---中國(guó)信科集團(tuán)芯云一體化解決方案
飛象網(wǎng)訊 隨著5G牌照的發(fā)放,萬(wàn)物互聯(lián)(IOT)時(shí)代已經(jīng)到來(lái)。目前已有大量智能設(shè)備進(jìn)入了人們的生活,物聯(lián)網(wǎng)在車聯(lián)網(wǎng)、智能家居、智慧城市、安防監(jiān)控、共享單車、能源電力、遠(yuǎn)程抄表等各個(gè)行業(yè)都有新興應(yīng)用。Statista的數(shù)據(jù)顯示,截止到2020年將有310億個(gè)物聯(lián)網(wǎng)設(shè)備,到2025年將有740億個(gè)連接設(shè)備。
我們驚嘆物聯(lián)網(wǎng)的快速發(fā)展,積極尋找其背后的機(jī)遇,卻容易忽視物聯(lián)網(wǎng)面臨的信息安全問(wèn)題。物聯(lián)網(wǎng)的感知層有身份偽造、固件升級(jí)漏洞、數(shù)據(jù)完整性保護(hù)、敏感數(shù)據(jù)泄露等風(fēng)險(xiǎn);傳輸層有信息竊聽(tīng)、攔擊、篡改、重放、DDoS等風(fēng)險(xiǎn);應(yīng)用層有用戶數(shù)據(jù)泄露、丟失、不安全接口、APP入侵等風(fēng)險(xiǎn)。
2016年10月21日,美國(guó)東海岸發(fā)生世界上癱瘓面積最大(大半個(gè)美國(guó))、時(shí)間量長(zhǎng)(6個(gè)多小時(shí))的分布式拒絕服務(wù)(DDoS)攻擊!拔锫(lián)網(wǎng)破壞者”劫持網(wǎng)絡(luò)攝像頭,讓上百萬(wàn)攝像頭同時(shí)請(qǐng)求訪問(wèn)互聯(lián)網(wǎng),造成網(wǎng)絡(luò)堵塞癱瘓,這是一例典型的物聯(lián)網(wǎng)安全事件。更有進(jìn)一步攻擊,升級(jí)為PDoS(永久拒絕服務(wù)攻擊),清除設(shè)備里的所有文件。
“物聯(lián)網(wǎng)破壞者”病毒席卷范圍
2017年5月12日爆發(fā)的“WannaCry”的勒索病毒,通過(guò)將系統(tǒng)中數(shù)據(jù)信息加密,使數(shù)據(jù)變得不可用,借機(jī)勒索錢財(cái)。病毒席卷近150個(gè)國(guó)家,教育、交通、醫(yī)療、能源網(wǎng)絡(luò)成為本輪攻擊的重災(zāi)區(qū)。
“WannaCry”病毒席卷范圍
2018年8月3日,臺(tái)積電遭到勒索病毒入侵。臺(tái)積電在臺(tái)灣的北、中、南三個(gè)重要生產(chǎn)基地停擺幾個(gè)小時(shí),造成約十幾億美元的營(yíng)業(yè)損失。
安全不是“錦上添花”,而是迫在眉睫需要解決的問(wèn)題。物聯(lián)網(wǎng)設(shè)備類型眾多,涉及范圍廣,易攻難守,我們?cè)撊绾畏婪赌兀?019年,伴隨 GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等三個(gè)國(guó)家標(biāo)準(zhǔn)發(fā)布,等保2.0時(shí)代到來(lái)。在等保標(biāo)準(zhǔn)中規(guī)定,物聯(lián)網(wǎng)的安全防護(hù)應(yīng)包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。標(biāo)準(zhǔn)對(duì)物聯(lián)網(wǎng)安全擴(kuò)展要求,即針對(duì)感知終端提出安全要求,要求感知節(jié)點(diǎn)設(shè)備進(jìn)行物理防護(hù),接入物聯(lián)網(wǎng)安全控制、應(yīng)對(duì)入侵防范。要構(gòu)建安全計(jì)算環(huán)境,對(duì)感知節(jié)點(diǎn)的設(shè)備安全、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全、抗數(shù)據(jù)重放、數(shù)據(jù)融合處理均需要構(gòu)建可信安全環(huán)境。
中信科集團(tuán)旗下大唐電信科技股份有限公司(以下簡(jiǎn)稱“大唐電信”)依據(jù)標(biāo)準(zhǔn)要求,結(jié)合物聯(lián)網(wǎng)行業(yè)實(shí)際應(yīng)用需求,推出芯云一體化物聯(lián)網(wǎng)安全解決方案,其安全機(jī)制的核心在于物聯(lián)網(wǎng)設(shè)備必須具備可信信任根---安全芯片。以密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能,智能設(shè)備及時(shí)識(shí)別物聯(lián)網(wǎng)中的“自己”與“非已”,增強(qiáng)自身的免疫能力,積極應(yīng)對(duì)物聯(lián)網(wǎng)信息安全隱患。
芯云一體化物聯(lián)網(wǎng)安全解決方案
芯云一體化物聯(lián)網(wǎng)安全解決方案是大唐電信安全芯片在物聯(lián)網(wǎng)領(lǐng)域的一次全新探索和突破。解決方案致力于智能設(shè)備可信身份,數(shù)據(jù)完整性和保密性,數(shù)據(jù)操作的可控性和不可否認(rèn)性,用戶操作數(shù)據(jù)的可追溯性等方面,從技術(shù)上解決物聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)。
芯云一體化采用大唐電信自主研發(fā)的安全芯片,具備安全可信的運(yùn)行環(huán)境、安全可信的存儲(chǔ)環(huán)境、優(yōu)異的安全可信計(jì)算能力。同時(shí)可防止侵入式攻擊、半侵入式攻擊、非侵入式攻擊,確保非授權(quán)信息不可被獲取。并且對(duì)數(shù)據(jù)可進(jìn)行加解密、簽名驗(yàn)簽,保證數(shù)據(jù)的完整性、不可篡改性。
安全芯片賦能感知節(jié)點(diǎn),防止節(jié)點(diǎn)設(shè)備被劫持控制。依據(jù)安全芯片的特點(diǎn)讓每一個(gè)設(shè)備節(jié)點(diǎn)有一個(gè)可信的身份,節(jié)點(diǎn)終端根據(jù)密鑰安全體系保證只有授權(quán)的感知節(jié)點(diǎn)可以接入網(wǎng)絡(luò)。
安全芯片賦能網(wǎng)關(guān)節(jié)點(diǎn),防止網(wǎng)關(guān)數(shù)據(jù)泄露。保證只有授權(quán)用戶可以對(duì)感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更;對(duì)其連接的其它感知節(jié)點(diǎn)設(shè)備(包括路由節(jié)點(diǎn))進(jìn)行身份標(biāo)識(shí)和鑒別;對(duì)合法連接設(shè)備進(jìn)行標(biāo)識(shí)和鑒別;授權(quán)用戶可以在設(shè)備使用過(guò)程中對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行更新。
安全芯片的密碼基因賦能數(shù)據(jù)傳輸,防止數(shù)據(jù)被篡改、冒用。利用密碼技術(shù)實(shí)現(xiàn)通信數(shù)據(jù)加密,在通訊過(guò)程中一方面引入身份認(rèn)證機(jī)制,利用關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)邊緣感知節(jié)點(diǎn)的身份進(jìn)行認(rèn)證,從而防止和杜絕虛假節(jié)點(diǎn)接入到網(wǎng)絡(luò)中,以確保通信網(wǎng)絡(luò)節(jié)點(diǎn)安全。通過(guò)在物聯(lián)網(wǎng)終端和通信網(wǎng)絡(luò)之間建立安全通道,建立信息傳輸?shù)目煽啃员U蠙C(jī)制,在保證用戶通信質(zhì)量的同時(shí),對(duì)終端數(shù)據(jù)提供加密和完整性保護(hù),防止數(shù)據(jù)泄露、通訊內(nèi)容被竊聽(tīng)和篡改。在杜絕明文傳輸?shù)幕A(chǔ)上,進(jìn)一步加強(qiáng)數(shù)據(jù)過(guò)濾、認(rèn)證等加密操作,確保傳送數(shù)據(jù)的正確性?蛇M(jìn)行設(shè)備指紋、時(shí)間戳、身份驗(yàn)證、消息完整性等多維度校驗(yàn),保證數(shù)據(jù)傳輸?shù)陌踩浴?/P>
安全芯片的安全算法體系賦能云端安全,防止系統(tǒng)端非法用戶竊取、濫用數(shù)據(jù)。一方面實(shí)現(xiàn)端云雙向認(rèn)證與密鑰協(xié)商服務(wù)。采用一機(jī)一密、一次一密的方式,確保每臺(tái)設(shè)備、每次會(huì)話均有各自獨(dú)立的密鑰。即使單臺(tái)設(shè)備或單個(gè)會(huì)話密鑰泄漏,也可確保其它設(shè)備或會(huì)話的安全性。同時(shí)可抵抗歷史日志分析,防止設(shè)備偽造以及中間人劫持,保護(hù)應(yīng)用操作指令等敏感操作的數(shù)據(jù)安全。另一方面,對(duì)系統(tǒng)操作用戶的身份進(jìn)行認(rèn)證、實(shí)現(xiàn)訪問(wèn)控制,個(gè)人隱私數(shù)據(jù)保護(hù)、敏感數(shù)據(jù)加密、證書及PKI應(yīng)用實(shí)現(xiàn)身份鑒別、數(shù)據(jù)簽名及搞抵賴、安全審計(jì)、可信身份管理、可用應(yīng)用系統(tǒng)及平臺(tái)等。
云端是一個(gè)公共安全技術(shù)防范平臺(tái),基于PKI體系的數(shù)字證書認(rèn)證管理系統(tǒng)。實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)終端、物聯(lián)網(wǎng)業(yè)務(wù)中心主體的數(shù)字證書發(fā)放、更新、注銷服務(wù),實(shí)現(xiàn)物聯(lián)網(wǎng)終端與業(yè)務(wù)中心雙向身份認(rèn)證,實(shí)現(xiàn)信息的保密性、完整性、可靠性和抗抵賴性等。提供PKI 策略、軟硬件系統(tǒng)、證書機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、證書發(fā)布系統(tǒng)和PKI 應(yīng)用等部分,并針對(duì)物聯(lián)網(wǎng)的行業(yè)特點(diǎn),實(shí)現(xiàn)安全域數(shù)據(jù)獨(dú)立管理、多業(yè)務(wù)多安全域獨(dú)立運(yùn)行等,更加靈活部署和管理。
芯云一體化安全架構(gòu)
大唐電信以自研安全芯片為載體,為物聯(lián)網(wǎng)節(jié)點(diǎn)終端如智能門鎖、門禁、網(wǎng)關(guān)、家電等提供了雙向認(rèn)證和密鑰協(xié)商等服務(wù),彌補(bǔ)物聯(lián)網(wǎng)信息安全短板。支持國(guó)際主流加密算法,支持國(guó)密算法,幫助客戶實(shí)現(xiàn)設(shè)備身份認(rèn)證服務(wù),全面提升物聯(lián)網(wǎng)設(shè)備接入認(rèn)證與數(shù)據(jù)的安全性。安全管理平臺(tái)基于PKI安全模型,實(shí)現(xiàn)物聯(lián)網(wǎng)終端可信身份識(shí)別和認(rèn)證。基于安全芯片的密碼體系實(shí)現(xiàn)數(shù)據(jù)的加密通信,實(shí)現(xiàn)數(shù)據(jù)的簽名驗(yàn)簽、證書管理、數(shù)據(jù)的安全存儲(chǔ)等功能。保障物聯(lián)網(wǎng)行業(yè)應(yīng)用的數(shù)據(jù)安全、系統(tǒng)安全、連接安全和服務(wù)安全。
大唐電信芯云一體化方案目前已廣泛應(yīng)用于智能鎖、北斗鑒權(quán)、公務(wù)員信息管理、智能鎖具、公安視頻網(wǎng)等行業(yè),助力萬(wàn)物互聯(lián)時(shí)代的信息安全。隨著“5G”“物聯(lián)網(wǎng)”和“智能制造2025”的到來(lái),大唐電信將在信息安全方面繼續(xù)發(fā)力,為用戶和企業(yè)創(chuàng)造更加便捷、多元的安全保障。