萬物互聯(lián)，信息安全“芯”守護

                             ---中國信科集團芯云一體化解決方案

飛象網(wǎng)訊 隨著5G牌照的發(fā)放，萬物互聯(lián)（IOT）時代已經(jīng)到來。目前已有大量智能設備進入了人們的生活，物聯(lián)網(wǎng)在車聯(lián)網(wǎng)、智能家居、智慧城市、安防監(jiān)控、共享單車、能源電力、遠程抄表等各個行業(yè)都有新興應用。Statista的數(shù)據(jù)顯示，截止到2020年將有310億個物聯(lián)網(wǎng)設備，到2025年將有740億個連接設備。

我們驚嘆物聯(lián)網(wǎng)的快速發(fā)展，積極尋找其背后的機遇，卻容易忽視物聯(lián)網(wǎng)面臨的信息安全問題。物聯(lián)網(wǎng)的感知層有身份偽造、固件升級漏洞、數(shù)據(jù)完整性保護、敏感數(shù)據(jù)泄露等風險；傳輸層有信息竊聽、攔擊、篡改、重放、DDoS等風險；應用層有用戶數(shù)據(jù)泄露、丟失、不安全接口、APP入侵等風險。

2016年10月21日，美國東海岸發(fā)生世界上癱瘓面積最大（大半個美國）、時間量長（6個多小時）的分布式拒絕服務（DDoS）攻擊�！拔锫�(lián)網(wǎng)破壞者”劫持網(wǎng)絡攝像頭，讓上百萬攝像頭同時請求訪問互聯(lián)網(wǎng)，造成網(wǎng)絡堵塞癱瘓，這是一例典型的物聯(lián)網(wǎng)安全事件。更有進一步攻擊，升級為PDoS（永久拒絕服務攻擊），清除設備里的所有文件。

“物聯(lián)網(wǎng)破壞者”病毒席卷范圍

2017年5月12日爆發(fā)的“WannaCry”的勒索病毒，通過將系統(tǒng)中數(shù)據(jù)信息加密，使數(shù)據(jù)變得不可用，借機勒索錢財。病毒席卷近150個國家，教育、交通、醫(yī)療、能源網(wǎng)絡成為本輪攻擊的重災區(qū)。

“WannaCry”病毒席卷范圍

2018年8月3日，臺積電遭到勒索病毒入侵。臺積電在臺灣的北、中、南三個重要生產(chǎn)基地停擺幾個小時，造成約十幾億美元的營業(yè)損失。

安全不是“錦上添花”，而是迫在眉睫需要解決的問題。物聯(lián)網(wǎng)設備類型眾多，涉及范圍廣，易攻難守，我們該如何防范呢？2019年，伴隨 GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》等三個國家標準發(fā)布，等保2.0時代到來。在等保標準中規(guī)定，物聯(lián)網(wǎng)的安全防護應包括感知層、網(wǎng)絡傳輸層和處理應用層。標準對物聯(lián)網(wǎng)安全擴展要求，即針對感知終端提出安全要求，要求感知節(jié)點設備進行物理防護，接入物聯(lián)網(wǎng)安全控制、應對入侵防范。要構(gòu)建安全計算環(huán)境，對感知節(jié)點的設備安全、網(wǎng)關節(jié)點設備安全、抗數(shù)據(jù)重放、數(shù)據(jù)融合處理均需要構(gòu)建可信安全環(huán)境。

中信科集團旗下大唐電信科技股份有限公司（以下簡稱“大唐電信”）依據(jù)標準要求，結(jié)合物聯(lián)網(wǎng)行業(yè)實際應用需求，推出芯云一體化物聯(lián)網(wǎng)安全解決方案，其安全機制的核心在于物聯(lián)網(wǎng)設備必須具備可信信任根---安全芯片。以密碼為基因?qū)嵤┥矸葑R別、狀態(tài)度量、保密存儲等功能，智能設備及時識別物聯(lián)網(wǎng)中的“自己”與“非已”，增強自身的免疫能力，積極應對物聯(lián)網(wǎng)信息安全隱患。

芯云一體化物聯(lián)網(wǎng)安全解決方案

芯云一體化物聯(lián)網(wǎng)安全解決方案是大唐電信安全芯片在物聯(lián)網(wǎng)領域的一次全新探索和突破。解決方案致力于智能設備可信身份，數(shù)據(jù)完整性和保密性，數(shù)據(jù)操作的可控性和不可否認性，用戶操作數(shù)據(jù)的可追溯性等方面，從技術(shù)上解決物聯(lián)網(wǎng)信息安全風險。

芯云一體化采用大唐電信自主研發(fā)的安全芯片，具備安全可信的運行環(huán)境、安全可信的存儲環(huán)境、優(yōu)異的安全可信計算能力。同時可防止侵入式攻擊、半侵入式攻擊、非侵入式攻擊，確保非授權(quán)信息不可被獲取。并且對數(shù)據(jù)可進行加解密、簽名驗簽，保證數(shù)據(jù)的完整性、不可篡改性。

安全芯片賦能感知節(jié)點，防止節(jié)點設備被劫持控制。依據(jù)安全芯片的特點讓每一個設備節(jié)點有一個可信的身份，節(jié)點終端根據(jù)密鑰安全體系保證只有授權(quán)的感知節(jié)點可以接入網(wǎng)絡。

安全芯片賦能網(wǎng)關節(jié)點，防止網(wǎng)關數(shù)據(jù)泄露。保證只有授權(quán)用戶可以對感知節(jié)點設備上的軟件應用進行配置或變更；對其連接的其它感知節(jié)點設備（包括路由節(jié)點）進行身份標識和鑒別；對合法連接設備進行標識和鑒別；授權(quán)用戶可以在設備使用過程中對關鍵數(shù)據(jù)進行更新。

安全芯片的密碼基因賦能數(shù)據(jù)傳輸，防止數(shù)據(jù)被篡改、冒用。利用密碼技術(shù)實現(xiàn)通信數(shù)據(jù)加密，在通訊過程中一方面引入身份認證機制，利用關鍵網(wǎng)絡節(jié)點對邊緣感知節(jié)點的身份進行認證，從而防止和杜絕虛假節(jié)點接入到網(wǎng)絡中，以確保通信網(wǎng)絡節(jié)點安全。通過在物聯(lián)網(wǎng)終端和通信網(wǎng)絡之間建立安全通道，建立信息傳輸?shù)目煽啃员Ｕ蠙C制，在保證用戶通信質(zhì)量的同時，對終端數(shù)據(jù)提供加密和完整性保護，防止數(shù)據(jù)泄露、通訊內(nèi)容被竊聽和篡改。在杜絕明文傳輸?shù)幕�礎上，進一步加強數(shù)據(jù)過濾、認證等加密操作，確保傳送數(shù)據(jù)的正確性。可進行設備指紋、時間戳、身份驗證、消息完整性等多維度校驗，保證數(shù)據(jù)傳輸?shù)陌踩�性�?/P>

安全芯片的安全算法體系賦能云端安全，防止系統(tǒng)端非法用戶竊取、濫用數(shù)據(jù)。一方面實現(xiàn)端云雙向認證與密鑰協(xié)商服務。采用一機一密、一次一密的方式，確保每臺設備、每次會話均有各自獨立的密鑰。即使單臺設備或單個會話密鑰泄漏，也可確保其它設備或會話的安全性。同時可抵抗歷史日志分析，防止設備偽造以及中間人劫持，保護應用操作指令等敏感操作的數(shù)據(jù)安全。另一方面，對系統(tǒng)操作用戶的身份進行認證、實現(xiàn)訪問控制，個人隱私數(shù)據(jù)保護、敏感數(shù)據(jù)加密、證書及PKI應用實現(xiàn)身份鑒別、數(shù)據(jù)簽名及搞抵賴、安全審計、可信身份管理、可用應用系統(tǒng)及平臺等。

云端是一個公共安全技術(shù)防范平臺，基于PKI體系的數(shù)字證書認證管理系統(tǒng)。實現(xiàn)對物聯(lián)網(wǎng)終端、物聯(lián)網(wǎng)業(yè)務中心主體的數(shù)字證書發(fā)放、更新、注銷服務，實現(xiàn)物聯(lián)網(wǎng)終端與業(yè)務中心雙向身份認證，實現(xiàn)信息的保密性、完整性、可靠性和抗抵賴性等。提供PKI 策略、軟硬件系統(tǒng)、證書機構(gòu)CA、注冊機構(gòu)RA、證書發(fā)布系統(tǒng)和PKI 應用等部分，并針對物聯(lián)網(wǎng)的行業(yè)特點，實現(xiàn)安全域數(shù)據(jù)獨立管理、多業(yè)務多安全域獨立運行等，更加靈活部署和管理。

芯云一體化安全架構(gòu)

大唐電信以自研安全芯片為載體，為物聯(lián)網(wǎng)節(jié)點終端如智能門鎖、門禁、網(wǎng)關、家電等提供了雙向認證和密鑰協(xié)商等服務，彌補物聯(lián)網(wǎng)信息安全短板。支持國際主流加密算法，支持國密算法，幫助客戶實現(xiàn)設備身份認證服務，全面提升物聯(lián)網(wǎng)設備接入認證與數(shù)據(jù)的安全性。安全管理平臺基于PKI安全模型，實現(xiàn)物聯(lián)網(wǎng)終端可信身份識別和認證。基于安全芯片的密碼體系實現(xiàn)數(shù)據(jù)的加密通信，實現(xiàn)數(shù)據(jù)的簽名驗簽、證書管理、數(shù)據(jù)的安全存儲等功能。保障物聯(lián)網(wǎng)行業(yè)應用的數(shù)據(jù)安全、系統(tǒng)安全、連接安全和服務安全。

大唐電信芯云一體化方案目前已廣泛應用于智能鎖、北斗鑒權(quán)、公務員信息管理、智能鎖具、公安視頻網(wǎng)等行業(yè)，助力萬物互聯(lián)時代的信息安全。隨著“5G”“物聯(lián)網(wǎng)”和“智能制造2025”的到來，大唐電信將在信息安全方面繼續(xù)發(fā)力，為用戶和企業(yè)創(chuàng)造更加便捷、多元的安全保障。