1. 需求分析

5G时代的到来，让物联网应用取得飞速的发展，各种智能摄像头、智能家居设备、工业智能控制设备、智能穿戴设备都呈现爆发式增长的态势，便利人们生活同时也带来诸如拒绝服务攻击、通讯协议凭证伪造、信息泄露等安全隐患。

2018年政府机关发布的密码应用相关发展规划文件指出：“推进自主可控密码发展，组建以密码技术为核心、多种技术融合的网络安全体系，建成密码基础设施支撑的新网络安全环境。”其中网络密码应用中提到：完善5G、广播电视行业密码支撑体系，推进直播系统、IPv6、物联网等领域中的密码应用。因此物联网领域亟需引入基于密码技术的安全标识解决方案，以解决物联网领域数据交互和身份安全，避免物联网终端被非法、假冒用户入侵窃取数据。

2. 适用范围

本方案适用于新建物联网环境，通过配合物联网终端厂商在终端出厂前完成安全介质的烧录，进而实现物联网终端的合法性校验，避免由于身份伪造引起的数据泄露。

3. 方案架构

天融信基于物联网国密安全标识系统（TID）的安全解决方案可以提供物联网可信密码标识技术从而保障物联网设备身份唯一性。通过设备鉴权、安全密码管理、安全加速等主要核心功能，帮助用户解决物联网环境身份认证、传输加密、信息防篡改的安全需求。针对厂家产线情况（如：数据采集传感器、智能摄像头、智能电表等物联网终端）提供定制化的终端身份烧写服务，实现物联网终端从出厂标识分发到业务环境中身份认证的安全闭环。本方案从终端身份安全与信息传输安全维度，为用户提供一套包含标识分发、连接认证、密钥管理三部分的技术方案。

 图 3 1物联网密码应用示意图

物联网国密安全标识系统的实现需要物联网终端厂商与用户紧密配合，TID以硬件形态部署于用户的业务环境中，对物联网终端厂商开放API接口实现物联网终端出厂身份标识分发。用户侧只需购置TID硬件设备并通过该设备对物联网终端的SIM卡/ARM芯片实现TID烧录即可。

标识分发：TID业务软件通过物联网终端产线API接口，对物联网终端内的通用SIM卡或专用安全芯片烧录SM9国密安全标识，并封装到物联网终端通讯芯片中，为物联网终端提供全球唯一的身份ID。

连接认证：物联网终端调用存储在物联网终端SIM卡/ARM芯片中的SM9国密安全标识，并提交给TID认证模块完成身份认证。

密钥管理：TID具备符合国密产品技术要求的秘钥管理模块，为物联网终端和业务管理平台分发公钥和私钥，实现通讯双方传输过程中的信息加密。

通过物联网国密安全标识系统解决方案可以构建完整的物联可信认证体系，为每一个物联网设备提供全球唯一、不可抵赖的国密身份标识，为物联网设备在多应用场景中提供定位和根据信息、行为溯源的能力。结合SM2/3/4国密算法实现物联网数据的加密传输，防止物联网数据在传输过程中被监听、篡改。防止黑客仿冒感知节点，如伪造、篡改安防节点指令进而发起攻击，可以防止黑客对代码升级包的篡改，防止用户敏感数据泄露。

4. 方案优势

有效防御身份冒用风险TID可与物联芯片/存储厂家合作，提供芯片级的安全存储方案和物理安全防护能力，有效防御由于物联网硬件窃取带来的各类身份冒用、伪造凭证安全风险。

实现终端追踪溯源TID提供完善的SM9安全标识管理方案，确保方案安全等级。为每一个物联网终端提供唯一、不可抵赖的国密身份标识，通过物联网终端身份标识，对设备身份进行有效追踪、溯源。

轻量化密钥管理 身份标识与秘钥信息占用极小的物联网终端系统资源，在保障物联网终端安全的基础上不影响其工作效率。

低成本高安全 用户只需购置一套TID（物联网国密安全标识系统），便可具备对于海量物联网终端的、基于国密密码标识的安全防护能力。

5. 适用领域

5.1 智慧城市

智慧城市部署大量的室外传感器、IP摄像头，环境恶劣、弱安全防护，但是其数据敏感，一旦数据泄露会造成重大隐患。通过TID可以对传感器的本地数据和传输进行加密，确保即使物理丢失黑客也无法查验本地数据/获取根密钥。

TID还可以防止黑客窃取设备后登入设备、破解密码、伪造设备、仿照数据或攻击云平台，为智能手机与物联网互动在保证安全的前提下提高用户体验

5.2 智能电网

智能电表分散在户外，安全无保障，存在仿冒和数据篡改风险，因此需进行终端防窃电设计和有效的身份认证以防非法接入；同时异常事件自动上报，窃电行为精准定位；电表数据在上报过程中需要进行加密，防监听和防泄露；而电力网络则需要防止高级安全威胁、DDoS 和病毒等攻击以防业务中断、经济损失。

TID可以防止黑客仿冒智能电表或篡改智能电表数据，对接入管理平台的智能电表进行唯一身份认证，对电表上报传输过程中使用国密算法安全加密。

5.3 石油化工行业

为了应对炼油化工一体化、园区化、基地化发展趋势，保障园区日常管理，炼化企业陆续部署了一系列辅助系统，包括视频监控、入侵报警、数据采集传感器、门禁管理、生产巡检、火灾报警等系统，各种辅助终端广泛部署在炼化园区内，存在采集数据泄露和缺乏身份认证机制的安全风险。

TID可以对接入云平台的安防节点进行唯一身份认证，对双向通信进行安全国密加密使能。还可以防止黑客仿冒能源数据采集传感器节点，如伪造、篡改安防节点指令进而发起攻击。

企业职责划分

北京天融信网络安全技术有限公司

联系人：张超

电  话：15811035593