物聯(lián)網(wǎng)安全芯片需求和應(yīng)用白皮書

1、物聯(lián)網(wǎng)片需求和應(yīng)用白皮書目錄1片產(chǎn)業(yè)現(xiàn)狀11.1片簡(jiǎn)介11.2片類型11.3片分級(jí)21.4主流片.32.4片相關(guān)2.1法律42.2行業(yè)規(guī)范42.3技術(shù)標(biāo)準(zhǔn)53片應(yīng)用現(xiàn)狀64物聯(lián)網(wǎng)片需求74.1物聯(lián)網(wǎng)終端安全特性74.2接入安全需求104.3業(yè)務(wù)安全需求114.4數(shù)據(jù)安全需求125片應(yīng)用建議135.1通信135.2車聯(lián)網(wǎng)通信155.3智能家電166總結(jié)17I物聯(lián)網(wǎng)片需求和應(yīng)用白皮書1片產(chǎn)業(yè)現(xiàn)狀1.1片簡(jiǎn)介片是在單一上提供微型計(jì)算環(huán)境（CPU，ROM，EEPROM，RAM 和 I/O 接口，以及算法協(xié)處理器和物理噪聲源等），為上層提供安全、安全運(yùn)算、算法計(jì)算等安全服務(wù)的硬件元器件，主要功能包括：提

2、供安全環(huán)境提供安全運(yùn)行環(huán)境提供算法計(jì)算能力提供隨機(jī)數(shù)生成能力自身安全防護(hù)能力1.2片類型片的應(yīng)用形態(tài)、接口多樣，根據(jù)集成形式不同，可以分為以下三種類型：可插拔安全模塊形態(tài)：通過標(biāo)準(zhǔn)外置接口與終端集成，例如:TF卡和 UKey 等，市場(chǎng)有大量的相關(guān)，是使用最廣泛的片。同時(shí)，也有通過自定義接插件集成的非標(biāo)準(zhǔn)硬件接口形態(tài)，主要應(yīng)用于定制終端。安全模塊形態(tài)：通過貼片、焊接、合封等方式集成在終端主板上，由于集成難度相對(duì)較大，主要應(yīng)用于定制終端。內(nèi)置非安全模塊形態(tài)（inSE）：在終端中實(shí)現(xiàn)全部或部分片功能，通常由的 CPU 核實(shí)現(xiàn)，使其運(yùn)行環(huán)境于終端的硬件環(huán)境。不同形態(tài)片的特性分析如下表所示：1物聯(lián)網(wǎng)片需

3、求和應(yīng)用白皮書表 1.片特性分析片的性能主要取決于自身硬件處理能力和接口速率，自身硬件處理能力由 CPU、ROM、時(shí)鐘頻率等硬件決定片使用的主流接口情況如下表所示：表 2.片主流接口1.3片分級(jí)基于物聯(lián)網(wǎng)業(yè)務(wù)的不同安全需求，在物聯(lián)網(wǎng)場(chǎng)景下選擇片時(shí)，除了考慮的物理形態(tài)，內(nèi)核、主頻、空間等性能指標(biāo)，接口、算法等功能指標(biāo)，工作溫度、可靠性、環(huán)境適應(yīng)性等可靠性指標(biāo)外，管理局定義的模塊安全技術(shù)要求7也是對(duì)片安全能力判斷的一個(gè)重要依據(jù)。該要求對(duì)模塊的安全能力判定分為四級(jí)，對(duì)物理安全機(jī)制和機(jī)制的要求逐級(jí)增強(qiáng)。安全一級(jí)規(guī)定了最基礎(chǔ)的安全要求，例如：或固件模塊可以運(yùn)行在不可修改的、受限的或可修改的運(yùn)行環(huán)境中，模

4、塊應(yīng)當(dāng)使用至少一個(gè)核準(zhǔn)的安全功能或敏感安全參數(shù)建立。對(duì)物理安全機(jī)制、權(quán)限管控沒有特殊要求。2物聯(lián)網(wǎng)片需求和應(yīng)用白皮書安全二級(jí)提出了物理安全機(jī)制的要求，例如：增加了拆卸證據(jù)的要求，同時(shí)要求基于角色的鑒別機(jī)制，對(duì)權(quán)限進(jìn)行了約束。安全三級(jí)進(jìn)一步提高了物理安全機(jī)制要求，能夠以很高的概率檢測(cè)到直接物理、安全模塊的試用或修改、物理探測(cè)等行為，同時(shí)要求基于的鑒別機(jī)制。安全四級(jí)是該評(píng)價(jià)體系中的最高安全標(biāo)準(zhǔn)，除較級(jí)中規(guī)定的安全要求外，還要求具備能夠檢測(cè)到物理破壞時(shí)自動(dòng)清除敏感安全數(shù)據(jù)、多因素鑒別等安全能力。1.4 主流片TF卡、eSAM 和 eSIM 是目前使用最的片類型，適用于不同的終端和業(yè)務(wù)場(chǎng)景，目前主品的

5、基本如下：TF卡TF 卡形態(tài)片，通過 SD memory 方式與終端通信，功耗 100mW 左右，部分同時(shí)支持大容量。支際主流算法和國產(chǎn)算法，廣泛應(yīng)用通信、移動(dòng)辦公等安全領(lǐng)域，都具有國產(chǎn)型號(hào)。eSAM（Embedded Secure Access Module）eSAM 是將一顆具有操（COS）的片封裝在 DIP8 或 SOP8 模塊中，做成一個(gè)安全模塊，可以完成數(shù)據(jù)的加密、雙向認(rèn)證、權(quán)限、通信線路保護(hù)、臨時(shí)密鑰導(dǎo)出、數(shù)據(jù)文件等多種功能。支持國產(chǎn)算法和國際主流算法，目前廣泛應(yīng)用于智能、水電、燃?xì)獗?、熱力表和機(jī)頂盒等終端。eSIM（Embedded-SIM）eUICC 是由 GSMA 組織聯(lián)合運(yùn)

6、營商、終端廠商、卡商共同提出的下一代 SIM卡技術(shù)標(biāo)準(zhǔn)。eSIM 的思想是將硬件 eUICC 的生產(chǎn)與運(yùn)營商簽約數(shù)據(jù)的生產(chǎn)分離，eUICC 預(yù)先置入終端，其中不包含運(yùn)營商簽約數(shù)據(jù)；用戶在開始使用終端后，以空中寫卡方式從網(wǎng)絡(luò)平臺(tái)運(yùn)營商簽約數(shù)據(jù)，安裝到 eUICC 中。3物聯(lián)網(wǎng)片需求和應(yīng)用白皮書eSIM 的出現(xiàn)主要是作為下一代技術(shù)，替代現(xiàn)有，由于 eSIM的載體片在處理能力、安全能力等方面的增強(qiáng)，也可以同時(shí)對(duì)外提供算法計(jì)算等安全能力，供系統(tǒng)或應(yīng)用調(diào)用，實(shí)現(xiàn)通用片的數(shù)據(jù)加、認(rèn)證等安全功能，達(dá)到只使用一顆片，可同時(shí)提供 eSIM應(yīng)用和通用片兩種功能。除以上三種片的形態(tài)外，內(nèi)置片（inSE）是一種近年出

7、現(xiàn)的片新形態(tài)，具有性能高、功耗低、成本優(yōu)點(diǎn)，物聯(lián)網(wǎng)是其未來應(yīng)用的重要場(chǎng)景。inSE 內(nèi)置于通用終端，占用CPU 核，RAM 和ROM 空間為 128KB-256KB，共用外部通用空間，與的片相比，不帶來額外的功耗。多遵循 JAVA CARD13和 GP12等標(biāo)準(zhǔn)，主要支持 RSA、AES、SHA256、ECC 等國際主流算法和國產(chǎn)算法，部分通過管理局模塊的檢測(cè)。目前最主要的應(yīng)用場(chǎng)景為基于生物特征的認(rèn)證和金融支付。2片相關(guān)2.1法律網(wǎng)絡(luò)安全法1，指出對(duì)公共2016 年 11 月發(fā)布中民通信和服務(wù)、能源、交通、水利、金融、公共服務(wù)、政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，

8、可能嚴(yán)重危害、國計(jì)民生、公共利益的關(guān)鍵基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度11的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)制定。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度11要求四級(jí)及以上的系統(tǒng)使用硬辦法由件進(jìn)行保護(hù)。2.2 行業(yè)規(guī)范金融行業(yè)領(lǐng)域中，2011 年 3 月銀行發(fā)布銀行關(guān)于推進(jìn)金融應(yīng)用工作的意見9，指出 2013 年 1 月 1 日起全國性商業(yè)銀4物聯(lián)網(wǎng)片需求和應(yīng)用白皮書行均應(yīng)開始金融，2015 年 1 月 1 日起在和重點(diǎn)合作行業(yè)領(lǐng)域，商業(yè)銀行的、以為結(jié)算賬戶的均應(yīng)為金融 IC卡。衛(wèi)生行業(yè)領(lǐng)域中，2012 年 2 月發(fā)布居民健康卡管理辦法（試行）8推動(dòng)實(shí)現(xiàn)居民在各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)就診“一卡通

9、”。居民健康卡可用于居民識(shí)別、個(gè)人基本健康、實(shí)現(xiàn)跨區(qū)域跨機(jī)構(gòu)就醫(yī)和費(fèi)用結(jié)算等。金融與一卡通的部件均為片。通過內(nèi)置的片，金融與一卡通可以實(shí)現(xiàn)敏感數(shù)據(jù)的安全、的安全和識(shí)別以及金融數(shù)據(jù)的保護(hù)。2.3 技術(shù)標(biāo)準(zhǔn)管理局密標(biāo)委發(fā)布的 GM/T0054-2018系統(tǒng)應(yīng)用基本要求6，規(guī)定三級(jí)和四級(jí)等保系統(tǒng)3應(yīng)該使用技術(shù)保障應(yīng)用和數(shù)據(jù)安全；對(duì)于四級(jí)等保系統(tǒng)3要求采用符合 GM/T 00287的三級(jí)及以上密碼模塊或通過管理部門核準(zhǔn)的硬件實(shí)現(xiàn)運(yùn)算和密鑰管理。在公共安全領(lǐng)域，由提出的GB 35114-2017公技術(shù)要求5于 2018 年 11 月 1 日正式實(shí)施。共安全聯(lián)網(wǎng)該標(biāo)準(zhǔn)規(guī)定了公共安全領(lǐng)域聯(lián)網(wǎng)以及信令保護(hù)的技

10、術(shù)要求，適用于公共安全領(lǐng)域系統(tǒng)的方案設(shè)計(jì)、系統(tǒng)檢測(cè)及與之相關(guān)的研發(fā)與檢測(cè)。該標(biāo)準(zhǔn)將安全前端(攝像機(jī))的安全能力由弱到強(qiáng)分為 A、B、C 三級(jí)。A 級(jí)可以使用模塊實(shí)現(xiàn)安全能力，更高等級(jí)的安全能力需使用硬件實(shí)現(xiàn)。在個(gè)人保護(hù)方面，測(cè)評(píng)機(jī)構(gòu)、知名大學(xué)、公安研究所及阿里、騰訊等互聯(lián)網(wǎng)公司共同起草的GB/T 35273-2017技術(shù) 個(gè)人規(guī)范4對(duì)個(gè)人敏感的傳輸和提出要求，傳輸和個(gè)人敏感時(shí)，應(yīng)采用安全措施個(gè)人生物識(shí)別時(shí)，應(yīng)采用摘要等技術(shù)措施處理后再進(jìn)行。5物聯(lián)網(wǎng)片需求和應(yīng)用白皮書在智能鎖方面，泰爾聯(lián)合電信、中移物聯(lián)網(wǎng)及相關(guān)企業(yè)在電信終端產(chǎn)業(yè)（TAF）制訂了智能門鎖技術(shù)要求與測(cè)試10，該標(biāo)準(zhǔn)同時(shí)也得到了的高度

11、認(rèn)可與支持，也曾派出技術(shù)參與標(biāo)準(zhǔn)制定與討論。3片應(yīng)用現(xiàn)狀目前，片在智能中的應(yīng)用已經(jīng)十分普及。智能被廣泛用于移動(dòng)辦公、移動(dòng)金融和移動(dòng)娛樂等各個(gè)方面，著、假冒竊聽，木馬等多種安全威脅。在日常生活中，智能手機(jī)的安全問題導(dǎo)致泄露、財(cái)產(chǎn)受損的事例層出不窮。在智能中，身份認(rèn)證和數(shù)據(jù)保護(hù)的基礎(chǔ)依賴于體系的密鑰安全。由于智能操作系統(tǒng)復(fù)雜、應(yīng)用繁多，密鑰直接在的通用硬件中無法保證其和使用的安全。目前，在智能中，為解決密鑰和運(yùn)行環(huán)境的安全，廣泛使用可信執(zhí)行環(huán)境（TEE）、片或兩者相結(jié)合的對(duì)密鑰進(jìn)行安全保護(hù)，應(yīng)用于移動(dòng)金融、數(shù)字保護(hù)、生物特征認(rèn)證、安全啟動(dòng)和固件升級(jí)等多個(gè)領(lǐng)域。圖 1. 智能中的安全方案基的安全方案

12、片硬件元器件相對(duì)較少，容易建立物理防護(hù)措施和實(shí)施安全保障。片自身系統(tǒng)簡(jiǎn)單，相比于智能終端復(fù)雜或是開放的操，具有更高的安，解決了復(fù)雜不可控漏洞的安全風(fēng)險(xiǎn)。將密鑰在的片硬件中，密鑰在運(yùn)行過程中始終不出安全6物聯(lián)網(wǎng)片需求和應(yīng)用白皮書，大大提升了密鑰和密鑰運(yùn)行環(huán)境的安全?；诳尚艌?zhí)行環(huán)境（TEE）的安全方案基于 TEE 的安全方案是一種介于純實(shí)現(xiàn)模塊和片作為密碼模塊之間的中間方案。TEE的軟硬件資源與普通操，TEE提供安全（可信應(yīng)用）的安全執(zhí)行環(huán)境，同時(shí)也保護(hù)可信應(yīng)用和數(shù)據(jù)的性、完整性和權(quán)限。普通操及其上的應(yīng)用程序無法直接TEE 中的軟硬件資源，需通過安全的 API 與 TEE 交互?；?TEE 的

13、安全方案將密鑰在由 TEE的可信硬件資源中，模塊運(yùn)行在 TEE 中，在 TEE 內(nèi)還可提供可信的 UI 供用戶進(jìn)行敏感數(shù)據(jù)的安全操作。基于 TEE 的安全方案解決了純硬件模塊在移動(dòng)終端上部署不便的問題，提供了介于模塊和基于硬件模塊之間的一種適度安全?；?TEE片的安全方案基于 TEE片的安全方案將密鑰的和運(yùn)算運(yùn)行中，通過 TEE 提供可信的 UI 進(jìn)行交互。該方案的特點(diǎn)是僅可以通過 TEE 訪問片，為片的提供了安全防護(hù)，同時(shí)還可以為片的操作提供了可信的交互界面，從而全面保障了應(yīng)用的運(yùn)行安全。除智能外，目前片還廣泛應(yīng)用于金融卡、交通卡等移動(dòng)支付領(lǐng)域，確保支付過程的安全。片還用于移動(dòng)通信模組，在

14、傳統(tǒng)的移動(dòng)通信模組內(nèi)加入片，利用片的模塊，信模組提供加/功能，將普通的通信模組變?yōu)榧用芡ㄐ拍＝M。4物聯(lián)網(wǎng)片需求4.1 物聯(lián)網(wǎng)終端安全特性4.1.1終端類型繁多物聯(lián)網(wǎng)終端形態(tài)功能差異很大，既有通用智能終端，也有簡(jiǎn)單功能終端。通用智能終端如智能、無人機(jī)、等，設(shè)計(jì)復(fù)雜，具備智能操，能滿足多種功能應(yīng)用。這種通常硬件配置高，外部接口較多，7物聯(lián)網(wǎng)片需求和應(yīng)用白皮書支持多種網(wǎng)絡(luò)接入方式，空間相對(duì)較大，成本較高。這類終端可參考片在智能領(lǐng)域的應(yīng)用現(xiàn)狀，保障系統(tǒng)、數(shù)據(jù)、傳輸、業(yè)務(wù)的安全。簡(jiǎn)單功能終端如溫濕度傳感器、水電氣表計(jì)等，設(shè)計(jì)簡(jiǎn)單，配備或?qū)Ｓ胁?，僅滿足單能應(yīng)用。這種通常硬件配置不高，系統(tǒng)主頻和受限，支持有

15、限的網(wǎng)絡(luò)接入方式。，在物聯(lián)網(wǎng)應(yīng)用領(lǐng)域，有些簡(jiǎn)單功能終端也需要承擔(dān)高安要求的業(yè)務(wù)，還需兼顧性能、功耗的要求。這類終端需根據(jù)業(yè)務(wù)安全等級(jí)要求和軟硬件資源的限制，選擇合適的安全防護(hù)措施。4.1.2接入方式多樣圖 2. 物聯(lián)網(wǎng)終端物聯(lián)網(wǎng)終端有多種網(wǎng)絡(luò)接入方式，線終端、遠(yuǎn)距離無線通信終端和近距離無線通信終端等。圖 3. 物聯(lián)網(wǎng)終端無線網(wǎng)絡(luò)接入遠(yuǎn)距離無線通信終端內(nèi)置(U)SIM、eSIM 等，接入 2/3/4/5G 等蜂窩移動(dòng)通信網(wǎng)絡(luò)，與物聯(lián)網(wǎng)業(yè)務(wù)云平臺(tái)進(jìn)行交互。典型的遠(yuǎn)距離無線通信終端如：8物聯(lián)網(wǎng)片需求和應(yīng)用白皮書車聯(lián)網(wǎng)終端、無人機(jī)、網(wǎng)關(guān)等。終端接入移動(dòng)通信網(wǎng)絡(luò)需進(jìn)行認(rèn)證。通過認(rèn)證后，移動(dòng)通信網(wǎng)絡(luò)為終端

16、的數(shù)據(jù)傳輸提供安全的網(wǎng)絡(luò)層傳輸。目前，接入移動(dòng)運(yùn)營商網(wǎng)絡(luò)的認(rèn)證模塊，如(U)SIM、eSIM 等，通常置中，并在片內(nèi)運(yùn)行，用戶的和相關(guān)的計(jì)算均在同一顆片中。片為物聯(lián)網(wǎng)終端接入移動(dòng)通信網(wǎng)絡(luò)的認(rèn)證提供安全的環(huán)境和計(jì)算環(huán)境，確保了認(rèn)證過程的基于的數(shù)據(jù)網(wǎng)絡(luò)傳輸安全。短距離無線通信終端通過 WiFi，Zigbee，Bluetooth 等短距離無線通信網(wǎng)絡(luò)接入網(wǎng)關(guān)，網(wǎng)關(guān)接入蜂窩移動(dòng)通信網(wǎng)絡(luò)。典型的短距離無線通信終端如：智能家電、工業(yè)傳感器等。短距離無線通信協(xié)議通常由特定的短距離無線通信實(shí)現(xiàn)，在通信中，提供短距離無線通信網(wǎng)絡(luò)內(nèi)的認(rèn)證和傳輸數(shù)據(jù)的加功能。除了上述通信網(wǎng)絡(luò)提供的安全傳輸，物聯(lián)網(wǎng)終端和業(yè)務(wù)平臺(tái)之間

17、還需考慮端到端的業(yè)務(wù)安全傳輸通道。4.1.3業(yè)務(wù)場(chǎng)景豐富物聯(lián)網(wǎng)終端支持的業(yè)務(wù)場(chǎng)景豐富多樣，物聯(lián)網(wǎng)不但應(yīng)用于個(gè)人使用場(chǎng)景，還廣泛應(yīng)用于家庭和多種行業(yè)領(lǐng)域。物聯(lián)網(wǎng)技術(shù)與行業(yè)化技術(shù)相結(jié)合，應(yīng)用于智能、智能家居、智能電網(wǎng)、智能醫(yī)療和車聯(lián)網(wǎng)等多個(gè)領(lǐng)域。行業(yè)業(yè)務(wù)系統(tǒng)不同于個(gè)人應(yīng)用場(chǎng)景，行業(yè)業(yè)務(wù)系統(tǒng)涉及面廣、影響力大。有些系統(tǒng)涉及用戶個(gè)人隱私和商業(yè)，數(shù)據(jù)一旦泄露，將危害個(gè)人生命財(cái)產(chǎn)安全或帶來巨大的商業(yè)損失。有些系統(tǒng)涉及公共國計(jì)民生，一旦遭到破壞，影響巨大，將危及公共利益和。涉及面廣、影響大的業(yè)務(wù)系統(tǒng)需要充分考慮端到端的安全設(shè)計(jì)，采取終端與業(yè)務(wù)平臺(tái)的認(rèn)證、數(shù)據(jù)的安全和安全傳輸?shù)榷喾N安全措施。4.1.4應(yīng)用環(huán)境

18、復(fù)雜物聯(lián)網(wǎng)終端的應(yīng)用環(huán)境遠(yuǎn)比智能復(fù)雜，智能由個(gè)人進(jìn)行保管和使用。物聯(lián)網(wǎng)終端應(yīng)用的環(huán)境更加多樣，有些終端具有移動(dòng)性的特點(diǎn)，活動(dòng)范圍大，移動(dòng)速度快；有些終端無人機(jī)交互界面；有些終端部署在偏遠(yuǎn)地區(qū)，9物聯(lián)網(wǎng)片需求和應(yīng)用白皮書無人值守，更新維護(hù)。因此，物聯(lián)網(wǎng)終端更易物理和人為破壞，導(dǎo)致終端失效、被仿冒、被和業(yè)務(wù)數(shù)據(jù)泄露，危害業(yè)務(wù)系統(tǒng)的正常運(yùn)行。以上特點(diǎn)，需考慮對(duì)物聯(lián)網(wǎng)終端配備不可的唯一標(biāo)識(shí)和抗高強(qiáng)度物理的安全部件。4.2 接入安全需求如圖 4 所示，終端接入移動(dòng)通信網(wǎng)絡(luò)后，除利用現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)安全措施保證網(wǎng)絡(luò)層傳輸安全外，在應(yīng)用層仍需要考慮從終端到業(yè)務(wù)平臺(tái)的端到端業(yè)務(wù)安全。物聯(lián)網(wǎng)終端與業(yè)務(wù)平臺(tái)之間需

19、要相互認(rèn)證對(duì)方并且通過安全的通信通道傳輸應(yīng)用數(shù)據(jù)。目前，較為普遍的是在終端部署安全模塊，安全模塊通常部署在片中，在云平臺(tái)部署具有片的安全網(wǎng)關(guān)，物聯(lián)網(wǎng)終端和業(yè)務(wù)云平臺(tái)之間利用片的安全能力和計(jì)算能力，構(gòu)建一個(gè)安全通道，解決端到端業(yè)務(wù)的傳輸安全。圖 4. 端到端業(yè)務(wù)安全隨著移動(dòng)通信網(wǎng)絡(luò)安全能力的不斷增強(qiáng)和豐富，移動(dòng)通信網(wǎng)絡(luò)在基于終端已有的（U）SIM/eSIM 等安全模塊進(jìn)行網(wǎng)絡(luò)接入的雙向認(rèn)證和安全傳輸?shù)耐瑫r(shí)，也可為上層應(yīng)用提供開放的認(rèn)證能力和安全的會(huì)話密鑰。3GPP 在 Release 6 已經(jīng)提出將運(yùn)營商網(wǎng)絡(luò)認(rèn)證能力提供給上層應(yīng)用的標(biāo)Architecture）14。GBA 利用網(wǎng)絡(luò)層準(zhǔn)，即 GB

20、A（Generic Bootstrap認(rèn)證和密鑰協(xié)商的結(jié)果，為應(yīng)用提供認(rèn)證及應(yīng)用會(huì)話密鑰。3GPP 在Release 15輕量級(jí)物聯(lián)網(wǎng)提出了 BEST （ Battery EfficientSecurity for very low Throughout Machine Type Communication devices）15。BEST 著重強(qiáng)調(diào)低功耗和非 IP 協(xié)議的支持方案，并在會(huì)話密鑰協(xié)商的基礎(chǔ)上提供用戶數(shù)據(jù)完整性和性保護(hù)。目前，5G 網(wǎng)絡(luò)的新架構(gòu)特點(diǎn)，3GPP Release 16 正在研究基于 3GPP 憑證的應(yīng)用層認(rèn)證和密鑰管理方案，即10物聯(lián)網(wǎng)片需求和應(yīng)用白皮書AKMA（Aut

21、hentication and Key Management for Applications based on 3GPPcredential in 5G）16。AKMA 以 5G 網(wǎng)絡(luò)中海量的接入認(rèn)證需求及其應(yīng)用的加密通信需求為切入點(diǎn)，研究 5G 網(wǎng)絡(luò)中基于卡的業(yè)務(wù)認(rèn)證和密鑰分發(fā)方案，旨在向領(lǐng)域和行業(yè)應(yīng)用提供運(yùn)營商特有的安全保障。4.3 業(yè)務(wù)安全需求4.3.1唯一標(biāo)識(shí)需求與用戶使用智能登陸 QQ、博客、淘寶等應(yīng)用不同，醫(yī)療、車載通信、傳感器等物聯(lián)網(wǎng)終端很多不具備人機(jī)交互界面，無法通過提供用戶的來進(jìn)行認(rèn)證。目前，物聯(lián)網(wǎng)終端與業(yè)務(wù)系統(tǒng)的認(rèn)證基于業(yè)務(wù)系統(tǒng)按一定約定為其分配的標(biāo)識(shí)，且通常為實(shí)現(xiàn)。當(dāng)業(yè)

22、務(wù)系統(tǒng)不同時(shí)，標(biāo)識(shí)也會(huì)隨之不同。實(shí)現(xiàn)的標(biāo)識(shí)容易被拷貝或篡改。片可生成具有唯一性、不可的真隨機(jī)數(shù)，且具有關(guān)鍵數(shù)據(jù)不可被導(dǎo)出、不可篡改的特點(diǎn)，可用于唯一標(biāo)識(shí)物聯(lián)網(wǎng)終端。唯一標(biāo)識(shí)可以是片產(chǎn)生的一串隨機(jī)數(shù)，可以是從外部寫入的一串隨機(jī)數(shù)，還可以是基于某個(gè)隨機(jī)數(shù)推演出來的 ID。將唯一標(biāo)識(shí)與使用者及歸屬企業(yè)進(jìn)行關(guān)聯(lián)，可以將使用者、物聯(lián)網(wǎng)終端和歸屬企業(yè)建立有效綁定連接。實(shí)現(xiàn)企業(yè)對(duì)物聯(lián)網(wǎng)終端的管理的同時(shí)，也可實(shí)現(xiàn)管理機(jī)構(gòu)對(duì)物聯(lián)網(wǎng)終端的監(jiān)管。4.3.2數(shù)據(jù)源認(rèn)證需求傳統(tǒng)終端使用業(yè)務(wù)場(chǎng)景通常是用戶登錄業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)驗(yàn)證用戶身份并為用戶提供服務(wù)。與傳統(tǒng)終端的業(yè)務(wù)場(chǎng)景不同，物聯(lián)網(wǎng)終端大多是直接連接業(yè)務(wù)云平臺(tái)，上報(bào)

23、業(yè)務(wù)數(shù)據(jù)和接受指令。車載、智能攝像頭、無人機(jī)等物聯(lián)網(wǎng)通用智能終端與業(yè)務(wù)云平臺(tái)進(jìn)行數(shù)據(jù)交互，一旦接收到的指令，會(huì)導(dǎo)致終端被操控，不能正常工作，甚至造成更嚴(yán)重的危害。因此，物聯(lián)網(wǎng)終端不但需要進(jìn)行認(rèn)證，還應(yīng)在每次消息交互時(shí)，對(duì)消息進(jìn)行數(shù)據(jù)源認(rèn)證。片可以生成公私鑰對(duì)，且私鑰不可導(dǎo)出、不可篡改。物聯(lián)網(wǎng)終端與云平臺(tái)交互關(guān)鍵消息時(shí)，可以使用私鑰對(duì)交互的消息進(jìn)行簽名，使用公鑰11物聯(lián)網(wǎng)片需求和應(yīng)用白皮書對(duì)交互的消息進(jìn)行驗(yàn)簽，以保證消息是由真實(shí)的物聯(lián)網(wǎng)終端或云平臺(tái)發(fā)送，保證數(shù)據(jù)來源安全。4.3.3業(yè)務(wù)傳輸性保護(hù)涉及公共安全或?qū)?jì)民生有影響的物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)，如：消防監(jiān)控、電力、冷鏈、工業(yè)系統(tǒng)、車輛、車聯(lián)網(wǎng)中的物

24、聯(lián)分析等，終端發(fā)送數(shù)據(jù)和業(yè)務(wù)應(yīng)用數(shù)據(jù)如加密，在輸?shù)那闆r下，業(yè)務(wù)數(shù)據(jù)可能被未獲知，會(huì)對(duì)秩序、公共利益甚至國家安全造成損害。業(yè)務(wù)傳輸性可以通過對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密的來保證。物聯(lián)網(wǎng)終端向業(yè)務(wù)平臺(tái)發(fā)送數(shù)據(jù)時(shí)，它對(duì)數(shù)據(jù)進(jìn)行加密，業(yè)務(wù)平臺(tái)接收到數(shù)據(jù)后，對(duì)數(shù)據(jù)進(jìn)行；反之，業(yè)務(wù)平臺(tái)向物聯(lián)網(wǎng)終端下發(fā)指令時(shí)，對(duì)數(shù)據(jù)進(jìn)行加密，物聯(lián)網(wǎng)終端對(duì)數(shù)據(jù)進(jìn)行。片可以產(chǎn)生唯一、不可的隨機(jī)數(shù)、具備安全的密鑰環(huán)境、安全的運(yùn)行環(huán)境和計(jì)算能力，能保證終端加處理過程中密鑰不被非獲取，者不能非獲取到明文數(shù)據(jù)。實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)在終端與業(yè)務(wù)云平臺(tái)間的端到端加密傳輸。4.3.4業(yè)務(wù)傳輸完整性保護(hù)涉及公共利益的物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)，如：環(huán)境監(jiān)測(cè)、智能抄表等，

25、終端發(fā)送的業(yè)務(wù)應(yīng)用數(shù)據(jù)如被篡改，會(huì)對(duì)秩序、公共利益造成損害。如果終端為單能終端，通常軟硬件配置不高，很少具備安全防護(hù)措施。終端大多被部署在室外無人值守的環(huán)境，終端可能被刷機(jī)或物理攻擊。通過配置的片，可提供的密鑰和運(yùn)行環(huán)境，不需額外占用系統(tǒng)資源。片具有防物理能力，可保證在無人值守的情況下的完整性運(yùn)算不被破壞。如果終端是無人機(jī)等通用智能終端，可采用和智能類似的片解決方案，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)在終端與業(yè)務(wù)云平臺(tái)間的端到端完整性傳輸。4.4 數(shù)據(jù)安全需求終端本地?cái)?shù)據(jù)的安全主要終端固件關(guān)鍵數(shù)據(jù)安全。12物聯(lián)網(wǎng)片需求和應(yīng)用白皮書物聯(lián)網(wǎng)終端相比較于智能，通常人機(jī)交互較少，有些甚至是處在無人值守的環(huán)境中，終和系統(tǒng)內(nèi)的

26、關(guān)鍵數(shù)據(jù)更易受到物理和人為破壞。同時(shí)，海量連接的難于實(shí)時(shí)并進(jìn)行及時(shí)的系統(tǒng)修復(fù)和升級(jí)，需要系統(tǒng)自身具備較強(qiáng)的抗能力。在物聯(lián)網(wǎng)的啟動(dòng)過程中，可以利用片內(nèi)置系統(tǒng)的可信根，對(duì)系統(tǒng)的啟動(dòng)過程進(jìn)行逐級(jí)度量和載入，片中的可信根先于系統(tǒng)其他部分啟動(dòng)，并在完成對(duì)系統(tǒng)的可信度量后再將權(quán)交給原系統(tǒng)，確保系統(tǒng)固件未被篡改，保證系統(tǒng)初始狀態(tài)的可信。在物聯(lián)網(wǎng)終端進(jìn)行系統(tǒng)升級(jí)的過程中，利用片的認(rèn)證能力和計(jì)算能力，對(duì)升級(jí)包的來源進(jìn)行認(rèn)證，對(duì)升級(jí)包的內(nèi)容進(jìn)行完整性校驗(yàn)，可以彌補(bǔ)物聯(lián)網(wǎng)終端升級(jí)過程中人為過少或無法進(jìn)行人為帶來的安全風(fēng)險(xiǎn)，避免固件在升級(jí)過程中遭到篡改。在終端內(nèi)，可以將關(guān)鍵數(shù)據(jù)內(nèi)，片提供了加/算法實(shí)現(xiàn)和的安全單元，用

27、戶的關(guān)鍵數(shù)據(jù)和加參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密保護(hù)和，防止數(shù)據(jù)泄露?；蛘呤褂闷械哪K，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密后在終端本地，加密保護(hù)使得數(shù)據(jù)在沒有密鑰的情況下不能被明文，防止對(duì)終端本地?cái)?shù)據(jù)的。5片應(yīng)用建議5.1通信5.1.1通信安全需求隨著移動(dòng)通信市場(chǎng)的日益成熟和發(fā)展，安全問題已成為人們關(guān)注的焦點(diǎn)。在公眾應(yīng)用領(lǐng)域，我國已擁有全球最大的移動(dòng)終端用戶規(guī)模，據(jù)工信部統(tǒng)計(jì)，截至 2018 年 6 月末，我國移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)達(dá)到 13.4 億戶。在行業(yè)應(yīng)用領(lǐng)域，隨著行業(yè)化水平的不斷提高，移動(dòng)辦公、移動(dòng)商務(wù)、移動(dòng)政務(wù)發(fā)展迅速。公眾個(gè)人隱私、商業(yè)、行業(yè)、甚至都在公共移動(dòng)通信網(wǎng)絡(luò)傳輸，對(duì)通信提出了較高的安全需求。13物

28、聯(lián)網(wǎng)片需求和應(yīng)用白皮書5.1.2片在通信的應(yīng)用鑒功能豐富、性能適中、體積小巧和功耗極方面的特點(diǎn)，能夠與移動(dòng)終端進(jìn)行有效的集成，是解決通信安全需求的可行。更重要的是片以硬件形態(tài)提供安全的運(yùn)算和環(huán)境，能夠與移動(dòng)終端的軟硬件環(huán)境做到安全，因此相較于純模塊具有更高的安。在 VoLTE 加密應(yīng)用中，片提供國產(chǎn)算法運(yùn)算、私鑰等資源安全、關(guān)鍵協(xié)議處理，以及隨機(jī)數(shù)生成等安全能力。對(duì)于 AMR 12.2kbps、AMR-WB 23.85kbps 等編解碼速率，對(duì)稱算法處理性能小于 100kbps 的片即可滿足需求。對(duì)于 VoLTE加密應(yīng)用，為了支持 VGA （ 分辨率 640*480dpi ， 幀率 15-30

29、fps ）和 720P （分辨率1280*720dpi，幀率 30fps）的圖像格式，片的對(duì)稱算法處理性能則要提高到數(shù) mbps。在分組數(shù)據(jù)加密應(yīng)用中，片支撐數(shù)據(jù)加密通道的建立，為移動(dòng)辦公、會(huì)議等上層應(yīng)用的數(shù)據(jù)傳輸提供安全保護(hù)。為了適應(yīng)上層應(yīng)用對(duì)速率和時(shí)延等性能的較高要求，這就對(duì)片的對(duì)稱算法處理能力提出了較高要求，對(duì)于會(huì)議、移動(dòng)辦公等高速業(yè)務(wù)，對(duì)稱算法處理性能要求至少為數(shù) mbps。在本地安全應(yīng)用中，片可以提供的空間供用戶數(shù)據(jù)，也可以對(duì)用戶數(shù)據(jù)進(jìn)行加密后于移動(dòng)終端的通用空間。如果提供空間，則根據(jù)具體業(yè)務(wù)需求由片提供數(shù) GB 的空間。如果加密于通用空間，則需要片具備高速的對(duì)稱算法處理性能，考慮到

30、用戶體驗(yàn)，至少需要 10mbps 級(jí)別。作為一種隱形的能力，對(duì)通信用戶來說，不能以降低用戶體驗(yàn)為代價(jià)來提高安，因此在通信領(lǐng)域應(yīng)用片，要盡量減少其對(duì)終端和應(yīng)用的影響。隨著通信應(yīng)用的持續(xù)發(fā)展和業(yè)務(wù)的不斷豐富，對(duì)的需求將不斷提高，這將對(duì)片在算法引擎功能、性能、功耗等方面提出更高的要求。14物聯(lián)網(wǎng)片需求和應(yīng)用白皮書5.2 車聯(lián)網(wǎng)通信5.2.1車聯(lián)網(wǎng)通信安全需求車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、和車載移動(dòng)互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn)，在車與車（V2V）、車與路邊設(shè)施（V2I）、車與行人（V2P）以及車與網(wǎng)絡(luò)（V2N）之間進(jìn)行無線通信和與共享的網(wǎng)絡(luò)系統(tǒng)。它通過人網(wǎng)之間的實(shí)時(shí)感知與協(xié)同來實(shí)現(xiàn)智能交通管理、

31、智能動(dòng)態(tài)服務(wù)和智能車輛的，向用戶提供道路安全、交通效率提升和娛樂等各類服務(wù)，滿足人們交通消費(fèi)的需要?；?PC5 接口進(jìn)行直連通信是車聯(lián)網(wǎng)典型的業(yè)務(wù)特征。在此場(chǎng)景下，車聯(lián)網(wǎng)終端在工信部規(guī)劃的 59055925 MHz 以及未來新增的工作頻段上通過直通鏈路進(jìn)行短距離交換，滿足提高交通效率及道路交通安全、自動(dòng)化駕駛等 V2V/I/P 車聯(lián)網(wǎng)業(yè)務(wù)的需要。直連通信采用廣播方式進(jìn)行，在沒有安全保護(hù)的情況下，車聯(lián)網(wǎng)系統(tǒng)著虛假、假冒終端、篡改/重放、隱私泄露的安全風(fēng)險(xiǎn)，需要采取學(xué)來實(shí)現(xiàn)對(duì)終端、消息源、消息性、完整性等方面的保護(hù)。車聯(lián)網(wǎng)業(yè)務(wù)中有關(guān)駕駛安全類業(yè)務(wù)的主要特征是低時(shí)延、高可靠。在時(shí)延需求上，輔助駕駛

32、階段要求20100ms，而自動(dòng)駕駛階段要求時(shí)延可低至 3ms。這對(duì)終端的安全實(shí)現(xiàn)提出了較高的要求。5.2.2片在車聯(lián)網(wǎng)通信的應(yīng)用片功能豐富、不占用額外系統(tǒng)資源，是滿足車聯(lián)網(wǎng)安全需求的有效。更重要的是片以硬件形態(tài)提供安全的運(yùn)算和環(huán)境，能夠與車聯(lián)網(wǎng)終的軟硬件環(huán)境做到安全，具有更高的安全性。在車聯(lián)網(wǎng)應(yīng)用中，片提供國產(chǎn)算法運(yùn)算、私鑰等密碼資源安全、關(guān)鍵協(xié)議處理，以及隨機(jī)數(shù)生成等安全功能。對(duì)于 I2V業(yè)務(wù)應(yīng)用每秒10 次的發(fā)送速率，車載終端非對(duì)稱算法處理性能達(dá)到每秒 10 次的片即可滿足要求。對(duì)于 V2V 應(yīng)用，考慮車的快速移動(dòng)性和實(shí)時(shí)響應(yīng)的需求，片的非對(duì)稱算法處理性能需達(dá)到每秒數(shù)千次。15物聯(lián)網(wǎng)片需求

33、和應(yīng)用白皮書在本地安全應(yīng)用中，片可以提供的空間供用戶關(guān)鍵數(shù)據(jù)，如：的安全等。由于大小通常可在數(shù)百字節(jié)，因此支持?jǐn)?shù) GB空間的片能滿足這方面的安全需求。是車聯(lián)網(wǎng)業(yè)務(wù)發(fā)展的重要保障，對(duì)于車聯(lián)網(wǎng)系統(tǒng)及應(yīng)用而言，需要兼顧低時(shí)延、高可靠的業(yè)務(wù)處理特點(diǎn)和車聯(lián)網(wǎng)系統(tǒng)的安，因此在車聯(lián)網(wǎng)領(lǐng)域應(yīng)用片，其處理性能需要滿足車聯(lián)網(wǎng)系統(tǒng)的整體業(yè)務(wù)性能要求。隨著車聯(lián)網(wǎng)業(yè)務(wù)的深入開展和不斷豐富，還會(huì)對(duì)安全保障提出要求，這需要對(duì)片在算法引擎功能、性能、功耗等方面的不斷提高，以保障未來車聯(lián)網(wǎng)業(yè)務(wù)的順利開展。5.3 智能家電智能家電主要應(yīng)用智能、傳感器、RFID、網(wǎng)絡(luò)通信和大數(shù)據(jù)云平臺(tái)等技術(shù)，使家用電器從傳統(tǒng)的機(jī)械式變成智能。智能

34、家電聯(lián)網(wǎng)的主流通信：WiFi、Zigbee、藍(lán)牙，NB-IOT，LoRa 等。智能家電和人們的生活關(guān)，聯(lián)網(wǎng)后一旦出現(xiàn)被、被，被劫持等安全問題，會(huì)造成個(gè)人財(cái)產(chǎn)損失，嚴(yán)重的可能危及到家庭和人身安全。智能家電除了考慮聯(lián)網(wǎng)后自身的安全，還需考慮遵守國內(nèi)外相關(guān)的數(shù)據(jù)規(guī)，保護(hù)個(gè)人隱私。如：歐盟出臺(tái)的數(shù)據(jù)保護(hù)條例2（ General DataRegulation，GDPR）和我國的網(wǎng)絡(luò)安全法1。在 GDPR 中，要求?？紤]個(gè)人數(shù)據(jù)的化和加密，確保處理系統(tǒng)和服務(wù)的性、完整性、可用性和可恢復(fù)性。我國的網(wǎng)絡(luò)安全法1強(qiáng)調(diào)了網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)服務(wù)提供者需合法的搜集和使用個(gè)人，并且是個(gè)人保護(hù)的責(zé)任主體。目前，主流家電廠家已使用或正在考慮使用片來保障智能家電的使用安全。隨著 GDPR 的出臺(tái)，出口的智能家電短期內(nèi)有望將片作為標(biāo)配。在國內(nèi)市場(chǎng)，隨著個(gè)人保律框架和的逐步形成，家電行業(yè)對(duì)的重視程度逐漸提高，對(duì)智能家電的安全保護(hù)措施也會(huì)愈加完善。使用片進(jìn)行認(rèn)證和傳輸加密是片在智能家電領(lǐng)域的主要應(yīng)用方式。在智能家里領(lǐng)域應(yīng)用的片，需具備真隨機(jī)數(shù)發(fā)生能16物