原创 | 密码技术与物联网安全
1. 前言
随着国家重要的基础行业和社会关键服务领域(如电力、医疗等)都依赖于物联网和感知业务,这些行业和领域的动态信息将可能被非法窃取,使得物联网安全上升到了国家层面,成为影响国家发展和社会稳定的重要因素。而密码技术作为物联网信息安全的基础支撑,具有不可替代的重要作用。
《密码法》2019年10月26日由第十三届全国人大常委会第十四次会议通过并予公布,其中明确了关键信息基础设施的运营者使用商用密码的要求:“第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。”让商用密码在物联网行业的应用,有了法律的保障。
2. 密码技术与物联网安全
互联网安全离不开密码技术,物联网安全也同样离不开密码技术,也就是说,密码技术是互联网安全与物联网安全的基础支撑。密码学中单项散列算法、对称加密算法、消息认证码算法、公钥密码算法、数字签名算法和随机数生成器等主要密码技术已得到广泛应用,著名的安全框架TLS(传输层安全性协议)以及知名的工具包OpenSSL中包含了大量的密码应用,互联网安全协议HTTPS也是基于TLS/SSL协议构建的可进行加密传输、身份认证的网络协议。
物联网是一种建立在互联网上的泛在网络,由于物联网上使用的RFID、传感器等芯片不同于传统的台式机和高性能计算机,其计算能力、存储资源、功率消耗受限,难以运行传统的重量级密码算法,给安全带来了极大的挑战。对于密码算法,互联网安全更关注算法的安全强度,而物联网安全更关注算法的执行效率。
3. 密码技术在物联网安全中的应用
3.1 物联网安全体系与层次模型
物联网安全的总体需求是指物联网的物理安全、信息采集安全、信息传输安全和信息处理安全的综合,安全的最终目标是确保信息的机密性、完整性、真实性和网络的容错性。物联网的安全形态主要由其体系结构的各个要素体现:
物理安全,主要是传感器的安全,包括对传感器的干扰、屏蔽、信号截获等,是物联网安全特殊性的体现;
运行安全,存在于各个要素中,涉及传感器、传输系统及处理系统的正常运行,与传统信息系统安全基本相同;
数据安全,也存在于各个要素中,要求在传感器、传输系统、处理系统中的信息不会出现被盗取、被篡改、被伪造、被抵赖等性质。
“攻击来源繁杂、攻击危害巨大、传统防护乏力”是物联网安全的三大特征。密码技术是网络安全的核心技术,是网络信任的基础支撑,密码在物联网网络安全方面发挥保底作用,是最基础的防线。在物联网的结构方面的安全应用中,密码技术可贯穿于感知层、网络层和应用层每一个结构组成中。
3.2 “物物感知,密不可分”
物联网感知层的任务是实现智能感知外界信息的功能。感知层是物联网的信息源,也是物联网各种应用的基础,它存在的安全问题是整个物联网安全的首要问题。物联网感知层节点之间相互通信时也非常容易遭受到监听、窃取、假冒、破坏、篡改等攻击。以密码为支撑的安全认证技术是网络安全的核心技术,能够实现节点之间通信身份的真实性、数据完整性以及不可抵赖性。物联网认证机制主要包括实体认证和消息认证两个方面,实体认证实现通常采用公钥密码算法、数字签名算法以及证书机制,消息认证实现通常采用消息验证码、消息加密和Hash函数机制。
3.3 “安全传输,密不可分”
物联网的网络层主要实现信息的转发和传送,它将感知层获取的信息传送到远端,为数据在远端进行智能处理和分析决策提供强有力的支持。信息在节点之间进行互联互通时,从一个节点到下一个节点之间有一段传输距离。节点之间的信息的传输很容易被截取、假冒、篡改、破坏。因此,为了防止虚假信息传输,在两个节点之间设立相关的身份认证机制和安全通道机制非常重要。为了确保信息传输的秘密性和完整性,通常采用对称加密算法和消息认证算法对真是信息进行保护。
3.4 “数据安全,密不可分”
物联网应用是信息技术与行业专业技术紧密结合的产物。物联网应用层充分体现了物联网智能处理的特点,其涉及的技术有业务管理、中间件和数据挖掘等。应用层的工作是对于上一层传递的数据进行收集、存储和管理。在应用层中的数据可能携带有物品使用者的私人数据,恶意攻击应用层,导致系统中的数据被恶意追踪定位、记忆、窃取,这可能导致人们的信息数据被泄露,从而导致财产损失以及人身安全问题。
密码支撑物联网数据安全共享,通过身份鉴别、加密保护、数据脱敏以及信任管理等密码技术能够有效解决物联网数据产生、传输、存储、处理、分析、使用、销毁、备份等全生命周期的安全。通过数据链、信任链的安全融合,真正构筑起物联网数据共享价值链,从而解决物联数据安全保护和数据信任问题。
3.5 小结
构建以密码为基石的物联网安全新秩序,是形势所迫、安全所需、法规所律、职责所在。
物联网的本质就是融合,它有四个基本特征:网络是基础,数据是资源,计算是能力,泛在是趋势。密码是网络安全的核心技术,是网络信任的基石。密码支撑构建物联网“网络安全生态圈”,密码在物联网网络安全方面发挥保底作用,是最基础的防线;密码助力打造物联网“数据共享价值链”,同时在物联网不同角色之间建立基于密码的安全通道;密码双向促进物联网“计算发展创新力”,一方面,密码护航计算安全发展,保证算力可控可管,算法正确执行,另一方面,物联网计算需求倒逼密码技术创新;密码推动实现物联网“泛在可控有机体”,密码技术是实现大规模可信身份管理、高安全控制、多方信任等的主要途径。