论文部分内容阅读
摘 要: 物联网的推广使用能够给人们的生活带来便利和效率, 但是也必须注意到物联网的使用会带来巨大的安全隐患。如何应对物联网应用中广泛存在的感知设备可能对国家基础设施、社会和个人信息安全构成的新的威胁? 且听北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士怎么说。
关键词: 物联网;信息安全;金奥博;网络密码
北京金奥博数码信息技术有限责任公司在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域具有较为丰富的积累。金奥博是北京市密码产品定点生产和销售单位,他们研制的多项安全产品通过了国密办的安全鉴定。公司日前组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
为了更加深入地了解和探讨物联网的安全问题,《物联网技术》杂志记者日前对北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士就物联网的安全问题进行了专访。
本刊记者:我们了解的北京金奥博数码信息技术有限责任公司在互联网安全领域有较为丰富的积累。新一代信息技术革命又让我们进入了物联网时代。请您谈谈物联网的安全和互联网的安全有什么不同,贵公司觉得物联网安全研究的现状是怎样的?
李瑛女士:物联网的推广使用能够给人们的生活带来便利,可以提高工作效率,同时推动国民经济的发展,但是也必须注意到物联网的大范围普及会存在巨大的安全隐患。信息化与网络化带来的风险问题,在物联网中会变得更加迫切与复杂。由于物联网连接和处理的对象主要是机器和物,以及相关的数据,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,其“所有权”特性导致物联网对信息安全的要求比以处理文本为主的互联网更高,对保护隐私权和保障可信度的要求也更高。在物联网发展的高级阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备对国家基础设施、社会和个人信息安全存在新的安全隐患。
我们都知道物联网目前存在安全问题,如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。我们在强调标准、技术、应用方案以及人才的同时,也不能忽视物联网安全的重要性。
根据物联网的特点,2009年欧盟物联网项目研究组制定的《未来物联网战略》中明确指出:物联网在安全和隐私方面的研究以节能高效的安全算法和低成本、安全、高效的安全认证设备为研究方向。国内对物联网安全技术的研究以安全框架和探索研究居多,具体安全技术的研究较少。我们的物联网密码认证系统是不是行业唯一的物联网安全系统,我不能肯定,但是我确实没有听到有类似的产品。在今年4月份北京召开的中国(北京)国际物联网博览会和8月份深圳召开的中国(深圳)国际物联网技术与应用博览会上,物联网安全系统方面的参展商只有北京金奥博数码信息技术有限责任公司一家。
本刊记者:请您简单介绍一下金奥博,贵公司是一个什么样的公司,公司在安全系统研究方面有什么积累或优势,最初又是怎样想到要做“物联网安全系统”的?
李瑛女士:北京金奥博数码信息技术有限责任公司是北京市科学技术情报研究所下属的、具有独立法人资格的股份制高新技术企业。金奥博是遵照科技部的有关科研机构改制要求,以北京市科技情报研究所的计算机部为基础,为更好地适应社会发展,转变经营管理模式而成立的具有独立法人资格的股份制高新技术企业。金奥博继承了以往服务政府和社会的优良传统,坚持为政府及广大企事业单位提供信息技术的研究与开发服务。近年来,金奥博在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域有较为丰富的积累。公司目前是北京市密码产品定点生产和销售单位,所研制的多项安全产品都通过了国密办的安全鉴定。最近,北京金奥博数码信息技术有限责任公司组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
在物联网概念兴起时,我们发现,物联网和互联网其实是密不可分的。现有网络安全体系中的大部分机制仍然可以适用于物联网,并能够提供一定的安全性,如认证机制、加密机制等,但是还需要根据物联网的特征对安全机制进行调整和补充。所以我们开始将多年积累的安全技术以及对数据安全的理解应用到物联网中来,并开始研究与物联网特征对应的安全机制。目前,国内都在谈物联网产业发展存在的问题,但很少有企业站出来表示能解决物联网的安全问题或者愿意着手解决这些安全问题。考虑到物联网对中国未来经济的重要性、国家安全的重要性,必须要有中国自己的企业来承担这一神圣使命。北京金奥博数码信息技术有限责任公司是为数不多的愿意承担这一使命的企业,也是为数不多的明确从事物联网安全研发且又有实际产品的企业。希望北京金奥博数码信息技术有限责任公司能为中国物联网的网络信息安全做出自己的贡献。
本刊记者:能否具体解释一下物联网目前存在哪些安全问题?我们该怎样针对这些问题,积极地采取措施,来确保物联网的安全?
李瑛女士:物联网的体系大致可以划分为三个层次,即负责信息采集的感知层、负责信息传输的网络层和负责信息分析与利用的应用层。所以从物联网的体系结构来看,物联网除了面对传统TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身特殊的安全问题,并且这些特殊性大多来自感知层,如船只航行的卫星定位数据、核电站的设备控制数据、水坝设备控制系统的数据等。物联网安全可能包括智能感知节点的自身安全问题、假冒攻击、数据驱动攻击、恶意代码攻击、拒绝服务、物联网业务的安全问题、信息安全问题、传输层和应用层的安全隐患等等,而应用层也存在一些设计信息处理利用等方面的安全问题。所以在我的理解里,物联网安全的总体需求就是物理安全、信息采集的安全、信息传输的安全和信息处理的安全。具体可以通过对物联网传感设备进行认证,并对传感信息进行完整性验证和保密传输来保证物联网感知层、传输层和应用层的信息安全。对物联网的传感节点设备进行认证,其实就是指对物联网内传感器设备或者对RFID阅读器设备的认证,其中,对RFID标签的认证包含在RFID阅读器设备认证的协议中。 本刊记者:贵公司在物联网安全方面有哪些特别具有竞争力的产品?这些系统采用怎样的安全架构,从哪些方面保护了物联网的安全?
李瑛女士:北京金奥博数码信息技术有限责任公司生产了一系列与数据安全、身份认证息息相关的安全产品。这些技术积累、安全模型都可以应用于物联网安全领域,如节点身份认证、数据安全传输等。目前,我们公司已经推出了物联网领域的专用安全产品——物联网密码认证安全系统。该系统的安全架构是:在物联网数据中心端建立认证中心,负责对物联网数据中心接收到的物联网传感信息密文进行解密,对传感信息的签名进行签名验证(完整性验证)。比如,在物联网传感节点设备(如传感器或RFID阅读器)上嵌入一块加密芯片,作为传感节点设备端的加密硬件;在RFID内预存信息(如RFID的标识),以便在RFID初始化过程中,事先将RFID内的预存信息进行签名;在设备认证和传感信息签名验证过程中,使RFID内的签名信息通过RFID阅读器进行认证和签名验证,传感节点端加密设备对RFID实时采集的信息(或RFID读卡器采集的固定传感信息)进行签名或加密。
总之,该物联网密码认证系统能实现的功能主要有:对传感节点设备的认证、对传感信息的签名和保密传输等。
本刊记者:您提到的物联网密码认证安全系统最突出的特点是什么?
李瑛女士:北京金奥博数码信息技术有限责任公司的产品最大的特点是轻量级密码认证系统。COS(加密芯片的操作系统)小,使用的对称密码算法占用空间少、计算复杂度小、能耗小,安全协议存储占用空间小,安全协议基于对称密码算法SM1和杂凑算法SM3,占用空间少、运算量小、速度快,所以系统具有轻量级特点,非常适应于空间小、运算能力弱、低功耗需求的物联网终端设备中。这些系统都是公司自主研发,专利都在自己手中,系统的研究方向符合国家中长期科学和技术发展规划纲要。产品在国密办有备案,硬件产品也是通过国密办安全鉴定的产品,可以说是一套纯国产的安全产品。在技术特征上,它有5个较为鲜明的特征。
一是安全性高。采用的是芯片级的安全协议,包括认证、签名、加解密传输。安全协议在芯片中运行受芯片的保护,保证了安全协议各个环节的安全;同时采用了组合密钥技术,即由组合密钥生成算法生成对称密钥,实现认证/签名密钥一次一变。此外,认证中心全部设备的密钥“基”,也就是密钥种子,是以密文形势存储的,保证了认证中心数据的储存安全;最后,系统还采用了独特的认证和签名系统架构的安全策略。
二是认证速度快。系统采用对称密码算法体制建立认证协议。认证中心采用终端设备标识的快速定位法,有效提高了认证的效率。经过第三方的评测,该认证中心系统实现并发认证2万人只需27秒,每天能完成约6000万次设备认证 “任务”;而并发签名验证2万人,只需要47秒,或每天能完成3000多万次签名验证任务。
三是管理终端数量大。采用少量认证参数来建立终端认证系统,单一认证中心能管理3亿台终端设备。
四是认证中心建设成本低。采用对称密码算法和组合密钥技术来建立认证系统,用少量设备认证参数来建立认证中心,建设成本低。
五是认证系统维护量小。采用组合密钥技术来进行认证密钥管理,实现了认证密钥更新免维护。
本刊记者:物联网密码认证系统将主要应用在哪些领域?您怎样看它的市场前景?
李瑛女士:该产品主要应用于物联网信息安全领域,当然其本身也能用于互联网中。我非常看好物联网密码认证系统的市场应用前景。我相信物联网安全的问题将逐步被清晰地认识。作为国内目前仅有的物联网安全产品,它将会在互联网环境下的7大行业应用领域显现出其显著的优势,如电子身份证、网上银行、医保结算、电子商务、民主选举、手机支付、电视点播等具有超大规模用户群的应用领域,尤其是,若应用于电子身份证,可以实现互联网各种应用真正一卡通。只需要在各种网络应用系统的平台上设置权限管理系统即可,不需要用户一人手持多个认证卡, 亦即实现网络实名制。
关键词: 物联网;信息安全;金奥博;网络密码
北京金奥博数码信息技术有限责任公司在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域具有较为丰富的积累。金奥博是北京市密码产品定点生产和销售单位,他们研制的多项安全产品通过了国密办的安全鉴定。公司日前组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
为了更加深入地了解和探讨物联网的安全问题,《物联网技术》杂志记者日前对北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士就物联网的安全问题进行了专访。
本刊记者:我们了解的北京金奥博数码信息技术有限责任公司在互联网安全领域有较为丰富的积累。新一代信息技术革命又让我们进入了物联网时代。请您谈谈物联网的安全和互联网的安全有什么不同,贵公司觉得物联网安全研究的现状是怎样的?
李瑛女士:物联网的推广使用能够给人们的生活带来便利,可以提高工作效率,同时推动国民经济的发展,但是也必须注意到物联网的大范围普及会存在巨大的安全隐患。信息化与网络化带来的风险问题,在物联网中会变得更加迫切与复杂。由于物联网连接和处理的对象主要是机器和物,以及相关的数据,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,其“所有权”特性导致物联网对信息安全的要求比以处理文本为主的互联网更高,对保护隐私权和保障可信度的要求也更高。在物联网发展的高级阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备对国家基础设施、社会和个人信息安全存在新的安全隐患。
我们都知道物联网目前存在安全问题,如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。我们在强调标准、技术、应用方案以及人才的同时,也不能忽视物联网安全的重要性。
根据物联网的特点,2009年欧盟物联网项目研究组制定的《未来物联网战略》中明确指出:物联网在安全和隐私方面的研究以节能高效的安全算法和低成本、安全、高效的安全认证设备为研究方向。国内对物联网安全技术的研究以安全框架和探索研究居多,具体安全技术的研究较少。我们的物联网密码认证系统是不是行业唯一的物联网安全系统,我不能肯定,但是我确实没有听到有类似的产品。在今年4月份北京召开的中国(北京)国际物联网博览会和8月份深圳召开的中国(深圳)国际物联网技术与应用博览会上,物联网安全系统方面的参展商只有北京金奥博数码信息技术有限责任公司一家。
本刊记者:请您简单介绍一下金奥博,贵公司是一个什么样的公司,公司在安全系统研究方面有什么积累或优势,最初又是怎样想到要做“物联网安全系统”的?
李瑛女士:北京金奥博数码信息技术有限责任公司是北京市科学技术情报研究所下属的、具有独立法人资格的股份制高新技术企业。金奥博是遵照科技部的有关科研机构改制要求,以北京市科技情报研究所的计算机部为基础,为更好地适应社会发展,转变经营管理模式而成立的具有独立法人资格的股份制高新技术企业。金奥博继承了以往服务政府和社会的优良传统,坚持为政府及广大企事业单位提供信息技术的研究与开发服务。近年来,金奥博在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域有较为丰富的积累。公司目前是北京市密码产品定点生产和销售单位,所研制的多项安全产品都通过了国密办的安全鉴定。最近,北京金奥博数码信息技术有限责任公司组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
在物联网概念兴起时,我们发现,物联网和互联网其实是密不可分的。现有网络安全体系中的大部分机制仍然可以适用于物联网,并能够提供一定的安全性,如认证机制、加密机制等,但是还需要根据物联网的特征对安全机制进行调整和补充。所以我们开始将多年积累的安全技术以及对数据安全的理解应用到物联网中来,并开始研究与物联网特征对应的安全机制。目前,国内都在谈物联网产业发展存在的问题,但很少有企业站出来表示能解决物联网的安全问题或者愿意着手解决这些安全问题。考虑到物联网对中国未来经济的重要性、国家安全的重要性,必须要有中国自己的企业来承担这一神圣使命。北京金奥博数码信息技术有限责任公司是为数不多的愿意承担这一使命的企业,也是为数不多的明确从事物联网安全研发且又有实际产品的企业。希望北京金奥博数码信息技术有限责任公司能为中国物联网的网络信息安全做出自己的贡献。
本刊记者:能否具体解释一下物联网目前存在哪些安全问题?我们该怎样针对这些问题,积极地采取措施,来确保物联网的安全?
李瑛女士:物联网的体系大致可以划分为三个层次,即负责信息采集的感知层、负责信息传输的网络层和负责信息分析与利用的应用层。所以从物联网的体系结构来看,物联网除了面对传统TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身特殊的安全问题,并且这些特殊性大多来自感知层,如船只航行的卫星定位数据、核电站的设备控制数据、水坝设备控制系统的数据等。物联网安全可能包括智能感知节点的自身安全问题、假冒攻击、数据驱动攻击、恶意代码攻击、拒绝服务、物联网业务的安全问题、信息安全问题、传输层和应用层的安全隐患等等,而应用层也存在一些设计信息处理利用等方面的安全问题。所以在我的理解里,物联网安全的总体需求就是物理安全、信息采集的安全、信息传输的安全和信息处理的安全。具体可以通过对物联网传感设备进行认证,并对传感信息进行完整性验证和保密传输来保证物联网感知层、传输层和应用层的信息安全。对物联网的传感节点设备进行认证,其实就是指对物联网内传感器设备或者对RFID阅读器设备的认证,其中,对RFID标签的认证包含在RFID阅读器设备认证的协议中。 本刊记者:贵公司在物联网安全方面有哪些特别具有竞争力的产品?这些系统采用怎样的安全架构,从哪些方面保护了物联网的安全?
李瑛女士:北京金奥博数码信息技术有限责任公司生产了一系列与数据安全、身份认证息息相关的安全产品。这些技术积累、安全模型都可以应用于物联网安全领域,如节点身份认证、数据安全传输等。目前,我们公司已经推出了物联网领域的专用安全产品——物联网密码认证安全系统。该系统的安全架构是:在物联网数据中心端建立认证中心,负责对物联网数据中心接收到的物联网传感信息密文进行解密,对传感信息的签名进行签名验证(完整性验证)。比如,在物联网传感节点设备(如传感器或RFID阅读器)上嵌入一块加密芯片,作为传感节点设备端的加密硬件;在RFID内预存信息(如RFID的标识),以便在RFID初始化过程中,事先将RFID内的预存信息进行签名;在设备认证和传感信息签名验证过程中,使RFID内的签名信息通过RFID阅读器进行认证和签名验证,传感节点端加密设备对RFID实时采集的信息(或RFID读卡器采集的固定传感信息)进行签名或加密。
总之,该物联网密码认证系统能实现的功能主要有:对传感节点设备的认证、对传感信息的签名和保密传输等。
本刊记者:您提到的物联网密码认证安全系统最突出的特点是什么?
李瑛女士:北京金奥博数码信息技术有限责任公司的产品最大的特点是轻量级密码认证系统。COS(加密芯片的操作系统)小,使用的对称密码算法占用空间少、计算复杂度小、能耗小,安全协议存储占用空间小,安全协议基于对称密码算法SM1和杂凑算法SM3,占用空间少、运算量小、速度快,所以系统具有轻量级特点,非常适应于空间小、运算能力弱、低功耗需求的物联网终端设备中。这些系统都是公司自主研发,专利都在自己手中,系统的研究方向符合国家中长期科学和技术发展规划纲要。产品在国密办有备案,硬件产品也是通过国密办安全鉴定的产品,可以说是一套纯国产的安全产品。在技术特征上,它有5个较为鲜明的特征。
一是安全性高。采用的是芯片级的安全协议,包括认证、签名、加解密传输。安全协议在芯片中运行受芯片的保护,保证了安全协议各个环节的安全;同时采用了组合密钥技术,即由组合密钥生成算法生成对称密钥,实现认证/签名密钥一次一变。此外,认证中心全部设备的密钥“基”,也就是密钥种子,是以密文形势存储的,保证了认证中心数据的储存安全;最后,系统还采用了独特的认证和签名系统架构的安全策略。
二是认证速度快。系统采用对称密码算法体制建立认证协议。认证中心采用终端设备标识的快速定位法,有效提高了认证的效率。经过第三方的评测,该认证中心系统实现并发认证2万人只需27秒,每天能完成约6000万次设备认证 “任务”;而并发签名验证2万人,只需要47秒,或每天能完成3000多万次签名验证任务。
三是管理终端数量大。采用少量认证参数来建立终端认证系统,单一认证中心能管理3亿台终端设备。
四是认证中心建设成本低。采用对称密码算法和组合密钥技术来建立认证系统,用少量设备认证参数来建立认证中心,建设成本低。
五是认证系统维护量小。采用组合密钥技术来进行认证密钥管理,实现了认证密钥更新免维护。
本刊记者:物联网密码认证系统将主要应用在哪些领域?您怎样看它的市场前景?
李瑛女士:该产品主要应用于物联网信息安全领域,当然其本身也能用于互联网中。我非常看好物联网密码认证系统的市场应用前景。我相信物联网安全的问题将逐步被清晰地认识。作为国内目前仅有的物联网安全产品,它将会在互联网环境下的7大行业应用领域显现出其显著的优势,如电子身份证、网上银行、医保结算、电子商务、民主选举、手机支付、电视点播等具有超大规模用户群的应用领域,尤其是,若应用于电子身份证,可以实现互联网各种应用真正一卡通。只需要在各种网络应用系统的平台上设置权限管理系统即可,不需要用户一人手持多个认证卡, 亦即实现网络实名制。