在物联网在蓬勃发展的同时,其背后隐藏的安全问题也逐渐凸显出来。物联网的应用在某种程度上需要依赖互联网或者TCP/IP网络,物联网环境中从硬件层到软件应用层均可能存在安全隐患。就目前人们普遍使用的智能家居设备来看,其安全控制单纯使用物联网芯片的加密技术,难以实现完整的解决方案,存在安全的短板。而随着信息化系统的复杂程度越来越高,系统脆弱点和漏洞越来越多,单一的安全技术已不能保障系统的安全性。
近日小编整理出一份商用密码在物联网领域的研究分析,分别以物联网市场、物联网安全、电力物联网应用场景、重点企业布局等主题进行整理,从多个角度分析商用密码在物联网领域的应用、安全防护、以及发展趋势等,小编认为商用密码领域在物联网行业,从技术上应发展轻量级的密码技术,研发设计物联网专用的密码;从市场方面,商用密码在物联网行业将迅速发展,迎来高峰期。
物联网市场
Gartner/IDC预测2020年全球物联网产业规模达1.7~1.9万亿美元,HIS/华为等预测2025年全球物联网连接数达500~1000亿规模。据Statista数据统计,2017年和2020年全球物联网市场规模分别为1110亿美元和2480亿美元,预计到2025年市场规模将会达到15670亿美元,CAGR高达39%。据IDC数据显示,中国2022年有望超越美国成为全球最大的物联网市场,2025年市场规模近4000亿美元。
物联网安全
物联网系统的安全与传统安全基本一样,主要有8个尺度:读取控制、隐私保护、用户认证、不可抵赖性、数据保密性、通信层安全、数据完整性、随时可用性,前4项主要处于物联网的应用层,后4项主要位于传输层和感知层。
物联网安全与传统安全区别的最一大特征是设备数量庞大,主要表现在:
(1)攻击的广泛性:任何一个设备都可能成为攻击的发起点(DDoS攻击);
(2)危害的传播性:物联网设备的数量级大大增加了危害的传播广度;
(3)攻击的危害性广泛:破坏信任、破知识产权、破坏声誉,甚至会涉及到人身安危(医疗植入设备);
(4)隐私的多维泄露:攻击者可以从汽车、家电、智能手机等多维度获取用户的隐私;
(5)设备的部署环境:设备资源受限、缺乏物理保护、无人值守操作,与物理环境密切相关;
(6)部署的随意性:设备的使用周期差别较大,有的设备被遗弃后不再更新升级,却可能成为攻击者利用的漏洞。
物联网网络主要的安全风险集中在:
(1)物联网设备:攻击者可利用鉴别机制弱点恶意部署同型号或克隆一个相似设备,接入系统进行攻击。
(2)安全网关:由于物联网终端可能采集处理大量敏感数据,若安全网关对上述数据转发未作加密,则易发生数据窃取等问题。
(3)无线安全:物联网中节点数量庞大且数据传输采用无线射频信号进行传输,存在攻击者可通过发射干扰信号造成通信中断,或信号传输过程中劫持、窃听、篡改数据等风险
(4)数据传输:传输层面临异构网络跨网认证等安全问题,此外,物联网上传输的数据包未加密和签名,易发生被窃听、篡改、伪造以及发送者抵赖等问题
(5)业务平台:由于接入设备类型繁多、能力参差不齐,存在身份仿冒、非授权访问等安全风险。
(6)物联网终端:攻击者可以利用信息采集设备检测和搜集所有与保密数据相关的泄漏信息,还存在攻击者利用破坏性或是非破坏性技术扰乱芯片加密系统,从而获取密钥的故障攻击手段。此外,软件形态更易造成敏感数据泄露。
物联网中需要商用密码主要对以下4点进行保护:
(1)身份认证
建立基产算法的PKI/CA基础设施,为物联网场景下的各个设备以及云端都颁发证书,通过对设备的识别和并且与证书进行绑定,对每个设备都能进行备案,这样在进行身份认证阶段,通过双向的身份,设备无法被冒充,同时云端服务也拦截
(2)数据传输
通过SM2和SM4的组合使用,在未建立SSL安全通道的传输链路中对传输的数据包进行签名和加密,同样也保证了数据的安全可信。
(3)数据交换
可采取点到点加密机制和端到端加密机制确保传输层安全,也可采用SSL/TLS和IPSec等协议,提供通信加密和认证功能,保证通信双方传输交换安全。
(4)终端安全
采用更加轻量级的纯软件实现的SM2门限密码算法.将签名和验签过程在终端和服务端分别运算再合并。
电力物联网密码应用场景
按照电网输电、变电、配电和用电业务的经营现状,电力物联网的整体框架设计共包括4层。
A.感知层,感知层由电力各个终端和现场通信方式组成,主要实现输变配用各个环节电力终端设备信息的感知和采集。
B.网络层,网络层在整体架构中介于感知层和平台层之间,主要包括终端通信接入网、传输网、数据网三个部分。
C.平台层,在管理平台实现信息的整合、分析、处理,为全业务提供水平化支撑。
D.应用层,通过对不同行业电力服务的差异化决策,面向不同行业提供智能化专业用电服务,实现电力配电、电力调度的高效化和智能化。
国密算法作为我国自主知识产权加密算法,可以融合电力物联网特点进行部署应用,在其各个层面提高电力物联网的行业安全性,具体应用需求如下:
(1)在终端加固方面,可在应用安全模块,对硬件安全、特征等利用数字证书进行检查;
(2)在数据传输通道方面,可通过与网关的密钥协商保障数据完整性,使用SM2加密、SM3杂凑、安全协议三种技术完成安全通道的建立;
(3)在安全传输硬件方面,使用国产平台安全控制系统,使用国密加密卡对数据进行加解密;
(4)在操作系统方面,采用国产的经安全验证的操作系统;
(5)在身份认证方面,SM9作为身份标识密码的一种,使用具有唯一性的各类标识作为公钥进行数据加密和身份认证,能够简化在加密过程中数字证书的交换问题,可在终端与平台接入认证方面进行应用。
(6)在数据存储方面,其商密数据采用国密算法进行储存,重要数据加密存储。
物联网企业布局
物联网是信息联网、移动联网基础上的一种新型连接模式。它成长于互联网的土壤,是基于互联网的边界扩展与内涵延伸。目前我国物联网产业链已形成闭环式发展,但仍存在应用需求、标准碎片化与深度应用不足等问题,企业盈利能力有待提高。
物联网企业若想在更多垂直行业实现规模化落地应用,必须构建便捷、低成本的物联网应用生态,控制定制项目比例或单项目内定制化比例,以形成规模效益。据《IoTSignals》中物联网企业调研结果显示,约1/3的物联网项目未通过概念验证(POC)阶段,而原因通常是项目规模化成本高(受访者数据:占比32%)。同时,据甲骨文发布的访谈调研报告显示,64%的物联网领域先行者们偏向于采购现成解决方案(COTS),项目周期更短、费用更低,但目前初创企业在打造标杆案例,提高项目模块复用率方面,受到内外部的双重阻碍。
我们选择了卫士通、格尔软件、中宇万通以及安御道合进行分析和对比,看看这些企业在物联网安全赛道怎样发力。
卫士通在IoT领域,卫士通积极参与物联网应用示范工程,承担安全保密系统的研制,进行IoT加密模组、4G加密、物联网加密网关等产品的研制。同时,它还按照“密码应用”等相关要求设计一体化安全云平台,面向第三方云、物端、移动端等提供密码和安全特色服务,并能为用户提供多类云上应用服务,打通物联网“物端”和“移动端”。
格尔软件已布局车联网、安防等新兴领域,有望支撑公司未来高速发展。公司已启动PKI在安防及车联网领域的研发及应用,同时公司拟非公开发行股票,募集资金用于“下一代数字信任产品研发与产业化项目”、“智联网安全技术研发与产业化项目”等,有助于公司扩大业务规模,实现产业链延伸,打开未来成长空间。
中宇万通保持较高的核心技术研发能力和研发创新力度,物联网安全、云安全领域率先投入研发,推出视频安全网关、签名服务器、智能应用网关、行为管理系统等产品,形成了一系列商用安全解决方案,逐步向技术服务商转变。智能POS与智铺互联将云、网、端三方连通,提供电子支付和电子发票功能,已取得银联牌照投入使用。
安御道合物联网安全服务平台以国密算法技术为支撑,构建全局统一的物联网业态安全系统,实现感知节点安全、网关节点安全、感知终端准入控制和数据安全,建立各种人与设备的可信身份凭证,构建可信身份认证体系,运用可信行为与数据保护方法,保障人与设备以及设备与设备之间操作行为的可信性,确保控制行为的合法性以及数据的安全可靠性。在此案例中融合了智慧金融所涉及的5G+智慧银行、智能钞箱、智能金库、资产管理、现金异步处理、现金尾箱保险柜、渠道共享管控、智慧安防、消费扶贫、档案库房、智慧机房、智慧音箱等22大场景的可信互联,提供设备认证、设备准入、设备密钥管理、敏感数据/下行指令保护、设备安全策略统一管理、物联固件远程升级等安全能力。防范化解设备仿冒风险和数据安全风险,完善物联安全防线和风险应急处置机制,弥补了现存物联设备安全的不足。
海泰方圆拥有物联网终端密码模块系列、移动智能终端密码模块(软)、智能密码钥匙、物联网云密码服务平台等各类产品,能够提供物联网融合场景商用密码应用体系化解决方案。海泰方圆依托商用密码技术构建应用体系,构建出一套智能网联汽车的网络信任体系,其发布对于打破国际信息编码算法在国内市场的垄断地位,应对信息安全领域众多与车辆相关的威胁风险,满足我国对关键系统、核心设备的安全、自主、可控要求,保障智能网联汽车行业健康发展具有重要意义。