解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
可信物联网应用安全解决方案

一、背景概述

物联网(简称 IoT)正在将世界带入一个万物感知、万物互联、万物智能的全新世界,衍生出诸如智慧家庭、智慧教育、智慧医疗、 可穿戴设备、车联网等多种场景。然而同时,IoT世界也面临巨大的安全挑战。

工业和能源领域:工控系统和智能电网的安全,如 ICS/SCADA 的安全。一旦工业控制系统遭到攻击,将可能导致整个系统停运,带来停产、停电等严重的后果。

交通领域:智能车辆保护、无人驾驶飞行器的安全和保护、 卫星通信系统的保护。一旦遭受黑客攻击,可能会造成严重的交通事故,威胁人们的生命安全。

医疗领域:对连网的医疗设备的保护,医学和药物研究数据的加密,医疗数据的安全和无处不在的存储。试想如果安装在人身体里的无线心脏除颤器遭受黑客控制,病人的生命 安全如何得到保障?

智慧城市:海量传感器所收集的治安、卫生、交通等信息传输和存储的安全。一旦轨道交通被不法者利用,就有可能发生调配失度、列车出轨的危险。

金融领域:多种多样的移动支付带来了新的金融欺诈风险。 一旦有漏洞被黑客利用,个人和企业的财产将遭受不可避免的损失。

IoT 安全已经涉及到了国计民生的方方面面,构建 IoT 安全环境刻不容缓。

二、解决方案

黑客进行攻击,通常是利用物联网平台、传输或终端的软硬件漏洞,获得加密算法和密钥,进而获取消息会话内容,取得身份权限,并实施具体的攻击,如进行DDos攻击、窃取机密数据等。

在对网络、系统进行加固的基础上,北京安软天地科技有限公司提出构建可信物联网应用安全环境的新理念,即从解决万物互联环境中设备、人员的身份真实性出发,进而通过网关设备和多种应用安全设备实现云端、终端访问时的身份验证和访问控制,保证数据的加密传输的机密性,保证程序更新、交易、操作的完整性和可信性,保证个人隐私数据和敏感数据的机密性,构造可信物联网应用安全环境体系,有力支撑物联网的运行。证个人隐私数据和敏感数据的机密性,构造可信物联网应用安全环境体系,有力支撑物联网的运行。

北京安软天地科技有限公司是国内应用安全(商用密码)领域技术能力最为领先、产品线最为齐全的设备厂商,具有从密码底层技术至密码应用技术的完整体系,也是国内最早进入物联网领域进行探索,参与物联网国家课题并在行业应用积累了丰富经验的厂商。

通过多年积累,公司对物联网应用有了深入的理解和认识并具备了一些国内领先的、具有发明专利的应用安全技术以满足物联网多行业的需求。

  • 适用于物联网终端的密码库。拥有精简的国密密码库,适用于低功耗、存储受限、计算能力受限的各种物联网终端环境。
  • 支持多种物联网的操作系统的安全组件。拥有支持多种操作系统的安全组件,如:ARM Linux、Android、iOS、Windows等。
  • 具有发明专利的分布式通讯技术。拥有自主知识产权的大型分布式通讯平台,具有海量终端接入能力。
  • 支持多种物联网协议。除支持MQTT和CoAP物联网通信标准协议外,还可灵活地支持第三方通讯协议及未来的协议扩展。

三、产品介绍

安软可信物联网应用安全解决方案包括物联网设备标识管理系统和物联网身份接入和访问控制云平台两款设备。

  1. 物联网设备标识管理系统

物联网设备标识管理系统(物联网设备CA )负责为物联网终端颁发数字身份标识(数字证书),即终端的“电子身份证”,作为终端接入平台进行生产活动之前证明自己的合法身份的标识。所发放的证书存储于终端硬件安全模块或文件加密存储区。

物联网设备标识管理系统作为物联网安全基础设施,功能特性及安全设计严格遵循国家密码管理局的相关规范。

物联网设备标识管理系统由3部分组成:

  • RA中心:负责物联网设备的注册管理。
  • CA中心:负责物联网设备标识(数字证书)的签发管理。
  • KMC中心:负责标识安全算法密钥的生成及管理。

物联网设备标识系统

2. 物联网身份接入和访问控制云平台

物联网身份接入和访问控制云平台由高性能的身份接入网关集群组成,为生产业务运行提供了应用隔离、身份认证、访问控制、以及数据加密传输等安全功能。

通过采用软硬件资源池化、资源随需调用和接入网络多样化等技术,实现面向物联网业务的虚拟化、分布式,实现物联网接入安全即服务(IoT SECaaS)。

物联网身份接入和访问控制云平台部署示意图

四、成功案例

  • 中国铁路物资集团燃油供应物联网

中国铁路物资(集团)总公司作为铁路柴油“集采专供”的独家供应服务商,其建设的铁路行业燃油供应物联网全面覆盖国家铁路18个铁路局、312个上油点,通过该网供应的燃油占全路燃油消耗总量达75%以上。铁路行业燃油供应物联网含两个物联网子平台(智能燃油储备物联网平台、智能加注设备物联网平台), 包括两款物联网终端设备:铁路大流量加油机、一体化高精度温度液位仪。

 

图 铁路大流量加油机

图 一体化高精度温度液位仪(油罐内)

通过建设铁路行业燃油供应物联网的“应用安全支撑平台”满足需求,描述如下:

  1. 通过建设数字证书认证系统,为物联网终端颁发数字证书(数字证书),即终端的“电子身份证”,作为终端接入平台进行生产活动之前证明自己的合法身份的标识。所发放的证书存储于终端硬件密码设备。
  2. 在管理平台前端,部署身份认证和访问控制系统,验证物联网终端的身份,对其访问的资源进行控制、同时保证数据传输的机密性和完整性。系统的分布式结构保证了不存在单点故障,保障了应用的连续性,可以达到365天的7X24小时连续运转。
  3. 部署签名验签服务器,保证交易的完整性和防抵赖性,满足事后追溯责任的需要。
  4. 终端采用专用密码硬件存放设备证书及签名私钥,业务终端软件通过动态库、共享内存和终端安全软件通信。终端安全硬件针对严苛物理环境的处理。终端安全密码硬件与国家级研究所合作,采用军工技术,满足铁路燃油生产严苛的物理环境。

图 部署逻辑说明