物聯(lián)網(wǎng)的網(wǎng)絡(luò)層的工作就是把感知層收集到的數(shù)據(jù)安全地發(fā)送到信息處理層，然后根據(jù)不同的應(yīng)用需求進(jìn)行信息分析和處理，實(shí)現(xiàn)對(duì)客觀(guān)事物的感知和控制。目前，全球物聯(lián)網(wǎng)應(yīng)用還處在初級(jí)階段，關(guān)于網(wǎng)絡(luò)層安全的相關(guān)法律法規(guī)尚未完善，系統(tǒng)體系也沒(méi)有成型，這些不利因素使網(wǎng)絡(luò)層成為了物聯(lián)網(wǎng)最易遭受攻擊的一層。

　　網(wǎng)絡(luò)層的安全威脅主要來(lái)自以下幾個(gè)方面：一是對(duì)終端的入侵，終端感染病毒，或者篡改軟硬件模塊，從而竊取存儲(chǔ)的私密信息；二是對(duì)傳輸鏈路的入侵，通過(guò)刪除、改寫(xiě)鏈路上的數(shù)據(jù)和對(duì)各種協(xié)議級(jí)的干擾，使數(shù)據(jù)傳輸堵塞；三是對(duì)核心網(wǎng)絡(luò)的入侵，絕大多數(shù)物聯(lián)網(wǎng)開(kāi)發(fā)業(yè)務(wù)信息要用到互聯(lián)網(wǎng)傳輸，移動(dòng)通信與互聯(lián)網(wǎng)的核心網(wǎng)絡(luò)具有相對(duì)完整的安全保護(hù)能力，但核心網(wǎng)絡(luò)很容易受到Ddos攻擊和假冒攻擊。

　　面對(duì)攻擊，網(wǎng)絡(luò)層的安全需求應(yīng)涵蓋以下幾個(gè)方面：一是保證業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全，保證數(shù)據(jù)在傳輸過(guò)程中不被泄露與截獲；二是解決終端和異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認(rèn)證，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)的連接認(rèn)證和對(duì)異構(gòu)網(wǎng)絡(luò)互連的身份認(rèn)證。三是異構(gòu)網(wǎng)絡(luò)下終端的安全接入。針對(duì)物聯(lián)網(wǎng)M2M的工作特征，對(duì)網(wǎng)絡(luò)框架和接入技術(shù)進(jìn)行優(yōu)化和改進(jìn)。四是物聯(lián)網(wǎng)協(xié)議總和的標(biāo)準(zhǔn)需求。即建立一個(gè)統(tǒng)一的協(xié)議棧和相應(yīng)的技術(shù)標(biāo)準(zhǔn)，防止協(xié)議漏洞。五是大規(guī)模分布式安全監(jiān)控。針對(duì)物聯(lián)網(wǎng)關(guān)于實(shí)時(shí)性、穩(wěn)定性、資源可靠性等方面的要求，對(duì)物聯(lián)網(wǎng)終端進(jìn)行大規(guī)模部署，建立安全的管控體系。

　　目前，核心網(wǎng)主要是指運(yùn)營(yíng)商的核心網(wǎng)絡(luò)，其重要性不言而喻，其安全防御系統(tǒng)主要包括：安全通道管控設(shè)備、防火墻、網(wǎng)絡(luò)密碼設(shè)備、漏洞掃描設(shè)備、入侵檢測(cè)設(shè)備、防病毒計(jì)算機(jī)、補(bǔ)丁分發(fā)服務(wù)器和綜合安全管理設(shè)備。

　　我們對(duì)其中的最重要的幾個(gè)設(shè)備的安全防護(hù)機(jī)制進(jìn)行簡(jiǎn)要分析：

　　第一，綜合安全管理設(shè)備。該設(shè)備能夠?qū)φ麄€(gè)網(wǎng)絡(luò)的安全情況進(jìn)行統(tǒng)一的監(jiān)視，并對(duì)安全設(shè)備進(jìn)行系統(tǒng)的管理，構(gòu)建全網(wǎng)安全管理體系；還可以對(duì)全網(wǎng)的安全事件進(jìn)行匯總、上報(bào)，實(shí)現(xiàn)網(wǎng)絡(luò)層各類(lèi)安全設(shè)備和系統(tǒng)的互聯(lián)互動(dòng)。

　　第二，證書(shū)管理系統(tǒng)。該系統(tǒng)負(fù)責(zé)管理和簽發(fā)數(shù)字證書(shū)，由證書(shū)注冊(cè)中心、簽發(fā)中心和證書(shū)目錄服務(wù)器組成。該系統(tǒng)還有一些附加功能，如證書(shū)撤銷(xiāo)、證書(shū)恢復(fù)、證書(shū)發(fā)布、密匙申請(qǐng)、日志審計(jì)、備份恢復(fù)和各種查詢(xún)服務(wù)。證書(shū)管理系統(tǒng)的關(guān)系圖如下：

　　第三，應(yīng)用安全訪(fǎng)問(wèn)控制設(shè)備。該設(shè)備采用安全隧道技術(shù)，在服務(wù)器和物聯(lián)網(wǎng)中間建立一條安全隧道，隔離兩者的直接連接，而所有的查詢(xún)和訪(fǎng)問(wèn)都必須經(jīng)過(guò)安全隧道的同意。其工作原理是：終端將訪(fǎng)問(wèn)請(qǐng)求通過(guò)安全隧道發(fā)送給應(yīng)用訪(fǎng)問(wèn)控制設(shè)備，該設(shè)備會(huì)馬上做出響應(yīng)，并驗(yàn)證終端設(shè)備的身份，然后查詢(xún)終端設(shè)備的權(quán)限，最后決定是否允許終端設(shè)備訪(fǎng)問(wèn)。

　　應(yīng)用安全訪(fǎng)問(wèn)控制設(shè)備需要的功能主要有：統(tǒng)一的安全保護(hù)機(jī)制、基于數(shù)字證書(shū)和USBKEY的身份認(rèn)證、數(shù)據(jù)安全保護(hù)和透明轉(zhuǎn)發(fā)。

　　第四，安全通道管控設(shè)備。該設(shè)備部署在物聯(lián)網(wǎng)LNS服務(wù)器和運(yùn)營(yíng)商網(wǎng)關(guān)之間，主要用來(lái)防御公網(wǎng)和終端設(shè)備的各種安全威脅。它主要有兩個(gè)特點(diǎn)：（1）對(duì)用戶(hù)透明、對(duì)網(wǎng)絡(luò)設(shè)備透明，信任度很高；（2）可以根據(jù)需求對(duì)網(wǎng)絡(luò)通信的內(nèi)容進(jìn)行監(jiān)視。

　　第五，漏洞掃描系統(tǒng)。在可掃描IP的范圍內(nèi)，該系統(tǒng)可以對(duì)不同操作系統(tǒng)的計(jì)算機(jī)進(jìn)行漏洞檢測(cè)，分析和指出計(jì)算機(jī)網(wǎng)絡(luò)的薄弱環(huán)節(jié)，并可以針對(duì)監(jiān)測(cè)到的網(wǎng)絡(luò)安全隱患，提出相應(yīng)的解決方法、安全建議和補(bǔ)救措施，從而提高安全保密分系統(tǒng)的保密能力和抗破壞能力。

　　第六，入侵檢測(cè)設(shè)備。該設(shè)備為終端子網(wǎng)提供異常信息的監(jiān)測(cè)，在第一時(shí)間發(fā)現(xiàn)攻擊行為，并在全網(wǎng)開(kāi)啟警報(bào)。另外，分析檢測(cè)設(shè)備還可以對(duì)網(wǎng)絡(luò)層的大部分?jǐn)?shù)據(jù)進(jìn)行分析和排查，提供多種應(yīng)用協(xié)議的審計(jì)，記錄各個(gè)與之相關(guān)聯(lián)的終端設(shè)備訪(fǎng)問(wèn)行為。

　　第七，防病毒服務(wù)器。該設(shè)備主要用于保護(hù)網(wǎng)絡(luò)中的服務(wù)器和應(yīng)用主機(jī)，防止主機(jī)和服務(wù)器因感染病毒而導(dǎo)致通信故障、數(shù)據(jù)丟失或癱瘓。防病毒服務(wù)器包括監(jiān)控中心和客戶(hù)端，客戶(hù)端分別部署在主機(jī)和服務(wù)器上，監(jiān)控中心則部署在基礎(chǔ)子網(wǎng)中。

　　第八，補(bǔ)丁分發(fā)服務(wù)器。該服務(wù)器部署在安全防護(hù)系統(tǒng)內(nèi)網(wǎng)之中，采用B/S架構(gòu)，可在網(wǎng)絡(luò)的任何終端，通過(guò)登錄內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器對(duì)頁(yè)面進(jìn)行管理、對(duì)各種信息進(jìn)行查詢(xún)服務(wù)。將來(lái)，補(bǔ)丁分發(fā)系統(tǒng)可以根據(jù)客戶(hù)端數(shù)量和管理需求進(jìn)行功能的無(wú)縫拓展。