制提供了良好的網(wǎng)絡(luò)平臺(tái)；（4）IPv6加入了對(duì)自動(dòng)配置（Auto Configuration）的支持，這是對(duì)DHCP協(xié)議的改進(jìn)和擴(kuò)展，使網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷；（5）IPv6具有更高的安全性，在使用IPv6網(wǎng)絡(luò)時(shí)，用戶(hù)可以對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密，并對(duì)IP報(bào)文進(jìn)行校驗(yàn)，IPv6中的加密與鑒別選項(xiàng)保證了分組的保密性與完整性，極大地增強(qiáng)了網(wǎng)絡(luò)的安全性；（6）允許擴(kuò)充。如果新的技術(shù)或應(yīng)用需要時(shí)，IPv6允許協(xié)議進(jìn)行擴(kuò)充；（7）頭部格式。IPv6使用新的頭部格式，其選項(xiàng)與基本頭部分開(kāi)，如果需要，可將選項(xiàng)插入到基本頭部與上層數(shù)據(jù)之間。這就簡(jiǎn)化和加速了路由選擇過(guò)程，因?yàn)榇蠖鄶?shù)的選項(xiàng)不需要由路器選擇；（8）新的選項(xiàng)。IPv6有一些新的選項(xiàng)來(lái)實(shí)現(xiàn)附加的功能。

1.2 IPv6-VPN在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

1.2.1 解決IP地址稀缺問(wèn)題

物聯(lián)網(wǎng)被稱(chēng)為“物物相連的互聯(lián)網(wǎng)”，相連的每一個(gè)“物”必須有唯一的標(biāo)示[5]。由于要進(jìn)入互聯(lián)網(wǎng)，除了物理地址之外，還需要一個(gè)網(wǎng)絡(luò)地址（即IP地址）。目前IPv4地址已經(jīng)完全分配完畢，如果再給每一個(gè)物品分配一個(gè)IPv4的地址是實(shí)現(xiàn)不了的，所以使用IPv6地址是一個(gè)很好的選擇。

1.2.2 IPv6地址對(duì)于物聯(lián)網(wǎng)安全性的保障

IPv6地址是“每一粒沙子都能分配到一個(gè)地址”，無(wú)窮無(wú)盡的地址空間可以保證我們每一個(gè)存在的人都可以分配到IP地址，并對(duì)這些地址進(jìn)行合理地分配和使用。

IPv6地址128位分8段，每段4個(gè)4位十六進(jìn)制數(shù)，具體格式如下：xxxx；xxxx；xxxx；xxxx；xxxx：xxxx；xxxx；xxxx。

其中每個(gè)x是代表一個(gè)4位的十六進(jìn)制數(shù)字格式。

現(xiàn)在全球人數(shù)為70億左右，預(yù)計(jì)直到物聯(lián)網(wǎng)普及也很難突破100億，暫且假定為100億人次，則標(biāo)識(shí)出每個(gè)人大約需要8.3位十六進(jìn)制數(shù)左右，那么可以用3段（12位）表示每一個(gè)使用IPv6地址的人。

未來(lái)的IP地址可以做如下分配：

第一個(gè)字段共16^4=65536位，用于標(biāo)識(shí)不同的國(guó)家、地區(qū)、特殊機(jī)構(gòu)以及保留位；第二、三個(gè)字段用于運(yùn)營(yíng)商標(biāo)識(shí)、地區(qū)（省市縣等各級(jí)）標(biāo)識(shí)、國(guó)家重要機(jī)關(guān)標(biāo)識(shí)和公司或民用標(biāo)識(shí)等；第四、五、六字段用于標(biāo)識(shí)個(gè)人身份，但會(huì)有一段保留的位置（如0000.0000.0000～0000.0000.0FFF），原因會(huì)在第4點(diǎn)介紹。由此可以發(fā)現(xiàn)一個(gè)人可能在不同的地區(qū)或公司有不同的IPv6地址，這就可以使用戶(hù)在公司和家中的或者其他不同地點(diǎn)都可以憑借自己的ID使用或探測(cè)響應(yīng)的設(shè)備；剩余兩個(gè)字段供給用戶(hù)自由分配給各類(lèi)物聯(lián)網(wǎng)設(shè)備，這兩段可以設(shè)置不同權(quán)限消息。

其中，如果二、三字段中標(biāo)識(shí)為公司，則設(shè)備由公司網(wǎng)絡(luò)管理員分配IP地址，普通用戶(hù)（假設(shè)載體為手機(jī)或電腦）進(jìn)入公司即可被分配“各級(jí)標(biāo)識(shí)+公司標(biāo)識(shí)+自己個(gè)人身份標(biāo)識(shí)+權(quán)限信息”的地址，即可使用對(duì)應(yīng)權(quán)限的設(shè)備）。有的公司設(shè)備比較多，那么第3點(diǎn)中提到的保留位亦可用作分配。如果是民用地址，多數(shù)用于家庭或小公司，在二、三字段中區(qū)分則過(guò)于耗費(fèi)資源，而且其設(shè)備量不多，后八位十六進(jìn)制的數(shù)目就顯得過(guò)于龐大，那么只要在后八位中劃分出適當(dāng)?shù)奈粩?shù)作為統(tǒng)一標(biāo)識(shí)分配給用戶(hù)，帶有相同標(biāo)識(shí)的用戶(hù)可使用權(quán)限字段中的設(shè)備。這里還需要用到一個(gè)IP綁定的設(shè)備，把一家人的IP綁定在一起，（個(gè)人地址不同，但在家中使用同一地址）這樣才能共同使用家中的設(shè)備。小公司也是一樣，因?yàn)槿藬?shù)不多，設(shè)備承受能力會(huì)比較好。

IP地址分配好之后，設(shè)定外部通信的地址僅限管理地址（手機(jī)或電腦的地址），其余設(shè)備僅在內(nèi)部使用，僅可以為管理地址設(shè)備監(jiān)聽(tīng)或讀寫(xiě)，訪(fǎng)問(wèn)外網(wǎng)時(shí)需管理設(shè)備作為網(wǎng)關(guān)，這能一定程度上提高物聯(lián)網(wǎng)的安全性。

2 VPN隧道技術(shù)以及VPN技術(shù)在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

2.1 VPN簡(jiǎn)介

VPN即虛擬專(zhuān)用網(wǎng)絡(luò)。虛擬專(zhuān)用網(wǎng)絡(luò)的功能是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)。VPN有多種分類(lèi)方式，主要是按協(xié)議進(jìn)行分類(lèi)。VPN可通過(guò)服務(wù)器、硬件和軟件等多種方式實(shí)現(xiàn)。

2.2 VPN優(yōu)點(diǎn)

（1）VPN能夠讓員工和其他人員利用本地現(xiàn)有的高速寬帶網(wǎng)連接企業(yè)網(wǎng)絡(luò)。比如學(xué)校的成績(jī)查詢(xún)，如果不在學(xué)校，其他網(wǎng)絡(luò)登不進(jìn)系統(tǒng)，利用VPN就可以快速查詢(xún)相關(guān)信息；（2）設(shè)計(jì)良好的寬帶VPN是模塊化和可升級(jí)的；（3）VPN可以給用戶(hù)提供相對(duì)較高的安全性。VPN使用了加密和身份識(shí)別系統(tǒng)，避免用戶(hù)信息不必要的丟失和被盜用，阻止不法分子（黑客或者其他不相干人員）竊取信息；（4）完全控制。用戶(hù)可以完全掌握自己網(wǎng)絡(luò)的安全，也可以管理其他的相關(guān)技術(shù)。在自己的網(wǎng)絡(luò)中也能構(gòu)建自己的虛擬專(zhuān)用網(wǎng)絡(luò)。

2.3 VPN在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

VPN在現(xiàn)有水平可以保證相對(duì)的安全，在未來(lái)的物物相連中也應(yīng)起到其相應(yīng)的作用。除了之前所說(shuō)的通過(guò)IP地址的劃分來(lái)保證IP識(shí)別和使用設(shè)備，當(dāng)遠(yuǎn)程需要通過(guò)外網(wǎng)鏈接的時(shí)候，VPN是個(gè)安全可靠的選擇。每一個(gè)設(shè)備都分配一個(gè)外部IP地址和一個(gè)內(nèi)部IP地址，管理設(shè)備在和內(nèi)部設(shè)備需要使用外網(wǎng)通信的時(shí)候，可以使用隧道技術(shù)實(shí)現(xiàn)，這能很大程度地避免信息泄露，保障了用戶(hù)的隱私。

現(xiàn)階段，VPN在物聯(lián)網(wǎng)中的應(yīng)用主要體現(xiàn)在智能家居中[6]。假設(shè)家居中的組網(wǎng)采用Zigbee組網(wǎng)技術(shù)，通過(guò)協(xié)調(diào)器直連路由器進(jìn)行數(shù)據(jù)交換，路由器可以設(shè)置VPN，使家中的一些隱私數(shù)據(jù)不流失到外網(wǎng)中。這里提到的隱私數(shù)據(jù)主要分為兩類(lèi)：一類(lèi)是基于物聯(lián)網(wǎng)應(yīng)用功能的數(shù)據(jù)，即一些智能家居的控制信息數(shù)據(jù)；另一類(lèi)是額外的、不影響物聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)，比如攝像頭拍攝的視頻和圖片等。針對(duì)不同類(lèi)型的信息，可以設(shè)置不同的保密等級(jí)，這樣可以便于網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)一管理，這個(gè)有點(diǎn)類(lèi)似于QoS。在物聯(lián)網(wǎng)將要普及的時(shí)代，用戶(hù)應(yīng)該擁有管理自己信息隱私的權(quán)利，所以在推廣智能家居的同時(shí)，也應(yīng)該對(duì)應(yīng)給出一套由用戶(hù)自己設(shè)定的隱私保護(hù)方案，我相信這將十分有利于未來(lái)物聯(lián)網(wǎng)行業(yè)的規(guī)范發(fā)展，也將會(huì)有助于更多面對(duì)物聯(lián)網(wǎng)，尚在觀望的大眾選擇加入其中。

參考文獻(xiàn)：

[1] 毛燕琴，沈蘇彬.物聯(lián)網(wǎng)信息模型與能力分析軟件學(xué)報(bào) [J].軟件學(xué)報(bào)，2014（8）：85-95.

[2] 徐楊，王曉峰，何清漪.物聯(lián)網(wǎng)環(huán)境下多智能體決策信息支持技術(shù) [J].軟件學(xué)報(bào)，2014，25（10）：25-45.

[3] 范紅，邵華，李程遠(yuǎn)，等.物聯(lián)網(wǎng)安全技術(shù)體系研究 [C]//第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì).第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集.中國(guó)福建武夷山：《信息網(wǎng)絡(luò)安全》編輯部，2011：13-16.

[4] 戴榮.關(guān)于網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的分析 [J].電子技術(shù)與軟件工程，2016（9）：214.

[5] 任宗偉.物聯(lián)網(wǎng)基礎(chǔ)技術(shù) [M].北京：中國(guó)物資出版社，2011.

[6] 邊倩，王振鐸，張慧娥.IPv6協(xié)議在現(xiàn)代網(wǎng)絡(luò)工程中的運(yùn)用探析 [J].電子技術(shù)與軟件工程，2016（16）：13.

作者簡(jiǎn)介：鄔群輝（1980-），男，工程師，本科。研究方向：計(jì)算機(jī)系統(tǒng)集成、計(jì)算機(jī)控制系統(tǒng)。