摘要：物联网加密安全解决方案，采用国产标识密码算法和基于椭圆曲线公钥密码算法的高效无证书密码系统ECS构建，形成物联网安全管理平台解决方案，可满足物联网平台各项业务应用的安全需求。物联网安全管理平台通过数据加解密、签名验签、随机数生成、安全传输密钥，以及敏感数据加密存储、访问控制和快速销毁等技术手段为物联网系统提供安全支撑。平台还提供安全设备管理、安全策略配置、密钥管理、安全事件监测、行为安全审计等功能。

关键词：标识密码、无证书、物联网控制、数据安全、国密应用、5G应用

1.概述

1.1背景

在国家政策大力扶持下，中国物联网行业迅速兴起。并随着5G时代的来临，物联网应用呈现爆发式增长态势，但针对物联网基础设施的攻击频发，物联网正在面临着严重的安全挑战。伴随着恶意攻击手段不断提升，传统的网络安全、平台安全等防护措施已无法适应新安全形势的要求。特别是贯穿云、管、端三个层面都没有应用可信身份安全认证机制，这是目前物联网安全最核心的问题，是亟需研究解决的现实问题。

1.2目标

通过物联网密码应用的建设，达到如下建设目标：

（1）实现基于国产密码算法的身份认证

实现物联网基于国产密码算法从设备到设备、设备到网络、设备到平台、平台到后端应用系统等全网的身份认证。

（2）实现物联网传输加密

基于国产密码算法，实现物联网在整个使用过程中的传输加密，包括设备到网络，网络到应用的传输加密，打造可信物联网网络。

（3）实现物联网数据存储加密

基于国产密码算法，使物联网在整个使用周期内的数据受到保护，实现存储加密、调用解密。

1.3依据

《GM/T 0018-2012 密码设备应用接口规范》

《GM/T 0030-2014 服务器密码机技术规范》

《GM/T 0026-2014安全认证网关产品规范》

《GM/T 0027-2014 智能密码钥匙技术规范》

《GM/T 0022-2014 IPSEC VPN技术规范》

《GM/T 0024-2014 SSL VPN技术规范》

《GM/T 0054-2018 信息系统密码应用基本要求》

2.需求分析

2.1现状分析

物联网是在计算机互联网的基础上建立起来的，互联网的安全问题早已被人们重视并采取各种措施来防止信息的丢失，物联网也不可避免的伴随着安全问题，物联网将社会经济活动、战略性基础设施资源和人们生活全面架构在全球互联网上，所有活动和设施理论上透明化。物联网的特点是无处不在的数据感知，已无线为主的信息传输、智能化的信息处理，在实际生产和使用中很容易被窃取，这将直接影响物联网体系的安全。随着物联网的不断发展与应用系统自身所隐藏的安全问题日渐显现，主要存在以下安全问题。

（一）物联网前端设备安全问题

由于物联网应用的多样性，其前端设备也多种多样，常见的有传感器节点、RFID标签、无线通信终端、移动通信终端、摄像头、传感设备及抓拍设备等，在物联网实际使用过程中，容易出现被非法入侵、前端设备采集的数据被截获和破解、收到网络的攻击等等安全问题。

（二）网络层安全问题

物联网的传输层主要用于把前端收集的信息安全和可靠的传输到信息处理层，然后进入相关应用系统，进行系统应用。在信息传输中，可能经过一个或多个不同架构的网络进行信息交换，来自不可信网络的传输容易造成网络攻击、截取数据及修改传输协议等传输安全问题。

（三）应用层安全问题

物联网应用层主要用于对接收的信息加以处理，要对接收的信息进行判断，分辨其实有用信息、垃圾信息还是恶意信息，处理数据有一般性数据和操作指令，对应用系统的攻击会造成系统瘫痪、处理能力下降等安全问题。

（四）数据存储安全问题

物联网与人们日常生活紧密相关，使用物联网系统的个人或单位，都将自身的关键性数据、敏感性数据通过应用系统存储在物联网云端，在个人隐私极其重要的背景下，保证物联网数据存储的安全，是物联网发展的重要基石，物联网也暴露出数据存储安全的问题。

2.2需求分析

综合分析各类物联网安全事件，主要存在以下安全需求：

（一）安全身份认证

在物联网系统中，需保障包括设备之间的认证、设备与用户、设备与平台之间的安全认证。

（二）数据传输加密

大量终端设备采集的数据通过互联网，以明文形式传输到云端，易被拦截、篡改和窃取，需对传输通道进行加密保护。

（三）数据存储加密

数据在云端和终端存储中，易被暴力攻击和破解，一旦数据被窃取，将造成数据泄露风险，需对数据存储进行加密保护。

3.方案架构

3.1技术架构/产品架构

物联网加密安全解决方案，采用国产标识密码算法和基于椭圆曲线公钥密码算法的高效无证书密码系统ECS构建，形成物联网安全管理平台解决方案，可满足物联网平台各项业务应用的安全需求。物联网安全管理平台通过数据加解密、签名验签、随机数生成、安全传输密钥，以及敏感数据加密存储、访问控制和快速销毁等技术手段为物联网系统提供安全支撑。平台还提供安全设备管理、安全策略配置、密钥管理、安全事件监测、行为安全审计等功能。

图：方案拓扑图

3.2主要功能

1.基于国密算法，实现物联网系统"云、管、端"的身份认证；

2.基于国密算法，实现物联网系统传输"云、管、端"的传输加密

3.基于国密算法，实现物联网系统的数据存储加密，保障数据的完整性。

3.3技术指标

《GM/T 0018-2012 密码设备应用接口规范》

《GM/T 0030-2014 服务器密码机技术规范》

《GM/T 0026-2014安全认证网关产品规范》

《GM/T 0027-2014 智能密码钥匙技术规范》

《GM/T 0022-2014 IPSEC VPN技术规范》

《GM/T 0024-2014 SSL VPN技术规范》

3.4关键技术

标识密码算法是一种区别于传统公钥算法的标识密码算法。基于该算法的密码系统可使用具有唯一性的各类标识作为公钥，即可以使用如：邮件地址、手机号、身份证号、组织机构代码、物联网设备标识等作为用户或设备的公钥，进行数据加密和身份认证。标识密码算法因其算法特点，非常适合电子邮件保护、公文安全流转、多媒体融合安全通讯、身份认证、物联网安全通讯、云数据保护等应用。基于标识密码算法的密码系统可方便地进行集中管控，实现方式简洁、成本低廉、应用场景广泛，具备快速推广的条件。

标识密码算法采用椭圆曲线上的双线性对作为基础数学工具，基于相关的计算复杂性假设构建安全性证明。其算法的理论基础、算法构造都经受住了安全考验。我国也正在积极推动将标识密码算法纳入相应国际标准。

经过十年发展， 标识密码算法在电子政务安全、移动终端安全、工业控制安全、物联网连接安全、税务票据安全、个人隐私保护等诸多领域已经有了众多应用。相关密码系统充分体现了算法的易于使用、便于管理的特色，为应用系统的安全运行发挥了重要作用。伴随着算法对社会正式公开，可以预见将有更多的应用系统将会采用该算法进行安全防护，进而提高我国信息安全的防护水平。

4.方案特色

4.1支持海量用户

轻量级管理中心，无需颁发和管理数字证书，大大节约管理成本，一套中心可轻松支持亿级海量设备管理。

4.2全方位安全保障

使用国密算法实现通讯加密、强身份认证、本地加密，让数据在传输、存储过程中都保持加密状态，支持实时语音、视频数据的保护。

4.3开放接口，高兼容性

支持产业链各个环节的国密算法实现，包括SE、TE、MCU、NB等，提供丰富的SDK，封装各种接口。

4.4短签名，无证书应用

提供轻量级的标识密码算法体系，签名长度短，便于芯片加载，支持CL-PKC下实现椭圆曲线公钥算法的无证书应用。

5.适用领域

（1）智慧城市：智慧交通、智慧交通、智慧医疗、智慧教育等；

（2）金融行业：银行卡、无人银行等；

（3）智能制造：智能家居、智慧酒店、智慧公租房等；

（4）民生安全：天网系统、视频监控等；

6.产品清单/产品优势

1.产品清单

物联网密码应用的系统产品清单如下。

2.产品优势

• 安全性

标识密码算法结合挑战应答机制实现用户强身份认证；

认证过程无口令交互，可避免弱口令、撞库攻击等安全风险；

用户端密钥采用分片技术加密保护；

应用系统安全隔离防护，不直接开发到外网。

• 易用性

扫码即可完成用户身份确认，无需账号口令，无需安装控件；

一次认证可安全登录多个业务系统，无需记忆多套账号口令。

• 完整性

采用Https加密传输协议保证传输过程安全；

采用杂凑/对称算法对平台存储的数据进行加密保护；

实现身份认证、传输保护、存储保护、日志审计全方位的安全设计。

• 标准化

采用国密标准算法，密码设备具备国家商密型号证书。

• 先进性

及时采用国际、国内信息安全最新研究成果，如标识密码、密钥分片等技术，能够适应未来的技术发展趋势。

7.应用案例

• T3出行

• 中国福彩

• 数字中国

• 海南信息安全基地

• 复旦微电子集团

• 中国南车

• ……

中安网脉（北京）技术股份有限公司

联系人：华夕良

电  话：15881055115