物联网(IoT)设备无处不在从建造楼层和楼宇管理到视频监控和照明系统。然而，安全威胁是企业或家庭环境采用物联网设备的重要障碍，比如远程医疗监控的敏感应用。物联网安全可以分为以下三个不同的组件：

　　1.应用服务

　　2.终端设备

　　3.运输

　　虽然这三个对系统安全性至关重要，但这篇文章将仅讨论网络传输的安全性。

　　有两个主要领域，用户使用较少的设备增长量*快：消费和工业应用。 在消费者空间中，家庭安全系统和设备将理想地使用基于SSL的VPN，因为源点和目的地点可以被良好定义，例如，报警系统收集数据并将其发送到监控程序。

　　在工业领域，物联网将用于连接机器和自动化，以提高制造运营的产出和效率。传感器已经在许多工业系统中使用，例如，在同一工厂车间内，低容量传感器可以彼此靠近放置，以监视设备温度，编程PLC或控制照明系统。

　　大多数传感器不具有实现适当级别的加密所需的计算能力，因此需要网络来提供这种功能。这可以通过内部网络实现，在某些情况下甚至可以通过合作伙伴的网络实现。

　　在某些地区，IoT将导致小区域内设备的密度急剧上升，每个设备都需要安全保护关键数据。

　　由于这些应用程序大部分都链接到关键业务系统，因此它们通常与企业的IT基础设施集成。这带来了一系列独特的安全挑战。

　　SSL vs. IPsec

　　基于网络的加密，即SSL和IPsec，哪个*适合于在IoT上的安全网关和设备?

　　IPsec作为物联网网关的安全协议，可能是比SSL更好的选择，因为这些网关用于将非IP数据转换为IP。因此，它们可以是网络中的**个IP连接点。这些网关用于连接不同类型的设备，并共享传感器数据，包括视频监控、照明、温度和工业控制系统。由于大多数低端传感器不支持加密(如灯泡)，**跳路由器可能是网络中的**个加密点。

　　由于对多种类型的数据进行分段，IoT基础设施将需要适当的站点到站点加密。IPsec为远程访问站点到站点连接提供了好处。 由于IoT需要网络分段，因此可以在数据平面中在定义的点解密IPsec，如图所示，仅连接网络某些部分中的特定VPN段。

　　在实现IPsec的传统方法中，IKE控制和IPsec数据平面都被合并，不提供比SSL显着的益处。然而，使用软件定义网络(SDN)技术，可以扩展IPsec以使用因特网密钥交换(IKE)作为控制/管理信道，IPsec作为数据信道来提供数据控制平面分离。

　　SSL缺乏灵活性

　　SSL不能提供灵活性，因为它是需要在同一设备处终止连接的传输层协议。与SDN相关的主要优势之一是能够将控制和数据平面，从设备按设备垂直规模转换到分布式水平规模。

　　这在物联网环境中尤其重要，因为网络分段的使用增加了资源分配的重要性。例如，来自视频监控应用的低优先级流量不应该影响高优先级网络资源;又例如来自制造细分的PLC流量。

　　此外，控制和数据平面的水平分布实现了灵活的流量检查，这使得可以提供诸如IPS IDS的服务作为服务链，以便更好地管理容量。基于段和容量重新定位解密点的能力提供了更高的服务链灵活性，因为它不绑定到任何单个设备，并且可以与网络功能虚拟化一起水平移动。虽然流量应始终在源加密，但理想情况下，我们应该能够根据容量和安全要求在网络中的任何时间对其进行解密，这还能确保没有单个设备故障影响网络的可用性。

　　上面的图片显示了向不同网段提供服务的物联网设备的多个部分。**段是照明系统;第二是