物联网通常从架构上可分为三个逻辑层,即感知层、网络传输层和处理应用层。
感知层:
其中感知层包括传感器节点和传感网网关节点,或RFID标签和RFID读写器,也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信(通常为无线)部分;
网络传输层:
网络传输层包括将这些感知数据远距离传输到处理中心的网络,包括互联网、移动网等,以及几种不同网络的融合;
处理应用层
处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。
对大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备。
对物联网的安全防护应包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。
GB/T 22239-2019 标准的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。
物联网构成示意图如下图:

物联网感知节点通常处于网络边缘,弱终端负责数据采集,强终端会涉及到一些边缘计算,安全计算环境首先要保证设备的安全。身份标识和鉴别是基本要求,通过可信ID,确保资产不会被替换和伪造。
物联网网关节点主要用于和弱终端的连接,需要对与其连接的设备合法性进行判断。设备的密钥和配置参数的更新,相当于有安全基线的要求,同时需要支持授权用户的在线更新。
数据新鲜性是指对所接收的历史数据或超出时限的数据能够进行识别。物联网数据使用有可用性、完整性、保密性的要求,以避免数据重放攻击。
对于数据融合处理有两种方案,不同终端厂商设计时按照行业标准,使用通用协议加私有协议方式,为平台提供数据。或者平台自己能够支持多种协议的数据融合。