西電捷通解析物聯(lián)網(wǎng)安全技術(shù)之鑒別技術(shù)
編者按:2016年,ISO/IEC JTC1/SC6工作組投票同意成立了一個關(guān)于低功率廣域網(wǎng)(Low-Power Wide-Area Network,LPWAN)的研究小組,該研究小組是以用途多、消耗低、安全高的廣域物聯(lián)網(wǎng)的技術(shù)標準研究等為課題,這也預(yù)示著廣域物聯(lián)網(wǎng)的安全問題正在成為下一個技術(shù)風(fēng)口。借此契機,筆者從廣域網(wǎng)通信和短距離通信兩個方面切入,談?wù)勅招略庐惖奈锫?lián)網(wǎng)技術(shù)之鑒別安全技術(shù),即物聯(lián)網(wǎng)關(guān)鍵技術(shù)RFID身份鑒別機制TRAIS和近場通信NFC身份鑒別機制NEAU,該兩項技術(shù)皆由西電捷通研發(fā)。
物聯(lián)網(wǎng)技術(shù)安全特質(zhì)分析
如今,物聯(lián)網(wǎng)的應(yīng)用范圍越來越廣闊、多元,它讓我們的生活更智能、更輕松、更高效。根據(jù)最新公布的數(shù)字,截至2020年將有近208億臺物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)。除了消費級產(chǎn)品,物聯(lián)網(wǎng)方案亦開始出現(xiàn)在環(huán)境監(jiān)測、基礎(chǔ)設(shè)施管理、制造業(yè)、醫(yī)療衛(wèi)生、交通、建筑物與家庭環(huán)境自動化、能源管理與城鎮(zhèn)規(guī)劃等領(lǐng)域。與此同時,諸如數(shù)據(jù)泄露、隱私泄密、APT攻擊等安全隱患也隨之而來,物聯(lián)網(wǎng)安全被稱為“一座即將噴發(fā)的火山”。
信息網(wǎng)絡(luò)發(fā)展了這么多年,無論是基礎(chǔ)設(shè)施抑或信息安全保護建設(shè),都已有很多成熟的技術(shù)。那么物聯(lián)網(wǎng)安全下一個著力點究竟在哪里呢?讓我們通過物聯(lián)網(wǎng)基本架構(gòu)進行分析。物聯(lián)網(wǎng)架構(gòu)如圖1所示:
圖1 物聯(lián)網(wǎng)架構(gòu)圖
眾所周知,物聯(lián)網(wǎng)系統(tǒng)架構(gòu)通常可以分為感知層、網(wǎng)絡(luò)層和應(yīng)用層。可以說,物聯(lián)網(wǎng)的安全威脅源于其結(jié)構(gòu)復(fù)雜性和多樣性。
從圖1分層而看,其需求包括感知節(jié)點的本地安全問題,感知網(wǎng)絡(luò)的傳輸與信息安全問題,核心網(wǎng)絡(luò)的傳輸與信息安全問題,應(yīng)用層安全問題等方面。
事實上,物聯(lián)網(wǎng)的應(yīng)用層、網(wǎng)絡(luò)層、感知層等不同層次,卻擁有相同的安全需求,如圖2所示。
圖2 物聯(lián)網(wǎng)安全需求一覽
較于傳統(tǒng)網(wǎng)絡(luò),首先,物聯(lián)網(wǎng)感知節(jié)點大都存在能力脆弱、資源受限等特點,其計算、存儲和通信能力均相對較低。其次,由于物聯(lián)網(wǎng)是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上擴展了感知網(wǎng)絡(luò)和應(yīng)用平臺,傳統(tǒng)網(wǎng)絡(luò)安全措施不足以提供全面的安全保障,從而使得物聯(lián)網(wǎng)的安全問題具有特殊性。所以在解決物聯(lián)網(wǎng)安全問題時,必須根據(jù)物聯(lián)網(wǎng)自身的特點設(shè)計相關(guān)的安全機制。再次,感知層作為物聯(lián)網(wǎng)應(yīng)用的最前端,實現(xiàn)了智能信息采集功能,其信息感知和采集對于物聯(lián)網(wǎng)功能實現(xiàn)具有決定性的作用,系物聯(lián)網(wǎng)中安全性最薄弱的環(huán)節(jié),其安全問題成為阻礙物聯(lián)網(wǎng)發(fā)展的關(guān)鍵性問題。
可見,物聯(lián)網(wǎng)安全技術(shù)受困于從終端無線感知節(jié)點到接入網(wǎng)絡(luò)的物聯(lián)網(wǎng)網(wǎng)關(guān)節(jié)點之間的安全通信及鑒別問題,這個問題仍然是目前的技術(shù)瓶頸。如果哪項技術(shù)解決了這個問題,那么將從整體上解決物聯(lián)網(wǎng)系統(tǒng)的安全問題。
缺乏實體鑒別機制的LoRa無力抵抗高進階攻擊
作為目前應(yīng)用比較廣泛,且形成了完整涵蓋感知層、網(wǎng)絡(luò)層和應(yīng)用層的物聯(lián)網(wǎng)整體解決方案的遠距離技術(shù)LoRa(Long Range,簡稱LoRa),其產(chǎn)業(yè)鏈相對比較成熟,達到了可以大規(guī)模組網(wǎng)和應(yīng)用的狀態(tài)。 Lora WAN是LoRa技術(shù)采用的通信協(xié)議。其原理是LoRa安全由LoRa協(xié)議LoRa WAN所規(guī)定,終端與基站之間的payload采用128bit的AES加密,密文在后臺服務(wù)器上可動態(tài)產(chǎn)生,基站與后臺服務(wù)器之間是在128bit的AES基礎(chǔ)上進行編碼,使用了雙重128bit的AES加密機制,以提供安全的通信機制,達到安全的2個要素:保密性和完整性。
LoRa WAN安全通信一般采用多層加密的方式來解決:唯一網(wǎng)絡(luò)密鑰(EU164)并保證網(wǎng)絡(luò)層安全,唯一應(yīng)用密鑰(EU164)并保證應(yīng)用層端到端的安全,設(shè)備特別密鑰(EUI128)LoRa WAN網(wǎng)絡(luò)各節(jié)點具有多層級安全方案,保證各類應(yīng)用的不同需求。
然而縱觀LoRa WAN協(xié)議規(guī)范全文,LoRa WAN協(xié)議只是保證通信安全,卻缺乏實體身份合法性的鑒別能力,也就是說其缺乏實體鑒別機制,無法抵抗假冒、偽造等攻擊。雖然從技術(shù)角度來講,在LoRa中設(shè)計鑒別技術(shù)并非難事。
解析物聯(lián)網(wǎng)關(guān)鍵技術(shù)RFID身份鑒別機制TRAIS
RFID安全分為實體安全和空中接口安全其中空中接口安全作為RFID安全的主要構(gòu)成部分,用于保障讀寫器和標簽通信過程的安全,即TRAIS技術(shù),如圖3中橢圓圈內(nèi)所示。
圖3 RFID實體安全與空口安全構(gòu)成圖
西電捷通從2005年起著手RFID空中接口安全方面的研究工作,通過深入分析RFID空中接口所面臨的安全威脅和風(fēng)險,提出了一套完整的、完全自主知識產(chǎn)權(quán)的空中接口安全解決方案,即標簽與讀寫器空口安全(Tag and Reader Air Interface Security,簡稱TRAIS)。
TRAIS解決包括針對各種安全等級需求的鑒別與密鑰協(xié)商協(xié)議,以及訪問控制協(xié)議等方面的問題,提供實體鑒別、保密通信、訪問控制等空中接口安全服務(wù)。其中,在鑒別機制方面,TRAIS包括基于異或運算、基于哈希運算和基于對稱,以及非對稱運算等四個安全等級的整體性鑒別解決方案,能夠提供讀寫器鑒別、電子標簽鑒別、讀寫器與電子標簽雙向鑒別等三種鑒別模式的服務(wù)。在訪問控制方面,TRAIS給出了一種基于非對稱密碼機制、針對不具備計算能力的電子標簽訪問控制協(xié)議,無需電子標簽進行任何的運算,即可完整對自身數(shù)據(jù)的保護;在保密通信方面,TRAIS給出一種保密通信機制,為讀寫器與電子標簽之間的保密通信提供基礎(chǔ)。
近場通信NFC身份鑒別機制NEAU簡述
NFC技術(shù)早在2004年被ISO國際標準所采納,進而得到大范圍的普及,不過在這之后NFC技術(shù)的各種安全問題屢屢發(fā)生。從技術(shù)屬性來看,NFC技術(shù)最大的安全隱患體現(xiàn)為身份假冒、空口通信數(shù)據(jù)被竊聽、篡改等方面。
產(chǎn)生上述問題的根本原因是缺乏有效的近場通信過程中設(shè)備間的身份鑒別、訪問控制等安全技術(shù)。雖然全球通信界針對NFC的空中接口安全問題一直在開展研究,但是在NFC設(shè)備的身份認證、訪問控制等關(guān)鍵安全技術(shù)環(huán)節(jié),一直沒有完善的安全技術(shù)解決方案。
針對NFC技術(shù)的安全漏洞,西電捷通從2005年開始研究NFC空中接口安全技術(shù),經(jīng)過多年研發(fā),提出了NFC實體鑒別,即NEAU(NFC Entity Authentication,簡稱NEAU)技術(shù), 該技術(shù)支持符合國家密碼行業(yè)標準的密碼算法,從鏈路層提供底層安全保障,防止偽造、竊聽和篡改等攻擊,包括兩種實體鑒別機制:NEAU-A和NEAU-S。涉及采用非對稱密碼的NFC實體鑒別與密鑰交換、采用對稱密碼的NFC實體鑒別與密鑰交換技術(shù)。
值得一提的是,NEAU技術(shù)2016年成為國際標準,填補了國際上NFC安全領(lǐng)域(實體鑒別和密鑰協(xié)商)的空白,使得NFC技術(shù)的安全屬性更為完整。
結(jié)語
物聯(lián)網(wǎng)技術(shù)飛速發(fā)展,安全性是其基礎(chǔ)和前提條件,如何及時并妥善處理安全威脅并保證物聯(lián)網(wǎng)的安全穩(wěn)定發(fā)展已經(jīng)成了人們重點攻破的難題,本文針對物聯(lián)網(wǎng)中安全技術(shù)問題進行了分析,以西電捷通自主研發(fā)、針對空口安全相應(yīng)的身份鑒別安全策略為例,期望對于物聯(lián)網(wǎng)特有的安全問題給出如何實施輕量級算法與引入鑒別機制的建設(shè),提供新的參考思路。
責(zé)任編輯:售電衡衡
-
低速電動汽車行業(yè)洗牌即將展開!
2018-04-19電動汽車 -
新能源電動汽車資訊,純電動汽車驅(qū)動系統(tǒng)電力如何傳輸方向
-
新能源汽車熱銷,只需要四部,按好電動汽車充電樁
2018-04-19新能源汽車
-
石墨烯又來了,新型導(dǎo)電劑在高能量密度鋰離子電池中的應(yīng)用
-
鋰電材料漲勢迅猛 尤其是鈷
2018-04-19鋰電材 -
必和必拓提高鎳產(chǎn)量 助力中國電動汽車市場轉(zhuǎn)型
-
建設(shè)堅強智能電網(wǎng) 國網(wǎng)浙江能源互聯(lián)網(wǎng)生機勃發(fā)
-
電網(wǎng)也要智能化 極簡網(wǎng)絡(luò)讓大唐臨清熱電公司信息化快速進階
-
堅強電網(wǎng)護航建設(shè)新福建 為經(jīng)濟發(fā)展注入強大動力
-
西電捷通解析物聯(lián)網(wǎng)安全技術(shù)之鑒別技術(shù)
-
以太網(wǎng)安全系列之:TLSec基于證書的鑒別協(xié)議分析
-
西電捷通TISec解決方案保障配電網(wǎng)通信安全