【51CTO.com原創(chuàng)稿件】今天，萬(wàn)物互聯(lián)正在融入我們生活。相信不久的將來(lái)，完整的萬(wàn)物互聯(lián)世界也將會(huì)到來(lái)。然而萬(wàn)物互聯(lián)打破了以前各個(gè)封閉OA、OT體系，伴隨物聯(lián)網(wǎng)和智能設(shè)備的進(jìn)一步普及，不免會(huì)帶來(lái)更多的安全問(wèn)題需要解決。

IoT時(shí)代，需要輕量化高等級(jí)可信安全體系

物聯(lián)網(wǎng)(“Internet of things，以下簡(jiǎn)稱(chēng)：IoT)給很多企業(yè)帶來(lái)了機(jī)遇，也給網(wǎng)絡(luò)攻擊者提供了更多可被攻擊的“突破點(diǎn)”，讓整個(gè)世界的受攻擊面擴(kuò)大。然而，相對(duì)于IT時(shí)代的安全體系，以邊界為壘，以防為主，對(duì)所有程序行為、數(shù)據(jù)流量進(jìn)行過(guò)濾檢測(cè)，用行為監(jiān)測(cè)手段來(lái)實(shí)操的安全思路和理念，IoT時(shí)代，傳統(tǒng)的安全體系已經(jīng)無(wú)法適用。

對(duì)于這方面的安全問(wèn)題，信長(zhǎng)城公司早就開(kāi)始行動(dòng)。 “我們花了8年的時(shí)間，針對(duì)IoT場(chǎng)景進(jìn)行了多項(xiàng)研究，希望基于數(shù)字證書(shū)技術(shù)和身份認(rèn)證去實(shí)現(xiàn)提升IoT安全性。最終，我們以標(biāo)識(shí)認(rèn)證密鑰體系CPK(Combined Public Key)和PKI(Public Key Infrastructure)認(rèn)證技術(shù)為基礎(chǔ)，設(shè)計(jì)并實(shí)現(xiàn)了輕量級(jí)、超大規(guī)模、高效率、便捷實(shí)施、低成本、全場(chǎng)景的高等級(jí)安全體系。” 信長(zhǎng)城創(chuàng)始人&CEO羅燕京向51CTO記者介紹說(shuō)。

[[230878]]

信長(zhǎng)城創(chuàng)始人&CEO羅燕京

隨后，他與記者分析道，信長(zhǎng)城當(dāng)初之所以選擇從標(biāo)識(shí)認(rèn)證方向解決IoT安全問(wèn)題，是因?yàn)橄鄬?duì)IT時(shí)代以邊界防御為主導(dǎo)，大流量分析、監(jiān)管、旁路，終端安裝高能耗軟件的安全系統(tǒng)和產(chǎn)品，IoT時(shí)代存在網(wǎng)絡(luò)異構(gòu)多樣性的特征，智能終端低功耗，低性能等特點(diǎn)，大型的高性能，高計(jì)算能力的安全系統(tǒng)設(shè)備無(wú)法適用。所以，“我們不妨從數(shù)據(jù)和身份認(rèn)證本質(zhì)去解決安全，實(shí)現(xiàn)在IoT網(wǎng)絡(luò)中不增加復(fù)雜度，不改變數(shù)據(jù)流量的安全體系和產(chǎn)品部署，在低功耗、低性能智能終端內(nèi)完成數(shù)據(jù)安全和身份認(rèn)證的安全應(yīng)用的輕量化可信安全體系。”

CPK認(rèn)證規(guī)范在IoT領(lǐng)域的應(yīng)用優(yōu)勢(shì)明顯

說(shuō)起標(biāo)識(shí)認(rèn)證秘鑰體系CPK和PKI認(rèn)證，羅燕京為記者解惑道，標(biāo)識(shí)認(rèn)證屬于密碼學(xué)的范疇。當(dāng)今國(guó)際，密碼學(xué)有三大認(rèn)證規(guī)范，即：美國(guó)的PKI、歐洲的IBE(Identity Based Encryption)、以及中國(guó)主導(dǎo)的CPK。PKI由70年代美國(guó)軍方研制出來(lái)，90年代開(kāi)始進(jìn)入商業(yè)系統(tǒng)應(yīng)用，大家現(xiàn)在都在使用的各個(gè)銀行的U盾，就是按照這個(gè)規(guī)范來(lái)設(shè)計(jì)。之后，歐洲推出IBE標(biāo)準(zhǔn)，并于2002年成為國(guó)際規(guī)范。我國(guó)在90年代已經(jīng)開(kāi)始重視密碼學(xué)研究，最初也是由軍方主導(dǎo)，到了2007年正式成為國(guó)際規(guī)范，定名CPK，并于2008年正式在中國(guó)進(jìn)行商用。而CPK也是信長(zhǎng)城的一個(gè)商標(biāo)，叫組合公鑰密碼技術(shù)。

其中，PKI公鑰密碼體制，依賴(lài)第三方的可信任機(jī)構(gòu)(認(rèn)證中心，即CA)，將用戶的公鑰實(shí)現(xiàn)集中管理和提供在線支持，為用戶進(jìn)行數(shù)字認(rèn)證提供服務(wù)。也就是說(shuō)，在使用數(shù)字證書(shū)時(shí)，每個(gè)用戶無(wú)論什么操作都必須聯(lián)系CA，從雙方互動(dòng)變?yōu)槿交?dòng)。然而，隨著IoT的迅速發(fā)展，用戶量、終端類(lèi)型的增長(zhǎng)，各類(lèi)網(wǎng)絡(luò)協(xié)議也逐漸組合應(yīng)用，操作系統(tǒng)和CPU愈加多樣化，PKI這種強(qiáng)中心化的認(rèn)證服務(wù)方式達(dá)到負(fù)荷瓶頸，無(wú)法適配物聯(lián)網(wǎng)場(chǎng)景的應(yīng)用需求。

而CPK最大的特點(diǎn)就是在它應(yīng)用時(shí)無(wú)需CA，只在申請(qǐng)數(shù)字證書(shū)時(shí)需要CA。CPK不需要龐大的證書(shū)庫(kù)，也不需要在線支持，沒(méi)有并發(fā)量問(wèn)題。在你申請(qǐng)證書(shū)期間，除了給你公鑰，還提供48kB大小的公鑰矩陣，它只是一個(gè)運(yùn)算規(guī)則，甲乙雙方通過(guò)自身內(nèi)部計(jì)算實(shí)現(xiàn)直接端到端認(rèn)證，不需第三方介入。所以采用這種架構(gòu)在IoT場(chǎng)景下，如果采用PKI，所有操作都需要跟CA相關(guān)聯(lián)，造成流量成倍增粘，帶來(lái)各種影響。而用CPK這種較低成本的標(biāo)識(shí)認(rèn)證在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用有著明顯的優(yōu)勢(shì)。

八年技術(shù)積累實(shí)踐，只為保障IoT時(shí)代的可信安全

基于CPK認(rèn)證規(guī)范，經(jīng)過(guò)8年技術(shù)積累，信長(zhǎng)城已形成了廣義IoT時(shí)代的全新架構(gòu)和完整解決方案，覆蓋物聯(lián)網(wǎng)、安防、車(chē)聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域。

“在數(shù)字證書(shū)體系和信息安全的產(chǎn)業(yè)內(nèi)，有做芯片的，有做U盾的，有做數(shù)字證書(shū)的。總之，做密碼密鑰的這些企業(yè)是非常少的，現(xiàn)在，我們除了硬件的安全芯片沒(méi)做，其他的都做了，而且做得很深。” 羅燕京如是說(shuō)。

據(jù)羅燕京介紹，IoT時(shí)代的安全特征依據(jù)其現(xiàn)實(shí)場(chǎng)景，鏈接規(guī)模的增加是海量的。信長(zhǎng)城依據(jù)IoT特性，從安全本質(zhì)出發(fā)，基于標(biāo)識(shí)認(rèn)證技術(shù)設(shè)計(jì)的安全體系，實(shí)現(xiàn)端到端直接認(rèn)證，端內(nèi)完成安全計(jì)算，安全應(yīng)用去中心化，做到了與協(xié)議無(wú)關(guān)，鏈接無(wú)關(guān)，不增加鏈接流量，不因安全而匯聚流量與鏈接，因此不影響IoT鏈接和終端的增加。“所以IoT應(yīng)用需要鏈接和終端規(guī)模有多大，信長(zhǎng)城的安全體系就適應(yīng)支持多大，也可以理解為安全體制支持IoT終端規(guī)模無(wú)邊界，這就是信長(zhǎng)城支持超大規(guī)模IoT安全需求的能力表現(xiàn)。”

在安防領(lǐng)域，針對(duì)新增市場(chǎng)，信長(zhǎng)城通過(guò)與安防廠商合作，在產(chǎn)品研發(fā)生產(chǎn)之初，就植入數(shù)字證書(shū)體系和相關(guān)安全技術(shù)，使其具備了很強(qiáng)的自身信息安全能力，直接部署實(shí)施即可;針對(duì)存量市場(chǎng)，就是已經(jīng)在運(yùn)行中的安防系統(tǒng)和產(chǎn)品，信長(zhǎng)城專(zhuān)門(mén)設(shè)計(jì)了視頻安全加密網(wǎng)關(guān)及其管理系統(tǒng)，由前端的安全準(zhǔn)入與加密網(wǎng)關(guān)和服務(wù)端的解密服務(wù)器與加密網(wǎng)關(guān)管理系統(tǒng)組成，前端加密網(wǎng)關(guān)直接串行接入在運(yùn)行中的攝像頭后面，或者串行在多個(gè)攝像頭通過(guò)路由匯聚后的端口即可;解密服務(wù)器和加密網(wǎng)關(guān)管理系統(tǒng)部署在安防監(jiān)控中心內(nèi);前端的部署都是直接接入，不需要與原有安防系統(tǒng)和產(chǎn)品廠商進(jìn)行技術(shù)和研發(fā)對(duì)接，簡(jiǎn)單便捷。

在車(chē)聯(lián)網(wǎng)領(lǐng)域，信長(zhǎng)城車(chē)聯(lián)網(wǎng)安全方案，基于標(biāo)識(shí)認(rèn)證技術(shù)和密鑰保護(hù)技術(shù)，對(duì)網(wǎng)內(nèi)為車(chē)聯(lián)網(wǎng)的各個(gè)參與角色，以及車(chē)內(nèi)網(wǎng)絡(luò)的各個(gè)模組、單元解決了其唯一身份標(biāo)識(shí)的問(wèn)題，在實(shí)際應(yīng)用鏈接中提供可信身份認(rèn)證，確保安全可信的鏈接建立;進(jìn)而保護(hù)每個(gè)模組、單元其密鑰的安全和應(yīng)用環(huán)境的安全，使其不被盜、不被違規(guī)利用;為各類(lèi)鏈接之間的數(shù)據(jù)和指令交互提供安全的加解密和簽名驗(yàn)簽?zāi)芰?，確保所有交互數(shù)據(jù)的安全與可信;對(duì)車(chē)聯(lián)網(wǎng)發(fā)展基于可信認(rèn)證體系，實(shí)現(xiàn)端到端直接認(rèn)證，和便捷跨域交叉認(rèn)證，對(duì)車(chē)聯(lián)網(wǎng)的大規(guī)模發(fā)展提供了安全基礎(chǔ)設(shè)施和高效的安全支撐能力，實(shí)現(xiàn)了不同域的車(chē)聯(lián)網(wǎng)跨域交叉認(rèn)證。

采訪最后，羅燕京表示：“信長(zhǎng)城是一個(gè)以標(biāo)識(shí)認(rèn)證技術(shù)為基礎(chǔ)，針對(duì)IoT場(chǎng)景提供安全解決方案和產(chǎn)品的公司。我們的核心戰(zhàn)略是為萬(wàn)物互聯(lián)的世界提供安全基礎(chǔ)設(shè)施，構(gòu)建萬(wàn)物可信體系。我們希望為萬(wàn)物互聯(lián)世界中的各種角色發(fā)放身份證，數(shù)字證書(shū)，并為他們提供應(yīng)用的安全場(chǎng)景和安全的應(yīng)用。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】