信長城羅燕京:IoT時代需要從數據和身份認證本質出發,構建輕量化可信安全體系
原創【51CTO.com原創稿件】今天,萬物互聯正在融入我們生活。相信不久的將來,完整的萬物互聯世界也將會到來。然而萬物互聯打破了以前各個封閉OA、OT體系,伴隨物聯網和智能設備的進一步普及,不免會帶來更多的安全問題需要解決。
IoT時代,需要輕量化高等級可信安全體系
物聯網(“Internet of things,以下簡稱:IoT)給很多企業帶來了機遇,也給網絡攻擊者提供了更多可被攻擊的“突破點”,讓整個世界的受攻擊面擴大。然而,相對于IT時代的安全體系,以邊界為壘,以防為主,對所有程序行為、數據流量進行過濾檢測,用行為監測手段來實操的安全思路和理念,IoT時代,傳統的安全體系已經無法適用。
對于這方面的安全問題,信長城公司早就開始行動。 “我們花了8年的時間,針對IoT場景進行了多項研究,希望基于數字證書技術和身份認證去實現提升IoT安全性。最終,我們以標識認證密鑰體系CPK(Combined Public Key)和PKI(Public Key Infrastructure)認證技術為基礎,設計并實現了輕量級、超大規模、高效率、便捷實施、低成本、全場景的高等級安全體系。” 信長城創始人&CEO羅燕京向51CTO記者介紹說。
信長城創始人&CEO羅燕京
隨后,他與記者分析道,信長城當初之所以選擇從標識認證方向解決IoT安全問題,是因為相對IT時代以邊界防御為主導,大流量分析、監管、旁路,終端安裝高能耗軟件的安全系統和產品,IoT時代存在網絡異構多樣性的特征,智能終端低功耗,低性能等特點,大型的高性能,高計算能力的安全系統設備無法適用。所以,“我們不妨從數據和身份認證本質去解決安全,實現在IoT網絡中不增加復雜度,不改變數據流量的安全體系和產品部署,在低功耗、低性能智能終端內完成數據安全和身份認證的安全應用的輕量化可信安全體系。”
CPK認證規范在IoT領域的應用優勢明顯
說起標識認證秘鑰體系CPK和PKI認證,羅燕京為記者解惑道,標識認證屬于密碼學的范疇。當今國際,密碼學有三大認證規范,即:美國的PKI、歐洲的IBE(Identity Based Encryption)、以及中國主導的CPK。PKI由70年代美國軍方研制出來,90年代開始進入商業系統應用,大家現在都在使用的各個銀行的U盾,就是按照這個規范來設計。之后,歐洲推出IBE標準,并于2002年成為國際規范。我國在90年代已經開始重視密碼學研究,最初也是由軍方主導,到了2007年正式成為國際規范,定名CPK,并于2008年正式在中國進行商用。而CPK也是信長城的一個商標,叫組合公鑰密碼技術。
其中,PKI公鑰密碼體制,依賴第三方的可信任機構(認證中心,即CA),將用戶的公鑰實現集中管理和提供在線支持,為用戶進行數字認證提供服務。也就是說,在使用數字證書時,每個用戶無論什么操作都必須聯系CA,從雙方互動變為三方互動。然而,隨著IoT的迅速發展,用戶量、終端類型的增長,各類網絡協議也逐漸組合應用,操作系統和CPU愈加多樣化,PKI這種強中心化的認證服務方式達到負荷瓶頸,無法適配物聯網場景的應用需求。
而CPK最大的特點就是在它應用時無需CA,只在申請數字證書時需要CA。CPK不需要龐大的證書庫,也不需要在線支持,沒有并發量問題。在你申請證書期間,除了給你公鑰,還提供48kB大小的公鑰矩陣,它只是一個運算規則,甲乙雙方通過自身內部計算實現直接端到端認證,不需第三方介入。所以采用這種架構在IoT場景下,如果采用PKI,所有操作都需要跟CA相關聯,造成流量成倍增粘,帶來各種影響。而用CPK這種較低成本的標識認證在物聯網領域的應用有著明顯的優勢。
八年技術積累實踐,只為保障IoT時代的可信安全
基于CPK認證規范,經過8年技術積累,信長城已形成了廣義IoT時代的全新架構和完整解決方案,覆蓋物聯網、安防、車聯網、工業互聯網等領域。
“在數字證書體系和信息安全的產業內,有做芯片的,有做U盾的,有做數字證書的。總之,做密碼密鑰的這些企業是非常少的,現在,我們除了硬件的安全芯片沒做,其他的都做了,而且做得很深。” 羅燕京如是說。
據羅燕京介紹,IoT時代的安全特征依據其現實場景,鏈接規模的增加是海量的。信長城依據IoT特性,從安全本質出發,基于標識認證技術設計的安全體系,實現端到端直接認證,端內完成安全計算,安全應用去中心化,做到了與協議無關,鏈接無關,不增加鏈接流量,不因安全而匯聚流量與鏈接,因此不影響IoT鏈接和終端的增加。“所以IoT應用需要鏈接和終端規模有多大,信長城的安全體系就適應支持多大,也可以理解為安全體制支持IoT終端規模無邊界,這就是信長城支持超大規模IoT安全需求的能力表現。”
在安防領域,針對新增市場,信長城通過與安防廠商合作,在產品研發生產之初,就植入數字證書體系和相關安全技術,使其具備了很強的自身信息安全能力,直接部署實施即可;針對存量市場,就是已經在運行中的安防系統和產品,信長城專門設計了視頻安全加密網關及其管理系統,由前端的安全準入與加密網關和服務端的解密服務器與加密網關管理系統組成,前端加密網關直接串行接入在運行中的攝像頭后面,或者串行在多個攝像頭通過路由匯聚后的端口即可;解密服務器和加密網關管理系統部署在安防監控中心內;前端的部署都是直接接入,不需要與原有安防系統和產品廠商進行技術和研發對接,簡單便捷。
在車聯網領域,信長城車聯網安全方案,基于標識認證技術和密鑰保護技術,對網內為車聯網的各個參與角色,以及車內網絡的各個模組、單元解決了其唯一身份標識的問題,在實際應用鏈接中提供可信身份認證,確保安全可信的鏈接建立;進而保護每個模組、單元其密鑰的安全和應用環境的安全,使其不被盜、不被違規利用;為各類鏈接之間的數據和指令交互提供安全的加解密和簽名驗簽能力,確保所有交互數據的安全與可信;對車聯網發展基于可信認證體系,實現端到端直接認證,和便捷跨域交叉認證,對車聯網的大規模發展提供了安全基礎設施和高效的安全支撐能力,實現了不同域的車聯網跨域交叉認證。
采訪最后,羅燕京表示:“信長城是一個以標識認證技術為基礎,針對IoT場景提供安全解決方案和產品的公司。我們的核心戰略是為萬物互聯的世界提供安全基礎設施,構建萬物可信體系。我們希望為萬物互聯世界中的各種角色發放身份證,數字證書,并為他們提供應用的安全場景和安全的應用。”
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
