基于物聯網面臨的各種安全威脅分析,安全管理包含了設備管理、拓撲管理、策略管理、事件管理和應急管理。設備管理只對安全設備進行系統的在線或離線管理,并實現設備間的互動防御。拓撲管理就是對安全設備的拓撲結構、連接關系和工作情況進行管理;事件管理就是對安全設備上傳的安全事件進行系統的格式處理、排序或者過濾等;策略管理就是指靈活設置安全策略;應急管理是指發生重大安全事件時對安全設備和工作人員的應急聯動。
基于安全管理的框架,可以設計出以下兩個重要的安全管理系統:
第一,基于SOA(面向服務)的安全管理系統設計。為了迎合物聯網多網融合的特性,滿足其互聯互通的需求,可以采用基于SOA架構的系統來實現安全管理。SOA是一個組件模型,它通過服務之間的良好接口和契約,將應用程序的不同功能單元聯系起來,實現硬件平臺、編程語言和操作系統的有機結合?;赟OA的管理架構圖如下:
基于SOA的安全管理結構圖
如圖所示,管理客戶端和后臺服務統稱為管理平臺,管理客戶端和后臺服務通過SOAP所描述的XML文件進行通信。其中,管理客戶端采用前述的Eclipse RCP結構的應用程序框架,由6個插件部署在RCP框架中構成;后臺服務由web服務實現,通過WSDL描述的接口進行發布。
SOAP負責通信和多項附加協議所保證的各個方面,它是基于XML的用于應用程序數據編碼的傳輸協議,提供了一種可通過多種底層協議進行交互的數據結構。這種框架的設計思想獨立于任何一種特定的編程模型。
第二,統一身份管理及訪問控制系統。該系統可以構建企業級用戶目錄管理,實現不同用戶群體之間的系統認證,并可以將大量分散的系統和信息進行連接和整合。其系統采用先進的面向服務的體系架構,基于PKI理論體系,提供身份認證、單點登錄、訪問授權和策略管理。這些服務綜合起來,組成了企業一站式服務平臺。身份管理及訪問控制系統的基本模塊如下:
?。?)認證中心。存儲企業用戶的目錄,完成對用戶角色、身份等信息的體系管理。
(2)訪問管理和授權系統。負責用戶的授權、角色分配;訪問策略的管理與定制;用戶授權數據的自動同步和用戶訪問的安全審計。
?。?)身份認證服務。身份認證前置為應用系統提供安全認證接口、訪問請求和中轉認證,完成對用戶身份認證和角色的互換。其技術原理是:將代表用戶身份的數字證書或者相應的密匙在密碼鑰匙中,認證時,有密匙完成數字簽名和加密。信息以秘文的形式在網絡中傳輸,具有很高的安全性。
?。?)訪問控制服務。就是應用系統插件從應用系統中得到單點登錄所需的用戶信息,并生成訪問業務系統的請求,對敏感信息加密簽名。
?。?)CA中心和數據證書網上受理系統。負責用戶身份認證和單點系統中的證書簽發用戶身份證憑證的制作。
(6)單點登錄系統。單點登錄系統基于數字證書,使各種數據資源和防衛系統成為一個有機的整體,通過在各個信息終端安裝訪問代理中間件,與防衛系統的認證服務器進行通信。