时至今日,物联网已经彻底走进、融入我国的生产、建设中,新技术、新思维推动的新基建时代已经到来。在各类重要新基础设施建设的过程中,无论是建设主体的大数据分析要求还是社会大众对于各类数据、资讯的需求程度都远超以往,在强烈需求下万物互联的思想得以真正沉淀到每一个基础建设的应用场景当中。
随着物联网(IoT)在工业、农业、交通、能源、智慧城市等各个领域逐渐被应用,它为各个领域业务发展注入了全新的生命力。根据研究机构 Machina Research 的数据显示,2015 年全球物联网连接数约为60亿个,预计2025年这一数字将增长至270亿个,物联网设备数量或将达到 1000 亿台,新增传感器部署速度或将达到每小时200万个,到2025年,全球物联网市场规模将达到2万亿美元。而根据Gartner预测,2020年全球物联网设备和服务支出将达到人民币13.8万亿元。
在国家大力实施“制造强国”和“网络强国 ”的两大战略背景下,物联网的发展已经成为我国科技与经济发展的重要一环。
物联网业务蓬勃发展,但是其面临的安全问题也越发严峻,由于其业务往往涉及到民生,市政,能源等敏感领域,一旦产生安全问题,其危害性往往非常严重。同时由于物联网的技术架构,网络拓扑与传统的互联网业务有明显的不同,导致传统的安全解决方案很难满足当前物联网业务的安全需求。当前物联网的安全防护不仅需要考虑端到端的安全防护,包括相关的通信链路、云服务等,还需要重点关注感知层设备的安全性,必须和与之相关的上下游产业链合作,一起构成“物联网安全生态系统”,实现在整个物联网生态系统的各个环节的安全防护。
首先,物联网是典型的大型分布式系统,相对传统的CS架构下的安全防护有明显的不同,传统架构下的安全往往只关注云端业务层的安全防护,通过集中部署网络防护设备来实现业务的安全保障。但是在物联网的应用场景下,物联网的本质属于“无墙网络”,其安全要求不仅体现在传统网络层面上的通信安全、后端业务应用的安全,还包括其在“无墙网络”环境下的感知层的安全,即分布式节点的各类传感器的安全,如应对复杂的业务策略如何保障本地感知层设备的敏感信息防盗取或者设备防伪造等。
其次,物联网在建设过程中针对感知层的设备节点应该建立统一的身份标识系统,做到物联网节点的身份标识,确保其行为可追溯、数据可还原。2018年,美国加州颁发的《IoT设备网络安全法》明确规定:每个设备都需要一个独特的预编程密码并且他们对于每个设备都是唯一的(The preprogrammed password is unique to each device manufactured);加州法律从技术角度明确了物联网设备需要安全存储设备密钥,需要在设备上建立独立的安全区域。
再次,当前物联网拥有数量、类型众多的物联网设备,同时具有分布式节点的地域特点,往往缺少专门的IT管理人员,且多数物联网设备无人值守,黑客可通过接入本地硬件冒用物联网终端接入平台,建立入侵点来实施不法行为;或者直接控制边缘传感器设备对上行网络发起攻击。目前行业内已经发生过多起通过分布式节点发起的攻击事件,其造成的危害令人警醒,缺少有效本地防护和值守的分布式节点,其“网络安全木桶短板效应”已经凸显。因此物联网分布式节点的网关型设备,需要能够满足本地“物理级”的防护能力,可以提供强本地的安全防护,防止物联网网关类设备成为安全体系的短板。
而针对物联网感知层设备的安全防护除网关类设备具备的防护能力,感知节点本身需要具备传感网络中唯一的身份标识且该标识不应被非授权访问所篡改,防止感知节点被仿冒导致的攻击,这需要通过物联网可信标识体系来实现。
我国的物联网业务飞速发展,甚至在某些领域尤其是智慧城市建设方面已经走在世界最前列,技术应用的快速发展带来以上描述的各类威胁与挑战,国家相关部委高度重视物联网网络安全问题,陆续出台一系列技术标准及配套法律法规,让物联网安全建设有法可依,有据可考。
2018年12月29日,国家安标委发布物联网安全国标:
GB/T 37044-2018 《物联网安全参考模型及通用要求》
GB/T 36951-2018 《物联网感知终端应用安全技术要求》
GB/T 37024-2018 《物联网感知层网关安全技术要求》
GB/T 37025-2018 《物联网数据传输安全技术要求》
GB/T 37093-2018 《物联网感知层接入通信网的安全要求》
这五条物联网安全国家标准,详细描述了感知层、网络层、应用层物联网建设过程中需要做出的安全配套建设内容及达标要求,于2019年7月1日正式施行。
2019年,网络安全等级保护制度2.0国家标准发布,针对物联网安全做出全面扩展要求,包括:物理和环境安全、应用和数据安全、网络和通信安全、设备和计算安全、安全建设管理、安全运维管理等各项要求,其中物联网标识体系就是最重要的物联网安全建设内容和技术方向。
物联网可信标识体系主要技术思路是需要根据物联网当前建设过程中感知层设备的特殊性及物联网实施、运维的特点,提出可以快速部署、身份追溯、可管可控、全局可视的物联网感知层设备的综合物联网身份认证技术框架。
![原创 | 物联网安全的重要技术实施--安全可信标识]( "原创 | 物联网安全的重要技术实施--安全可信标识")
标识技术应用于物联网传感器身份识别的应用场景,首先要建立标识命名规范及安全性要求以保证物联网标识用于物联网终端身份识别过程中具有:唯一性、明确性、不可仿冒性。例如:可将传感器供应商的厂商身份与生产流水线身份、项目身份甚至应用行业场景等信息,加上随机数通过加密算法形成全球唯一的身份标识,例如将物联网设备的UUID作为唯一标识。传感器终端在一定范围(行业或大型应用场景)内采用统一的命名规范,标识代表全球唯一的身份的同时还需要将它数字化成为物联网网络可用的信息片段,最终可以被物联网网络广泛使用。
在建立了唯一标识规则的基础上,最重要的工作就是需要保证标识的安全灌装引入。物联网身份标识本身需要有足够的安全保障,在工业实施过程中技术上最困难的工作就是在物联网传感器中建立信任锚,让传感器允许标识灌装操作。在灌装过程中的标识丢失、拷贝成为标识有效工作前提的最大隐患及威胁,其重要性相当于密码体系中私钥的重要性。
安全标识系统需要通过建立安全密管系统为标识的密码安全来提供最重要的安全能力保障,通常建议采用证书进行密码认证及授权。无论采用对称加密或非对称加密,集中的标识生成流程是必要的也是必须的,这样才能保证标识的高安全性。在国产化的推进过程中,国产密码算法应用于标识系统也成为必选内容。
在物联网技术应用飞速普及的今天,让物联网网络在不同环境中识别出传感器身份并为其分配对应的访问权限是必要的。物联网标识系统是物联网身份体系建设的基础,能够从软件层面确保物联网感知层设备的唯一性、不可篡改和不可伪造,是目前实现万物安全互联基础的优选路线。物联网标识系统与国产硬件芯片配合可以起到更好的物联网身份识别效果,可以广泛应用在物联网业务并有效解决包括物联网设备隐私泄漏在内的被广泛关心的重要物联网安全问题,对无所不在的物联网带来的安全隐患起到重要基础安全保障。
![原创 | 物联网安全的重要技术实施--安全可信标识]( "原创 | 物联网安全的重要技术实施--安全可信标识")
本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | 物联网安全的重要技术实施--安全可信标识
评论