---中国信科集团芯云一体化解决方案
随着5G牌照的发放,万物互联(IOT)时代已经到来。目前已有大量智能设备进入了人们的生活,物联网在车联网、智能家居、智慧城市、安防监控、共享单车、能源电力、远程抄表等各个行业都有新兴应用。Statista的数据显示,截止到2020年将有310亿个物联网设备,到2025年将有740亿个连接设备。
我们惊叹物联网的快速发展,积极寻找其背后的机遇,却容易忽视物联网面临的信息安全问题。物联网的感知层有身份伪造、固件升级漏洞、数据完整性保护、敏感数据泄露等风险;传输层有信息窃听、拦击、篡改、重放、DDoS等风险;应用层有用户数据泄露、丢失、不安全接口、APP入侵等风险。
2016年10月21日,美国东海岸发生世界上瘫痪面积最大(大半个美国)、时间量长(6个多小时)的分布式拒绝服务(DDoS)攻击。“物联网破坏者”劫持网络摄像头,让上百万摄像头同时请求访问互联网,造成网络堵塞瘫痪,这是一例典型的物联网安全事件。更有进一步攻击,升级为PDoS(永久拒绝服务攻击),清除设备里的所有文件。
“物联网破坏者”病毒席卷范围
2017年5月12日爆发的“WannaCry”的勒索病毒,通过将系统中数据信息加密,使数据变得不可用,借机勒索钱财。病毒席卷近150个国家,教育、交通、医疗、能源网络成为本轮攻击的重灾区。
“WannaCry”病毒席卷范围
2018年8月3日,台积电遭到勒索病毒入侵。台积电在台湾的北、中、南三个重要生产基地停摆几个小时,造成约十几亿美元的营业损失。
安全不是“锦上添花”,而是迫在眉睫需要解决的问题。物联网设备类型众多,涉及范围广,易攻难守,我们该如何防范呢?2019年,伴随 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等三个国家标准发布,等保2.0时代到来。在等保标准中规定,物联网的安全防护应包括感知层、网络传输层和处理应用层。标准对物联网安全扩展要求,即针对感知终端提出安全要求,要求感知节点设备进行物理防护,接入物联网安全控制、应对入侵防范。要构建安全计算环境,对感知节点的设备安全、网关节点设备安全、抗数据重放、数据融合处理均需要构建可信安全环境。
中信科集团旗下大唐电信科技股份有限公司(以下简称“大唐电信”)依据标准要求,结合物联网行业实际应用需求,推出芯云一体化物联网安全解决方案,其安全机制的核心在于物联网设备必须具备可信信任根---安全芯片。以密码为基因实施身份识别、状态度量、保密存储等功能,智能设备及时识别物联网中的“自己”与“非已”,增强自身的免疫能力,积极应对物联网信息安全隐患。
芯云一体化物联网安全解决方案
芯云一体化物联网安全解决方案是大唐电信安全芯片在物联网领域的一次全新探索和突破。解决方案致力于智能设备可信身份,数据完整性和保密性,数据操作的可控性和不可否认性,用户操作数据的可追溯性等方面,从技术上解决物联网信息安全风险。
芯云一体化采用大唐电信自主研发的安全芯片,具备安全可信的运行环境、安全可信的存储环境、优异的安全可信计算能力。同时可防止侵入式攻击、半侵入式攻击、非侵入式攻击,确保非授权信息不可被获取。并且对数据可进行加解密、签名验签,保证数据的完整性、不可篡改性。
安全芯片赋能感知节点,防止节点设备被劫持控制。依据安全芯片的特点让每一个设备节点有一个可信的身份,节点终端根据密钥安全体系保证只有授权的感知节点可以接入网络。
安全芯片赋能网关节点,防止网关数据泄露。保证只有授权用户可以对感知节点设备上的软件应用进行配置或变更;对其连接的其它感知节点设备(包括路由节点)进行身份标识和鉴别;对合法连接设备进行标识和鉴别;授权用户可以在设备使用过程中对关键数据进行更新。
安全芯片的密码基因赋能数据传输,防止数据被篡改、冒用。利用密码技术实现通信数据加密,在通讯过程中一方面引入身份认证机制,利用关键网络节点对边缘感知节点的身份进行认证,从而防止和杜绝虚假节点接入到网络中,以确保通信网络节点安全。通过在物联网终端和通信网络之间建立安全通道,建立信息传输的可靠性保障机制,在保证用户通信质量的同时,对终端数据提供加密和完整性保护,防止数据泄露、通讯内容被窃听和篡改。在杜绝明文传输的基础上,进一步加强数据过滤、认证等加密操作,确保传送数据的正确性。可进行设备指纹、时间戳、身份验证、消息完整性等多维度校验,保证数据传输的安全性。
安全芯片的安全算法体系赋能云端安全,防止系统端非法用户窃取、滥用数据。一方面实现端云双向认证与密钥协商服务。采用一机一密、一次一密的方式,确保每台设备、每次会话均有各自独立的密钥。即使单台设备或单个会话密钥泄漏,也可确保其它设备或会话的安全性。同时可抵抗历史日志分析,防止设备伪造以及中间人劫持,保护应用操作指令等敏感操作的数据安全。另一方面,对系统操作用户的身份进行认证、实现访问控制,个人隐私数据保护、敏感数据加密、证书及PKI应用实现身份鉴别、数据签名及搞抵赖、安全审计、可信身份管理、可用应用系统及平台等。
云端是一个公共安全技术防范平台,基于PKI体系的数字证书认证管理系统。实现对物联网终端、物联网业务中心主体的数字证书发放、更新、注销服务,实现物联网终端与业务中心双向身份认证,实现信息的保密性、完整性、可靠性和抗抵赖性等。提供PKI 策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI 应用等部分,并针对物联网的行业特点,实现安全域数据独立管理、多业务多安全域独立运行等,更加灵活部署和管理。
芯云一体化安全架构
大唐电信以自研安全芯片为载体,为物联网节点终端如智能门锁、门禁、网关、家电等提供了双向认证和密钥协商等服务,弥补物联网信息安全短板。支持国际主流加密算法,支持国密算法,帮助客户实现设备身份认证服务,全面提升物联网设备接入认证与数据的安全性。安全管理平台基于PKI安全模型,实现物联网终端可信身份识别和认证。基于安全芯片的密码体系实现数据的加密通信,实现数据的签名验签、证书管理、数据的安全存储等功能。保障物联网行业应用的数据安全、系统安全、连接安全和服务安全。
大唐电信芯云一体化方案目前已广泛应用于智能锁、北斗鉴权、公务员信息管理、智能锁具、公安视频网等行业,助力万物互联时代的信息安全。随着“5G”“物联网”和“智能制造2025”的到来,大唐电信将在信息安全方面继续发力,为用户和企业创造更加便捷、多元的安全保障。