物聯(lián)網(wǎng)普遍存在遭受網(wǎng)絡攻擊類型多樣化、沒有安全保護標準、數(shù)據(jù)極易被截獲或破解等安全風險,核心問題在于缺乏設備、服務提供者、應用、數(shù)據(jù)、交易等物的安全認證機制。因此,有必要建立一種提供認證鑒權和數(shù)據(jù)保護的方案體系,建立物與物、物與人之間的信任。密碼技術是解決核心安全問題的基礎理論和技術,而傳統(tǒng)的證書體系并不適應于物聯(lián)網(wǎng)環(huán)境,基于商密SM9的算法才是目前物聯(lián)網(wǎng)安全認證的最佳選擇。物聯(lián)網(wǎng)安全平臺依賴商密SM9算法的優(yōu)勢,有效克服了傳統(tǒng)算法中密鑰分發(fā)安全性弱等問題,深入物聯(lián)網(wǎng)行業(yè)終端與應用層面,建立了面向物聯(lián)網(wǎng)業(yè)務的端到端安全。
物聯(lián)網(wǎng)被稱為繼計算機、互聯(lián)網(wǎng)之后的信息世界“第三次浪潮”。Forrester預測其產(chǎn)業(yè)價值將比互聯(lián)網(wǎng)大30倍,為下一個萬億美元級業(yè)務。全球IT研究與顧問咨詢公司Gartner預測,全球接入互聯(lián)網(wǎng)的設備在2020年將增至208億臺。Markets and Markets預計2020年全球物聯(lián)網(wǎng)的安全市場為289億美元,年復合增長率高于30%。
隨著物聯(lián)網(wǎng)行業(yè)的高速發(fā)展,物聯(lián)網(wǎng)安全問題日益凸顯。根據(jù)Gartner最新發(fā)布的報告指出,近20%的企業(yè)機構(gòu)在過去3年內(nèi)至少觀察到一次基于物聯(lián)網(wǎng)的攻擊。中國物聯(lián)網(wǎng)連接數(shù)已位居全球第一,而物聯(lián)網(wǎng)安全應用處于市場導入期。隨著國家政策及市場培育特別是《工業(yè)控制系統(tǒng)信息安全防護指南》的逐步推進實施,3~5年內(nèi)這一市場占比將快速成長,預估3年后物聯(lián)網(wǎng)安全應用規(guī)模將超過100億元。
如何解決物聯(lián)網(wǎng)的安全,成為擺在政府監(jiān)管和各類企業(yè)面前的一道難題。因此,推行完整、科學、規(guī)范化的物聯(lián)網(wǎng)安全平臺已成當務之急。
1物聯(lián)網(wǎng)安全分析與需求
1.1 與傳統(tǒng)安全的區(qū)別
物聯(lián)網(wǎng)安全與傳統(tǒng)安全區(qū)別的一大特征是設備數(shù)量龐大,主要表現(xiàn)在:
(1)攻擊的廣泛性:任何一個設備都可能成為攻擊的發(fā)起點(DDoS攻擊);
(2)危害的傳播性:物聯(lián)網(wǎng)設備的數(shù)量級大大增加了危害的傳播廣度;
(3)攻擊的危害性廣泛:破壞信任、破知識產(chǎn)權、破壞聲譽,甚至會涉及到人身安危(醫(yī)療植入設備);
(4)隱私的多維泄露:攻擊者可以從汽車、家電、智能手機等多維度獲取用戶的隱私;
(5)設備的部署環(huán)境:設備資源受限、缺乏物理保護、無人值守操作,與物理環(huán)境密切相關;
(6)部署的隨意性:設備的使用周期差別較大,有的設備被遺棄后不再更新升級,卻可能成為攻擊者利用的漏洞。
1.2 安全風險分析
物聯(lián)網(wǎng)網(wǎng)絡主要的安全風險集中在:(1)缺乏對設備、服務提供商、應用、數(shù)據(jù)、交易的認證鑒權;(2)缺乏對數(shù)據(jù)的非否認性、數(shù)據(jù)完整性保護;(3)缺乏私有密鑰、公鑰密鑰的管理和使用;(4)缺乏應用配置管理和彈性保護機制彈性;(5)缺乏長效監(jiān)督機制,被遺棄設備再次接入網(wǎng)絡時,無法第一時間進行安全升級。
1.3 對安全的需求
物聯(lián)網(wǎng)設備本身存在功耗低、數(shù)量多、分布廣、種類多的特點。物聯(lián)網(wǎng)安全的需求主要在于設備管理(注冊與發(fā)行)的復雜性、是否支持密鑰期限自動管理、是否支持離線應用、易于構(gòu)建運營服務模式、對設備的管理(設備的增加和回收、廢棄設備的管理、分布式認證)等因素。因此,物聯(lián)網(wǎng)安全涉及到幾乎所有的計算機和網(wǎng)絡安全范疇。同時,因為物聯(lián)網(wǎng)的異構(gòu)接入、低功耗、傳感控制操作和海量并發(fā)等特征,其安全防護更是困難。
如何在不同的應用場景和平臺需求中提取出物聯(lián)網(wǎng)安全模型并針對性地采用合適的防護技術,是一個巨大的挑戰(zhàn)。顯然,物聯(lián)網(wǎng)安全不再是一個簡單的網(wǎng)絡問題,而是需要一個可以支持多種設備和云服務的敏捷而開放的安全基礎平臺,其核心解決方案是物的安全認證技術。
2物聯(lián)網(wǎng)的安全認證技術
2.1 基于證書的PKI技術
公鑰基礎設施(Public Key Infrastructure,PKI)以不對稱密鑰加密技術為基礎,提供一系列支持公開密鑰密碼應用(加密與解密、簽名與驗證簽名)的基礎服務。它是申請、受理、制作、頒發(fā)、撤銷、管理證書所涉及到硬件、軟件的綜合,重要元素是數(shù)字證書。用戶通過申請數(shù)字證書,實現(xiàn)身份認證和信息加密處理,從而為各種交易、活動提供安全保障。PKI包括公鑰證書、簽發(fā)證書的機構(gòu)(Certification Authority,CA)、密鑰管理中心、在線證書狀態(tài)查詢系統(tǒng)、證書撤銷系統(tǒng)等。PKI代表性的算法是SM2(橢圓曲線公鑰密碼算法),主要應用在身份證、銀行卡等領域。
2.2 基于標識的IBC技術
基于標識的密碼系統(tǒng)(Identity-Based Cryptograph,IBC)是在傳統(tǒng)的PKI基礎上發(fā)展而來,將用戶的唯一標識(如手機號、郵箱地址)用作公鑰,從而幫助用戶不再頻繁申請和交換證書,極大降低了證書和密鑰管理的復雜性,降低了使用者成本投入。IBC的基礎技術包括數(shù)據(jù)加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、用戶識別、用戶認證等。兩種技術的公鑰基礎,如圖1所示。
圖1 兩種技術的公鑰基礎
中國政府一直重視密碼技術的國產(chǎn)化。2008年國家密碼管理局頒發(fā)基于標識的商密算法型號——SM9,為我國標識密碼技術的應用奠定了堅實的基礎。2016年國家密碼管理局正式發(fā)布了SM9密碼算法標準。目前,SM9標識密碼算法技術憑借其技術優(yōu)勢,在政企單位等行業(yè)中得到了廣泛應用。2.3 PKI與IBC技術對比PKI與IBC技術對比結(jié)果,如表1所示。表1 PKI與IBC技術對比
3基于SM9算法的物聯(lián)網(wǎng)平臺設計
3.1 物聯(lián)網(wǎng)安全總體框架
在物聯(lián)網(wǎng)安全領域,各大廠商都提出了各自的安全解決方案,典型如阿里巴巴提出的ID2安全方案。國際電聯(lián)GSMA也提出了一整套基于非對稱算法和對稱算法結(jié)合的物聯(lián)網(wǎng)的國際化安全標準,如3GPP TS 33.102、SGP02、SGP05、TS102.225等。
本文的物聯(lián)網(wǎng)安全平臺方案在3GPP的安全標準基礎上進行了兩方面擴展,總體框架如圖2所示。一方面是對國際標準的安全通道協(xié)議進行了擴展,采用了基于標識的IBC安全架構(gòu);另一方面是對密碼算法進行擴展,使用標準的SM9國密算法,采用經(jīng)過安全認證的安全芯片提供加密和認證功能。
圖2 物聯(lián)網(wǎng)安全總體框架
物聯(lián)網(wǎng)安全平臺部署非常靈活,可以與物聯(lián)網(wǎng)云平臺共同部署在運營商網(wǎng)絡上,形成公有云服務。該運營商所有接入的設備都可以使用安全平臺服務,也可以單獨部署在使用者處,成為私有云服務。
物聯(lián)網(wǎng)云平臺為用戶提供Paas云服務,具有設備接入、應用接入、數(shù)據(jù)集成、二次開發(fā)能力集成、系統(tǒng)維護等功能,具有采用NB-IoT、Zigbee、藍牙4.0、WiFi、2G/3G/4G、紅外線等物聯(lián)網(wǎng)協(xié)議的智能設備的通信能力。
安全平臺提供對終端設備的認證,對設備到物聯(lián)網(wǎng)云平臺的傳輸進行端到端加密、傳輸全程加密、可信傳輸與安全通道。物聯(lián)網(wǎng)云平臺收集被加密的終端數(shù)據(jù)保存在云端,并適時推送到用戶管理系統(tǒng)中。
物聯(lián)網(wǎng)安全平臺內(nèi)嵌基于SM9算法的物聯(lián)網(wǎng)安全模塊,可以解決當前物聯(lián)網(wǎng)設備與服務器之間、設備與設備之間互相信任的問題,解決端到端數(shù)據(jù)加密傳輸?shù)膯栴},解決仿冒設備、仿冒指令的問題,解決數(shù)據(jù)加密存儲的問題。
(1)芯片初始授權。
終端芯片在出廠時會完成初始化,由安全服務平臺對芯片首次發(fā)行操作完成系統(tǒng)公鑰、ISD、TSD的信息初始化。
(2)終端激活授權。
為確保終端用戶服務商對智能終端的激活控制,引入了授權機制。只有獲取授權憑證的終端管理系統(tǒng)才能夠?qū)K端進行應用管理。該功能由安全服務平臺提供,終端管理系統(tǒng)先向安全服務平臺申請某一終端的授權憑證,安全服務平臺根據(jù)申請的合法性判斷是否返回憑證數(shù)據(jù)。該憑證數(shù)據(jù)具備不可否認性。之后終端管理系統(tǒng)基于該授權憑證進行管理系統(tǒng)綁定,進而執(zhí)行激活操作。終端綁定管理系統(tǒng)后,被綁定的終端管理系統(tǒng)獲取了終端的管理控制權,而其他的終端管理系統(tǒng)將無法對該終端進行管理操作。
(3)應用激活。
終端管理系統(tǒng)可以對所轄的終端設備提供應用激活與更新服務,該操作需由終端發(fā)起。當終端發(fā)起管理業(yè)務查詢時,終端管理系統(tǒng)根據(jù)該終端的應用管理策略,判斷是否需要激活或更新應用對應的安全域。如需要執(zhí)行,則終端管理系統(tǒng)先生成相應的應用激活數(shù)據(jù),然后使用終端的身份標識加密信息和系統(tǒng)的用戶私鑰簽名數(shù)據(jù),確保應用激活數(shù)據(jù)的機密性、完整性和真實性。
(4)業(yè)務數(shù)據(jù)上報下發(fā)。
上報由終端發(fā)起,終端eSAM或安全模組提供數(shù)據(jù)封裝功能,執(zhí)行可選的加密和簽名功能;業(yè)務系統(tǒng)接收數(shù)據(jù)后,使用安全服務平臺提供的數(shù)據(jù)解封功能,執(zhí)行解密和驗簽操作。下發(fā)由業(yè)務系統(tǒng)發(fā)起,安全服務平臺提供數(shù)據(jù)封裝功能,執(zhí)行可選的加密和簽名功能;終端接收數(shù)據(jù)后,通過終端eSAM或安全模組對數(shù)據(jù)解密并驗證。業(yè)務數(shù)據(jù)下發(fā)支持單播模式和組播模式。
3.2 安全平臺基礎功能
為實現(xiàn)物聯(lián)網(wǎng)智能終端的全生命周期安全管理,安全平臺根據(jù)不同終端生命周期的差異性,劃分為發(fā)行、管理和業(yè)務3大功能部分,如圖3所示。
圖3 安全平臺功能劃分
安全平臺的發(fā)行部分主要面向安全硬件廠商提供安全發(fā)行服務,給需要接入平臺的安全硬件發(fā)行個性化的信息;安全平臺的管理部分主要面向智能終端提供應用管理和密鑰分發(fā)服務;安全平臺的業(yè)務部分主要面向業(yè)務系統(tǒng)提供業(yè)務所需的安全服務。
基于安全芯片的安全平臺架構(gòu)形成終端注冊、終端管理、業(yè)務服務、安全存儲等多環(huán)節(jié)的安全保障體系,構(gòu)建一個標準化、開放化的物聯(lián)網(wǎng)安全服務平臺。
3.3 安全平臺方案優(yōu)勢
物聯(lián)網(wǎng)整體角度而言,方案具有如下優(yōu)勢。
(1)適用于物聯(lián)網(wǎng)安全應用場景,采用適合于物聯(lián)網(wǎng)的加密、認證等安全技術,為智能化改造后的業(yè)務提供安全保障,有效防范因智能化信息化改造帶來的各類新型安全攻擊;采用新的安全通信技術,有利于在保障數(shù)據(jù)安全的條件下完成數(shù)據(jù)的統(tǒng)一采集和管理,同時保持對已有業(yè)務流程的兼容;
(2)設備發(fā)行、管理方便,采用新的設備安全管理技術,有利于實施設備的統(tǒng)一管理;可以實現(xiàn)eSAM的空中發(fā)行。規(guī)范化的管理流程不僅有利于加強NB設備管理效能,還有利于NB設備的生產(chǎn)組織和供應。
(3)具有良好的業(yè)務擴展性,可支持多安全域和多安全應用,可在解決傳統(tǒng)的抄表難問題的基礎上,為未來應用的安全性提供接口,同時有利于和將來其他的業(yè)務進行在線的智能化數(shù)據(jù)集成。
(4)在NB設備標識不變的情況下,可以使得業(yè)務系統(tǒng)得到充分拓展;使用低開銷的安全負擔對硬件單元進行優(yōu)化和集成,有利于降低硬件成本;根據(jù)NB-IoT的協(xié)議特點,有利于利于減少通信量,節(jié)約通信費用;有利于降低處理能耗,改善用戶體驗。
(5)安全性高,對比傳統(tǒng)的終端系統(tǒng)在提高效益和效率的同時,面臨的安全威脅更大,安全危害更嚴重,需要更高的安全防護能力。本方案有效提高了安全防護級別。
4實際推廣案例
4.1 推廣可行性
物聯(lián)網(wǎng)安全平臺具有靈活的伸縮性,可擴展性強,足以支撐當前政企、公用事業(yè)所有的智能化物聯(lián)網(wǎng)設備。
從產(chǎn)業(yè)鏈看,安全芯片和模組廠商處于物聯(lián)網(wǎng)應用上游,為設備商提供產(chǎn)品,以產(chǎn)品和解決方案參與中下游系統(tǒng)集成、安全服務、業(yè)務咨詢等工作,并參與推動行業(yè)技術標準演進,可以在產(chǎn)業(yè)鏈中發(fā)揮重要作用。從應用看,安全平臺有行業(yè)應用的全部場景,與電信運營商、智能表廠、模組提供商、芯片提供商均有合作前景。自主研發(fā)的安全模組和整體解決方案將領先于公用事業(yè)行業(yè)和民生物聯(lián)網(wǎng)應用領域。從服務看,除平臺自身外,可增值的服務還包括專用COS提供、定制應用、制卡發(fā)行、安全檢測、技術咨詢、標準制定等。
4.2 公用事業(yè)案例
根據(jù)國家“十三五”規(guī)劃,通過天然氣進口、管網(wǎng)儲備調(diào)峰基礎設施建設、城市燃氣運營服務數(shù)字化改造等一系列的政策推動,預計2020年天然氣在一次性能源消費結(jié)構(gòu)中的比重提升到10%,管網(wǎng)與氣化人口平均年增速10%。目前,天然氣領域已經(jīng)迎來快速發(fā)展的新機遇。物聯(lián)網(wǎng)燃氣表具有高安全、廣覆蓋、大連接、低功耗和低成本等特點,可以解決傳統(tǒng)智能燃氣表數(shù)據(jù)傳輸不穩(wěn)定、功耗高、抄表成功率低等問題。
燃氣物聯(lián)網(wǎng)平臺的安全性將由物聯(lián)網(wǎng)安全平臺提供。民用智能燃氣計量終端通過安全芯片加密的方式,計量數(shù)據(jù)由安全平臺加密傳輸給用戶管理系統(tǒng)等業(yè)務系統(tǒng)。2018年底,物聯(lián)網(wǎng)安全平臺支持新增8萬臺民用燃氣智能計量終端接入安全管理,預計2019年底可支持新增30萬臺民用燃氣智能計量終端接入安全管理。2020年底,可再支持新增30萬臺民用燃氣智能計量終端接入安全管理。
如圖4所示,安全能力方面,安全平臺采用了標準的國密算法,提供數(shù)據(jù)加密、數(shù)據(jù)簽名、身份認證等功能,符合燃氣主管部門的檢測和使用要求,算法實現(xiàn)性能達到了國內(nèi)領先水平。采用先進的基于身份密碼體制實現(xiàn)了燃氣終端身份統(tǒng)一認證;采用端到端的安全保護機制,對上行和下發(fā)的數(shù)據(jù)消息的簽名認證、驗簽以及數(shù)據(jù)加解密,解決了燃氣應用安全問題,實現(xiàn)了端到端的業(yè)務數(shù)據(jù)通信加密和實體認證。
圖4 物聯(lián)網(wǎng)燃氣終端安全認證
硬件能力方面,安全平臺選用的燃氣終端安全芯片通過了國密二級、EAL4+等權威認證,從硬件層面有效防止攻擊危害的發(fā)生。業(yè)務保護方面,安全平臺采用多種遠程管理技術,如遠程發(fā)行、應用激活、多安全域管理、多應用加載等,實行業(yè)務級的安全管理;采用的無證書安全機制,極大程度上適應了物聯(lián)網(wǎng)環(huán)境需求,減少了安全交互次數(shù)。
安全平臺的建設達到一次建設長期受益的目的。平臺建設可以給XX燃氣帶來長期穩(wěn)定的設備保密環(huán)境,減少燃氣表設備信息被篡改的風險,極大降低設備可能存在被攻擊的可能性。同時,作為平臺的運營方,每塊接入安全平臺的設備都需要支付一定的安全服務費,平臺運營方可以長期受益。
