基于物聯(lián)網(wǎng)面臨的各種安全威脅分析,安全管理包含了設(shè)備管理、拓?fù)涔芾怼⒉呗怨芾怼⑹录芾砗蛻?yīng)急管理。設(shè)備管理只對(duì)安全設(shè)備進(jìn)行系統(tǒng)的在線或離線管理,并實(shí)現(xiàn)設(shè)備間的互動(dòng)防御。拓?fù)涔芾砭褪菍?duì)安全設(shè)備的拓?fù)浣Y(jié)構(gòu)、連接關(guān)系和工作情況進(jìn)行管理;事件管理就是對(duì)安全設(shè)備上傳的安全事件進(jìn)行系統(tǒng)的格式處理、排序或者過濾等;策略管理就是指靈活設(shè)置安全策略;應(yīng)急管理是指發(fā)生重大安全事件時(shí)對(duì)安全設(shè)備和工作人員的應(yīng)急聯(lián)動(dòng)。
基于安全管理的框架,可以設(shè)計(jì)出以下兩個(gè)重要的安全管理系統(tǒng):
第一,基于SOA(面向服務(wù))的安全管理系統(tǒng)設(shè)計(jì)。為了迎合物聯(lián)網(wǎng)多網(wǎng)融合的特性,滿足其互聯(lián)互通的需求,可以采用基于SOA架構(gòu)的系統(tǒng)來實(shí)現(xiàn)安全管理。SOA是一個(gè)組件模型,它通過服務(wù)之間的良好接口和契約,將應(yīng)用程序的不同功能單元聯(lián)系起來,實(shí)現(xiàn)硬件平臺(tái)、編程語(yǔ)言和操作系統(tǒng)的有機(jī)結(jié)合。基于SOA的管理架構(gòu)圖如下:
基于SOA的安全管理結(jié)構(gòu)圖
如圖所示,管理客戶端和后臺(tái)服務(wù)統(tǒng)稱為管理平臺(tái),管理客戶端和后臺(tái)服務(wù)通過SOAP所描述的XML文件進(jìn)行通信。其中,管理客戶端采用前述的Eclipse RCP結(jié)構(gòu)的應(yīng)用程序框架,由6個(gè)插件部署在RCP框架中構(gòu)成;后臺(tái)服務(wù)由web服務(wù)實(shí)現(xiàn),通過WSDL描述的接口進(jìn)行發(fā)布。
SOAP負(fù)責(zé)通信和多項(xiàng)附加協(xié)議所保證的各個(gè)方面,它是基于XML的用于應(yīng)用程序數(shù)據(jù)編碼的傳輸協(xié)議,提供了一種可通過多種底層協(xié)議進(jìn)行交互的數(shù)據(jù)結(jié)構(gòu)。這種框架的設(shè)計(jì)思想獨(dú)立于任何一種特定的編程模型。
第二,統(tǒng)一身份管理及訪問控制系統(tǒng)。該系統(tǒng)可以構(gòu)建企業(yè)級(jí)用戶目錄管理,實(shí)現(xiàn)不同用戶群體之間的系統(tǒng)認(rèn)證,并可以將大量分散的系統(tǒng)和信息進(jìn)行連接和整合。其系統(tǒng)采用先進(jìn)的面向服務(wù)的體系架構(gòu),基于PKI理論體系,提供身份認(rèn)證、單點(diǎn)登錄、訪問授權(quán)和策略管理。這些服務(wù)綜合起來,組成了企業(yè)一站式服務(wù)平臺(tái)。身份管理及訪問控制系統(tǒng)的基本模塊如下:
(1)認(rèn)證中心。存儲(chǔ)企業(yè)用戶的目錄,完成對(duì)用戶角色、身份等信息的體系管理。
(2)訪問管理和授權(quán)系統(tǒng)。負(fù)責(zé)用戶的授權(quán)、角色分配;訪問策略的管理與定制;用戶授權(quán)數(shù)據(jù)的自動(dòng)同步和用戶訪問的安全審計(jì)。
(3)身份認(rèn)證服務(wù)。身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證接口、訪問請(qǐng)求和中轉(zhuǎn)認(rèn)證,完成對(duì)用戶身份認(rèn)證和角色的互換。其技術(shù)原理是:將代表用戶身份的數(shù)字證書或者相應(yīng)的密匙在密碼鑰匙中,認(rèn)證時(shí),有密匙完成數(shù)字簽名和加密。信息以秘文的形式在網(wǎng)絡(luò)中傳輸,具有很高的安全性。
(4)訪問控制服務(wù)。就是應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)中得到單點(diǎn)登錄所需的用戶信息,并生成訪問業(yè)務(wù)系統(tǒng)的請(qǐng)求,對(duì)敏感信息加密簽名。
(5)CA中心和數(shù)據(jù)證書網(wǎng)上受理系統(tǒng)。負(fù)責(zé)用戶身份認(rèn)證和單點(diǎn)系統(tǒng)中的證書簽發(fā)用戶身份證憑證的制作。
(6)單點(diǎn)登錄系統(tǒng)。單點(diǎn)登錄系統(tǒng)基于數(shù)字證書,使各種數(shù)據(jù)資源和防衛(wèi)系統(tǒng)成為一個(gè)有機(jī)的整體,通過在各個(gè)信息終端安裝訪問代理中間件,與防衛(wèi)系統(tǒng)的認(rèn)證服務(wù)器進(jìn)行通信。