[发明专利]一种大规模物联网服务域隔离通信方法、装置、电子设备及存储介质

说明书

本申请属于计算机网络技术领域，涉及一种大规模物联网服务域隔离通信方法、装置、电子设备及存储介质。本方法引入基于身份的访问控制实现物联网服务域初始状态下拓扑和性能上的逻辑隔离；同时结合密钥管理服务，对服务域的数据通信服务进行隐私保护，确保物联网服务域“端‑网‑云”数据全生命期逻辑隔离，包括拓扑、性能、服务三方面隔离。首先，在物联网终端的接入网位置，采用接入网真实源地址验证技术以及基于网络地址的真实身份机制，建立终端身份标识；在管理域内通过软件定义网络切片机制，为不同服务域划分分片并分配资源，实现不同服务域的拓扑和性能隔离；最后，基于访问控制机制实现服务隔离，并使用对称密钥交换实现数据加密。

技术领域

本申请属于计算机网络技术领域，具体而言，涉及一种大规模物联网服务域隔离通信 方法、装置、电子设备及存储介质。

背景技术

随着计算技术和网络技术的飞速发展和广泛应用，万物互联为社会和经济带来巨大便 利和发展的同时，其庞大的用户资源、设备数量和自身的脆弱性也成为安全攻击的首选目 标。如何在开放共享的网络中采用有效的技术手段确保物联网各服务域在初始状态下彼此 隔离，以保护不同服务域通信过程中的数据安全和隐私，成为物联网安全研究需要解决的 重要问题。

逻辑隔离是解决大型分布式系统中，不同服务域之间核心数据隐私保护和访问控制问 题的一种通用手段，它确保不同隔离区域的资源不能相互任意访问，仅可在可控条件下进 行必要的数据交换。随着SDN技术的普及，基于SDN的网络切片成为了实现逻辑隔离的主 要技术之一。网络切片是一种虚拟化的端到端逻辑网络，它与虚拟化技术紧密相连，可在 同一物理网络中提供一种或多种服务承载网，是网络共享和虚拟化管理的一种高效方式。 然而，仅仅基于SDN的网络切片无法有效抵抗IP地址伪造攻击，且无法有效支撑服务隔离。

安全高效的网络切片和面向服务的认证框架(Efficient，Secure network-Sliced and Service-oriented Authentication framework，ES3A)是在基于SDN的网络切片基础上， 针对不同物联网服务的需求，设计面向服务的高效认证协议，并在此基础上采用组密钥协 商技术，通过组密钥实现服务内部的数据加密。在抵抗IP地址伪造上，ES3A依靠服务层 面认证技术确保伪造IP地址依然无法非法访问服务；然而，服务层面对IP伪造攻击的抵 抗无法有效支撑基于SDN网络切片的逻辑隔离机制，因为伪造IP的数据包仍然可以绕过 切片机制到达目的端，消耗网络切片资源，因此无法避免DDoS等网络层面的流量攻击。

可扩展的虚拟局域网(Scalable Virtual Local Area Networking，SVLAN)是针对 Vxlan技术存在的安全问题进行的改进。由于Vxlan技术无法抵抗针对数据包头部进行篡 改、伪造的攻击，因此SVLAN在发送数据包之前引入了授权请求过程，转发的数据包则携带授权证明，中间转发节点可以担任验证者进行验证，若验证失败则认为数据包头部被伪造，然后进行过滤。SVLAN从网络层面对源IP伪造的数据包进行过滤，可以有效缓解DDoS 问题，因为未经过授权的IP所发出的数据包以及篡改源IP的数据包都会在转发过程中被 过滤。SVLAN技术采用分片路由等技术，主要部署在数据中心网络，无法有效适用于物联 网领域，实现“端-网-云”全生命周期隔离。

发明内容

有鉴于此，本公开提出了一种大规模物联网服务域隔离通信方法、装置、电子设备及 存储介质，以解决修改技术中的技术问题。

根据本公开的第一方面，提出大规模物联网服务域隔离通信方法，包括：

将物联网中用户终端的IPv6地址、用户终端的MAC地址和相应交换机进行相互绑定；

根据物联网中用户终端的IPv6地址中用户终端的真实身份，在通信前对物联网的通信 进行分配；

根据大规模物联网服务域的资源使用状态，对不同数据流带宽进行分配；