王首媛，孫寧寧，曹 盛（.中訊郵電咨詢設計院有限公司，北京 00048；.成都蜀誠通信技術有限公司，四川成都 646000）

1 概述

本文基于對物聯(lián)網(wǎng)終端的連接管理以及終端連網(wǎng)的安全研究，針對終端的身份偽造、數(shù)據(jù)泄密等問題，結合零信任安全架構理念，構建物聯(lián)網(wǎng)終端安全接入的安全保障體系，滿足物聯(lián)網(wǎng)終端安全可信接入的場景需求。

1.1 物聯(lián)網(wǎng)安全現(xiàn)狀

傳統(tǒng)物聯(lián)網(wǎng)終端缺少應用安全機制，更沒有強安全、強身份認證機制，簡單的口令驗證很容易被破解或繞過，容易被直接攻入設備系統(tǒng)從而被控制，成為網(wǎng)絡攻擊的新方向。5G 網(wǎng)絡大連接、大帶寬、低時延特性大大增加了攻擊的潛在規(guī)模，海量設備一旦被非法控制，將發(fā)起前所未有的大規(guī)模網(wǎng)絡攻擊，使基礎網(wǎng)絡癱瘓。5G 通信的SDN、NFV、云、MEC 等新型網(wǎng)絡架構，使網(wǎng)絡邊界模糊化，邊界防護無法生效，在增加了靈活性的同時也擴大了攻擊暴露面，面臨DDoS 攻擊、側通道攻擊、開放API 威脅等問題，網(wǎng)絡切片技術也帶來資源共享、跨域安全、認證授權等新型網(wǎng)絡安全問題。

當前物聯(lián)網(wǎng)面臨的主要安全風險有：

a）物聯(lián)網(wǎng)系統(tǒng)入侵。

b）物聯(lián)網(wǎng)僵尸網(wǎng)絡拒絕服務攻擊。

c）物聯(lián)網(wǎng)敏感信息泄露。

1.2 問題分析

在5G網(wǎng)絡環(huán)境下，物聯(lián)網(wǎng)終端設備面臨業(yè)務場景復雜，對網(wǎng)絡的帶寬傳輸能力以及終端設備自身硬件、軟件運算要求較高，終端面臨身份偽造、數(shù)據(jù)泄密、信令重放、DDoS 攻擊等多種安全隱患。傳統(tǒng)的網(wǎng)絡安全架構大都基于查殺堵截模式，通常在網(wǎng)絡邊界部署安全設備。隨著各行業(yè)數(shù)字化轉型升級，云大物移智等新興技術的應用，IT 基礎架構發(fā)生根本性變化，平臺、業(yè)務、用戶、終端呈現(xiàn)多樣化趨勢，開放協(xié)同需求增加了數(shù)據(jù)的互聯(lián)互通，傳統(tǒng)的物理網(wǎng)絡安全邊界逐漸消失，VPN、BYOD 等提供了對網(wǎng)絡的不可信訪問。

1.3 傳統(tǒng)終端接入模式

如圖1所示，傳統(tǒng)網(wǎng)絡接入模式下，物聯(lián)網(wǎng)終端及網(wǎng)絡安全的整體方案總體是基于網(wǎng)絡安全設備的功能疊加和AI 大數(shù)據(jù)加持的網(wǎng)絡安全態(tài)勢感知技術的發(fā)展。傳統(tǒng)的物聯(lián)網(wǎng)系統(tǒng)安全方案思路，基本集中在網(wǎng)絡邊緣側的查殺堵截和事后的補救，采用了先連接后認證的機制，在TCP/IP 協(xié)議基礎之上，結合VPN 模式，實現(xiàn)端到端的通信。缺乏零信任的系統(tǒng)思路，從安全架構層面去解決根本性安全問題。

2 零信任架構核心思路

2.1 技術思路

隨著5G、云計算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)技術的發(fā)展，安全防護需要一種新的信任模型——以永不信任、持續(xù)認證、最小特權為原則的零信任安全模型?；诹阈湃蔚纳矸莨芾砑軜嬕陨矸轂榛瘜崿F(xiàn)業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制，建立基于全網(wǎng)數(shù)字身份認證和動態(tài)訪問控制策略為核心的零信任安全機制，可保障網(wǎng)絡系統(tǒng)的整體安全。

基于零信任架構采用了以身份為中心，采用先認證、后連接的方式，使網(wǎng)絡和認證形成統(tǒng)一，實現(xiàn)僅對授權用戶開放連接。

2.2 最新進展

通過搭建零信任物聯(lián)網(wǎng)終端認證平臺，預計在2022 年，面向生態(tài)系統(tǒng)合作伙伴開放的80%的新數(shù)字業(yè)務應用程序將通過零信任網(wǎng)絡訪問（ZTNA）進行訪問，應用SDP 技術實現(xiàn)軟件定義邊界，從傳統(tǒng)的以網(wǎng)絡為中心轉變?yōu)橐陨矸轂橹行倪M行最小權限訪問控制，持續(xù)監(jiān)控可疑用戶活動。

3 零信任物聯(lián)網(wǎng)終端認證方案設計

3.1 設計要點

物聯(lián)網(wǎng)終端認證平臺結合零信任［2］架構理念，基于無證書標識密碼技術提供了終端安全的入網(wǎng)能力，包括設備授權、身份鑒權、密鑰管理、加密傳輸、會話管理、數(shù)據(jù)簽名等多種功能，保護物聯(lián)網(wǎng)設備及數(shù)據(jù)免受重放攻擊、偽造攻擊、數(shù)據(jù)篡改、會話劫持等網(wǎng)絡攻擊，實現(xiàn)基于無證書標識密碼強安全的快速認證接入能力，通過終端和安全認證網(wǎng)關建立的國密無證書TLS安全通道實現(xiàn)與企業(yè)后端業(yè)務平臺無縫集成。

3.1.1 動態(tài)智能防火墻技術應用

傳統(tǒng)的網(wǎng)絡安全是基于防火墻的物理邊界防御，也就是大眾熟知的“內網(wǎng)”。防火墻的概念起源于20世紀80年代，該防御模型前提假設是企業(yè)所有的辦公設備和數(shù)據(jù)資源都在內網(wǎng)，并且內網(wǎng)是完全可信的。

然而，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術的不斷興起，企業(yè)IT 架構正在從“有邊界”向“無邊界”轉變，傳統(tǒng)的安全邊界逐漸瓦解。隨著以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進，還會進一步加速“無邊界”的進化過程。與此同時，零信任安全逐漸進入人們的視野，成為解決新時代網(wǎng)絡安全問題的新理念、新架構。

物聯(lián)網(wǎng)終端安全認證平臺基于零信任的架構理念，結合了動態(tài)智能防火墻技術，云端智能態(tài)勢感知中心會實時動態(tài)監(jiān)控物聯(lián)網(wǎng)終端設備與后臺應用的連接狀態(tài)，實時更新黑白名單策略，并對端口進行實時封堵、放行控制，基于動態(tài)安全策略實時地調控終端對應用后臺的訪問行為，實現(xiàn)實時動態(tài)安全管理。

3.1.2 PKI/CLA無證書密碼技術應用

CLA 無證書密碼技術［3］是針對非對稱密鑰分配和管理的實際應用需求，用于生成、分發(fā)和管理用戶實體密鑰。CLA 無證書密碼技術采用一種新型的具有雙密鑰、基于SM2 橢圓曲線的、無雙線性對運算的無證書公鑰密碼體制［4］，利用現(xiàn)有SM2 橢圓曲線密碼算法，實現(xiàn)對用戶密鑰的分配和有效管理。

PKI/CLA具有以下技術優(yōu)勢。

a）高安全性：可實現(xiàn)點對點（P2P）認證和主動安全；用戶對私鑰具有完全自主權，外界（包括CLA）對用戶的私鑰不可知；用戶的公鑰標識中不顯式的包含用戶的公鑰，也不包含CLA對公鑰標識的簽名。

b）認證效率高：公鑰標識短，密鑰存儲成本低，創(chuàng)新應用國密算法，實現(xiàn)更快的密碼計算、更高認證效率、更安全的運算，支持物聯(lián)網(wǎng)低時延、大連接認證應用，支持海量物聯(lián)網(wǎng)設備的接入認證和密鑰管理。

c）公鑰自證性：基于國密算法的創(chuàng)新應用，無證書密碼體系具備去中心化和設備離線驗證的能力，滿足物聯(lián)網(wǎng)跨域認證的實際需求；并且支持與PKI/CA 對接能力。

3.2 架構設計

整體架構包含云端安全認證中心、接入層安全認證網(wǎng)關以及感知層物聯(lián)網(wǎng)終端三大板塊，是覆蓋端-管-云全鏈路的整體安全體系。

3.2.1 基于零信任架構的物聯(lián)網(wǎng)終端認證平臺

如圖2 所示，平臺基于零信任新型網(wǎng)絡安全架構整體設計，主要包含平臺側、網(wǎng)絡側和終端側3 個部分。

圖2 物聯(lián)網(wǎng)終端安全認證系統(tǒng)架構圖

a）平臺側：包含統(tǒng)一身份管理系統(tǒng)、終端權限管控系統(tǒng)、智能態(tài)勢感知系統(tǒng)。

b）網(wǎng)絡側：安全認證網(wǎng)關零信任安全套件。

c）終端側：由物聯(lián)網(wǎng)安全終端和物聯(lián)網(wǎng)安全邊緣網(wǎng)關的零信任安全代理客戶端組成。

3.2.2 零信任物聯(lián)網(wǎng)安全的關鍵功能

3.2.2.1 數(shù)字身份構建

整個系統(tǒng)內所有實體單元進行全面數(shù)字身份化，包括物聯(lián)網(wǎng)終端用戶、終端設備、SIM 卡、終端模組、應用服務器、服務器應用、應用服務接口API等均賦予數(shù)字化身份。

基于移動通信的物聯(lián)網(wǎng)終端以SIM 卡ICCID 和IMSI 為基礎身份，終端在接入應用過程中，采取各種身份動態(tài)組合，生成接入訪問的臨時身份，該臨時身份包含了終端在接入時的各維度的實時狀態(tài)。

3.2.2.2 安全訪問鏈路

移動終端蜂窩模組作為終端的安全代理介質、實現(xiàn)與物聯(lián)網(wǎng)應用系統(tǒng)之間基于PKI/CLA+TLS/IPSEC 的數(shù)據(jù)安全鏈路，基于國密安全通道進行全流量加密數(shù)據(jù)傳輸。

對于終端請求，終端蜂窩模組攔截后根據(jù)終端臨時身份向零信任安全認證網(wǎng)關請求授權，授權通過后，通過TLS/IPSEC 加密通道將請求發(fā)送給應用服務器。對于應用服務器返回的特權指令，終端應用需通過基于安全SIM 的密碼安全運算，進行強安全的密碼驗簽來驗證服務器臨時身份授權，身份認證通過后方能運行權限內的指令。

3.2.2.3 持續(xù)信任評估

零信任物聯(lián)網(wǎng)終端安全認證平臺集成了智能態(tài)勢感知大數(shù)據(jù)系統(tǒng)，根據(jù)風險評估模型和大數(shù)據(jù)分析AI 算法，結合安全認證網(wǎng)關和終端的驗證反饋，不斷優(yōu)化調整動態(tài)身份條件下的策略，為零信任網(wǎng)絡提供自適應動態(tài)的策略調控能力。

3.2.2.4 動態(tài)訪問控制

終端臨時身份獲得安全認證網(wǎng)關的認證和授權后，需要基于最小權限原則分配其服務和資源訪問權限。零信任物聯(lián)網(wǎng)終端安全認證平臺集成了終端權限管控系統(tǒng)，基于身份安全基線、行為安全基線、應用安全基線、終端安全基線、黑白名單策略、信任評估模型，實現(xiàn)對安全認證網(wǎng)關和終端的動態(tài)訪問控制。

3.3 流程設計

物聯(lián)網(wǎng)安全認證平臺基于統(tǒng)一身份技術、動態(tài)防火墻技術，結合了零信任的架構理念，是覆蓋端-管-云全鏈路安全的系統(tǒng)方案，能夠滿足物聯(lián)網(wǎng)多業(yè)務場景和多種終端類型交叉認證，滿足安全通信的實際需求。

物聯(lián)網(wǎng)安全認證平臺終端接入流程如圖3所示。

圖3 零信任物聯(lián)網(wǎng)終端安全接入流程圖

安全認證網(wǎng)關默認關閉所有的TCP 端口，實現(xiàn)網(wǎng)絡隱身，只有通過認證后，才會接入應用后臺。物聯(lián)網(wǎng)終端安全接入流程如下。

a）管控平臺上線啟動。

b）安全認證網(wǎng)關上線，與管控平臺建立TLS 連接。

c）終端側模組應用程序首先向零信任客戶端管控套件申請接入請求，管控套件對接入請求進行指令簽名，之后向管控平臺發(fā)送身份認證請求。

d）管控平臺驗證用戶設備信息，建立TLS 連接，返回授權票據(jù)和對應的應用網(wǎng)關信息。

e）終端應用程序攜帶票據(jù)信息向對應的安全認證網(wǎng)關發(fā)起TLS連接建立請求。

f）安全認證網(wǎng)關收到請求后向管控平臺獲取用戶授權策略信息。

g）按照用戶既定策略驗證完成后，安全接入網(wǎng)關與終端之間完成基于TLS握手協(xié)議標準流程。完成了TLS 握手之后，終端通過網(wǎng)關的認證，接入物聯(lián)網(wǎng)應用系統(tǒng)后臺。

h）安全大腦管控平臺基于實時信息反饋，動態(tài)實時管控網(wǎng)關和終端的行為策略，調整策略基線。終端零信任管控套件會實時采集終端信息上報給管控平臺，同時管控平臺會基于安全策略對終端進行實時監(jiān)控，基于業(yè)務的安全行為基線（黑名單、白名單、威脅情報、病毒庫、DDOS 攻擊）給安全認證網(wǎng)關下發(fā)配置策略，網(wǎng)關會執(zhí)行策略和處置命令，動態(tài)管控終端和應用的行為，對終端的行為實時阻斷、隔離、審計等行為處置。

3.4 組件設計

零信任物聯(lián)網(wǎng)終端安全管控平臺業(yè)務架構的組件設計如圖4所示。

圖4 零信任物聯(lián)網(wǎng)終端安全管控平臺業(yè)務架構圖

3.4.1 統(tǒng)一身份管理

負責數(shù)字化身份的維護。需要將SIM 卡、用戶、終端、應用和服務等信息按照身份編碼規(guī)則錄入系統(tǒng)。同時還需要維護、采集身份相關的狀態(tài)和屬性。

負責綜合身份的認證。通過認證模型對綜合身份進行分析認證，認證通過則簽發(fā)身份證書，認證失敗則根據(jù)認證情況拒絕其接入或要求其提供其他身份要素。

統(tǒng)一身份管理系統(tǒng)支持基于國密SM2 的無證書標識密碼認證技術，為用戶實體提供基于國密SM2 無證書標識算法的身份認證、身份查詢、身份綁定等接口，受理終端用戶的認證申請，完成對終端用戶真實身份的認證。

3.4.2 身份服務管理

負責收集接入請求場景，驗證反饋和身份關聯(lián)的狀態(tài)、屬性等信息，通過大數(shù)據(jù)分析和智能算法，不斷優(yōu)化身份認證模型，為身份管理系統(tǒng)提供持續(xù)信任評估能力。智能態(tài)勢感知系統(tǒng)基于終端系統(tǒng)提供的終端用戶相關的數(shù)據(jù)信息（包括身份信息、GIS 分布、終端狀態(tài)、異常事件、終端日志等）進行業(yè)務建模、數(shù)據(jù)清洗、挖掘分析，動態(tài)智能調整基線策略。

3.4.3 安全認證網(wǎng)關

作為服務端的安全代理，安全認證網(wǎng)關將服務和資源對外接口進行隱藏，基于TLS 協(xié)議的無證書標識密碼認證技術提供對終端身份的安全認證能力以及對于數(shù)據(jù)包的加密解密能力，確保數(shù)據(jù)傳輸?shù)陌踩?、完整性、可用性以及終端身份的不可抵賴性等安全能力保證；對于數(shù)據(jù)包的發(fā)送源進行身份驗簽，成功驗簽的終端數(shù)據(jù)包方能接入云端物聯(lián)網(wǎng)業(yè)務系統(tǒng)；同時接收終端安全認證系統(tǒng)的處置命令，實現(xiàn)對終端或物聯(lián)網(wǎng)應用平臺的入口出口安全控制，及時阻斷、隔離。

3.4.4 終端權限管控

負責身份權限的分配。根據(jù)身份映射到其最小權限角色，通過RBAC 權限模型，獲取角色權限。同時根據(jù)身份的關聯(lián)屬性，通過ABAC 權限模型，計算動態(tài)權限。2 個權限集合取交集作為最終的最小權限。終端權限管控系統(tǒng)基于應用策略對終端進行實時監(jiān)控，基于業(yè)務的安全行為基線（黑名單、白名單、威脅情報、病毒庫等，DDoS 攻擊），對安全認證網(wǎng)關下發(fā)處置命令，實時阻斷、隔離終端的業(yè)務行為。

3.4.5 終端零信任安全代理

終端零信任套件主要實現(xiàn)如下功能。

a）基于硬件模組和SIM 卡的密碼能力，提供對終端上層應用的加解密和簽名驗簽的密碼服務。

b）對終端狀態(tài)運行信息進行動態(tài)采集，將安全事件定時上報云端的功能。

c）實現(xiàn)對終端設備的管控功能，接收云端指令和策略信息，并分析策略和執(zhí)行指令的功能。

d）終端套件支持基于無證書標識密碼的TLS 協(xié)議，實現(xiàn)與安全認證網(wǎng)關的雙向認證能力，并實現(xiàn)數(shù)據(jù)的安全傳輸能力。

零信任物聯(lián)網(wǎng)終端安全系統(tǒng)，以安全SIM 卡為密碼載體，以輕量無證書公鑰標識技術為核心，保障終端敏感數(shù)據(jù)的可靠安全傳輸，實現(xiàn)終端身份的安全認證、防抵賴的核心能力。

4 結束語

零信任物聯(lián)網(wǎng)終端安全認證平臺具備開放化的密碼技術的支持能力，支持多因子統(tǒng)一身份認證的能力，自動兼容PKI/CLA 以及PKI/CA 等多種密碼體制。作為5G 物聯(lián)網(wǎng)時代基于國密算法實現(xiàn)的新型零信任網(wǎng)絡架構的統(tǒng)一安全認證平臺，其具有革命性意義，是國家提倡5G全面戰(zhàn)略化發(fā)展的重要的安全基礎，對工業(yè)互聯(lián)網(wǎng)、智能車聯(lián)網(wǎng)、數(shù)字經(jīng)濟應用等重要應用而言，是核心的網(wǎng)絡安全基礎設施。

后續(xù)計劃整合運營商產(chǎn)業(yè)鏈的資源，打通終端、SIM 卡、網(wǎng)絡一體化認證。身份認證技術采用ICCID號（SIM 卡號）作為密碼標識。ICCID 作為運營商統(tǒng)一可控的終端連網(wǎng)通信模塊中的必須標識，具有全球號碼參數(shù)唯一、編碼規(guī)則管理有效、運營商體系安全的特點；“SIM 卡號+SIM/eSIM 卡”作為身份認證技術的“標識+安全計算環(huán)境”具備天然優(yōu)勢，對于運營商建立基于SIM卡號為標識的身標識份認證能力具有深遠的戰(zhàn)略意義。

建設零信任統(tǒng)一身份能力，實現(xiàn)國密算法產(chǎn)品落地?；诹阈湃蔚募軜嬆Ｊ浇Y合國密SM 系列算法以及動態(tài)智能防火墻技術，實現(xiàn)移動終端設備和應用系統(tǒng)之間基于TLS 進行雙向握手認證和加密安全傳輸，為各種移動終端提供入網(wǎng)的強安全身份認證通道，保障終端身份及應用層數(shù)據(jù)安全的能力。