物聯(lián)網(wǎng)安全研究三:物聯(lián)網(wǎng)安全技術(shù)是怎么回事��?應(yīng)該了解IoT 安全的哪些信息?物聯(lián)網(wǎng)通訊協(xié)議的分類
物聯(lián)網(wǎng)安全技術(shù)是怎么回事
描述
物聯(lián)網(wǎng)安全是個全棧的行為,是“服����、用���、云�、管、邊��、端”全生態(tài)統(tǒng)一協(xié)作聯(lián)合布防才能生效的課題�����,僅僅從物聯(lián)網(wǎng)設(shè)備端采取嚴(yán)防死守的策略并不能阻抗已經(jīng)滲透到各個角落的APT攻擊���。因此我們可以從物聯(lián)設(shè)備啟動���、Rootkit注入保護(hù)、DDOS攻擊防御��、設(shè)備安全準(zhǔn)入���、數(shù)據(jù)和協(xié)議安全等幾個方面綜合考查物聯(lián)網(wǎng)安全的應(yīng)對之策�。除此之外�,還要保證物聯(lián)網(wǎng)管控平臺、云平臺���、互聯(lián)互通接口����、物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)等基礎(chǔ)設(shè)施的安全。
1.基于可信計算的安全啟動技術(shù)
可信計算是由TCG(Trusted Computing Group�����,可信計算組織)推動和開發(fā)的安全計算技術(shù)�����,在計算和通信領(lǐng)域中廣泛應(yīng)用基于硬件安全模塊的可信計算平臺以提高整個系統(tǒng)和應(yīng)用軟件的安全性與完整性�����。作為一門新興技術(shù)�,其主要目標(biāo)包括計算平臺的完整性��、平臺的遠(yuǎn)程證明���、數(shù)據(jù)存儲的安全性��、數(shù)字知識產(chǎn)權(quán)保護(hù)�����。
作為高級可持續(xù)威脅(APT)�,如果不是潛伏在系統(tǒng)的最深層,如果不是先于操作系統(tǒng)加載�����,如果不能在啟動過程中制衡保護(hù)軟件實(shí)現(xiàn)對自己“免殺”���,那實(shí)在不好意思稱自己是“合格的APT”���。對于這樣心高氣傲神通廣大的威脅代碼,唯一的辦法就是先于它掌控系統(tǒng)的運(yùn)行權(quán)���?�?尚庞嬎慵夹g(shù)就是這場“運(yùn)行權(quán)戰(zhàn)爭”中的“定海神針”�����,采用層層度量的方式校驗(yàn)每一個啟動步驟的完整性和正確性��,通過信任鏈的可傳導(dǎo)性來保證計算平臺的完整性�����。
度量是一級級從底層向上逐級度量的�,通常是以先啟動的軟硬件代碼(例如安全芯片)作為信任根,并以此為標(biāo)準(zhǔn)對后一級啟動的軟硬件進(jìn)行度量�,如此實(shí)現(xiàn)信任鏈的向后傳遞,以保證系統(tǒng)計算環(huán)境可信���。整個過程遵循“先度量再執(zhí)行”的策略��,例如在Windows系統(tǒng)啟動時����,可以以BIOS中的某段代碼為核心信任根模塊(可信根)��,對啟動鏈上的BIOS/UEFI�、WinLoader、操作系統(tǒng)鏡像文件等進(jìn)行逐級靜態(tài)度量����。
可信根作為整個系統(tǒng)信任鏈的底端必須可信���,因此可信根一般是通過廠家在安全芯片中直接植入算法和密鑰實(shí)現(xiàn)的����,具有不可覆蓋性�,因此這部分代碼也被稱為可信軟件基(TSB,Trusted Software Base)。
ARM作為老牌的處理平臺廠商亦針對消費(fèi)類物聯(lián)設(shè)備的安全保密與可信計算提出了TrustZone技術(shù)�。該技術(shù)本質(zhì)上是一種硬件平臺結(jié)構(gòu)和安全框架,將片上系統(tǒng)的軟硬件資源分為安全世界與非安全世界(類似X86系統(tǒng)下的0環(huán)和3環(huán))�,通過訪問權(quán)限的差異性來保證資源的安全性,非安全世界和安全世界通信需要通過中間的Monitor Mode進(jìn)行轉(zhuǎn)換��。
2.Rootkit防御技術(shù)
Rootkit是系統(tǒng)安全領(lǐng)域老生常談的一個話題�����,無論采用哪種處理器架構(gòu)�����,也無論在什么操作系統(tǒng)中���,Rootkit都鬼影相隨����。所謂Rootkit�����,就是系統(tǒng)中以隱藏自身�、控制設(shè)備和獲取隱私信息為目的的惡意代碼��。物聯(lián)網(wǎng)設(shè)備“中的招”十有八九就是以獲取信息和控制設(shè)備為特征的Rootkit惡意進(jìn)程/代碼模塊���,因此對于Rootkit的防御就顯得尤為重要。
Rootkit的執(zhí)行特征如下:
(1)將惡意代碼放置在內(nèi)存的數(shù)據(jù)區(qū)�����,通過堆棧溢出等手段在數(shù)據(jù)區(qū)執(zhí)行這些代碼���。
(2)通過遠(yuǎn)程線程��、默認(rèn)加載等方式將惡意代碼模塊加載到應(yīng)用進(jìn)程中�����,即“模塊注入”�����。
(3)通過掛鉤操作系統(tǒng)的重要方法(例如系統(tǒng)調(diào)用或中斷響應(yīng)例程等)來獲取自己渴求的數(shù)據(jù)���。
(4)通過過濾型驅(qū)動掛鉤網(wǎng)絡(luò)協(xié)議棧����,以獲取重要網(wǎng)絡(luò)流量并對數(shù)據(jù)包進(jìn)行篡改���。
(5)通過掛鉤重要可執(zhí)行模塊的EAT/IAT(導(dǎo)出/導(dǎo)入地址表)的方式改變進(jìn)程執(zhí)行流程。
從上述Rootkit的運(yùn)行特征可以反向推導(dǎo)出防范抵御Rootkit攻擊的手段�。Windows系統(tǒng)在抵御Rootkit方面走在了前面,由于Windows系統(tǒng)的運(yùn)行環(huán)境和計算資源都比較寬松����,因此擁有更多的機(jī)制和手段保障安全性。而對于物聯(lián)網(wǎng)的系統(tǒng)���,由于其功耗��、計算資源等方面的限制��,操作系統(tǒng)一般比較精簡����,因此有針對性地制定Rootkit防御機(jī)制就更顯必要�����。
(1)物聯(lián)網(wǎng)設(shè)備通信模塊短小精悍����,一般不存在協(xié)議棧的說法��,因此通過過濾型驅(qū)動截取網(wǎng)絡(luò)數(shù)據(jù)包的方式在物聯(lián)網(wǎng)設(shè)備中不會存在�。
(2)物聯(lián)網(wǎng)系統(tǒng)不存在遠(yuǎn)程線程��、默認(rèn)加載等復(fù)雜的應(yīng)用機(jī)制�����,因此無需考慮模塊注入問題�����。
(3)堆棧溢出在物聯(lián)網(wǎng)系統(tǒng)中是比較常見的�����,因此可以采用類似Win7的數(shù)據(jù)執(zhí)行保護(hù)(DEP)機(jī)制阻止惡意代碼在內(nèi)存數(shù)據(jù)區(qū)被執(zhí)行�。
(4)物聯(lián)網(wǎng)系統(tǒng)同樣也存在中斷響應(yīng)例程、系統(tǒng)調(diào)用服務(wù)例程等重要的方法��,依然需要防止這些重要部位被掛鉤���??梢圆捎妙愃芖indows的PatchGuard機(jī)制防止這些重要部位被改寫�����。
(5)可采用內(nèi)核進(jìn)程簽名校驗(yàn)的機(jī)制阻斷不明進(jìn)程的安裝和運(yùn)行���。
3.抗DDOS攻擊技術(shù)
DDOS攻擊也是網(wǎng)絡(luò)安全領(lǐng)域亙古不變的話題���,無論物聯(lián)網(wǎng)還是視聯(lián)網(wǎng),只要還支持TCPIP協(xié)議就面臨被DDOS攻擊的危險�����。DDOS是一種攻擊大類����,核心思想是通過車輪戰(zhàn)使目標(biāo)系統(tǒng)疲于應(yīng)付而無法正常運(yùn)行其他進(jìn)程,它包括細(xì)分的多種攻擊手段����,常見的有以下幾種:
(1)SYN Flood
通過偽造大量不存在的IP地址,在極短時間內(nèi)向服務(wù)器不間斷發(fā)送SYN包�����,服務(wù)器回復(fù)確認(rèn)包SYN/ACK,并等待客戶端永遠(yuǎn)都不會響應(yīng)的確認(rèn)回復(fù)���。如此服務(wù)器需要不斷重發(fā)SYN/ACK直至超時��,這些偽造的SYN包將長時間占用未連接隊列��,正常的SYN請求被丟棄���,導(dǎo)致目標(biāo)系統(tǒng)運(yùn)行緩慢甚至癱瘓。這是利用TCP傳輸特性制造的“車輪戰(zhàn)”����。
(2)ICMP Flood
極短時間內(nèi)向目標(biāo)主機(jī)不斷請求ICMP 回應(yīng),導(dǎo)致目標(biāo)系統(tǒng)負(fù)擔(dān)過重而不能處理正常的IO業(yè)務(wù)��。這是利用ICMP協(xié)議制造的“車輪戰(zhàn)”����。
(3)UDP Flood
極短時間內(nèi)向目標(biāo)主機(jī)發(fā)送大量UDP 報文,致使目標(biāo)系統(tǒng)負(fù)擔(dān)過重而不能處理正常的IO業(yè)務(wù)�。這是利用UDP協(xié)議制造的“車輪戰(zhàn)”。
(4)ARP Flood
攻擊者可以在極短時間內(nèi)發(fā)送大量ARP請求包以阻塞正常網(wǎng)絡(luò)寬帶���,使局域網(wǎng)中有限的網(wǎng)絡(luò)資源被無用的廣播信息所占用而造成網(wǎng)絡(luò)擁堵����。這是利用ARP包制造的“車流戰(zhàn)”,癱瘓的是承載網(wǎng)絡(luò)�����。
除了上述幾種利用二三四層協(xié)議營造的DDOS攻擊外�,應(yīng)用層�、會話層協(xié)議亦可以制造DDOS攻擊的效果,例如通過短時間超大量的HTTP請求使WEB服務(wù)器崩潰�、在短時間內(nèi)通過超大量的流媒體會話協(xié)議使視頻服務(wù)器崩潰等等,這些攻擊手段都迎合了DDOS攻擊的本意�����,即極限施壓使之疲于應(yīng)付而崩潰�。
一般情況下DDOS攻擊的抵御是通過引流的辦法,即首先需要防護(hù)系統(tǒng)判斷發(fā)生了DDOS攻擊���,再啟動流量引流機(jī)制�,將DDOS攻擊包引導(dǎo)到攻擊緩沖區(qū)域進(jìn)行消化�。由于物聯(lián)網(wǎng)領(lǐng)域設(shè)備數(shù)量龐大,尤其要注意防DDOS攻擊的問題。
(1)在IPv4環(huán)境下多采用私網(wǎng)穿透的方式與外部系統(tǒng)進(jìn)行通信��。由于私網(wǎng)穿透通信的單向性���,外部系統(tǒng)主動發(fā)起DDOS攻擊的可能性較低����,特別是在部署了對稱性NAT服務(wù)的時候�����,從外向內(nèi)通信的限制非常嚴(yán)格�����,也能在一定程度上阻斷DDOS攻擊流���。
(2)物聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間也會存在網(wǎng)絡(luò)隔離設(shè)備����,例如安全接入平臺或網(wǎng)閘���,其安全級別可以自主設(shè)置��。雖然其通信效率較低��,但能夠?qū)W(wǎng)絡(luò)包進(jìn)行深度檢測(DPI)��,也能在一定程度上阻抗DDOS攻擊流�����。
4.物聯(lián)網(wǎng)設(shè)備指紋技術(shù)
設(shè)備指紋是近年來新興的物聯(lián)網(wǎng)設(shè)備接入準(zhǔn)入技術(shù)�����。其核心原理是通過設(shè)備的操作系統(tǒng)���、廠商ID、MAC地址�����、端口號�����、IP地址�����、協(xié)議報文種類等屬性生成一系列固定的且與每個設(shè)備相關(guān)的私有信息,以達(dá)到識別設(shè)備的唯一性��。物聯(lián)網(wǎng)平臺通過設(shè)備指紋庫識別設(shè)備�,對于非指紋庫內(nèi)的設(shè)備可進(jìn)行阻斷和報警。傳統(tǒng)識別設(shè)備唯一性的方法是通過ID�����,但這種方式存在相當(dāng)大的可仿冒性和可替換性����,且由于設(shè)備ID一般處于OSI協(xié)議棧的高層,仿冒的門檻也更低����。而通過設(shè)備指紋標(biāo)識設(shè)備的唯一性卻具有很低的可仿冒性和可替換性。
(1)設(shè)備的操作系統(tǒng)會帶有一定的標(biāo)識���,例如版本號��、廠商ID等�����,對于這些屬性的仿冒并不容易���,可能要通過Patch的手段改動內(nèi)核態(tài)變量����。
(2)MAC地址�����、IP地址�、端口號等屬性具有設(shè)備的唯一性,雖然也具有仿冒性���,但仿冒這些聯(lián)合的屬性也并不容易。
(3)協(xié)議報文雖然遵循一定的標(biāo)準(zhǔn)���,但每個廠商的設(shè)備協(xié)議的報文頭或報文體多少會有些私有信息存在����,例如SIP協(xié)議頭域中的User-Agent屬性就會附帶廠商信息���。再比如協(xié)議交互的時間間隔����、回復(fù)特征等這些更加細(xì)微的區(qū)別也是設(shè)備指紋的重要組成部分。
因此����,通過設(shè)備指紋鑒定設(shè)備的唯一性、檢測設(shè)備在線���、設(shè)備私接����、設(shè)備仿冒具有很高的不可仿冒性和不可替代性�����。
設(shè)備指紋生成包括主動探測和被動監(jiān)聽兩種方式��。
(1)主動探測方式的主要思想是主動向物聯(lián)設(shè)備發(fā)送ICMP�、UDP包,或者主動建立TCP連接����,甚至主動發(fā)起一些應(yīng)用層以上的協(xié)議來探測設(shè)備的回復(fù)信息(例如ICMP echo reply、ICMP端口不可達(dá)�、HTTP Response等報文)�����,根據(jù)這些報文來識別設(shè)備的特殊屬性��。有的廠家也會支持一些私有協(xié)議專門用以標(biāo)識設(shè)備的不可仿冒性�����。
(2)被動監(jiān)聽方式的主要思想是通過網(wǎng)絡(luò)探針監(jiān)聽設(shè)備的交互報文��,并將這些報文旁路到采集端進(jìn)行分析���,通過源端口、源地址��、MAC信息�、報文特征等信息判別設(shè)備的不可替換性。
設(shè)備指紋已在視頻監(jiān)控領(lǐng)域有了較為廣泛的應(yīng)用���。但在物聯(lián)網(wǎng)其他領(lǐng)域,由于協(xié)議報文種類的繁雜性���,且許多設(shè)備并不處于TCPIP網(wǎng)絡(luò)中�����,因此尚無太多的應(yīng)用場景�。
5.數(shù)據(jù)安全技術(shù)
物聯(lián)網(wǎng)數(shù)據(jù)安全包括數(shù)據(jù)本身的安全和協(xié)議安全兩重內(nèi)涵。但無論是哪種內(nèi)涵�,其本質(zhì)都是對數(shù)據(jù)和協(xié)議報文的加解密,當(dāng)然也包括協(xié)議的證書認(rèn)證機(jī)制�。在安防領(lǐng)域,公安部早已制定了GB35114標(biāo)準(zhǔn)����,并根據(jù)密級高低劃分了ABC三個等級,分別對協(xié)議報文進(jìn)行認(rèn)證加密���、對視頻NAL進(jìn)行認(rèn)證以及對視頻內(nèi)容本身加解密���。
國家強(qiáng)制性標(biāo)準(zhǔn)的加持是對數(shù)據(jù)安全的注腳。
應(yīng)該了解IoT安全的哪些信息?
聯(lián)網(wǎng)設(shè)備可以為您的企業(yè)帶來真正的提升����,但任何連接到 Internet 的設(shè)備都可能容易遭受網(wǎng)絡(luò)攻擊。
據(jù) 451 Research 的調(diào)查表明�,55% 的 IT 專業(yè)人士將 IoT 安全列為他們的首要任務(wù)。從企業(yè)服務(wù)器到云存儲,網(wǎng)絡(luò)罪犯可以找到一種方法來利用 IoT 生態(tài)系統(tǒng)內(nèi)多個點(diǎn)的信息����。這并不意味著您應(yīng)該扔掉您的工作平板電腦,而改用鋼筆和紙張���。這只是意味著�,您必須認(rèn)真對待 IoT 安全�����。以下是一些 IoT 安全技巧:
監(jiān)控移動設(shè)備
確保平板電腦等移動設(shè)備在每個工作日結(jié)束時均登記并上鎖����。如果平板電腦丟失,數(shù)據(jù)和信息可能會被訪問和入侵��。確保使用強(qiáng)訪問密碼或生物特征識別功能��,這樣一來�����,任何人都無法擅自登錄丟失或被盜的設(shè)備����。使用可限制設(shè)備上運(yùn)行的應(yīng)用程序、隔離業(yè)務(wù)和個人數(shù)據(jù)以及在設(shè)備被盜時擦除業(yè)務(wù)數(shù)據(jù)的安全產(chǎn)品�。
實(shí)施自動反病毒更新
您需要在所有設(shè)備上安裝軟件,以防止允許黑客訪問您的系統(tǒng)和數(shù)據(jù)的病毒��。設(shè)置自動反病毒更新以保護(hù)設(shè)備免受網(wǎng)絡(luò)攻擊��。
需要強(qiáng)登錄憑證
許多人對他們使用的每臺設(shè)備都使用相同的登錄名和密碼�����。雖然人們更容易記住這些憑證���,但網(wǎng)絡(luò)罪犯也更容易發(fā)起黑客攻擊�。確保每個登錄名對于每個員工而言都是唯一的���,并且需要強(qiáng)密碼���。始終更改新設(shè)備上的默認(rèn)密碼。 切勿在設(shè)備間重復(fù)使用相同的密碼���。
部署端到端加密
聯(lián)網(wǎng)設(shè)備會相互通信���,當(dāng)它們進(jìn)行通信時���,數(shù)據(jù)會從一個點(diǎn)傳輸?shù)搅硪粋€點(diǎn)。您需要在每個交叉點(diǎn)加密數(shù)據(jù)�����。換言之���,您需要端到端加密���,以在信息從一個點(diǎn)到另一個點(diǎn)的傳輸過程中保護(hù)信息。
確保設(shè)備和軟件更新可用并及時安裝
購買設(shè)備時��,請始終確保供應(yīng)商提供更新�����,并在更新可用時立即應(yīng)用��。如上所述�����,盡可能實(shí)施自動更新。
跟蹤設(shè)備可用功能并禁用未使用的功能
檢查設(shè)備上的可用功能�����,并關(guān)閉不打算使用的任何功能以減少潛在的攻擊機(jī)會��。
選擇專業(yè)網(wǎng)絡(luò)安全提供商
您希望 IoT 為您的業(yè)務(wù)提供助力����,而不是對其造成傷害��。為幫助解決問題�����,許多企業(yè)依靠信譽(yù)良好的網(wǎng)絡(luò)安全和反病毒提供商來訪問漏洞���,并提供獨(dú)特的解決方案來防止網(wǎng)絡(luò)攻擊����。
IoT 不是一種技術(shù)風(fēng)潮�����。越來越多的公司可以通過聯(lián)網(wǎng)設(shè)備兌現(xiàn)潛力,但您不能忽視安全問題�。在構(gòu)建 IoT 生態(tài)系統(tǒng)時,請確保您的公司�����、數(shù)據(jù)和流程受到保護(hù)����。
物聯(lián)網(wǎng)通訊協(xié)議的分類
IoT 物聯(lián)網(wǎng)通信協(xié)議分為兩大類:
接入?yún)f(xié)議:一般負(fù)責(zé)子網(wǎng)內(nèi)設(shè)備間的組網(wǎng)及通信
通訊協(xié)議:主要是運(yùn)行在傳統(tǒng)互聯(lián)網(wǎng)TCP/IP協(xié)議之上的設(shè)備通訊協(xié)議,負(fù)責(zé)設(shè)備通過互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換及通信�����。
物理層���、數(shù)據(jù)鏈路層協(xié)議
1�、遠(yuǎn)距離蜂窩通信
(1)2G/3G/4G通信協(xié)議�,分別指第二、三�、四代移動通信系統(tǒng)協(xié)議。
(2)NB-IoT
窄帶物聯(lián)網(wǎng)(NB-IoT)成為萬物互聯(lián)網(wǎng)絡(luò)的一個重要分支��。NB-IoT構(gòu)建于蜂窩網(wǎng)絡(luò)����,只消耗大約180kHz的帶寬���,可直接部署于GSM網(wǎng)絡(luò)、UMTS網(wǎng)絡(luò)或LTE網(wǎng)絡(luò)����,以降低部署成本����、實(shí)現(xiàn)平滑升級。NB-IoT聚焦于低功耗廣覆蓋(LPWA)物聯(lián)網(wǎng)(IoT)市場���,是一種可在全球范圍內(nèi)廣泛應(yīng)用的新興技術(shù)�。具有覆蓋廣����、連接多、速率快�����、成本低�、功耗低�、架構(gòu)優(yōu)等特點(diǎn)�。
應(yīng)用場景:NB-IoT網(wǎng)絡(luò)帶來的場景應(yīng)用包括智能停車、智能消防���、智能水務(wù)����、智能路燈�、共享單車和智能家電等。
(3)5G
第五代移動通信技術(shù)���,是最新一代蜂窩移動通信技術(shù)�����。5G的性能目標(biāo)是高數(shù)據(jù)速率���、減少延遲、節(jié)省能源�、降低成本、提高系統(tǒng)容量和大規(guī)模設(shè)備連接�。
應(yīng)用場景:AR/VR、車聯(lián)網(wǎng)���、智能制造�、智慧能源、無線醫(yī)療����、無線家庭娛樂、聯(lián)網(wǎng)無人機(jī)��、超高清/全景直播�����、個人AI輔助����、智慧城市��。
2��、遠(yuǎn)距離非蜂窩通信
(1)WiFi
由于前幾年家用WiFi路由器以及智能手機(jī)的迅速普及�����,WiFi協(xié)議在智能家居領(lǐng)域也得到了廣泛應(yīng)用���。WiFi協(xié)議最大的優(yōu)勢是可以直接接入互聯(lián)網(wǎng)�����。相對于ZigBee���,采用Wifi協(xié)議的智能家居方案省去了額外的網(wǎng)關(guān)��,相對于藍(lán)牙協(xié)議��,省去了對手機(jī)等移動終端的依賴�����。
商用WiFi在城市公共交通���、商場等公共場所的覆蓋,將商用WiFi的場景應(yīng)用潛力表露無疑��。
(2)ZigBee
ZigBee是一種低速短距離傳輸?shù)臒o線通信協(xié)議���,是一種高可靠的無線數(shù)傳網(wǎng)絡(luò)��,主要特色有低速���、低耗電����、低成本�、支持大量網(wǎng)上節(jié)點(diǎn)、支持多種網(wǎng)上拓?fù)?、低?fù)雜度、快速���、可靠�����、安全。ZigBee技術(shù)是一種新型技術(shù)�����,它最近出現(xiàn)�,主要是依靠無線網(wǎng)絡(luò)進(jìn)行傳輸,它能夠近距離的進(jìn)行無線連接�����,屬于無線網(wǎng)絡(luò)通訊技術(shù)。
ZigBee技術(shù)的先天性優(yōu)勢����,使得它在物聯(lián)網(wǎng)行業(yè)逐漸成為一個主流技術(shù),在工業(yè)�����、農(nóng)業(yè)�、智能 家居等領(lǐng)域得到大規(guī)模的應(yīng)用。
(3)LoRa
LoRa™(LongRange�,遠(yuǎn)距離)是一種調(diào)制技術(shù),與同類技術(shù)相比��,提供更遠(yuǎn)的通信距離�。LoRa 網(wǎng)關(guān)、煙感�、水監(jiān)測、紅外探測��、定位����、排插等廣泛應(yīng)用物聯(lián)網(wǎng)產(chǎn)品。作為一種窄帶無線技術(shù),LoRa 是使用到達(dá)時間差來實(shí)現(xiàn)地理定位的���。LoRa 定位的應(yīng)用場景:智慧城市和交通監(jiān)控��、計量和物流���、農(nóng)業(yè)定位監(jiān)控。
3��、近距離通信
(1)RFID
射頻識別(RFID)是 Radio Frequency Identification 的縮寫����。其原理為閱讀器與標(biāo)簽之間進(jìn)行非接觸式的數(shù)據(jù)通信,達(dá)到識別目標(biāo)的目的���。RFID 的應(yīng)用非常廣泛���,典型應(yīng)用有動物晶片、汽車晶片防盜器��、門禁管制�����、停車場管制���、生產(chǎn)線自動化�、物料管理��。完整的RFID系統(tǒng)由讀寫器(Reader)�、電子標(biāo)簽(Tag)和數(shù)據(jù)管理系統(tǒng)三部分組成。
(2)NFC
NFC的中文全稱為近場通信技術(shù)��。NFC是在非接觸式射頻識別(RFID)技術(shù)的基礎(chǔ)上���,結(jié)合無線互連技術(shù)研發(fā)而成�,它為我們?nèi)粘I钪性絹碓狡占暗母鞣N電子產(chǎn)品提供了一種十分安全快捷的通信方式�����。NFC中文名稱中的“近場”是指臨近電磁場的無線電波�。
應(yīng)用場景:應(yīng)用在門禁、考勤���、訪客����、會議簽到、巡更等領(lǐng)域��。NFC具有人機(jī)交互�、機(jī)器間交互等功能。
(3)Bluetooth
藍(lán)牙技術(shù)是一種無線數(shù)據(jù)和語音通信開放的全球規(guī)范�,它是基于低成本的近距離無線連接,為固定和移動設(shè)備建立通信環(huán)境的一種特殊的近距離無線技術(shù)連接�。
藍(lán)牙能在包括移動電話、PDA����、無線耳機(jī)、筆記本電腦�、相關(guān)外設(shè)等眾多設(shè)備之間進(jìn)行無線信息交換。利用“藍(lán)牙”技術(shù)���,能夠有效地簡化移動通信終端設(shè)備之間的通信�����,也能夠成功地簡化設(shè)備與因特網(wǎng)Internet之間的通信����,從而數(shù)據(jù)傳輸變得更加迅速高效��,為無線通信拓寬道路�����。
4�����、有線通信
(1)USB
USB�,是英文Universal Serial Bus(通用串行總線)的縮寫,是一個外部總線標(biāo)準(zhǔn)�,用于規(guī)范電腦與外部設(shè)備的連接和通訊。是應(yīng)用在PC領(lǐng)域的接口技術(shù)���。
(2)串口通信協(xié)議
串口通信協(xié)議是指規(guī)定了數(shù)據(jù)包的內(nèi)容����,內(nèi)容包含了起始位�、主體數(shù)據(jù)、校驗(yàn)位及停止位��,雙方需要約定一致的數(shù)據(jù)包格式才能正常收發(fā)數(shù)據(jù)的有關(guān)規(guī)范�����。在串口通信中,常用的協(xié)議包括RS-232�����、RS-422和RS-485����。
串口通信是指外設(shè)和計算機(jī)間,通過數(shù)據(jù)線按位進(jìn)行傳輸數(shù)據(jù)的一種通訊方式����。這種通信方式使用的數(shù)據(jù)線少,在遠(yuǎn)距離通信中可以節(jié)約通信成本�����,但其傳輸速度比并行傳輸?shù)?。大多?shù)計算機(jī)(不包括筆記本)都包含兩個RS-232串口。串口通信也是儀表儀器設(shè)備常用的通信協(xié)議����。
(3)以太網(wǎng)
以太網(wǎng)是一種計算機(jī)局域網(wǎng)技術(shù)。IEEE組織的IEEE 802.3標(biāo)準(zhǔn)制定了以太網(wǎng)的技術(shù)標(biāo)準(zhǔn)���,它規(guī)定了包括物理層的連線����、電子信號和介質(zhì)訪問層協(xié)議的內(nèi)容。
(4)MBus
MBus 遠(yuǎn)程抄表系統(tǒng)(symphonic mbus)����,是歐洲標(biāo)準(zhǔn)的2線的二總線����, 主要用于消耗測量儀器諸如熱表和水表系列。
網(wǎng)絡(luò)層����、傳輸協(xié)議
1、IPv4
互聯(lián)網(wǎng)通信協(xié)議第四版���,是網(wǎng)際協(xié)議開發(fā)過程中的第四個修訂版本�,也是此協(xié)議第一個被廣泛部署的版本���。IPv4是互聯(lián)網(wǎng)的核心����,也是使用最廣泛的網(wǎng)際協(xié)議版本
2����、IPv6
互聯(lián)網(wǎng)協(xié)議第6版�����,由于IPv4最大的問題在于網(wǎng)絡(luò)地址資源有限��,嚴(yán)重制約了互聯(lián)網(wǎng)的應(yīng)用和發(fā)展���。IPv6的使用,不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題��,而且也解決了多種接入設(shè)備連入互聯(lián)網(wǎng)的障礙
3��、TCP
傳輸控制協(xié)議(TCP����,Transmission Control Protocol)是一種面向連接的、可靠的���、基于字節(jié)流的傳輸層通信協(xié)議�。TCP旨在適應(yīng)支持多網(wǎng)絡(luò)應(yīng)用的分層協(xié)議層次結(jié)構(gòu)����。連接到不同但互連的計算機(jī)通信網(wǎng)絡(luò)的主計算機(jī)中的成對進(jìn)程之間依靠TCP提供可靠的通信服務(wù)����。TCP假設(shè)它可以從較低級別的協(xié)議獲得簡單的��,可能不可靠的數(shù)據(jù)報服務(wù)��。
4�����、6LoWPAN
6LoWPAN是一種基于IPv6的低速無線個域網(wǎng)標(biāo)準(zhǔn)�����,即IPv6 over IEEE 802.15.4���。
應(yīng)用層協(xié)議
1、MQTT協(xié)議
MQTT (Message Queue Telemetry Transport)�����,翻譯成中文就是�����,遙測傳輸協(xié)議,其主要提供了訂閱/發(fā)布兩種消息模式��,更為簡約����、輕量,易于使用����,特別適合于受限環(huán)境(帶寬低、網(wǎng)絡(luò)延遲高��、網(wǎng)絡(luò)通信不穩(wěn)定)的消息分發(fā)��,屬于物聯(lián)網(wǎng)(Internet of Thing)的一個標(biāo)準(zhǔn)傳輸協(xié)議���。
在很多情況下�����,包括受限的環(huán)境中�����,如:機(jī)器與機(jī)器(M2M)通信和物聯(lián)網(wǎng)(IoT)����。其在,通過衛(wèi)星鏈路通信傳感器�、偶爾撥號的醫(yī)療設(shè)備、智能家居���、及一些小型化設(shè)備中已廣泛使用����。
2�����、CoAP協(xié)議
CoAP(Constrained Application Protocol)是一種在物聯(lián)網(wǎng)世界的類Web協(xié)議�,適用于需要通過標(biāo)準(zhǔn)互聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制或監(jiān)控的小型低功率傳感器���,開關(guān)���,閥門和類似的組件,服務(wù)器對不支持的類型可以不響應(yīng)
3����、REST/HTTP協(xié)議
RESTful是一種基于資源的軟件架構(gòu)風(fēng)格�。所謂資源����,就是網(wǎng)絡(luò)上的一個實(shí)體,或者說是網(wǎng)絡(luò)上的一個具體信息����。一張圖片、一首歌曲都是一個資源���。RESTful API是基于HTTP協(xié)議的一種實(shí)現(xiàn)���。(HTTP是一個應(yīng)用層的協(xié)議,特點(diǎn)是簡捷 快速)�����。
滿足Rest規(guī)范的應(yīng)用程序或設(shè)計就是RESTful��,根據(jù)Rest規(guī)范設(shè)計的API����,就叫做RESTful API
4�、DDS協(xié)議
DDS(Data Distribution Service)分布式實(shí)時數(shù)據(jù)分發(fā)服務(wù)中間件協(xié)議�����,它是分布式實(shí)時網(wǎng)絡(luò)里的“TCP/IP”��,用來解決實(shí)時網(wǎng)絡(luò)中的網(wǎng)絡(luò)協(xié)議互聯(lián)��,其作用相當(dāng)于“總線上的總線”���。
5���、AMQP協(xié)議
AMQP,即Advanced Message Queuing Protocol�,一個提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊列協(xié)議,是應(yīng)用層協(xié)議的一個開放標(biāo)準(zhǔn)����,為面向消息的中間件設(shè)計�。基于此協(xié)議的客戶端與消息中間件可傳遞消息���,并不受客戶端/中間件不同產(chǎn)品�����,不同的開發(fā)語言等條件的限制�����。Erlang中的實(shí)現(xiàn)有RabbitMQ等���。
6���、XMPP協(xié)議
XMPP是一種基于標(biāo)準(zhǔn)通用標(biāo)記語言的子集XML的協(xié)議,它繼承了在XML環(huán)境中靈活的發(fā)展性�����。因此���,基于XMPP的應(yīng)用具有超強(qiáng)的可擴(kuò)展性���。經(jīng)過擴(kuò)展以后的XMPP可以通過發(fā)送擴(kuò)展的信息來處理用戶的需求,以及在XMPP的頂端建立如內(nèi)容發(fā)布系統(tǒng)和基于地址的服務(wù)等應(yīng)用程序���。
通信協(xié)議對比
1��、NB-IoT協(xié)議和LoRa協(xié)議比較
第一����,頻段。LoRa工作在1GHz以下的非授權(quán)頻段�,在應(yīng)用時不需要額外付費(fèi),NB-IoT和蜂窩通信使用1GHz以下的頻段是2113授權(quán)的�����,是需要收費(fèi)的�。
第二,電池供電壽命����。LoRa模塊在處理干擾、網(wǎng)絡(luò)5261重迭��、可伸縮性等方面具有獨(dú)特的特性����,但卻不能提供像蜂窩協(xié)議一樣的服務(wù)質(zhì)量4102��。NB-IoT出于對服務(wù)質(zhì)量的考慮����,不能提供類似LoRa一樣的電池壽命�。
第三���,設(shè)備成本���。對終端節(jié)點(diǎn)來說,LoRa協(xié)議比NB-IoT更簡單��,更容易開發(fā)并且1653對于微處理器的適用和兼容性更好�����。同時低成本���、技術(shù)相對成熟的LoRa模塊已經(jīng)可以在市場上找到了����,并且還會有升級版本陸續(xù)出來���。
第四�����,網(wǎng)絡(luò)覆蓋和部署時間表����。NB-IoT標(biāo)準(zhǔn)在2016年公布,除回網(wǎng)絡(luò)部署之外���,相應(yīng)的商業(yè)化和產(chǎn)業(yè)鏈的建立還需要更長的時間和努力去探索�����。LoRa的整個產(chǎn)業(yè)鏈相對已經(jīng)較為成熟了��,產(chǎn)品也處于“蓄勢待答發(fā)”的狀態(tài)���,同時全球很多國家正在進(jìn)行或者已經(jīng)完成了全國性的網(wǎng)絡(luò)部署。
2��、藍(lán)牙��、WiFi���、ZigBee協(xié)議比較
目前來說���,WiFi的優(yōu)勢是應(yīng)用廣泛,已經(jīng)普及到千家萬戶;ZigBee的優(yōu)勢是低功耗和自組網(wǎng)�;UWB無載波無線通信技術(shù)的優(yōu)勢是傳輸速率;藍(lán)牙的優(yōu)勢組網(wǎng)簡單�。然而,這3種技術(shù)����,也都有各自的不足,沒有一種技術(shù)能完全滿足智能家居的全部要求�����。
藍(lán)牙技術(shù)的出現(xiàn)使得短距離無線通信成為可能�,但其協(xié)議較復(fù)雜、功耗高�����、成本高等特點(diǎn)不太適用于要求低成本���、低功耗的工業(yè)控制和家庭網(wǎng)絡(luò)���。尤其藍(lán)牙最大的障礙在于傳輸范圍受限,一般有效的范圍在10米左右,抗干擾能力不強(qiáng)��、信息安全問題等問題也是制約其進(jìn)一步發(fā)展和大規(guī)模應(yīng)用的主要因素�。
WiFi也是是一種短距離無線傳輸技術(shù),可以隨時接入無線信號���,移動性強(qiáng)�,比較適合在辦公室及家庭的環(huán)境下應(yīng)用��。當(dāng)然WiFi也存在一個致命缺點(diǎn)��。由于WiFi采用的是射頻技術(shù)�,通過空氣發(fā)送和接收數(shù)據(jù),使用無線電波傳輸數(shù)據(jù)信號����,比較容易受到外界的干擾。
ZigBee則是國際通行的無線通訊技術(shù)��,它的每個網(wǎng)絡(luò)端口可以最多接入6.5萬多個端口��,適合家居���、工業(yè)��、農(nóng)業(yè)等多個領(lǐng)域使用�����,而藍(lán)牙和WiFi網(wǎng)端只能接入10個端口���,顯然不能適應(yīng)家庭需要。ZigBee還具有低功耗和低成本優(yōu)勢����。
3、MQTT協(xié)議和CoAP協(xié)議比較
MQTT是多對多通訊協(xié)議用于在不同客戶端之間通過中間代理傳送消息���,解耦生產(chǎn)者與消費(fèi)者�����,通過使得客戶端發(fā)布�,讓代理決定路由并且拷貝消息�。雖然MQTT支持一些持久化,最好還是作為實(shí)時數(shù)據(jù)通訊總線�。
CoAP主要是一個點(diǎn)對點(diǎn)協(xié)議,用于在客戶端與服務(wù)器之間傳輸狀態(tài)信息�����。雖然支持觀察資源,CoAP最好適合狀態(tài)傳輸模型���,不是完全基于事件��。
MQTT客戶端建立長連接TCP���,這通常表示沒有問題,CoAP客戶端與服務(wù)器都發(fā)送與接收UDP數(shù)據(jù)包���,在NAT環(huán)境中����,隧道或者端口轉(zhuǎn)發(fā)可以用于允許CoAP�,或者像LWM2M,設(shè)備也許會先初始化前端連接����。
MQTT不提供支持消息打類型標(biāo)記或者其他元數(shù)據(jù)幫助客戶端理解,MQTT消息可用于任何目的���,但是所有的客戶端必須知道向上的數(shù)據(jù)格式以允許通訊�,CoAP,相反地�����,提供內(nèi)置支持內(nèi)容協(xié)商與發(fā)現(xiàn)�����,允許設(shè)備相互探測以找到交換數(shù)據(jù)的方式�����。
兩種協(xié)議各有優(yōu)缺點(diǎn)��,選擇合適的取決于自己的應(yīng)用���。
參考來源:
1.《中國安防》
2.https://www.kaspersky.com.cn/resource-center/definitions/what-is-iot,
3.https://mp.weixin.qq.com/s/yNx-inQdcqH54ilhoxyxow
文章來源:“中瀚安全”微信公眾號
在線咨詢
在線咨詢
0371-63319761