鄔群輝 甘勇 王凱莉

摘 要：物聯(lián)網(wǎng)時代終將到來，IPv6地址的使用需求不斷提高以及IPv6地址的普及必將成為現(xiàn)實，但是物聯(lián)網(wǎng)存在信息泄露等安全性問題，某些方面可以使用VPN技術(shù)加以解決。物聯(lián)網(wǎng)中的私人設(shè)備與用戶相聯(lián)結(jié)的設(shè)備（即該用戶所掌控設(shè)備組成的物聯(lián)網(wǎng)的核心設(shè)備）通過VPN技術(shù)合理聯(lián)結(jié)，使物聯(lián)網(wǎng)的安全性得到有效提高。

關(guān)鍵詞：IPv6；VPN；安全性

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2018）08-0191-03

Abstract：In view of the coming of the internet of things，the need for the use of IPv6 addresses and the popularity of IPv6 addresses will become a reality. But there are security problems such as information leakage in the internet of things，and some aspects can be solved by using VPN technology. The equipment associated with the user in the internet of things （the core equipment of the internet of things that the user controls the equipment） is connected by VPN technology so that the security of the internet of things is effectively improved.

Keywords：IPv6；VPN；security

0 引 言

物聯(lián)網(wǎng)（IoT）可以應(yīng)用于人們?nèi)粘Ｉ詈凸ぷ鞯姆椒矫婷?，所涉及的學(xué)科和行業(yè)也比較多。關(guān)鍵技術(shù)包括RFID、傳感器、通信技術(shù)、嵌入式軟件以及傳輸數(shù)據(jù)計算等。物聯(lián)網(wǎng)由各種不同功能的節(jié)點組成，具有數(shù)量大、節(jié)點分散和管理復(fù)雜等特點，在數(shù)據(jù)通信和管理上網(wǎng)絡(luò)安全尤為重要[1]。物聯(lián)網(wǎng)節(jié)點主要安裝在無人監(jiān)控的場所，攻擊者較容易接觸到這些物理節(jié)點，甚至改變其操作特性。此外，攻擊者還可以越權(quán)或冒充合法節(jié)點與其他節(jié)點通信來享受其服務(wù)，因此，不同結(jié)構(gòu)的物聯(lián)網(wǎng)都有可能存在一定數(shù)量的損壞節(jié)點和惡意節(jié)點。IoT的標(biāo)簽管理體系無法證明自身信息發(fā)給哪個閱讀器，所以攻擊者可以獲得已認(rèn)證的身份，多次獲得其節(jié)點服務(wù)。攻擊者可以通過破壞標(biāo)簽數(shù)據(jù)，使節(jié)點的服務(wù)無法完成，也可以竊取或者偽造標(biāo)識竊取數(shù)據(jù)，以獲得相關(guān)服務(wù)或者為進(jìn)一步的攻擊做準(zhǔn)備。攻擊者還可以通過協(xié)議漏洞以及網(wǎng)絡(luò)本身的脆弱性，使某些節(jié)點獲取較高級別服務(wù)，甚至可以完成對物聯(lián)網(wǎng)其他節(jié)點的運行控制。

傳統(tǒng)的認(rèn)證通過不同層次服務(wù)加以區(qū)分，如網(wǎng)絡(luò)層認(rèn)證僅負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別和認(rèn)證，業(yè)務(wù)層認(rèn)證僅負(fù)責(zé)業(yè)務(wù)層的身份鑒別和認(rèn)證，相互獨立存在。尤其是嵌入式IoT多為專用網(wǎng)絡(luò)結(jié)構(gòu)[2]，也就是說，業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信在規(guī)劃和設(shè)計時已經(jīng)是一體的。網(wǎng)絡(luò)層的認(rèn)證是不可缺少的，所以IoT的業(yè)務(wù)層認(rèn)證機(jī)制可以不予設(shè)計[3]，在傳統(tǒng)的安全認(rèn)證中，僅僅區(qū)分不同的類型和層次[4]。不同層次的認(rèn)證僅局限于當(dāng)前層次的不同身份鑒定，但是在物聯(lián)網(wǎng)中，大部分機(jī)器都有專有的職能，因而其中的層次都是綁定的，比如業(yè)務(wù)層和應(yīng)用層的通訊。由于網(wǎng)絡(luò)層的認(rèn)證是不可缺少的，其業(yè)務(wù)層的認(rèn)證機(jī)制就不再是必需的，而是可以根據(jù)業(yè)務(wù)由誰來提供和業(yè)務(wù)的安全敏感程度來設(shè)計。

在不久的將來，我們生活中的每個人，甚至每一個物品都可以在任意時間、任意地點與網(wǎng)絡(luò)連接在一起，可以被感知其存在性。這時候就會出現(xiàn)一個問題：信息的安全性和隱私性的問題。防止個人信息、財產(chǎn)信息和其他信息丟失或者被盜用，這必將是未來物聯(lián)網(wǎng)向前推進(jìn)的一大難題，解決好這個問題是物聯(lián)網(wǎng)發(fā)展關(guān)鍵所在。

1 IPv6-VPN安全物聯(lián)網(wǎng)設(shè)計

1.1 IPv6-VPN安全優(yōu)勢

與IPv4相比，IPv6具有以下幾個優(yōu)勢：（1）IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32，最大地址個數(shù)為2^32；IPv6中IP地址的長度為128，即最大地址個數(shù)為2^128。與32位地址空間相比，其地址空間增加了2^128～2^32個；（2）IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度；（3）IPv6增加了增強(qiáng)的組播（Multicast）支持以及對流的控制（Flow Control），使網(wǎng)絡(luò)上的多媒體應(yīng)用得到了發(fā)展的機(jī)會，為服務(wù)質(zhì)量（QoS，Quality of Service）控制提供了良好的網(wǎng)絡(luò)平臺；（4）IPv6加入了對自動配置（Auto Configuration）的支持，這是對DHCP協(xié)議的改進(jìn)和擴(kuò)展，使網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷；（5）IPv6具有更高的安全性，在使用IPv6網(wǎng)絡(luò)時，用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密，并對IP報文進(jìn)行校驗，IPv6中的加密與鑒別選項保證了分組的保密性與完整性，極大地增強(qiáng)了網(wǎng)絡(luò)的安全性；（6）允許擴(kuò)充。如果新的技術(shù)或應(yīng)用需要時，IPv6允許協(xié)議進(jìn)行擴(kuò)充；（7）頭部格式。IPv6使用新的頭部格式，其選項與基本頭部分開，如果需要，可將選項插入到基本頭部與上層數(shù)據(jù)之間。這就簡化和加速了路由選擇過程，因為大多數(shù)的選項不需要由路器選擇；（8）新的選項。IPv6有一些新的選項來實現(xiàn)附加的功能。

1.2 IPv6-VPN在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

1.2.1 解決IP地址稀缺問題

物聯(lián)網(wǎng)被稱為“物物相連的互聯(lián)網(wǎng)”，相連的每一個“物”必須有唯一的標(biāo)示[5]。由于要進(jìn)入互聯(lián)網(wǎng)，除了物理地址之外，還需要一個網(wǎng)絡(luò)地址（即IP地址）。目前IPv4地址已經(jīng)完全分配完畢，如果再給每一個物品分配一個IPv4的地址是實現(xiàn)不了的，所以使用IPv6地址是一個很好的選擇。

1.2.2 IPv6地址對于物聯(lián)網(wǎng)安全性的保障

IPv6地址是“每一粒沙子都能分配到一個地址”，無窮無盡的地址空間可以保證我們每一個存在的人都可以分配到IP地址，并對這些地址進(jìn)行合理地分配和使用。

IPv6地址128位分8段，每段4個4位十六進(jìn)制數(shù)，具體格式如下：xxxx；xxxx；xxxx；xxxx；xxxx：xxxx；xxxx；xxxx。

其中每個x是代表一個4位的十六進(jìn)制數(shù)字格式。

現(xiàn)在全球人數(shù)為70億左右，預(yù)計直到物聯(lián)網(wǎng)普及也很難突破100億，暫且假定為100億人次，則標(biāo)識出每個人大約需要8.3位十六進(jìn)制數(shù)左右，那么可以用3段（12位）表示每一個使用IPv6地址的人。

未來的IP地址可以做如下分配：

第一個字段共16^4=65536位，用于標(biāo)識不同的國家、地區(qū)、特殊機(jī)構(gòu)以及保留位；第二、三個字段用于運營商標(biāo)識、地區(qū)（省市縣等各級）標(biāo)識、國家重要機(jī)關(guān)標(biāo)識和公司或民用標(biāo)識等；第四、五、六字段用于標(biāo)識個人身份，但會有一段保留的位置（如0000.0000.0000～0000.0000.0FFF），原因會在第4點介紹。由此可以發(fā)現(xiàn)一個人可能在不同的地區(qū)或公司有不同的IPv6地址，這就可以使用戶在公司和家中的或者其他不同地點都可以憑借自己的ID使用或探測響應(yīng)的設(shè)備；剩余兩個字段供給用戶自由分配給各類物聯(lián)網(wǎng)設(shè)備，這兩段可以設(shè)置不同權(quán)限消息。

其中，如果二、三字段中標(biāo)識為公司，則設(shè)備由公司網(wǎng)絡(luò)管理員分配IP地址，普通用戶（假設(shè)載體為手機(jī)或電腦）進(jìn)入公司即可被分配“各級標(biāo)識+公司標(biāo)識+自己個人身份標(biāo)識+權(quán)限信息”的地址，即可使用對應(yīng)權(quán)限的設(shè)備）。有的公司設(shè)備比較多，那么第3點中提到的保留位亦可用作分配。如果是民用地址，多數(shù)用于家庭或小公司，在二、三字段中區(qū)分則過于耗費資源，而且其設(shè)備量不多，后八位十六進(jìn)制的數(shù)目就顯得過于龐大，那么只要在后八位中劃分出適當(dāng)?shù)奈粩?shù)作為統(tǒng)一標(biāo)識分配給用戶，帶有相同標(biāo)識的用戶可使用權(quán)限字段中的設(shè)備。這里還需要用到一個IP綁定的設(shè)備，把一家人的IP綁定在一起，（個人地址不同，但在家中使用同一地址）這樣才能共同使用家中的設(shè)備。小公司也是一樣，因為人數(shù)不多，設(shè)備承受能力會比較好。

IP地址分配好之后，設(shè)定外部通信的地址僅限管理地址（手機(jī)或電腦的地址），其余設(shè)備僅在內(nèi)部使用，僅可以為管理地址設(shè)備監(jiān)聽或讀寫，訪問外網(wǎng)時需管理設(shè)備作為網(wǎng)關(guān)，這能一定程度上提高物聯(lián)網(wǎng)的安全性。

2 VPN隧道技術(shù)以及VPN技術(shù)在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

2.1 VPN簡介

VPN即虛擬專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問。VPN有多種分類方式，主要是按協(xié)議進(jìn)行分類。VPN可通過服務(wù)器、硬件和軟件等多種方式實現(xiàn)。

2.2 VPN優(yōu)點

（1）VPN能夠讓員工和其他人員利用本地現(xiàn)有的高速寬帶網(wǎng)連接企業(yè)網(wǎng)絡(luò)。比如學(xué)校的成績查詢，如果不在學(xué)校，其他網(wǎng)絡(luò)登不進(jìn)系統(tǒng)，利用VPN就可以快速查詢相關(guān)信息；（2）設(shè)計良好的寬帶VPN是模塊化和可升級的；（3）VPN可以給用戶提供相對較高的安全性。VPN使用了加密和身份識別系統(tǒng)，避免用戶信息不必要的丟失和被盜用，阻止不法分子（黑客或者其他不相干人員）竊取信息；（4）完全控制。用戶可以完全掌握自己網(wǎng)絡(luò)的安全，也可以管理其他的相關(guān)技術(shù)。在自己的網(wǎng)絡(luò)中也能構(gòu)建自己的虛擬專用網(wǎng)絡(luò)。

2.3 VPN在物聯(lián)網(wǎng)中的應(yīng)用構(gòu)想

VPN在現(xiàn)有水平可以保證相對的安全，在未來的物物相連中也應(yīng)起到其相應(yīng)的作用。除了之前所說的通過IP地址的劃分來保證IP識別和使用設(shè)備，當(dāng)遠(yuǎn)程需要通過外網(wǎng)鏈接的時候，VPN是個安全可靠的選擇。每一個設(shè)備都分配一個外部IP地址和一個內(nèi)部IP地址，管理設(shè)備在和內(nèi)部設(shè)備需要使用外網(wǎng)通信的時候，可以使用隧道技術(shù)實現(xiàn)，這能很大程度地避免信息泄露，保障了用戶的隱私。

現(xiàn)階段，VPN在物聯(lián)網(wǎng)中的應(yīng)用主要體現(xiàn)在智能家居中[6]。假設(shè)家居中的組網(wǎng)采用Zigbee組網(wǎng)技術(shù)，通過協(xié)調(diào)器直連路由器進(jìn)行數(shù)據(jù)交換，路由器可以設(shè)置VPN，使家中的一些隱私數(shù)據(jù)不流失到外網(wǎng)中。這里提到的隱私數(shù)據(jù)主要分為兩類：一類是基于物聯(lián)網(wǎng)應(yīng)用功能的數(shù)據(jù)，即一些智能家居的控制信息數(shù)據(jù)；另一類是額外的、不影響物聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)，比如攝像頭拍攝的視頻和圖片等。針對不同類型的信息，可以設(shè)置不同的保密等級，這樣可以便于網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)一管理，這個有點類似于QoS。在物聯(lián)網(wǎng)將要普及的時代，用戶應(yīng)該擁有管理自己信息隱私的權(quán)利，所以在推廣智能家居的同時，也應(yīng)該對應(yīng)給出一套由用戶自己設(shè)定的隱私保護(hù)方案，我相信這將十分有利于未來物聯(lián)網(wǎng)行業(yè)的規(guī)范發(fā)展，也將會有助于更多面對物聯(lián)網(wǎng)，尚在觀望的大眾選擇加入其中。

參考文獻(xiàn)：

[1] 毛燕琴，沈蘇彬.物聯(lián)網(wǎng)信息模型與能力分析軟件學(xué)報 [J].軟件學(xué)報，2014（8）：85-95.

[2] 徐楊，王曉峰，何清漪.物聯(lián)網(wǎng)環(huán)境下多智能體決策信息支持技術(shù) [J].軟件學(xué)報，2014，25（10）：25-45.

[3] 范紅，邵華，李程遠(yuǎn)，等.物聯(lián)網(wǎng)安全技術(shù)體系研究 [C]//第26次全國計算機(jī)安全學(xué)術(shù)交流會.第26次全國計算機(jī)安全學(xué)術(shù)交流會論文集.中國福建武夷山：《信息網(wǎng)絡(luò)安全》編輯部，2011：13-16.

[4] 戴榮.關(guān)于網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的分析 [J].電子技術(shù)與軟件工程，2016（9）：214.

[5] 任宗偉.物聯(lián)網(wǎng)基礎(chǔ)技術(shù) [M].北京：中國物資出版社，2011.

[6] 邊倩，王振鐸，張慧娥.IPv6協(xié)議在現(xiàn)代網(wǎng)絡(luò)工程中的運用探析 [J].電子技術(shù)與軟件工程，2016（16）：13.

作者簡介：鄔群輝（1980-），男，工程師，本科。研究方向：計算機(jī)系統(tǒng)集成、計算機(jī)控制系統(tǒng)。