基于零信任架構(gòu)的IoT 設(shè)備身份認(rèn)證機(jī)制研究

郭仲勇 ，劉 揚(yáng) ，張宏元 ，劉帥洲

(1.河南中盾云安信息科技有限公司，河南 鄭州 450018；2.河南工業(yè)大學(xué) 研究生院，河南 鄭州 450001)

0 引言

物聯(lián)網(wǎng)的安全形態(tài)體現(xiàn)在其體系結(jié)構(gòu)的各個(gè)要素上，安全威脅不僅來自TCP/IP 網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)等傳統(tǒng)網(wǎng)絡(luò)，同時(shí)來自感知層。在物聯(lián)網(wǎng)環(huán)境下，黑客利用已存在的IoT 設(shè)備，就可以發(fā)起攻擊，關(guān)聯(lián)的設(shè)備會(huì)受到影響，輕則正常功能被阻塞，重則將設(shè)備變成感染源，攻擊擴(kuò)展到物聯(lián)網(wǎng)各層，造成嚴(yán)重?fù)p害。

在嚴(yán)峻的安全態(tài)勢(shì)和數(shù)字化轉(zhuǎn)型浪潮下，網(wǎng)絡(luò)安全問題隨著新技術(shù)的發(fā)展呈現(xiàn)出新變化，新的安全需求促使身份與訪問控制成為信息系統(tǒng)架構(gòu)安全的第一道關(guān)口[1]。因此，需要重視 IoT 設(shè)備的身份安全，升級(jí)防護(hù)措施，提升IoT 設(shè)備防護(hù)能力。

1 物聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)

隨著物聯(lián)網(wǎng)中數(shù)據(jù)和設(shè)備規(guī)模的擴(kuò)大，風(fēng)險(xiǎn)也在不斷增加，尤其在金融、智慧醫(yī)療、智能車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等涉及民生的領(lǐng)域，物聯(lián)網(wǎng)安全問題尤為突出，典型安全問題主要體現(xiàn)為以下幾個(gè)方面。

1.1 不安全的物聯(lián)網(wǎng)協(xié)議

絕大多數(shù)工控協(xié)議在設(shè)計(jì)之初，僅僅考慮了功能實(shí)現(xiàn)、效率、可靠性等方面，較少考慮安全性問題。以Modbus 協(xié)議為例，盡管其已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，但存在缺乏認(rèn)證、授權(quán)、加密等安全防護(hù)機(jī)制和功能碼濫用問題，導(dǎo)致關(guān)鍵數(shù)據(jù)明文傳輸、敏感信息泄露[2]。以 LoRa 為代表的非授權(quán)頻段的低功耗廣域技術(shù)， 盡管保持快速發(fā)展，但其在安全性上存在諸多問題和挑戰(zhàn)，如認(rèn)證隨機(jī)數(shù)過短容易被重放攻擊、 認(rèn)證請(qǐng)求完整性校驗(yàn)碼過短容易發(fā)生碰撞、 加密強(qiáng)度不足容易被破解[3]、終端網(wǎng)絡(luò)認(rèn)證憑證沒有安全存儲(chǔ)介質(zhì)致使防護(hù)等級(jí)低等。

1.2 不安全的節(jié)點(diǎn)

物聯(lián)網(wǎng)終端普遍存在身份認(rèn)證的授權(quán)機(jī)制弱、缺乏必要的安全防護(hù)能力等問題，易被攻擊者利用，獲取用戶的身份信息，進(jìn)而偽造用戶身份或通信節(jié)點(diǎn)，并向其他終端、接入網(wǎng)關(guān)進(jìn)行入侵和攻擊[4-5]。

1.3 不可信的終端

物聯(lián)網(wǎng)終端安全能力普遍較低，易成為攻擊者的突破口。攻擊者利用安全漏洞入侵并控制終端，發(fā)起主動(dòng)攻擊、竊取數(shù)據(jù)、篡改數(shù)據(jù)、污染數(shù)據(jù)源并向決策服務(wù)端回傳偽造數(shù)據(jù)。

1.4 應(yīng)用安全風(fēng)險(xiǎn)

物聯(lián)網(wǎng)終端的應(yīng)用程序存在邏輯缺陷或編碼漏洞等問題，攻擊者利用軟件漏洞，通過植入木馬、病毒等方式入侵或控制終端，并最終導(dǎo)致應(yīng)用服務(wù)失效。

1.5 邊緣計(jì)算帶來的安全挑戰(zhàn)

邊緣計(jì)算網(wǎng)絡(luò)體系中涉及終端智能設(shè)備、邊緣計(jì)算設(shè)備、云中心等不同的功能實(shí)體。IoT 設(shè)備分布在不同的地域，具有移動(dòng)性、多種方式接入網(wǎng)絡(luò)的特點(diǎn)，當(dāng)海量設(shè)備同時(shí)接入時(shí)，傳統(tǒng)的集中式安全認(rèn)證面臨巨大的性能壓力；5G 物聯(lián)網(wǎng)裝置直接接入5G 網(wǎng)絡(luò)云端，可能存在攻擊者利用設(shè)備的脆弱性，從內(nèi)部攻擊云服務(wù)平臺(tái)的風(fēng)險(xiǎn)；與用戶身份相關(guān)聯(lián)的信息存儲(chǔ)在半可信的端智能設(shè)備、邊緣計(jì)算設(shè)備等功能實(shí)體中，極易引發(fā)用戶身份信息、地理位置信息等隱私泄漏問題[6]。

圖1 物聯(lián)網(wǎng)零信任架構(gòu)總體框架圖

2 物聯(lián)網(wǎng)終端設(shè)備身份認(rèn)證與授權(quán)方案設(shè)計(jì)

參考零信任架構(gòu)總體框架[7-8]，設(shè)計(jì)基于零信任架構(gòu)的物聯(lián)網(wǎng)終端設(shè)備身份認(rèn)證與授權(quán)方案，為物聯(lián)網(wǎng)提供安全、高效、靈活的身份管理與身份認(rèn)證服務(wù)，控制對(duì)IoT 設(shè)備數(shù)據(jù)的訪問，總體框架如圖 1 所示。

零信任架構(gòu)遵循“從不信任并始終驗(yàn)證”的安全原則，將身份作為訪問控制的基礎(chǔ)，實(shí)時(shí)計(jì)算訪問控制策略。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)，對(duì)三級(jí)及以上感知節(jié)點(diǎn)設(shè)備的安全要求為：“應(yīng)具有對(duì)其連接的網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備(包括讀卡器)進(jìn)行身份標(biāo)識(shí)和鑒別的能力；應(yīng)具有對(duì)其連接的其他感知節(jié)點(diǎn)設(shè)備(包括路由節(jié)點(diǎn))進(jìn)行身份標(biāo)識(shí)和鑒別的能力”。對(duì)三級(jí)及以上網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全要求為：“應(yīng)具備對(duì)合法連接設(shè)備(包括終端節(jié)點(diǎn)、路由節(jié)點(diǎn)、數(shù)據(jù)處理中心)進(jìn)行標(biāo)識(shí)和鑒別的能力；應(yīng)具備過濾非法節(jié)點(diǎn)和偽造節(jié)點(diǎn)所發(fā)送的數(shù)據(jù)的能力”[9]。

本文重點(diǎn)對(duì)數(shù)據(jù)中心、身份安全基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)安全網(wǎng)關(guān)、感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、感知節(jié)點(diǎn)設(shè)備的身份認(rèn)證及數(shù)據(jù)安全進(jìn)行設(shè)計(jì)和優(yōu)化。

2.1 身份安全基礎(chǔ)設(shè)施

身份安全基礎(chǔ)設(shè)施主要由密碼設(shè)施、PKI/DPKI、設(shè)備指紋庫、人工智能、區(qū)塊鏈等功能子系統(tǒng)組成，如圖 2 所示。

2.1.1 密鑰管理

密鑰管理包括認(rèn)證密鑰管理、密鑰載體合規(guī)性、密鑰算法合規(guī)性、會(huì)話密鑰管理等功能。

(1)認(rèn)證密鑰管理：實(shí)現(xiàn)認(rèn)證密鑰的生成、分發(fā)、驗(yàn)證、更新、存儲(chǔ)、備份、有效期、銷毀及密鑰周期管理功能；

(2)密鑰載體合規(guī)性：采用合規(guī)的密碼算法芯片，密鑰存儲(chǔ)及密碼運(yùn)算均在芯片內(nèi)實(shí)現(xiàn)，確保密鑰及密碼運(yùn)算的安全性。

(3)密鑰算法合規(guī)性：采用標(biāo)準(zhǔn)的 API 函數(shù)提供密碼服務(wù)，支持國(guó)密 SM1、SM2、SM3、SM4、SM9 等系列商用密碼算法和 AES、RSA、SHA256 等國(guó)際主流密碼算法，提供數(shù)據(jù)加解密、簽名驗(yàn)證、雜湊等密碼運(yùn)算服務(wù)，實(shí)現(xiàn)信息的機(jī)密性、完整性和有效性保護(hù)。

(4)會(huì)話密鑰管理：實(shí)現(xiàn)會(huì)話密鑰協(xié)商生成、存儲(chǔ)、銷毀、備份、有效期、恢復(fù)及密鑰周期管理功能。

(5)密碼服務(wù)中間件：密碼中間件提供通用的、標(biāo)準(zhǔn)化的密碼服務(wù)，提高模塊的可重用性，降低開發(fā)難度。

2.1.2 PKI/DPKI

(1)公共密鑰基礎(chǔ)設(shè)施(PKI)：對(duì)接證書簽發(fā)機(jī)構(gòu)，用于在證書生命周期中對(duì)數(shù)字證書的規(guī)范管理。實(shí)現(xiàn)對(duì)自然人、機(jī)構(gòu)及設(shè)備等數(shù)字證書及密鑰簽發(fā)，提供證書驗(yàn)證、數(shù)字簽名、數(shù)據(jù)加解密、應(yīng)用系統(tǒng)接口等服務(wù)。

(2)分散式公鑰基礎(chǔ)設(shè)施(DPKI)：對(duì)接證書簽發(fā)機(jī)構(gòu)，采用分布式身份標(biāo)識(shí)(DID)為物聯(lián)網(wǎng)分配全局唯一的標(biāo)識(shí)[10]，為設(shè)備實(shí)體頒發(fā)身份憑證并存儲(chǔ)在身份安全基礎(chǔ)設(shè)施的區(qū)塊鏈中，賦予設(shè)備可聲明、可驗(yàn)證的自主身份，保障數(shù)據(jù)來源的真實(shí)有效性。設(shè)備實(shí)體作為憑證所有者建立連接時(shí)，需要向憑證驗(yàn)證者提供身份聲明，驗(yàn)證者通過對(duì)鏈上的憑證驗(yàn)簽來驗(yàn)證設(shè)備實(shí)體的身份聲明，通過驗(yàn)簽則授權(quán)訪問相應(yīng)的資源。

2.1.3 設(shè)備指紋庫

基于設(shè)備硬件參數(shù)、系統(tǒng)配置、網(wǎng)絡(luò)環(huán)境、傳感器、信號(hào)等多維度的設(shè)備信息，通過模型算法生成唯一的設(shè)備標(biāo)識(shí)符，即設(shè)備指紋。設(shè)備指紋的生成規(guī)則放到云平臺(tái)服務(wù)器中，在設(shè)備管理的注冊(cè)環(huán)節(jié)根據(jù)設(shè)備參數(shù)自動(dòng)生成設(shè)備指紋，存放在設(shè)備指紋庫中。設(shè)備登錄認(rèn)證過程中，根據(jù)采集到的多維度設(shè)備信息，云平臺(tái)服務(wù)器模型算法對(duì)采集的數(shù)據(jù)進(jìn)行分析，計(jì)算該設(shè)備的設(shè)備指紋，與設(shè)備指紋庫進(jìn)行匹配，實(shí)現(xiàn)增強(qiáng)認(rèn)證。

2.1.4 人工智能

通過采集硬件信息、軟件信息、環(huán)境信息和網(wǎng)絡(luò)信息，經(jīng)過機(jī)器學(xué)習(xí)、集成模型、深度學(xué)習(xí)，智能調(diào)整權(quán)重、升降規(guī)則，實(shí)施數(shù)據(jù)平面和控制平面特定規(guī)則、過濾和檢測(cè)異常數(shù)據(jù)等。將硬件設(shè)備ID、地理坐標(biāo)、網(wǎng)絡(luò)地址等屬性建立學(xué)習(xí)模型，計(jì)算設(shè)備指紋信息。設(shè)備指紋信息用于網(wǎng)絡(luò)身份認(rèn)證，每次數(shù)據(jù)采集時(shí)根據(jù)實(shí)際設(shè)備信息可動(dòng)態(tài)計(jì)算設(shè)備指紋信息，根據(jù)安全級(jí)別要求，結(jié)合學(xué)習(xí)模型，可適配設(shè)備信息全因素身份認(rèn)證或者部分因素身份認(rèn)證[11]。

2.1.5 區(qū)塊鏈存證

運(yùn)用區(qū)塊鏈技術(shù)的去中心化和不可篡改，同時(shí)結(jié)合司法創(chuàng)新，構(gòu)建區(qū)塊鏈存證子系統(tǒng)。

(1)數(shù)據(jù)存證管理：支持?jǐn)?shù)據(jù)結(jié)果存證、原數(shù)據(jù)存證，并進(jìn)行數(shù)據(jù)目錄記錄，可讓需求匹配到所需數(shù)據(jù)，并通過Hash 確定數(shù)據(jù)存證的對(duì)比驗(yàn)證數(shù)據(jù)的有效可信。

(2)智能合約管理：通過智能合約自動(dòng)執(zhí)行物聯(lián)網(wǎng)安全網(wǎng)關(guān)接入云平臺(tái)的認(rèn)證、授權(quán)以及上傳終端數(shù)據(jù)，通過共識(shí)機(jī)制在云平臺(tái)節(jié)點(diǎn)之間進(jìn)行共識(shí)出塊、上鏈存儲(chǔ)。

(3)查驗(yàn)管理：根據(jù)區(qū)塊 ID、受理號(hào)等信息在鏈上進(jìn)行查驗(yàn)、瀏覽。

2.2 物聯(lián)網(wǎng)安全網(wǎng)關(guān)設(shè)計(jì)

根據(jù)部署位置、計(jì)算和存儲(chǔ)能力的不同，物聯(lián)網(wǎng)網(wǎng)關(guān)可分為感知層網(wǎng)關(guān)、邊緣層網(wǎng)關(guān)、平臺(tái)層網(wǎng)關(guān)，部署在圖1 的感知網(wǎng)關(guān)節(jié)點(diǎn)、邊緣網(wǎng)關(guān)節(jié)點(diǎn)和物聯(lián)網(wǎng)平臺(tái)中。本文將符合保密要求的具有身份認(rèn)證、授權(quán)與數(shù)據(jù)安全等功能的網(wǎng)關(guān)統(tǒng)稱為物聯(lián)網(wǎng)安全網(wǎng)關(guān)，子系統(tǒng)如圖3 所示。

(1)安全管理

安全管理子系統(tǒng)包括如下內(nèi)容：

①身份認(rèn)證：物聯(lián)網(wǎng)終端與安全網(wǎng)關(guān)進(jìn)行通信時(shí)，需要通過輕量級(jí)安全認(rèn)證協(xié)議或算法，進(jìn)行雙向認(rèn)證。物聯(lián)網(wǎng)安全網(wǎng)關(guān)與云平臺(tái)通信時(shí)，由身份安全基礎(chǔ)設(shè)施進(jìn)行雙向身份認(rèn)證。

②安全傳輸：物聯(lián)網(wǎng)終端與安全網(wǎng)關(guān)傳輸數(shù)據(jù)，需要通過安全協(xié)議或輕量級(jí)算法，對(duì)指令和采集的數(shù)據(jù)進(jìn)行加密傳輸。物聯(lián)網(wǎng)安全網(wǎng)關(guān)與云平臺(tái)通信時(shí)，可根據(jù)安全傳輸協(xié)議、安全芯片、加密卡、安全TF 卡、數(shù)字證書等，實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。

③防火墻：支持配置防火墻策略的包過濾，可以根據(jù)需求定制訪問控制策略、訪問控制表、NAT 規(guī)則等保障網(wǎng)絡(luò)不受外界攻擊；物聯(lián)網(wǎng)終端向安全網(wǎng)關(guān)傳輸數(shù)據(jù)時(shí)，能夠阻止來自上層信息網(wǎng)的威脅。

④協(xié)議識(shí)別與過濾：識(shí)別協(xié)議類型，根據(jù)協(xié)議白名單，阻斷非授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包。

⑤VPN：支持配置 IPSec、GRE、L2TP、OpenVPN、數(shù)字證書，通過隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證等技術(shù)，建立虛信道，在鏈路層和網(wǎng)絡(luò)層，加密與壓縮隧道數(shù)據(jù)，保障數(shù)據(jù)安全傳輸。

⑥更新保護(hù)：為了保障操作系統(tǒng)內(nèi)核安全，防止系統(tǒng)文件被惡意篡改更新，只有經(jīng)過數(shù)字簽名并被認(rèn)證的系統(tǒng)文件才會(huì)被更新運(yùn)行。

⑦訪問控制：對(duì)物聯(lián)網(wǎng)安全網(wǎng)關(guān)的管理訪問權(quán)限按賬戶類型進(jìn)行分級(jí)管理。通過入侵檢測(cè)引擎以及訪問控制引擎，能夠?qū)ξ锫?lián)網(wǎng)接入設(shè)備進(jìn)行安全訪問控制、疑似業(yè)務(wù)阻斷，有效降低來自感知層的業(yè)務(wù)風(fēng)險(xiǎn)，減少網(wǎng)絡(luò)層的攻擊行為。

(2)密鑰管理

內(nèi)容與2.1.1 節(jié)密鑰管理相同。

(3)系統(tǒng)管理

系統(tǒng)管理子系統(tǒng)包括如下內(nèi)容：

①對(duì)安全網(wǎng)關(guān)進(jìn)行管理，如注冊(cè)管理、權(quán)限管理、網(wǎng)絡(luò)接口配置、網(wǎng)絡(luò)服務(wù)配置、靜態(tài)路由、狀態(tài)監(jiān)管、系統(tǒng)時(shí)間、系統(tǒng)日志、配置管理、固件升級(jí)、用戶管理、主機(jī)屬性管理等。

②對(duì)子網(wǎng)內(nèi)的節(jié)點(diǎn)進(jìn)行管理，如獲取節(jié)點(diǎn)的標(biāo)識(shí)、現(xiàn)場(chǎng)名稱、資產(chǎn)編號(hào)、定位源、LBS 上報(bào)間隔、心跳間隔、流量上報(bào)間隔、狀態(tài)、屬性、能量等，以及遠(yuǎn)程實(shí)現(xiàn)喚醒、控制、診斷、升級(jí)和維護(hù)等。

(4)輕節(jié)點(diǎn)管理

在物聯(lián)網(wǎng)安全網(wǎng)關(guān)中部署區(qū)塊鏈BaaS 服務(wù)提供的SDK，提供數(shù)據(jù)上鏈、數(shù)據(jù)驗(yàn)證、區(qū)塊交易查詢等接口功能。

①數(shù)據(jù)上鏈：數(shù)據(jù)采集程序調(diào)用上鏈接口，上傳采集到的數(shù)據(jù)及其業(yè)務(wù)編號(hào)，云平臺(tái)共識(shí)節(jié)點(diǎn)服務(wù)器對(duì)接收到的待上鏈數(shù)據(jù)進(jìn)行共識(shí)，共識(shí)成功后上鏈存儲(chǔ)。

②數(shù)據(jù)驗(yàn)證：根據(jù)數(shù)據(jù)業(yè)務(wù)編號(hào)，通過調(diào)用區(qū)塊鏈BaaS 服務(wù)數(shù)據(jù)驗(yàn)證接口驗(yàn)證所存儲(chǔ)數(shù)據(jù)是否被篡改。

③區(qū)塊交易查詢：根據(jù)業(yè)務(wù)編號(hào)查詢數(shù)據(jù)所在交易、所在區(qū)塊以及所在交易的源數(shù)據(jù)。

(5)邊緣計(jì)算

在“云邊端”一體化網(wǎng)絡(luò)架構(gòu)下，重點(diǎn)解決邊緣節(jié)點(diǎn)引入帶來的物聯(lián)網(wǎng)身份認(rèn)證、數(shù)據(jù)安全和隱私保護(hù)等問題。

①在網(wǎng)關(guān)中配置加密板卡，通過中間件提供的API 實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)安全、隱私保護(hù)等功能[12]，有效減緩網(wǎng)絡(luò)帶寬壓力,降低處理時(shí)延。

②在網(wǎng)關(guān)中提供足夠的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、應(yīng)用等核心服務(wù)能力的開放計(jì)算方式，可實(shí)現(xiàn)傳感器數(shù)據(jù)的收集、分析與處理，并與云平臺(tái)協(xié)同工作，能夠通過歷史數(shù)據(jù)進(jìn)行自我訓(xùn)練和學(xué)習(xí)。

2.3 物聯(lián)網(wǎng)感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備

感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備位于底層現(xiàn)場(chǎng)，能夠?qū)Σ杉臄?shù)據(jù)進(jìn)行匯總、處理或數(shù)據(jù)融合，并進(jìn)行轉(zhuǎn)發(fā)。為防止數(shù)據(jù)被篡改，可調(diào)用BaaS 服務(wù)，將數(shù)據(jù)上傳區(qū)塊鏈節(jié)點(diǎn)存證。

(1)身份標(biāo)識(shí)與鑒別：根據(jù)分類分級(jí)安全管理要求，可采用密碼芯片、低功耗加密板卡/密碼模組、可信芯片+可信操作系統(tǒng)、軟件SDK 等多種安全載體，可存儲(chǔ)密鑰，提供多種密碼運(yùn)算服務(wù)。對(duì)感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備進(jìn)行升級(jí)并設(shè)定唯一性標(biāo)識(shí)，能對(duì)網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備（包括讀卡器）進(jìn)行雙向身份鑒別，能夠?qū)?shù)據(jù)進(jìn)行加密傳輸。

(2)指令及數(shù)據(jù)安全：對(duì)于身份認(rèn)證及數(shù)據(jù)傳輸過程中相關(guān)參數(shù)、指令和數(shù)據(jù)進(jìn)行加密傳輸。

(3)協(xié)議識(shí)別與過濾：識(shí)別協(xié)議類型，根據(jù)協(xié)議白名單阻斷非授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包。

(4)上鏈存證：部署區(qū)塊鏈系統(tǒng)“輕節(jié)點(diǎn)”服務(wù)，通過將采集到的數(shù)據(jù)經(jīng)過協(xié)議轉(zhuǎn)換、分析處理后，進(jìn)行簽名打包處理，調(diào)用區(qū)塊鏈系統(tǒng)BaaS 服務(wù)，完成數(shù)據(jù)的上鏈存證。

身份認(rèn)證流程如圖4 所示。

2.4 物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備

圖4 物聯(lián)網(wǎng)安全網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備身份認(rèn)證流程

根據(jù)應(yīng)用場(chǎng)景的不同主要分為單一功能終端和通用智能終端。單一功能終端僅滿足單一應(yīng)用或單一應(yīng)用的部分?jǐn)U展，感知芯片或設(shè)備只能自動(dòng)感知外部環(huán)境變化和通信。通用智能終端能滿足更多場(chǎng)合的應(yīng)用，能對(duì)傳感器進(jìn)行調(diào)節(jié)，適應(yīng)周邊環(huán)境的運(yùn)動(dòng)能力，具有網(wǎng)絡(luò)連接的有線、無線多種接口方式，甚至預(yù)留一定的輸出接口用于對(duì)其他感知節(jié)點(diǎn)設(shè)備進(jìn)行身份鑒別與控制。

(1)身份標(biāo)識(shí)與鑒別：對(duì)于感知芯片或設(shè)備，由于計(jì)算和存儲(chǔ)資源有限，可采用輕量級(jí)密碼算法加密信息幀的數(shù)據(jù)、差錯(cuò)校驗(yàn)域進(jìn)行加密算法增強(qiáng)。也可以定制輕量化安全協(xié)議，添加擴(kuò)展選項(xiàng)，在信息幀中傳輸感知芯片或設(shè)備的唯一指紋，能對(duì)物聯(lián)網(wǎng)安全網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備進(jìn)行雙向身份鑒別，對(duì)數(shù)據(jù)進(jìn)行加密傳輸。對(duì)于智能處理能力的終端設(shè)備的身份標(biāo)識(shí)與鑒別設(shè)計(jì)，可參考物聯(lián)網(wǎng)安全網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備。

(2)指令及數(shù)據(jù)安全：對(duì)于身份認(rèn)證過程中相關(guān)參數(shù)以及指令和數(shù)據(jù)進(jìn)行加密傳輸。

(3)協(xié)議識(shí)別與過濾：識(shí)別協(xié)議類型，對(duì)其連接的網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備(包括讀卡器)，根據(jù)協(xié)議白名單，阻斷非授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包；對(duì)其連接的其他感知節(jié)點(diǎn)設(shè)備(包括路由節(jié)點(diǎn))，能夠識(shí)別協(xié)議類型，進(jìn)行協(xié)議過濾并解決一包多發(fā)、粘包、冗余數(shù)據(jù)等問題。

感知節(jié)點(diǎn)設(shè)備身份認(rèn)證流程如圖5 所示。

3 實(shí)驗(yàn)流程與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境主要有多種氣體檢測(cè)設(shè)備、感知網(wǎng)關(guān)、平臺(tái)層認(rèn)證網(wǎng)關(guān)、零信任安全接入與監(jiān)管應(yīng)用及區(qū)塊鏈節(jié)點(diǎn)。感知網(wǎng)關(guān)為漢威SS100，主機(jī)標(biāo)配為L(zhǎng)inux系統(tǒng),支持C/C++二次開發(fā)，支持本地硬盤最大12 TB容量，支持防火墻、OPENVPN、安全審計(jì)黑白名單IP 地址、MAC 地址協(xié)議過濾等功能。采用云安鏈搭建聯(lián)盟鏈、中盾多維身份認(rèn)證服務(wù)器作為平臺(tái)層認(rèn)證網(wǎng)關(guān)，構(gòu)建零信任安全接入和數(shù)據(jù)中心實(shí)驗(yàn)環(huán)境。

3.2 實(shí)驗(yàn)效果

3.2.1 多種氣體檢測(cè)設(shè)備與感知網(wǎng)關(guān)身份認(rèn)證及數(shù)據(jù)安全

實(shí)驗(yàn)使用多種氣體檢測(cè)設(shè)備采集數(shù)據(jù)，使用感知網(wǎng)關(guān)接收數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行分析。本次實(shí)驗(yàn)中設(shè)備將提前到感知網(wǎng)關(guān)進(jìn)行注冊(cè)登記，并在平臺(tái)層認(rèn)證網(wǎng)關(guān)注冊(cè)數(shù)字身份。感知網(wǎng)關(guān)每次接收數(shù)據(jù)都會(huì)對(duì)設(shè)備進(jìn)行身份認(rèn)證，身份認(rèn)證過程如下：

(1)s1=H(UID+M1+e1)，H()為 SM3 算 法 函 數(shù) ， 設(shè)備對(duì)采集數(shù)據(jù)原文M1、設(shè)備唯一標(biāo)識(shí) UID 與設(shè)備指紋e1進(jìn)行摘要運(yùn)算得出簽名結(jié)果s1，s1用于設(shè)備的身份驗(yàn)證。

圖5 物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備身份認(rèn)證流程

(2)M1=E(M1，e1)，E()為 SM4 算 法 加 密 函 數(shù) ； 加密采集數(shù)據(jù)原文，得出密文M1。

(3)d=UID+M1+s1，將設(shè)備UID、采集數(shù)據(jù)密文M1、簽名結(jié)果 s1拼接得出新的傳輸數(shù)據(jù)為 d。

(4)感知網(wǎng)關(guān)解析 d，得到設(shè)備 UID、采集數(shù)據(jù)密文 M1、簽名結(jié)果 s1，感知網(wǎng)關(guān)根據(jù)設(shè)備 UID 查詢出本地留存設(shè)備指紋為e2。

(5)M2=D(M1，e2)，D()為 SM4 算 法 解 密 函 數(shù) ； 解出數(shù)據(jù) M2。

(6)設(shè)備指紋身份認(rèn)證為比較簽名，動(dòng)態(tài)計(jì)算摘要 s2=H(UID+M2+e2)；比較 s1與 s2是否一致，如果一致，設(shè)備身份認(rèn)證通過，M2為有效數(shù)據(jù)。

本節(jié)實(shí)驗(yàn)多種氣體采集數(shù)據(jù)如表1 所示，密文傳輸數(shù)據(jù) M1如圖 6 所示，檢測(cè)整體耗時(shí)為 512 ms，設(shè)備唯一標(biāo)識(shí)UID、設(shè)備指紋e1和設(shè)備采集數(shù)據(jù)原文 M1如下：

表1 多種氣體采集數(shù)據(jù)

UID：16fe1d0d136f484119be14db137d7e8b

e1：df9a1470174e405f1f6619ca6c2200c6

M1：01980026000700d900160003001c0002

3.2.2 感知網(wǎng)關(guān)與平臺(tái)層身份認(rèn)證及數(shù)據(jù)安全

感知網(wǎng)關(guān)可通過設(shè)備證書來進(jìn)行身份認(rèn)證，通信前需要在平臺(tái)層認(rèn)證網(wǎng)關(guān)進(jìn)行登記注冊(cè)感知網(wǎng)關(guān)信息。感知網(wǎng)關(guān)與平臺(tái)層認(rèn)證網(wǎng)關(guān)之間通過協(xié)商密鑰對(duì)數(shù)據(jù)加密傳輸,感知網(wǎng)關(guān)將數(shù)據(jù)上傳到平臺(tái)層認(rèn)證網(wǎng)關(guān)的同時(shí)，調(diào)用BaaS 服務(wù)接口將數(shù)據(jù)Hash上鏈存證。

本次測(cè)試的感知網(wǎng)關(guān)的UID 為：73e92e30461c4e-48b0b21d7f0099481b，協(xié)商密鑰為：f156d32edcbc488f9-1736e37a606db70。

(1)感知網(wǎng)關(guān)數(shù)據(jù)上傳

感知網(wǎng)關(guān)將數(shù)據(jù)通過平臺(tái)層認(rèn)證網(wǎng)關(guān)的接口，將數(shù)據(jù)拼接為JSON 格式上傳到平臺(tái)層認(rèn)證網(wǎng)關(guān)。感知網(wǎng)關(guān)需要使用在平臺(tái)層認(rèn)證網(wǎng)關(guān)注冊(cè)的非對(duì)稱密鑰對(duì)需要上傳的數(shù)據(jù)通過SM2 算法進(jìn)行簽名，平臺(tái)層認(rèn)證網(wǎng)關(guān)對(duì)接收到的簽名值進(jìn)行驗(yàn)證。平臺(tái)層認(rèn)證網(wǎng)關(guān)的接口如表2 所示。

圖6 感知網(wǎng)關(guān)接收多種氣體檢測(cè)設(shè)備密文數(shù)據(jù)

表2 平臺(tái)層認(rèn)證網(wǎng)關(guān)接口

本實(shí)例發(fā)送的測(cè)試數(shù)據(jù)的URL 參數(shù)如下：

Post 密文為：

Post 密文為數(shù)據(jù)量檢測(cè)設(shè)備 id、 采集數(shù)據(jù)時(shí)間戳、本次采集唯一序號(hào)以及采集到的數(shù)據(jù)經(jīng)過SM4算法加密后的密文。

平臺(tái)層認(rèn)證網(wǎng)關(guān)通過身份驗(yàn)證，并根據(jù)協(xié)商密鑰解密出Post 明文內(nèi)容為：

數(shù)據(jù)上傳耗時(shí)為98 ms。

(2)感知網(wǎng)關(guān)數(shù)據(jù)上鏈存證

感知網(wǎng)關(guān)調(diào)用區(qū)塊鏈接口，將數(shù)據(jù)經(jīng)過SM3 算法計(jì)算后的HASH 上傳到區(qū)塊鏈節(jié)點(diǎn)，數(shù)據(jù)上鏈的接口定義如表 3 所示。

感知網(wǎng)關(guān)上鏈存證數(shù)據(jù)如圖7 區(qū)塊鏈瀏覽器所示。

4 結(jié)論

“新基建”促進(jìn)物聯(lián)網(wǎng)產(chǎn)業(yè)新發(fā)展，促進(jìn)消費(fèi)性、公共性、生產(chǎn)性物聯(lián)網(wǎng)終端應(yīng)用滲透到各行各業(yè)，這些聯(lián)網(wǎng)設(shè)備將會(huì)產(chǎn)生大量數(shù)據(jù)。如何安全有效地利用這些數(shù)據(jù)和發(fā)掘數(shù)據(jù)價(jià)值、提高社會(huì)生產(chǎn)效率、優(yōu)化資源、降低成本是物聯(lián)網(wǎng)發(fā)展的重點(diǎn)。在工業(yè)物聯(lián)網(wǎng)場(chǎng)景中，傳感技術(shù)與計(jì)算機(jī)技術(shù)、通信技術(shù)融合與協(xié)同所帶來的數(shù)據(jù)安全與身份安全保護(hù)的難度也將面臨巨大挑戰(zhàn)。本文針對(duì)物聯(lián)網(wǎng)安全問題提出基于零信任技術(shù)，從云網(wǎng)邊端綜合治理，打造云、邊、端一體化協(xié)同解決方案，提供更高效的身份認(rèn)證服務(wù)，便于各子系統(tǒng)之間實(shí)時(shí)數(shù)據(jù)的安全交流和共享，推動(dòng)數(shù)字經(jīng)濟(jì)快速發(fā)展。下一步將對(duì)物聯(lián)網(wǎng)安全開展進(jìn)一步研究，對(duì)物聯(lián)網(wǎng)的攻擊、檢測(cè)和防御等多方面進(jìn)行切入，完善系統(tǒng)性研究。

表3 數(shù)據(jù)上鏈的接口定義

圖7 瀏覽器查驗(yàn)感知網(wǎng)關(guān)上鏈存證數(shù)據(jù)