物联网信息安全项目报告
发布日期:2012-02-07
物联网信息安全项目报告
互联网已经覆盖了世界的各个角落,已经深入到世界各国的经济、政治与社会生活,已经改变了几十亿网民的生活方式和工作方式。通过互联网实现对世界范围内的物流信息的快速、准确识别与全程跟踪,这种技术就是物联网技术。
目前,物联网技术亟待解决的问题在于安全性,经过针对市场及客户对安全问题要求的分析,本集团通过与海外公司的技术合作和自己的技术开发,目前已拥有自己知识产权的“艾普网络安全系统”。该系统用到的专利技术及系统中的软件著作权正在准备和申报中。在该系统中,艾普网络已开发了自己的品牌:代表用户身份及授权的“艾普一卡通”。这是基于RFID+IC的智能卡。对物联网用户,这种卡可以为不同物联网系统的用户进行个性化。另一个产品是“艾普读卡器”。该产品和“艾普一卡通”一起构成了用于用户身份认证及授权处理的安全用户端。已经在很大程度上解决了安全性的问题。
本公司创立于2000年4月,艾普网络是目前中国最大的民营宽带服务提供商。公司网络的核心业务是基于IP宽带城域网,为企业和住宅用户提供高速光纤上网服务。目前公司网络已经从成都扩展到武汉,长沙,重庆,昆明,广州并获取工信部颁发的10余个中心城市的ISP驻地网许可证。截止目前,在线用户已经超过70W,覆盖约450万户。成都地区每天可提供的流量超过1000万,每天可进行百万级以上的IP投放(内网)。
本公司主要从事互联网接入服务、网络工程设计建设、网络增值服务、网络设备研发生产等业务。本公司是民营企业中唯一获准在四川全省十四个城市及重庆市等地建设经营宽带网络的企业。公司目前具有在成都、重庆、武汉、西安、郑州、长沙、南京、广州、南宁、昆明、贵阳等21个大中城市从事互联网接入服务的资质。
2005年11月,国际电信联盟(ITU)发布了《ITU 互联网报告2005:物联网》报告,正式提出了物联网概念。
物联网是指把物品通过条码标签、射频识别(RFID)装置、传感器、无线通信技术、数据传输网络等信息感知、监测、传输设备与互联网结合起来而形成的网络生态体系,构造一个覆盖世界上万事万物的“Internet of Things”。能够实现人类社会与物理系统的“智能”整合,它被认为是继计算机和互联网之后的“第三次IT浪潮”。
在技术领域,随着微电子技术、智能计算技术、新一代互联网技术以及移动通讯技术的快速发展和相互融合,使得物联网技术日趋成熟,以“物物智能互联”为核心的时代即将到来。物联网产业具有核心技术强、产业链条长、带动系数大、综合效益好等特点,有望成为下一个突破万亿规模的新兴产业。
目前,物联网经济已成为新一轮全球经济发展的战略焦点。“后金融危机时代”新一轮全球经济发展迫切需要新的驱动力,世界各国纷纷寄希望于技术革命实现全球经济发展再平衡。
为迎接物联网经济时代的来临,把握国家战略性新兴产业培育的有利时机,国家工信部将物联网产业作为促进工业经济转型升级,实现工业化与信息化“两化融合”,加速提升社会信息化水平的重要手段。国家工信部牵头成立全国推进物联网的部际领导协调小组,出台支持产业发展的一系列政策,加快物联网产业化进程。
我国已明确提出要着力突破传感网、物联网关键技术,及早部署后IP时代相关技术研发,使信息网络产业成为推动产业升级、迈向信息社会的“发动机”,并先后启动联网技术研究、标准制定、示范项目建设等方面工作。目前,上海、江苏、无锡、深圳等地正积极开展物联网发展战略研究,产业发展规划和产业扶持政策制定,物联网产业正逐步成为各地战略性新兴产业发展的重要领域。
本项目通过对数据的身份认证和授权,形成一套强大的安全体系。支持物联网的技术和产品在数字医疗、智能电网、智能交通、智能社区、环境保护、公共安全、智能物流、工业监测、智能支付等多个领域应用系统过程提供的数据安全方面的解决方案。
项目正是本致力智慧城市建设的需要,是本实现物联网技术应用,解决城市物联网示范应用的数据保密方面的解决方案,并成为打造智能城市、成为中国领先的智能化整体解决方案供应商发展目标的必要中间设备。同时,还可以大幅提升项目建设单位的核心优势和在物联网技术应用领域的影响力和竞争力。
目前,本集团正在和澳大利亚慧源集团合作开发互联网及物联网的安全解决方案。澳大利亚慧源集团是在澳大利亚正式注册的高科技公司。该公司主要以网络应用技术及网络安全系统的研发为主。公司拥有大量的经验丰富的工程技术人员,其中包括两名博士,三名优秀程序员,及多名研发技术人员。曾经开发过的产品包括:银行电子付系统,车辆RFID及自动管理系统,加油站全自动控制系统,互联网网络安全系统,股票交易结算系统,知识管理系统等大型软硬件计算机系统。
本集团结合自身在互联网及物联网方面的技术及网络优势,积极引进海外最新技术,并结合国内的物联网现有技术,正在致力于打造适合中国国情的实用安全有效的物联网安全解决方案。目前已拥有一定规模的安全解决方案的产品及系统。
在物联网中,射频识别技术作为重要的技术。在射频识别系统中,标签有可能预先被嵌入任何物品中,比如人们的日常生活物品中,但由于该物品(比如衣物)的拥有者,不一定能够觉察该物品预先已嵌入有电子标签以及自身可能不受控制地被扫描、定位和追踪,这势必会使个人的隐私问题受到侵犯。
因此,如何确保标签物的拥有者个人隐私不受侵犯便成为射频识别技术以至物联网推广的关键问题。而且,这不仅仅是一个技术问题,还涉及到政治和法律问题。这个问题必须引起高度重视并从技术上和法律上予以解决。造成侵犯个人隐私问题的关键在于射频识别标签的基本功能:任意一个标签的标识(ID)或识别码都能在远程被任意的扫描,且标签自动地,不加区别地回应阅读器的指令并将其所存储的信息传输给阅读器。
这一特性可用来追踪和定位某个特定用户或物品,从而获得相关的隐私信息。这就带来了如何确保嵌入有标签的物品的持有者个人隐私不受侵犯的问题。
物联网及其安全性
物联网是将各种信息传感设备,如射频识别装置、无线感应器,红外感应器、全球定位系统、激光扫描器等装置与互联网结合起来而形成的一个巨大网络。它是指各类传感器和现有的互联网相互衔接的一项新技术从而实现物与物,物与人,及人与人之间的互联。物联网的三个特征包括全面感知,可靠传递及智能处理。物联网可应用的领域是很广泛的。
由于物联网涵盖的面非常广,并因其异构网络的复杂性,系统安全性一方面要从整体上来考虑,即设计整个系统的安全规范;另一方面,必须对每个环节进行安全性设计。对物品标示及感知,必须考虑其物品信息的安全性。对网络传送,必须考虑网络的信息安全保护。在应用层面,物联网的所有数据必须按授权进行对数据的保护。同时对其用户进行身份认证。只有经过身份确认的合法用户才能对网联网上的资源进行操作,并且只能对其授权的资源进行操作。对所有合法授权之外的资源必须进行严格保护。
从现有的基于互联网的物联网结构体系看,物联网结构大致由这几部分构成:
(1)用于收集数据的感知设备,如RFID,无线传感器等(感知设备);
(2)用于控制物件的控制设备(控制设备);
(3)感知数据发送至数据中心及控制命令发送至控制终端的传输过程(双向传输);
(4)数据中心的数据处理(数据及控制命令的处理);
(5)用户通过用户界面连接到数据中心(双向传输);
(6)用户物件监测界面(监测);
(7)用户物件控制界面(控制)。
在这个结构体系中,每一个环节都必须有安全保障措施。由于物联网是互联网的拓展与扩充。为防止网络黑客对物联网系统的进攻,我们必须对物联网用户进行认证和甄别。可以说,因为人是所有安全问题的主要因素,所以解决了物联网上用户的身份认证问题也就解决了物联网上的大部分问题。这就是我们把重点放在解决物联网安全性的出发点。
考虑到物联网系统的安全的复杂性,我们很难对整个物联网体系进行全面的安全保护。在此我们提出一套切实可行的安全解决方案,只对物联网上的用户认证及授权进行管理。使合法的用户能对其授权的物联网资源进行合法地操作。
项目产品方案说明
本集团的物联网安全解决方案主要包括两方面的功能:合法用户的身份认证;和物联网资源分配及授权。身份认证主要用于验证物联网用户的身份。只有经过身份认证的合法用户才有资格使用物联网资源。这主要是为了防止资源在互联网上被滥用。物联网资源分配及授权主要对物联网上的物件资源进行分配。对合法的用户进行资源分配与授权。即使是合法用户也只能对其授权的资源进行操作。系统必须阻止那些非法用户及对资源没有授权的用户。
为了完成这两方面的功能,系统将由五大部分构成:
(1)代表用户身份及授权的智能卡;
(2)读取智能卡数据的读卡器;
(3)用户端智能身份验证中间件及用户授权中间件;
(4)数据中心智能身份管理中间件及用户授权管理中间件;
(5)数据中心数据安全设备。
以下对这五大部分进行详细描述。
用户身份认证方案说明
无论物联网采用的是全开放的互联网即外网,还是封闭的内网或专网,对用户进行身份认证是整个物联网系统最基本的要求。只有那些经过正式授权的用户才能对物联网上的资源进行操作。并把那些没有授权的用户挡在门外。一旦物联网资源被滥用,将会给国家,企业或个人造成经济损失并可能危及地方和国家安全。
用户身份认证是为了验证其为合法用户。用户的身份数据必须事先录入系统数据库。只有当用户的数据发送到身份验证中心后,由身份验证中心在数据库中查询该用户数据。当找到其记录后并对其身份特征进行验证,如密码,生物特征,其他指定特征等。只有所有要求验证都通过后,该用户才能被证明为系统的合法用户。对不能验证的特征,系统必须拒绝该用户,并在系统中记录其登录的行为。作为系统审查及防止系统被攻击的依据。
当物联网系统的安全性要求很高时,应对其用户采用多维的身份认证。例如,用密码,指纹,智能身份卡等多因子的组合。对不同的物联网系统,我们应该指定不同的安全级别。
用户授权方案说明
在物联网上,只有经过身份认证的用户才能进入系统。同时,合法用户也只能对其授权的资源才能进行操作。用户通常被授予不同的角色。每个角色可对系统中的资源进行指定的操作。所以每个角色的授权是整个物联网系统可操作行为的子集。
对通常意义上的物联网系统资源,一般的操作包括对系统资源的读取,编辑,修改,统计,检测,监督,及控制等。用户的授权包括对所有系统资源的所有操作进行分配。同时对非允许的操作进行保护。
系统构成
本集团经过与海外公司的技术合作和自己的技术开发,目前已拥有自己知识产权的“本网络安全系统”。该系统用到的专利技术及系统中的软件著作权正在准备和申报中。在该系统中,本集团已开发了自己的品牌:代表用户身份及授权的“本一卡通”。这是基于RFID+IC的智能卡。对物联网用户,这种卡可以为不同物联网系统的用户进行个性化。
另一个产品是“本读卡器”。该产品和“本一卡通”一起构成了用于用户身份认证及授权处理的安全用户端。
代表用户身份及授权的智能卡为经过用户个性化处理的智能卡。用户的特征数据保存在卡上。这些特征数据会发往数据中心校验。所有用户必须经过数据中心的校验。系统不允许本地身份校验。所有用户数据由智能卡进行加密。并由数据中心的安全设备进行解密及验证。用户的授权数据也存在智能卡上,并和该用户的身份进行绑定。授权只对该用户有效。个性化后的智能卡为只读智能卡。
读取智能卡数据的读卡器用来从智能卡上读取用户的身份数据及授权数据。并把数据发往在终端的用户端智能身份验证中间件及用户授权中间件。 该读卡器只允许从职能卡上读数据的功能,不允许写数据到职能卡。
用户端智能身份验证中间件负责从智能卡上获取用户的加密的身份数据,并把数据发往数据中心。当用户身份获得认证后,该中间件会发通知给用户端。因而用户端会知道该用户已获得身份认证。用户端智能身份验证中间件具有自我检测功能。在数据中心的帮助下,可对自己的版本进行验证,以确保自己没有被修改。用户授权中间件负责从智能卡上读取授权数据。所有的授权数据必须由用户端智能身份验证中间件发指令激活。所以只有经过身份认证的用户才能使用这些授权。被激活的授权数据必须发到数据中心验证。
数据中心智能身份管理中间件负责处理用户端智能身份验证中间件的信息。用户信息则由数据中心数据安全设备解密。用户身份数据由该中间件验证。验证结果(包括身份验证成功或失败)发往用户端智能身份验证中间件。数据中心用户授权管理中间件负责处理由用户端用户授权中间件发来的信息。所有授权数据随同用户身份数据由该中间件验证。验证结果(包括授权验证成功或失败)发往用户端用户授权中间件。
数据中心数据安全设备负责用户数据的解密。该设备存储所有智能卡的密钥。可对所有的智能卡进行验证。如果智能卡被盗或被破坏,该设备应对该智能卡进行吊销。
所有的智能卡由本集团发卡中心管理。发卡中心负责对智能卡进行个性化处理。用户数据及授权数据由该中心管理。发卡中心用专用的制卡设备在制卡生产线上制作智能卡。
对于那些安全要求很高的行业及企业,我们正在和澳大利亚慧源集团合作研发基于硬件加密的网络安全设备。我们将采用多维身份认证的安全措施。其安全程度远远大于现在流行的安全解决方案。到时会引入到这些高度安全的行业及对安全要求比较高的企业或个人使用。我们深信互联网及物联网的安全性将会是近期及将来人们关心的重点。这种具有前瞻性的产品将会是今后网络安全解决方案的核心产品。到时,本集团作为在这方面的龙头企业,将会具有极强的竞争力。这将会产生极大的经济效益和社会效益。这对双流物联网开发区在互联网及物联网的安全方面的建设起到极大的促进作用。
物联网项目产品市场应用领域说明
在以上的系统构成中,读卡器,空的智能卡及数据安全设备将根据市场需要,全部由本网络自行投资,或与产业领域内领先企业合作投资项目。其他的中间件则由我们自主开发。本集团负责把这些中间件发到物联网用户中。
作为物联网身份认证及授权系统供应商,我们为各物联网体系提供安全解决方案。收费模式则按照用户的数量进行收费。对系统的使用收取年维护费。对发放的读卡器及智能卡收取费用。因此,需要储仓存储读卡器及智能卡。
我们会购买一套智能卡制卡设备生产线大规模的生产物联网用户卡。所有的智能卡由制卡设备进行个性化处理。然后发放给系统用户。由于艾普网络已有大量的现成用户,我们可以在我们的用户中试点。成功后推向其他智能医疗、智能交通、城市安全等“智慧城市”相关的物联网行业,并为其他的物联网行业提供安全解决方案。
在互联网行业,由于采用开放式结构设计,互联网的安全性是极为重要的。物联网作为互联网的扩展及延伸,其安全性变得更为重要。为此我们设计了这套物联网的用户身份认证与授权系统,以期解决物联网的安全问题。
艾普经营成果
公司从2008年至2010年 主营业销售收入情况(单位:万元):
公司从2008年至2010年利润情况(单位:万元)
公司从2008年至2010年缴税情况(单位:万元)
持续改进措施
针对目前物联网的推广程度较低,社会认知度和认可度不足的问题,公司正在筹建物联网中心进行推广,以期获得社会更多的关注和接受。
物联网中心项目计划设立在成都(双流)物联网技术孵化及产业化基地,基地拥有充足的人才资源、技术资源、技术平台、配套产业集群、良好的政策支持,及以双流为核心的“智慧双流”良好的典型示范效应,确保了本项目在物联网技术应用的市场领域中的市场竞争中具备较强的优势和广阔的市场空间。
