物聯(lián)網(wǎng)的網(wǎng)絡層的工作就是把感知層收集到的數(shù)據(jù)安全地發(fā)送到信息處理層，然后根據(jù)不同的應用需求進行信息分析和處理，實現(xiàn)對客觀事物的感知和控制。目前，全球物聯(lián)網(wǎng)應用還處在初級階段，關于網(wǎng)絡層安全的相關法律法規(guī)尚未完善，系統(tǒng)體系也沒有成型，這些不利因素使網(wǎng)絡層成為了物聯(lián)網(wǎng)最易遭受攻擊的一層。

　　網(wǎng)絡層的安全威脅主要來自以下幾個方面：一是對終端的入侵，終端感染病毒，或者篡改軟硬件模塊，從而竊取存儲的私密信息；二是對傳輸鏈路的入侵，通過刪除、改寫鏈路上的數(shù)據(jù)和對各種協(xié)議級的干擾，使數(shù)據(jù)傳輸堵塞；三是對核心網(wǎng)絡的入侵，絕大多數(shù)物聯(lián)網(wǎng)開發(fā)業(yè)務信息要用到互聯(lián)網(wǎng)傳輸，移動通信與互聯(lián)網(wǎng)的核心網(wǎng)絡具有相對完整的安全保護能力，但核心網(wǎng)絡很容易受到Ddos攻擊和假冒攻擊。

　　面對攻擊，網(wǎng)絡層的安全需求應涵蓋以下幾個方面：一是保證業(yè)務數(shù)據(jù)在承載網(wǎng)絡中的傳輸安全，保證數(shù)據(jù)在傳輸過程中不被泄露與截獲；二是解決終端和異構(gòu)網(wǎng)絡的鑒權認證，實現(xiàn)對物聯(lián)網(wǎng)的連接認證和對異構(gòu)網(wǎng)絡互連的身份認證。三是異構(gòu)網(wǎng)絡下終端的安全接入。針對物聯(lián)網(wǎng)M2M的工作特征，對網(wǎng)絡框架和接入技術進行優(yōu)化和改進。四是物聯(lián)網(wǎng)協(xié)議總和的標準需求。即建立一個統(tǒng)一的協(xié)議棧和相應的技術標準，防止協(xié)議漏洞。五是大規(guī)模分布式安全監(jiān)控。針對物聯(lián)網(wǎng)關于實時性、穩(wěn)定性、資源可靠性等方面的要求，對物聯(lián)網(wǎng)終端進行大規(guī)模部署，建立安全的管控體系。

　　目前，核心網(wǎng)主要是指運營商的核心網(wǎng)絡，其重要性不言而喻，其安全防御系統(tǒng)主要包括：安全通道管控設備、防火墻、網(wǎng)絡密碼設備、漏洞掃描設備、入侵檢測設備、防病毒計算機、補丁分發(fā)服務器和綜合安全管理設備。

　　我們對其中的最重要的幾個設備的安全防護機制進行簡要分析：

　　第一，綜合安全管理設備。該設備能夠?qū)φ麄€網(wǎng)絡的安全情況進行統(tǒng)一的監(jiān)視，并對安全設備進行系統(tǒng)的管理，構(gòu)建全網(wǎng)安全管理體系；還可以對全網(wǎng)的安全事件進行匯總、上報，實現(xiàn)網(wǎng)絡層各類安全設備和系統(tǒng)的互聯(lián)互動。

　　第二，證書管理系統(tǒng)。該系統(tǒng)負責管理和簽發(fā)數(shù)字證書，由證書注冊中心、簽發(fā)中心和證書目錄服務器組成。該系統(tǒng)還有一些附加功能，如證書撤銷、證書恢復、證書發(fā)布、密匙申請、日志審計、備份恢復和各種查詢服務。證書管理系統(tǒng)的關系圖如下：

　　第三，應用安全訪問控制設備。該設備采用安全隧道技術，在服務器和物聯(lián)網(wǎng)中間建立一條安全隧道，隔離兩者的直接連接，而所有的查詢和訪問都必須經(jīng)過安全隧道的同意。其工作原理是：終端將訪問請求通過安全隧道發(fā)送給應用訪問控制設備，該設備會馬上做出響應，并驗證終端設備的身份，然后查詢終端設備的權限，最后決定是否允許終端設備訪問。

　　應用安全訪問控制設備需要的功能主要有：統(tǒng)一的安全保護機制、基于數(shù)字證書和USBKEY的身份認證、數(shù)據(jù)安全保護和透明轉(zhuǎn)發(fā)。

　　第四，安全通道管控設備。該設備部署在物聯(lián)網(wǎng)LNS服務器和運營商網(wǎng)關之間，主要用來防御公網(wǎng)和終端設備的各種安全威脅。它主要有兩個特點：（1）對用戶透明、對網(wǎng)絡設備透明，信任度很高；（2）可以根據(jù)需求對網(wǎng)絡通信的內(nèi)容進行監(jiān)視。

　　第五，漏洞掃描系統(tǒng)。在可掃描IP的范圍內(nèi)，該系統(tǒng)可以對不同操作系統(tǒng)的計算機進行漏洞檢測，分析和指出計算機網(wǎng)絡的薄弱環(huán)節(jié)，并可以針對監(jiān)測到的網(wǎng)絡安全隱患，提出相應的解決方法、安全建議和補救措施，從而提高安全保密分系統(tǒng)的保密能力和抗破壞能力。

　　第六，入侵檢測設備。該設備為終端子網(wǎng)提供異常信息的監(jiān)測，在第一時間發(fā)現(xiàn)攻擊行為，并在全網(wǎng)開啟警報。另外，分析檢測設備還可以對網(wǎng)絡層的大部分數(shù)據(jù)進行分析和排查，提供多種應用協(xié)議的審計，記錄各個與之相關聯(lián)的終端設備訪問行為。

　　第七，防病毒服務器。該設備主要用于保護網(wǎng)絡中的服務器和應用主機，防止主機和服務器因感染病毒而導致通信故障、數(shù)據(jù)丟失或癱瘓。防病毒服務器包括監(jiān)控中心和客戶端，客戶端分別部署在主機和服務器上，監(jiān)控中心則部署在基礎子網(wǎng)中。

　　第八，補丁分發(fā)服務器。該服務器部署在安全防護系統(tǒng)內(nèi)網(wǎng)之中，采用B/S架構(gòu)，可在網(wǎng)絡的任何終端，通過登錄內(nèi)網(wǎng)補丁分發(fā)服務器對頁面進行管理、對各種信息進行查詢服務。將來，補丁分發(fā)系統(tǒng)可以根據(jù)客戶端數(shù)量和管理需求進行功能的無縫拓展。