商用密码在物联网领域的研究分析
来源:中国电子政务网 更新时间:2020-07-10

近日小编整理一份商用密码在物联网领域的研究分析,分别以物联网安全背景、物联网市场、物联网应用场景、物联网政策扶持、物联网安全用户痛点、物联网安全解决方案、重点企业等主题进行整理。

小编又从多个角度分析商用密码在物联网领域的应用、安全防护、以及发展趋势等,小编认为商用密码领域在物联网行业,从技术上应发展轻量级的密码技术,研发设计物联网专用的密码;从市场方面,商用密码在物联网行业将迅速发展,迎来高峰期。

具体内容如下:

物联网安全背景

在“新基建”背景下,物联网设备数量呈指数级增长,同时也随着我国第五代移动通信(5G)正式商用,在政策、市场双重驱动下,物联网行业即将进入创新发展期,物联网终端规模也随之高速发展,物联网卡和物联终端呈现进一步紧密耦合的发展趋势。

然而,物联网终端安全事件频发,安全隐患凸显,安全形势严峻。物联网终端被破坏、被控制,物联网卡被滥用,不仅影响应用服务的安全稳定,导致隐私数据泄露、危害网络关键基础设施,危险国家安全。

物联网市场

Gartner/IDC预测2020年全球物联网产业规模达1.7~1.9万亿美元,HIS/华为等预测2025年全球物联网连接数达500~1000亿规模。据Statista数据统计,2017年和2020年全球物联网市场规模分别为1110亿美元和2480亿美元,预计到2025年市场规模将会达到15670亿美元,CAGR高达39%。

截至2019年年底,全球物联网设备连接数量达到110亿,其中,消费物联网终端数量达到60亿,工业物联网终端数量达到50亿,据GSMA预测,2025年全球物联网设备连接数量252亿,其中,消费物联网终端数量达到140亿,工业物联网终端数量达到110亿。

在我国,截至2019年底,三大运营商物联网连接数已达12.31亿,2020年内有望超越人联网规模。据IDC数据显示,中国2022年有望超越美国成为全球最大的物联网市场,2025年市场规模近4000亿美元。

物联网应用场景

物联网安全政策扶持

在安全标准方面,国内外标准组织近年来不断推进物联网安全标准的制定。从标准的分布来看,国内外标准组织由于出发点和利益点不同,各有侧重。国际主要标准化组织中,现有物联网安全标准聚焦在安全体系框架、网络安全、隐私保护、设备安全,侧重于基础框架和技术。产业联盟如5G汽车联盟(5GAA)/工业互联网联盟(IIC)也在重点应用领域开展了具体场景下的安全标准研制。我国重视物联网安全监管及技术保障,目前的物联网安全标准化工作已在安全参考模型、感知及无线安全技术、重点行业应用等多个领域开展。

产业联盟在物联网安全方向探索研究

5G汽车联盟(5GAA)在2018年新成立了ESP工作组,专门讨论基于蜂窝网络的车联网(CV2X)安全相关问题。

工业互联网联盟(IIC)在工业物联网安全方面,IIC于2016年发布了《工业物联网安全参考框架》,旨在推动产业界对于如何保障工业物联网(IIoT)安全达成共识,提供了自身安全性、隐私权、弹性、可靠性、保他安全性五大特性的细节,有助于定义风险、评估、威胁、评量与性能指标

全球移动通信系统协会(GSMA),目前已经发布了物联网安全指南文档集,为物联网技术和服务提供者在构建安全产品时提供一系列安全指南,包括《物联网安全指南概述》、《物联网终端生态系统安全指南》、《运营商物联网安全指南》、《物联网服务生态系统安全指南》、《物联网安全评估流程》、《物联网安全评估检查表》等,以确保整个服务周期实施最佳安全实践。

在通用网络安全领域,截至2019年8月,全国信息安全标准化技术委员会(TC260)已发布268项国家信息安全标准在专门的物联网安全领域,主要标准如下:

物联网安全用户痛点

物联网感控设备:攻击者可利用鉴别机制弱点恶意部署同型号或克隆一个相似设备,接入系统进行攻击。

智能物联网卡:攻击者可以利用信息采集设备检测和搜集所有与保密数据相关的泄漏信息,还存在攻击者利用破坏性或是非破坏性技术扰乱芯片加密系统,从而获取密钥的故障攻击手段。此外,软件形态更易造成敏感数据泄露。

安全网关:由于物联网终端可能采集处理大量敏感数据,若安全网关对上述数据转发未作加密,则易发生数据窃取等问题。

无线安全:物联网中节点数量庞大且数据传输采用无线射频信号进行传输,存在攻击者可通过发射干扰信号造成通信中断,或信号传输过程中劫持、窃听、篡改数据等风险

数据交换:传输层面临异构网络跨网认证等安全问题,此外,物联网上传输的数据包未加密和签名,易发生被窃听、篡改、伪造以及发送者抵赖等问题

业务平台:由于接入设备类型繁多、能力参差不齐,存在身份仿冒、非授权访问等安全风险。

物联网安全防护体系

物联网感控设备:可采取基于密码算法的通信前节点间认证的方式。

智能物联网卡:可采用安全通信机制和存储加密机制实现远程操作和数据交换及存储.

安全网关:可采取双向身份认证机制,同时结合VPN技术,防止数据窃取及篡改,保障数据的机密性、完整性及可用性。

无线安全:可采取安全通道建立信息传输的可靠性保障机制,利用数据校验功能以确保数据传输的完整性,利用加密机制确保数据保密性等。

数据交换:可采取点到点加密机制和端到端加密机制确保传输层安全,也可采用SSL/TLS和IPSec等协议,提供通信加密和认证功能,保证通信双方传输交换安全

业务平台:可采取身份认证机制以保证平台接入的安全性。

物联网安全密码应用解决方案-安御道合提供

安御道合通过运用物联网设备管理及标识密钥管理技术,采用CPK和SM9标识密钥体系相互结合的方式,结合RFID技术为资产建立可信标识,支撑设备的状态监控、自动定位及自动盘点的自动化。融合非金融资产管理系统的业务实现资产的调拨申请、领用申请、派发申请、审批、采购合同、付款通知、资产验收等关键业务保护。具体实现安全防护方案如下图所示:

方案优势

为非金融资产签发RFID可信标识密钥,建立可信身份;

RFID网关/手持PDA集成物联安全SDK,实现设备注册、安全身份认证和业务指令防护;

多模式集成满足不同场景需求下可信密钥分发与管理;

融合非金融资产管理关键业务,采用密码服务进行关键业务签名及加密的安全防护;

通过接口服务组件的细粒度授权,实现设备、服务的可信接入;

融合RFID物联网设备集成业务安全场景化问题预警及协同分析处置;

实现厂商设备密钥集中分发与管理、日志告警统一管理满足安全管理要求。

物联网安全密码应用解决方案-天融信提供

天融信基于物联网国密安全标识系统(TID)的安全解决方案可以提供物联网可信密码标识技术从而保障物联网设备身份唯一性。通过设备鉴权、安全密码管理、安全加速等主要核心功能,帮助用户解决物联网环境身份认证、传输加密、信息防篡改的安全需求。本方案从终端身份安全与信息传输安全维度,为用户提供一套包含标识分发、连接认证、密钥管理三部分的技术方案。

方案优势

有效防御身份冒用风险TID可与物联芯片/存储厂家合作,提供芯片级的安全存储方案和物理安全防护能力,有效防御由于物联网硬件窃取带来的各类身份冒用、伪造凭证安全风险。

实现终端追踪溯源TID提供完善的SM9安全标识管理方案,确保方案安全等级。为每一个物联网终端提供唯一、不可抵赖的国密身份标识,通过物联网终端身份标识,对设备身份进行有效追踪、溯源。

轻量化密钥管理身份标识与秘钥信息占用极小的物联网终端系统资源,在保障物联网终端安全的基础上不影响其工作效率。

低成本高安全用户只需购置一套TID(物联网国密安全标识系统),便可具备对于海量物联网终端的、基于国密密码标识的安全防护能力。

物联网安全密码应用解决方案-中金金融认证中心提供

本方案将密码技术、PKI数字证书技术、TEE技术、SE技术结合物联网云、管、端进行场景落地和实施落地,以密码技术作为安全基石、以PKI数字证书技术标识物联网各端身份、以专用密码硬件设备/SE/TEE为密钥、数字证书安全存储和密码运算安全执行的载体,形成物联网安全密码应用的最佳实践。

方案优势

基于PKI构建物联网云、管、端安全体系结合云、管、端实际软硬件情况,提出了结合业务流程的PKI身份认证方案,结合实际项目验证,确保方案的可落地性。

充分考虑用户体验和安全性结合用户通过操作APP进行操作,基于TEE软件可信执行环境进行密码运算、北京商用密码应用方案集锦证书应用和生物识别,基本不改变原有业务体验。

在物联网设备端集成加密芯片(SE),实现高安全级别的私钥存储、密码运算和数字证书身份验证。

在业务流程设计中通过加随机数、时间戳等方式,避免重放攻击等安全威胁。

支持国密算法本方案的设计,支持在云、端、端均基于国密算法进行设计和实现,符合国产密码算法各行业推广的趋势和要求。

商用密码主要企业在物联网领域布局

卫士通

卫士通在IoT领域,卫士通积极参与物联网应用示范工程,承担安全保密系统的研制,进行IoT加密模组、4G加密、物联网加密网关等产品的研制。同时,它还按照“密码应用”等相关要求设计一体化安全云平台,面向第三方云、物端、移动端等提供密码和安全特色服务,并能为用户提供多类云上应用服务,打通物联网“物端”和“移动端”。目前,卫士通已在北京和成都建成两地多中心,并实现两地共同运维的云服务平台,为众多客户提供IaaS服务、PaaS服务、SaaS服务。

卫士通表示,未来公司将着力强化市场和技术研究、产品研发的融合,聚焦网络空间安全热点和前沿领域,在5G安全、物联网安全、北斗应用安全、工控安全、区块链、人工智能等方向均成立了专门的团队进行研究探索。

格尔软件

公司已布局车联网、安防等新兴领域,有望支撑公司未来高速发展。公司已启动PKI在安防及车联网领域的研发及应用,同时公司拟非公开发行股票,募集资金用于“下一代数字信任产品研发与产业化项目”、“智联网安全技术研发与产业化项目”等,有助于公司扩大业务规模,实现产业链延伸,打开未来成长空间。

中宇万通

公司保持较高的核心技术研发能力和研发创新力度,物联网安全、云安全领域率先投入研发,推出视频安全网关、签名服务器、智能应用网关、行为管理系统等产品,形成了一系列商用安全解决方案,逐步向技术服务商转变。

智能POS与智铺互联将云、网、端三方连通,提供电子支付和电子发票功能,已取得银联牌照投入使用。2017年,公司新研发的商用密码产品时间戳服务器、签名验签服务器投入市场,新开发出的视频安全准入系统、智能安全应用网关、驾考安全管理系统等应用安全产品,全面布局物联网信息安全,可以预见,2018年公司将随着互联网、物联网的浪潮进不断向更大的领域辐射,营收将持续高速增长,实现可观的净利润。

优炫软件

公司专注于为用户提供多层次的核心数据安全防护产品,产品体系涉及操作系统安全、数据库安全、业务安全、运维安全、大数据安全以及云数据库等六大领域,为物联网安全首先出现的数据问题提供接触安全威胁的方案;

在物联网安全领域中,公司的核心竞争力主要体现着在技术、产品和渠道三个方面:公司拥有非专利技术优炫 RS-CDPS 核心数据安全保护技术及基于CA 证书的身份认证机制、基于操作系统驱动级的安全管理机制、细粒度的权限控制技术、系统自我保护技术共11 项专利技术,深耕安全防护方向。在产品方面,公司的防护能力走在行业前列,核心数据保护系列产品是针对操作系统和数据库核心层的安全增强产品,能够有效防范对核心层或从内部发起的攻击