通信世界网消息(CWW)4月12日,2018第二届中国信通业物联网大会在京召开。中国电信股份有限公司、北京研究院物联网与互联网研发事业部总监江志峰在演讲中表示,物联网的安全威胁是无处不在的,七个方面表现出来它威胁不断的加深。因为物联网不是一个简单的连接,因此要设计一整套的解决方案,不论在那种分层上来讲,每一层都应该对应安全的机制。
演讲全文如下:
江志峰:好,谢谢主持人!各位嘉宾大家下午好!
我非常高兴今天下午有一个机会给大家做一个分享,今天分享的主题就是万物互联,安全为先。我会把过去安全领域我们研究的成果给大家做一个分享。
首先就是我们看一看行业的趋势,我相信可能大家如果上午都在听会的话,应该很多人都展望过,我这儿是从三个维度给大家说一说,一个是说天时地利人和三个角度来看。
首先从天时的角度来看,我觉得我们各个产业的智能化升级的诉求促使了我们这个产业的成熟,无论是工业还是我们的物流、交通,还是我们的家庭,还是各个行业,都在提出了迫切智能化需求升级的要求这是产业的驱动。另外就是咨询机构也确实给了方方面面的预测,这给了一个数据,是2025年,物联网的连接数可以达到250个亿,有人更激进,说2030年将达到300个亿了。
地利,无论是哪个国家,现在都提出了战略的驱动。比如说美国提的工业互联网,德国提的工业4.0,咱们国家中国制造2025,互联网+,这些都是地区战略的推动。
还是非常关键的一点,就是人和,就是生态环境的变化上发生了很多的改变,第一个我们看到大量的成本在下降,我们中国比较热门的是2009年温总理去无锡第一波物联网浪潮兴起,一直也没有什么爆发性的增长,杀手级的应用也没有,特别庞大级的应用也没有发展起来,什么原因?很大一块是成本问题。经过接近十年的发展,成本在这方面已经大幅度的下降了,这有咨询公司给的数据,比如说物联网处理器的价格,在这十年下降了98%。那么传感器的价格下降了54%,对于运营商我们提供了带宽的价格十年的时间下降了99%,正是因为这样一些价格的下降,让物联网有了进一步普及的基础。
还有一块,光价格下降是一个方面,还有一块是我们其他配套能力的提高,比如说现在终端和模组的智能化提升,现在的终端大家知道我们刚才说了物联网核心的处理器CPU,以前可能是8位,现在到16位,现在32位是主流,它在很多处理能力上都带来很多智能的算法,这个也是它处理能力的体现。
另外联网技术在不断的突破,特别在低功耗广域覆盖,大家常说的LWPV,这样低功耗广域网的技术在大量的应用。以前大家用的wifi、蓝牙,更关键运营商这几年开始大力推的NB-IOT和EMTC,这样一些技术相对于原来的技术都有质的飞跃,因为原来无论是哪种技术都是在局域的,有了运营商的NB-IoT也好,EMTC也好,我们就可以实现一跳上网了。整个网关这些设备不需要了,对于整个网络的部署,网络的维护成本都会大大降低。
另外还有人工智能、大数据、运营商这样技术的发展,以及开源软件的发展,让我们物联网大量的数据它的价值可以挖掘出来的,这也是驱动我们整个产业链成熟快速发展的一个因素。从这三个方面我们可以说现在的产业智能升级在推动物联网发展进入一个新的阶段。
在模式上也在变化,总结下来,我们可以把物联网的发展分为三阶段:物联网的1.0、2.0、3.0。1.0就是以前大家常提到的机器到机器的共性,这就是一个基于旧技术,烟囱型的架构。2.0是都上云了,这是一个2.0的架构。下一步的发展,刚才很多演讲嘉宾也提到,现在是万物互联,以后是IOE,甚至叫IoI,更多的体现在软件智能和算法层面这是一个物联网发展的三阶段。当然我们现在还远远没有达到那个阶段,我们还是处在物联网2.0的阶段。
我们说物联网的安全威胁也是无处不在,有很多的新闻报道都在报道这样大量的物联网受到安全威胁的案例,比如去年央视报道的很多摄像头弱口令被破解,用户隐私被曝光,都造成了很多服务的瘫痪。根据咨询机构的统计,我们现在在物联网的安全在七个方面表现出来它威胁不断的加深,比如说我们的固件不进行签名认证,我们设备的弱口令,本地数据未加剧,用户的隐私数据泄露,通信设备未加签名等等这是七个方面。那么这些方面占了我们整个物联网安全威胁的绝大多数,也有一些统计数据,比如说27%的控制系统已经被感染,或者是被攻破,有80%的设备采用简单的密码,有70%的设备通信并没有被加密,90%通信过程并没有被签名认证。这是一个现状,那么怎么改变这个现状?物联网要设计一整套的解决方案,因为物联网不是一个简单的连接,我们认为物联网是一个业务系统,从它的分层上来讲,每一层都应该对应它安全的机制。当然因为物联网和我们的互联网还不一样,它在很多层上还有一些独特的特点,所以我们还有一些独特的技术需要引入进来。
在这儿也是针对这些层,在不同的层面会有一些安全认证的技术要引入,比如说感知层我们有防伪授权等等。在网络层有数据保护等等,平台层也有云平台安全、数据备份等等,这些技术怎么去用?或者它的特点是什么?后面我就举几个简单的例子给大家做一个分享。
首先我们先说说下一步大家有可能大规模应用的技术,就是NB-IoT,其实现在大家大量使用NB-IoT设备很多数据都是裸奔的,这里我就试验一下如果针对NB-IoT的设备不采用安全措施,怎么给它破解掉。这列了三个步骤,我首先拿到一个NB-IoT的终端,我可以去探测它的指令流,探测它的服务器地址,我探测以后就可以把这个信息给破解。破解掉以后,因为NB-IOT你是通过无线信号往上传的,我就可以把你这个信号屏蔽掉,然后模拟一个终端,按照伪造的数据项你服务端发送数据,这样你服务端接到的数据就是一个假的数据,这就是一个典型的NB-IoT被攻击破解的过程,应该说非常危险的。
怎么样解决这个问题?有一些解决方案,比如有一个解决方案,我们可以基于esim作为一种嵌入式的卡放到物联网的设备里面去,基于esim我们就可以把你身份认证的一些签名,获得一些密码的信息放到这样一个安全的组件里面去,这个组件它是一个安全的,不可复制的,不可破解的,你的身份认证,经过esim的保护就可以进行安全的保护。
大家在用户端这一块,我们现在大量使用的是用户密码,其实也是不安全的。对于运营商来讲,我们现在在做什么呢?基于用户卡的认证,你的身份信息我直接放到你的用户卡,你在认证登录的时候直接用卡的信息快速的进行登录认证。本身这个东西第一会速度变快第二又是非常安全的,这是很好的一个解决方案。
这是从两端来讲,举两个例子,比如说摄像头,我们可以在摄像头引入esim这个组件,我们可以把用户的签名身份信息放进来,只有我授权的摄像头可以使用。另外我加密数据,加密以后的数据往上传,即使他拿到也没有关系,只有我自己拿到才可以解开,这样都是安全的。
另外还有提到家庭的应用,我们在家庭里面也有很多设备连接物联网,下一步怎么有效的保护这些设备?我们在家庭里面有一个家庭网关的设备,我们希望在家庭网关这样的设备里也引用esim,只有我授权以后你才能访问我这个家庭网络语言的设备,这个我们也是提升了一步它的安全性,你这样一个设备不需要全部暴露在互联网上,而是通过网关做了一层回避。
还有一些保障的事例,我们现在还可以通过SDK+PKI来进行安全认证。现在用的比较多,你这个设备要想接入我的平台,你不能用透明的协议来做,你必须要引入我的SDK,在我的SDK里面只有经过认证的才可以进到我这个里面来,但是它现在对终端的处理能力要求比较强,所以往往一些高处理能力的终端可以用这种模式。对于我们一些物联网的NB-IOT,一些小处理量的这样一些设备,它就比较困难去支持这种PKI这种安全加密体系的处理方式。怎么样去优化,怎么样去解决?业界也在纷纷的去探讨。
比如我举一个例子,基于IBC这样一套安全加密的认证,IBC实际上是一套基于标识的密码技术,它使用一种非对称的密码进行加密,在使用IBC解决方案的时候,在设备端并不需要完全存储它的私钥、证人,它是通过标识来进行相互的信任,利用IBC的解决方案会大大的减轻我们物联网终端设备的一个处理的要求。同时,基本上可以达到累了于GPI的加密性,所以我们觉得IBC加密的创新会对物联网安全带来帮助。现在业界对这一块的创新还是比较多的,会在这个领域里面不断的冒出来。
第四方面,我们还想举一个例子,还是可以通过一个方式可以提升安全性,现在运营商大力推广的我们需要引用IOT通用的使能平台建设它的安全性。大家知道如果没有这个平台的话,你所有的应用都是私有的、垂直的、封闭的这样一套体系,你整个安全、认证这些保障,都是你自己开发厂家的能力去解决的。但是有了平台以后,它就不一样了,首先在平台这个里面,我们可以支持更多的一些安全数据的传送协议,比如说我们可以支持TRS或者DTRS这样一些安全协议,另外在平台方面我们还可以做安全威胁的检测,很多的安全威胁可能在你应用没有发现之前,通过平台就可以先预先知道,把一些安全风险提前规避掉。还有一点,我们平台在数据的处理上也有多种隔离的措施,来保证这个数据的安全性。
第五方面,刚才分别从终端、平台层面都举了一些例子,我们在应用层面可以做什么呢?我们现在也越来越多引入多因子融合认证提升安全性。现在咱们可以看很多应用里面都要求人证合一,我要同时验你的人脸、声纹、指纹,我不单简单看你的密码,我要跟你的生理结合起来,这种多重因子组合,对它的安全性也是有帮助的。
最后一个我再讲讲,也有嘉宾提到区块链,我觉得区块链跟物联网肯定是比较好的结合点,只不过大家之前是发币,这个不是物联网里面去使用的场景。在物联网里面,我们觉得通过区块链更多的是实现可信互联的一个纠互系统,会对物联网的安全认证也是有帮助的。因为对于区块链来讲,你的每一笔交易不可以篡改,通过物联网里面引用去的技术,通过利用智能合约的运营模式,对于物联网里面的每一组数据,每一笔交易,都可以在区块链的链上记录,去实现安全的保障。从这个程度来讲,我觉得区块链技术的引入对物联网也是非常有帮助的。
时间关系,我就把我们研究的方案给大家做一个分享,感谢大家的聆听,谢谢!
