物联网普遍存在遭受网络攻击类型多样化、没有安全保护标准、数据极易被截获或破解等安全风险,核心问题在于缺乏设备、服务提供者、应用、数据、交易等物的安全认证机制。因此,有必要建立一种提供认证鉴权和数据保护的方案体系,建立物与物、物与人之间的信任。密码技术是解决核心安全问题的基础理论和技术,而传统的证书体系并不适应于物联网环境,基于商密SM9的算法才是目前物联网安全认证的最佳选择。物联网安全平台依赖商密SM9算法的优势,有效克服了传统算法中密钥分发安全性弱等问题,深入物联网行业终端与应用层面,建立了面向物联网业务的端到端安全。物联网被称为继计算机、互联网之后的信息世界“第三次浪潮”。Forrester预测其产业价值将比互联网大30倍,为下一个万亿美元级业务。全球IT研究与顾问咨询公司Gartner预测,全球接入互联网的设备在2020年将增至208亿台。Markets and Markets预计2020年全球物联网的安全市场为289亿美元,年复合增长率高于30%。随着物联网行业的高速发展,物联网安全问题日益凸显。根据Gartner最新发布的报告指出,近20%的企业机构在过去3年内至少观察到一次基于物联网的攻击。中国物联网连接数已位居全球第一,而物联网安全应用处于市场导入期。随着国家政策及市场培育特别是《工业控制系统信息安全防护指南》的逐步推进实施,3~5年内这一市场占比将快速成长,预估3年后物联网安全应用规模将超过100亿元。如何解决物联网的安全,成为摆在政府监管和各类企业面前的一道难题。因此,推行完整、科学、规范化的物联网安全平台已成当务之急。
物联网安全与传统安全区别的一大特征是设备数量庞大,主要表现在:
(1)攻击的广泛性:任何一个设备都可能成为攻击的发起点(DDoS攻击);
(2)危害的传播性:物联网设备的数量级大大增加了危害的传播广度;
(3)攻击的危害性广泛:破坏信任、破知识产权、破坏声誉,甚至会涉及到人身安危(医疗植入设备);
(4)隐私的多维泄露:攻击者可以从汽车、家电、智能手机等多维度获取用户的隐私;
(5)设备的部署环境:设备资源受限、缺乏物理保护、无人值守操作,与物理环境密切相关;
(6)部署的随意性:设备的使用周期差别较大,有的设备被遗弃后不再更新升级,却可能成为攻击者利用的漏洞。
物联网网络主要的安全风险集中在:
(1)缺乏对设备、服务提供商、应用、数据、交易的认证鉴权;
(2)缺乏对数据的非否认性、数据完整性保护;
(3)缺乏私有密钥、公钥密钥的管理和使用;
(4)缺乏应用配置管理和弹性保护机制弹性;
(5)缺乏长效监督机制,被遗弃设备再次接入网络时,无法第一时间进行安全升级。
物联网设备本身存在功耗低、数量多、分布广、种类多的特点。物联网安全的需求主要在于设备管理(注册与发行)的复杂性、是否支持密钥期限自动管理、是否支持离线应用、易于构建运营服务模式、对设备的管理(设备的增加和回收、废弃设备的管理、分布式认证)等因素。因此,物联网安全涉及到几乎所有的计算机和网络安全范畴。同时,因为物联网的异构接入、低功耗、传感控制操作和海量并发等特征,其安全防护更是困难。
如何在不同的应用场景和平台需求中提取出物联网安全模型并针对性地采用合适的防护技术,是一个巨大的挑战。显然,物联网安全不再是一个简单的网络问题,而是需要一个可以支持多种设备和云服务的敏捷而开放的安全基础平台,其核心解决方案是物的安全认证技术。
公钥基础设施(Public Key Infrastructure,PKI)以不对称密钥加密技术为基础,提供一系列支持公开密钥密码应用(加密与解密、签名与验证签名)的基础服务。它是申请、受理、制作、颁发、撤销、管理证书所涉及到硬件、软件的综合,重要元素是数字证书。
用户通过申请数字证书,实现身份认证和信息加密处理,从而为各种交易、活动提供安全保障。PKI包括公钥证书、签发证书的机构(Certification Authority,CA)、密钥管理中心、在线证书状态查询系统、证书撤销系统等。PKI代表性的算法是SM2(椭圆曲线公钥密码算法),主要应用在身份证、银行卡等领域。
基于标识的密码系统(Identity-Based Cryptograph,IBC)是在传统的PKI基础上发展而来,将用户的唯一标识(如手机号、邮箱地址)用作公钥,从而帮助用户不再频繁申请和交换证书,极大降低了证书和密钥管理的复杂性,降低了使用者成本投入。
IBC的基础技术包括数据加密、数字签名、数据完整性机制、数字信封、用户识别、用户认证等。
图1 两种技术的公钥基础
中国政府一直重视密码技术的国产化。2008年国家密码管理局颁发基于标识的商密算法型号——SM9,为我国标识密码技术的应用奠定了坚实的基础。2016年国家密码管理局正式发布了SM9密码算法标准。目前,SM9标识密码算法技术凭借其技术优势,在政企单位等行业中得到了广泛应用。
PKI与IBC技术对比结果,如表1所示。
表1 PKI与IBC技术对比
在物联网安全领域,各大厂商都提出了各自的安全解决方案,典型如阿里巴巴提出的ID2安全方案。国际电联GSMA也提出了一整套基于非对称算法和对称算法结合的物联网的国际化安全标准,如3GPP TS 33.102、SGP02、SGP05、TS102.225等。
本文的物联网安全平台方案在3GPP的安全标准基础上进行了两方面扩展,总体框架如图2所示。一方面是对国际标准的安全通道协议进行了扩展,采用了基于标识的IBC安全架构;另一方面是对密码算法进行扩展,使用标准的SM9国密算法,采用经过安全认证的安全芯片提供加密和认证功能。
图2 物联网安全总体框架
物联网安全平台部署非常灵活,可以与物联网云平台共同部署在运营商网络上,形成公有云服务。该运营商所有接入的设备都可以使用安全平台服务,也可以单独部署在使用者处,成为私有云服务。
物联网云平台为用户提供Paas云服务,具有设备接入、应用接入、数据集成、二次开发能力集成、系统维护等功能,具有采用NB-IoT、Zigbee、蓝牙4.0、WiFi、2G/3G/4G、红外线等物联网协议的智能设备的通信能力。
安全平台提供对终端设备的认证,对设备到物联网云平台的传输进行端到端加密、传输全程加密、可信传输与安全通道。物联网云平台收集被加密的终端数据保存在云端,并适时推送到用户管理系统中。
物联网安全平台内嵌基于SM9算法的物联网安全模块,可以解决当前物联网设备与服务器之间、设备与设备之间互相信任的问题,解决端到端数据加密传输的问题,解决仿冒设备、仿冒指令的问题,解决数据加密存储的问题。
(1)芯片初始授权。终端芯片在出厂时会完成初始化,由安全服务平台对芯片首次发行操作完成系统公钥、ISD、TSD的信息初始化。
(2)终端激活授权。为确保终端用户服务商对智能终端的激活控制,引入了授权机制。只有获取授权凭证的终端管理系统才能够对终端进行应用管理。该功能由安全服务平台提供,终端管理系统先向安全服务平台申请某一终端的授权凭证,安全服务平台根据申请的合法性判断是否返回凭证数据。该凭证数据具备不可否认性。之后终端管理系统基于该授权凭证进行管理系统绑定,进而执行激活操作。终端绑定管理系统后,被绑定的终端管理系统获取了终端的管理控制权,而其他的终端管理系统将无法对该终端进行管理操作。
(3)应用激活。终端管理系统可以对所辖的终端设备提供应用激活与更新服务,该操作需由终端发起。当终端发起管理业务查询时,终端管理系统根据该终端的应用管理策略,判断是否需要激活或更新应用对应的安全域。如需要执行,则终端管理系统先生成相应的应用激活数据,然后使用终端的身份标识加密信息和系统的用户私钥签名数据,确保应用激活数据的机密性、完整性和真实性。
(4)业务数据上报下发。上报由终端发起,终端eSAM或安全模组提供数据封装功能,执行可选的加密和签名功能;业务系统接收数据后,使用安全服务平台提供的数据解封功能,执行解密和验签操作。下发由业务系统发起,安全服务平台提供数据封装功能,执行可选的加密和签名功能;终端接收数据后,通过终端eSAM或安全模组对数据解密并验证。业务数据下发支持单播模式和组播模式。
为实现物联网智能终端的全生命周期安全管理,安全平台根据不同终端生命周期的差异性,划分为发行、管理和业务3大功能部分,如图3所示。
图3 安全平台功能划分
安全平台的发行部分主要面向安全硬件厂商提供安全发行服务,给需要接入平台的安全硬件发行个性化的信息;安全平台的管理部分主要面向智能终端提供应用管理和密钥分发服务;
安全平台的业务部分主要面向业务系统提供业务所需的安全服务。基于安全芯片的安全平台架构形成终端注册、终端管理、业务服务、安全存储等多环节的安全保障体系,构建一个标准化、开放化的物联网安全服务平台。
物联网整体角度而言,方案具有如下优势。
(1)适用于物联网安全应用场景,采用适合于物联网的加密、认证等安全技术,为智能化改造后的业务提供安全保障,有效防范因智能化信息化改造带来的各类新型安全攻击;采用新的安全通信技术,有利于在保障数据安全的条件下完成数据的统一采集和管理,同时保持对已有业务流程的兼容;
(2)设备发行、管理方便,采用新的设备安全管理技术,有利于实施设备的统一管理;可以实现eSAM的空中发行。规范化的管理流程不仅有利于加强NB设备管理效能,还有利于NB设备的生产组织和供应。
(3)具有良好的业务扩展性,可支持多安全域和多安全应用,可在解决传统的抄表难问题的基础上,为未来应用的安全性提供接口,同时有利于和将来其他的业务进行在线的智能化数据集成。
(4)在NB设备标识不变的情况下,可以使得业务系统得到充分拓展;使用低开销的安全负担对硬件单元进行优化和集成,有利于降低硬件成本;根据NB-IoT的协议特点,有利于利于减少通信量,节约通信费用;有利于降低处理能耗,改善用户体验。
(5)安全性高,对比传统的终端系统在提高效益和效率的同时,面临的安全威胁更大,安全危害更严重,需要更高的安全防护能力。本方案有效提高了安全防护级别。
物联网安全平台具有灵活的伸缩性,可扩展性强,足以支撑当前政企、公用事业所有的智能化物联网设备。
从产业链看,安全芯片和模组厂商处于物联网应用上游,为设备商提供产品,以产品和解决方案参与中下游系统集成、安全服务、业务咨询等工作,并参与推动行业技术标准演进,可以在产业链中发挥重要作用。
从应用看,安全平台有行业应用的全部场景,与电信运营商、智能表厂、模组提供商、芯片提供商均有合作前景。自主研发的安全模组和整体解决方案将领先于公用事业行业和民生物联网应用领域。
从服务看,除平台自身外,可增值的服务还包括专用COS提供、定制应用、制卡发行、安全检测、技术咨询、标准制定等。
根据国家“十三五”规划,通过天然气进口、管网储备调峰基础设施建设、城市燃气运营服务数字化改造等一系列的政策推动,预计2020年天然气在一次性能源消费结构中的比重提升到10%,管网与气化人口平均年增速10%。目前,天然气领域已经迎来快速发展的新机遇。
物联网燃气表具有高安全、广覆盖、大连接、低功耗和低成本等特点,可以解决传统智能燃气表数据传输不稳定、功耗高、抄表成功率低等问题。燃气物联网平台的安全性将由物联网安全平台提供。民用智能燃气计量终端通过安全芯片加密的方式,计量数据由安全平台加密传输给用户管理系统等业务系统。2018年底,物联网安全平台支持新增8万台民用燃气智能计量终端接入安全管理,预计2019年底可支持新增30万台民用燃气智能计量终端接入安全管理。
2020年底,可再支持新增30万台民用燃气智能计量终端接入安全管理。如图4所示,安全能力方面,安全平台采用了标准的国密算法,提供数据加密、数据签名、身份认证等功能,符合燃气主管部门的检测和使用要求,算法实现性能达到了国内领先水平。采用先进的基于身份密码体制实现了燃气终端身份统一认证;采用端到端的安全保护机制,对上行和下发的数据消息的签名认证、验签以及数据加解密,解决了燃气应用安全问题,实现了端到端的业务数据通信加密和实体认证。
图4 物联网燃气终端安全认证
硬件能力方面,安全平台选用的燃气终端安全芯片通过了国密二级、EAL4+等权威认证,从硬件层面有效防止攻击危害的发生。
业务保护方面,安全平台采用多种远程管理技术,如远程发行、应用激活、多安全域管理、多应用加载等,实行业务级的安全管理;采用的无证书安全机制,极大程度上适应了物联网环境需求,减少了安全交互次数。
安全平台的建设达到一次建设长期受益的目的。平台建设可以给XX燃气带来长期稳定的设备保密环境,减少燃气表设备信息被篡改的风险,极大降低设备可能存在被攻击的可能性。同时,作为平台的运营方,每块接入安全平台的设备都需要支付一定的安全服务费,平台运营方可以长期受益。
本文研究并实现了基于商密SM9算法的物联网安全平台。该平台经实际项目应用检验,具备海量、高并发、安全可靠的运行能力,适用于公用事业管理、工业制造、共享经济、智慧安防等领域。
作者简介 >>>
杨 平(1977—),男,硕士,工程师,主要研究方向为无线网的网络规划、设计及新技术研究等;
范苏洪(1979—),男,学士,工程师,主要研究方向为IT网络研发和规划;
朱 艳(1983—),男,学士,工程师,主要研究方向为通信与信息化的规划设计及新技术研究。
选自《通信技术》2020年第三期 (为便于排版,已省去原文参考文献)