《IFAA物联网身份认证白皮书》正式发布

2018/09/19 13:47

9月13日,互联网金融身份认证联盟(以下简称“IFAA”)2018年度大会“从F到∞,重新定义IFAA”在北京召开,在本次大会上,IFAA对外发布了三年来的“成绩单”,并展望了联盟未来的发展。

作为一个联盟机构,IFAA擅长于产业协调与标准制定。随着物联网时代的到来,缺乏统一标准、碎片化严重等问题将会困扰相关产业的发展。对此,IFAA也将拓展物联网应用前景,并在大会中发布了《IFAA物联网身份认证白皮书》。

《白皮书》主要起草单位有: 银行卡检测中心(BCTC)、浙江蚂蚁小微金融服务集团股份有限公司、安谋科技(中国)有限公司(ARM CHINA)、上海交通大学、深圳市汇顶科技股份有限公司、飞天诚信科技股份有限公司、北京握奇数据股份有限公司、上海聚虹光电科技有限公司、北京一砂信息技术有限公司。

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

目录

摘 要

第1章 背景

1.1 物联网概述

1.2 物联网身份认证

1.3 物联网身份认证产业链分析

1.4  IFAA在物联网身份认证领域的定位

第2章 物联网身份认证的安全挑战与威胁

2.1 安全挑战

2.2 安全威胁

第3章 物联网身份认证框架

3.1 整体框架

3.2 对物联网设备的可信身份认证和管理

3.3 对物联网用户的可信身份认证和管理

第4章 物联网身份认证安全需求

4.1 概述

4.2 设备安全

4.3 访问控制管理

4.4 数据保护

4.5 新技术的探索

第5章 下一步工作

摘 要

物联网技术和应用目前处于快速发展和落地的阶段,它与人工智能、区块链等新技术的结合,未来将巨大地改变人类社会形态以及人们的生活。不过,物联网产业链较长,应用场景和接入设备类型复杂且多样,碎片化较为严重,还存在着较大的安全风险,亟需产业合力解决。

可信的身份认证是确保物联网行业应用快速、健康发展的基础。然而当前物联网身份认证领域的标准尚不完善。为解决这一问题,互联网金融身份认证联盟(IFAA)基于互联网金融身份认证领域中的经验和积累,将相关技术拓展至物联网身份认证领域,并主要关注以用户为中心的身份认证场景,包括用户与物联网设备直接交互进行身份认证的场景,及用户通过物联网控制设备(如移动终端等)与其他物联网设备进行身份认证的场景。

在本白皮书中,IFAA侧重梳理了物联网身份认证面临的安全挑战与威胁,包括基于身份伪造的攻击、基于窃听的攻击、基于数据操控的攻击,服务可用性攻击等等。基于这些梳理和分析,IFAA提出了物联网身份认证整体框架,包括物联网设备的可信身份认证和管理,以及对物联网用户的可信身份认证和管理,并具体分析了物联网身份认证的安全需求,为下一步的标准化工作奠定了基础。

移动支付的兴起推动了基于移动终端的身份认证需求的爆发及新型身份认证技术(如生物特征识别)的快速发展,IFAA生态合作伙伴一起推动了指纹和安全3D人脸识别技术标准的建设和落地。从移动互联网到物联网,网络连接为人们带来更多服务的同时,也对身份认证提出了更高的要求。IFAA初心不改,会继续通过产业联盟运作的方式推动创新和行业资源整合,在物联网时代为用户提供安全与便捷的身份认证技术,为生态合作伙伴降低对接成本,提升行业效率。

第 1章 背景

1.1 物联网概述

物联网(Internet of Things, IoT),是指将物、人、系统、信息资源与智能服务连接起来的基础设施,即通过传感设备按约定的协议把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、控制、监控和管理的一种网络。物联网被誉为是继计算机、互联网之后信息产业的又一次科技浪潮。

物联网技术将人们身边常见的物品智能化后连接到互联网,将设备通过感知层收集到的信息数字化后汇总呈现,提供了更加智能便捷的远程操纵设备的能力。Statista预测,全球物联网的市场规模将从2014年的2.99万亿美元增长到2020年的8.99万亿美元,年复合增长率高达19.92%。可见,物联网技术目前正处于高速发展阶段,未来其与智能驾驶、人工智能、区块链等新技术的结合,将会不断创新和涌现出新的商业模式和新的产品及解决方案,物联网技术将无处不在地影响着人们的生活。

值得注意的是,目前物联网的发展还面临着市场碎片化、产业标准不统一、安全考虑不完善等多种挑战。尤其是安全方面,相比于互联网,物联网应用将更加深入到人们的物理世界生活中,一旦出现安全事件,甚至有可能直接危害到用户的人身安全。因此,安全问题已经成为物联网发展过程中不容忽视的重要环节。

近年来,物联网领域爆发出了一系列安全事件,比如:

● 2014年7月, 360网络攻防实验室安全研究人员发现特斯拉Tesla Model S型汽车应用程序存在设计漏洞,该漏洞使攻击者可远程控制车辆,包括执行车辆开锁、鸣笛、闪灯以及车辆行驶中开启天窗等操作,有可能影响驾驶员从而造成严重危害。

● 2016年10月,黑客利用了约150万台物联网设备组成的“僵尸网络”,针对美国的互联网公司开展了一场超大规模的DDoS攻击,造成了包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等热门网站均无法登陆。

● 2017年10月,Check Point研究人员发现LG智能家居设备存在漏洞,黑客可以利用该漏洞完全控制一个用户账户,然后远程劫持LG SmartThing家用电器,包括冰箱、干衣机、洗碗机、微波炉以及吸尘机器人等,有可能对用户的日常生活产生危害。

上述事件中,攻击者或通过漏洞绕过物联网设备的操作权限控制机制,或通过监听信道窃取用户的敏感信息并通过盗用、伪造使用者/管理者的身份对物联网设备执行非法操作,对用户的人身、财产安全和隐私安全造成了极大的威胁。

可见,在物联网时代,如何构建完善的认证和身份管理解决方案,实现对设备以及使用者的可信认证,确保使用者只能在其授权范围内对资源进行访问和使用,从而为实现安全、可靠的物联网解决方案打下基础,是值得关注并亟需解决的问题。

1.2 物联网身份认证

对物联网身份认证安全需求的洞察,必须建立在对未来的物联网应用和服务洞察的基础之上。可以想象,未来人们会拥有大量的物联网个人专有设备,个人专有设备包含了智能家居、穿戴设备以及智能汽车等场景中的设备,其所有权归消费者个人,提供的服务与用户的私人生活紧密相连,涉及的安全风险包括财产安全、生命安全和隐私安全等,接下来将结合具体场景简要分析。

在智能家居场景中,智能门锁、智能摄像头等设备都存在很强的身份认证安全需求,涉及用户在绑定设备、使用设备和解绑设备等等各个生命周期的环节里。目前对这些设备的各种操作通常都是基于设备厂商提供的账户体系服务(譬如通过手机APP登陆后在云端身份认证后获得操作权限),由于用户名/口令这种身份认证手段自身局限性,加上智能家居设备厂商的多样性以及各设备厂商的安全能力参差不齐,这些场景中的身份认证过程存在着一定的安全隐患。

插图:

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

在穿戴设备的场景中,设备本身会逐渐成为用户数字身份的载体,在用户与其他物联网设备进行交互获取服务时作为一种身份认证因子。此外,穿戴设备会逐渐演化成人体生理指标监控设备,其数据可以用于远程医疗或者健康保险,在数据的隐私保护以及使用授权方面,迫切需要新型的数据保护方式和基于身份认证的授权方式,使得用户可以放心和方便地授权其他机构或他人在授权边界内访问自己的数据,例如一旦超过有效期,对方便不能访问,如果对方私自存储数据,甚至会触发报警。

在智能商业场景,物联网设备包括企业出于经营目的在经营场所布置的设备,以及通过租赁的方式临时授予用户使用权的设备。前者包括酒店、商场、餐厅等场景中的各种智能设备,用于提升效率或提供个性化服务,后者包括共享单车、共享汽车以及行业自动化设备租赁等场景中的设备。在前者的应用场景中,身份认证安全需求会出现在一些垂直领域,如酒店的自助入住办理设备,又如民宿、短租行业中商用智能门锁设备。在后者的应用场景中,由于涉及设备控制权的临时转移,身份认证是设备进行交付使用的重要前提,特别是针对某些存在一定危险性的机械设备(如挖掘机、农药播洒无人机)的应用等。

本白皮书中对物联网领域中的身份认证与管理的理解如下: 基于可信的身份确认过程,实现对物联网设备的可信认证以及对于操作者身份的可信确认,从而确定该用户对物联网资源是否具有相应的访问和使用权限,进而使物联网系统的访问控制策略能够可靠、有效的执行 。物联网系统的访问控制策略可应用于用户与设备、设备与设备、设备与系统 /服务间的访问环节。在身份认证过程中,还可以进一步确定双方数据交互的安全防护手段,从而确保设备和系统能够安全、有效地运行,防止攻击者非法窃听、篡改交互过程中产生的数据并进一步假冒合法用户身份获得设备的操作权限,从而保证系统和数据的安全以及合法用户的利益。

1.3 物联网身份认证产业链分析

1.3.1 产业链构成

物联网身份认证产业链较长,涉及到的利益相关者众多。总体来看,可按照安全保障、技术支撑、服务运营和服务对象四个层次进行区分,如图1所示。

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

图 1 物联网身份认证产业链构成

1.3.2 产业链主体说明

从技术支撑层来看,产业链上基础的参与主体是硬件提供商和软件提供商。其中,硬件提供商具体可细分为通讯模组厂商、芯片厂商、传感器厂商、生物特征识别模组厂商(如指纹识别模组、虹膜识别模组等)、物联网硬件载体厂商、网关设备厂商等,软件提供商具体可细分为物联网应用开发商(可提供常规应用软件和可信环境中的可信应用等开发)、系统软件开发商(可提供物联网设备系统软件、可信管理平台、可信操作系统、身份认证服务系统平台等开发)、生物特征识别算法厂商(可提供识别算法、呈现攻击检测算法等开发),嵌入式软件开发商(可提供芯片嵌入式系统和嵌入式安全应用等开发)。

基于硬件提供商和软件提供商提供的产品,物联网设备厂商可提供完整的物联网设备(含移动智能终端、智能音箱等控制设备);物联网应用解决方案提供商可根据应用方需要提供完整的物联网应用解决方案;身份认证服务解决方案提供商可提供完整的身份认证解决方案。伴随着目前业务平台云端迁移的趋势,也会存在云服务提供商提供物联网应用及身份认证服务器的云端系统托管服务等。此外,还存在标准组织对相关的软硬件功能及安全要求、通讯协议、互联接口等进行标准化以促进整个产业链的互联互通并降低协作成本。

服务运营层主要包括与物联网身份认证相关的运营主体,包括依赖于身份认证服务为用户提供具体物联网应用服务的物联网应用服务运营方,提供可信身份认证管理服务的身份认证服务运营方,以及提供网络服务的网络服务运营方。

此外,产业链中还包括CA认证中心、检测机构、认证机构等安全保障相关参与主体,以及个人用户、企业用户等具体的物联网服务对象。

1.4  IFAA在物联网身份认证领域的定位

IFAA自成立以来,就致力于通过连接移动互联网应用、芯片、传感器、手机终端、安全解决方案商以及研究和测评机构等互联网金融身份认证产业链中的上下游行业,解决产业链长、碎片化、标准缺失或不统一带来的效率和成本问题,并通过安全生态合作伙伴齐心协力共同推动新型身份认证手段的创新和落地,解决用户安全和体验的平衡问题。目前IFAA身份认证标准已经覆盖了超过14亿的手机终端设备,支持的手机型号近380款。

物联网领域同样存在身份认证产业链长和标准缺失等问题,且相对于移动互联网,物联网领域场景和接入设备更加多样和复杂,碎片化的问题也更加突出。而且如前所述,在物联网领域中如果出现了较为严重的安全事件,甚至可能危及到用户的人身安全。 因此, IFAA将继续致力于联合物联网产业链上下游企业,共同梳理物联网身份认证的典型应用场景和安全需求,并讨论制定合理、统一、便捷、安全的物联网身份认证技术标准以及落地实施方案,明确产业中所涉及到的各参与方的产品定位、产品功能要求和安全要求等,同时,致力于推动构建完善的产业生态圈,通过产业链上各参与方的合作互补,探寻合作空间及盈利模式,进而促进行业应用协作,降低产业发展边际成本,加快产业发展速度,最终形成覆盖物联网身份认证产业全链条的整体技术及安全解决方案。

第 2章 物联网身份认证的安全挑战与威胁

2.1 安全挑战

物联网技术中融合了互联网、移动互联网、无线通信网络以及各种无线传感网络技术等,复杂的结构和丰富的应用场景使物联网安全面临比传统网络安全更为严峻的安全挑战,例如:传统网络中的安全威胁,如数据窃听/篡改/伪造、拒绝服务攻击、中间人攻击和其他常见的互联网攻击形式,在物联网中仍然存在;传统网络中已经解决的一些安全问题在物联网的特殊场景下复用传统安全技术已无法很好的解决,如DNS不认证请求者,在物联网中它会导致设备隐私泄露;最重要的是,物联网与传统网络无论在终端类型、网络通道的复杂性,还是与用户的交互模式上都存在明显的差别,传统的互联网安全架构在面对这些差异性时已力不从心。

具体到身份认证问题上,物联网所面临的挑战也较传统网络更大。首先,物联网设备作为身份认证所需的终端侧信任锚点,其本身的完整性和可靠性会影响身份认证的真实性。而物联网设备本身的完整性和可靠性面临很多挑战:

● 很多物联网设备分布在户外且无人值守,容易遭受物理破坏、篡改、仿冒和信息窃取。

● 物联网设备市场碎片化严重,缺乏统一的准入标准,存在安全隐患,例如,不可信的第三方库可能存在漏洞或者后门,导致信息泄露或被恶意控制。

● 设备更新升级困难,无法及时修补安全漏洞,攻击者可利用设备安全漏洞获得节点的身份和口令信息,假冒身份与其他节点进行通信。

● 考虑到成本问题,很多物联网设备资源和计算能力受限,一些传统的病毒防护手段和资源需求较高的安全技术可能无法应用。

● 很多物联网设备靠电池供电,攻击者可能向这些设备发送无用的信息和指令,耗尽电量,使其无法继续工作。

● RFID标签和二维码等的嵌入,可能会使物联网接入的用户被扫描、定位和追踪。

其次,物联网的网络信道远比传统网络复杂,安全机制往往不像传统互联网和移动互联网那么完备,容易导致与用户认证相关的敏感信息泄露:

● 攻击者可能对传感网络中传输的数据和信令进行拦截、篡改、伪造、重放,从而获取用户敏感信息或者导致信息传输错误。

● 移动通信网络的伪基站、 WLAN网络的假冒热点都会导致用户认证信息的泄露,对物联网无人值守终端而言,危害巨大且难以侦测和避免。

● 有些物联网通信设备的传输数据量小并且性能不足,一般不采用复杂的加密算法进行保护,可能导致数据在传输的过程中被窃听或伪造。

● 物联网的承载网络是一个多网络叠加的开放性网络,网络层中的网络通信协议很多,当数据从一个网络传递到另一个网络时会涉及到身份认证、密钥协商、数据机密性与完整性保护的转换等诸多问题,转换环节越多,出现安全风险的概率就越高。

最后,物联网的应用服务器上所保存和处理的身份认证信息也面临着数据保密性、完整性和可用性遭受侵害的威胁。

2.2 安全威胁

如图2所示,物联网身份认证目前主要面临五类安全攻击的威胁:基于身份伪造的攻击,基于窃听的攻击,基于身份伪造和窃听的组合攻击,基于数据操控的攻击以及服务可用性攻击。

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

图 2 物联网身份认证面临的主要安全威胁

2.2.1 基于身份伪造的攻击

具体包括:

● 当身份认证涉及用户、用户服务器和第三方服务器,攻击者冒充合法第三方服务器去访问用户服务器并获取信息。

● 攻击者冒充合法物联网设备与其它物联网设备通信。

● 攻击者冒充合法物联网设备与服务器通信。

● 攻击者冒充合法服务器并诱骗其他物联网设备与其通信。

● 攻击者冒充成合法用户并通过与已有系统通信来获取认证信息。

● 攻击者截取之前的合法认证信息,并重放该类信息来冒充合法设备或服务器。

2.2.2 基于窃听的攻击

具体包括:

● 攻击者窃听通讯数据并试图获取认证信息。

● 攻击者在窃听数据的同时触发特定的服务来选择性地触发特定的通讯内容,继而获取相关认证信息。

● 攻击者通过将搜集的数据和相关的身份信息进行关联,从而推断出相关认证信息。

● 攻击者在窃听通讯数据后,使用字典攻击搜索出相关的认证信息。

● 攻击者在窃听通讯数据后,通过重放攻击方式通过认证。

● 攻击者根据用户和服务器的认证交互信息,并利用协议漏洞直接推测出会话密钥。

● 攻击者发送大量猜测数据包暴力破解认证凭证。

● 攻击者通过搜集旁路信息(如认证结果的时间长短),继而推测出认证相关秘密信息。

● 攻击者利用社会工程学方法,通过欺骗用户或其他掌握用户信息的人,获取用户认证信息。

2.2.3 基于身份伪造和窃听的组合攻击

具体包括:

● 攻击者通过窃听相关秘密信息(如系统私钥),然后生成一个合法的恶意用户账号,并利用该账号开展攻击。

● 攻击者通过窃听获取合法用户的标识和认证信息,并利用这些信息来冒充合法用户。

2.2.4 基于数据操控的攻击

具体包括:

● 攻击者通过利用物联网终端的安全漏洞获得节点的身份和口令信息,假冒身份与其他节点通信,进行非法的行为或恶意的攻击,如监听用户信息、发布虚假信息、发起拒绝服务攻击、置换设备等。

● 攻击者通过注入木马程序,控制认证服务或设备节点,继而完成非法认证攻击。

● 攻击者通过获取相关生物特征(例如指纹、虹膜、声纹等)或尝试模仿相关生物特征,绕过生物认证检查。

2.2.5 服务可用性攻击

具体包括:

● 此类攻击的主要目标是认证服务器,通过发送大量信息堵塞合法用户的认证凭证,令合法用户无法登陆,最终导致认证服务不可用,继而利用此机会发起攻击。

● 攻击者对传感器等实施物理破坏,导致物联网终端无法正常工作,攻击者也可能通过盗窃终端设备并通过破解获取用户敏感信息,或非法更换传感器设备导致数据感知异常,破坏业务正常开展。

第 3章 物联网身份认证框架

3.1 整体框架

物联网身份认证可分为对物联网设备的可信身份认证和管理以及对物联网用户的可信身份认证和管理。IFAA物联网身份认证整体框架如图3所示。

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

图 3  物联网身份认证整体架构

在该整体架构中包括下述主要角色:

l 用户 :物联网设备的使用者。用户可能直接访问并使用物联网设备,也可能通过物联网控制设备间接访问和使用物联网设备。

l 物联网控制设备 :被用户所使用,用以对各类物联网设备进行监控和控制的实体,如智能手机、智能音箱等。物联网控制设备中具备身份认证代理模块,通过该模块可实现用户身份的认证。一方面,物联网控制设备可直接或者通过网关间接连接到网络并与服务器进行交互,实现身份认证操作和各类物联网应用;另一方面,物联网控制设备可通过近场通讯协议(如蓝牙、 NFC、ZigBee等)实现与设备之间的通信,实现对设备的访问或控制。

物联网设备 :具有一定感知、计算、执行和通信等能力的设备,通过物联网设备可以获得物理世界的信息或者对物理世界的物体进行控制,从而实现各类物联网应用。物联网设备上也可能具备身份认证代理模块,直接对用户的身份进行认证。

网关 :通过提供网络兼容功能如协议转换、路由选择、数据交换等,可实现不同网络之间的互通。物联网设备可通过网关接入到网络,并进一步与服务器进行通信。

网络 :泛指由互联网、移动互联网、局域网等构成的信息网络。

物联网设备管理服务器 :用于对物联网设备进行可信生命周期管理的平台,如设备的激活、固件升级、数据更新等。

物联网设备认证中心 :在本白皮书中所定义的可用以实现物联网设备可信认证的平台。通过该平台可实现对物联网设备可信身份标识的管理、可信设备认证密钥的管理等。

身份认证服务器 :在本白皮书中所定义的可用以实现对用户身份认证的平台。该平台可以实现用户身份的注册、认证、注销、物联网设备绑定等流程。

物联网应用服务器 :用以实现各类物联网应用的平台,如智能家居、智能支付、智能交通等。在本白皮书中,物联网应用服务器可通过身份认证服务器和物联网设备管理服务器实现对用户和物联网设备的可信身份认证。

3.2 对物联网设备的可信身份认证和管理

对物联网设备的可信身份认证和管理,主要包括在物联网设备的生产、入网激活、使用以及升级等各环节中,都能够使用有效的技术手段确保设备的真实性以及完整性。本节将结合3.1节介绍的整体框架和主要角色,简要描述可行的可信身份认证和管理流程。

生产阶段: 在物联网设备生产阶段,应能够为每个设备分配一个唯一标识,并为每个设备分配相应的设备认证密钥。标识和设备认证密钥应能够保存在物联网设备的安全存储区域,不能被篡改,且设备认证密钥的私钥部分不能够被读取或复制。此外,在生产阶段,对于合格的物联网设备,应该将其安全信息如标识、设备认证公钥或公钥证书签发机构的公钥等,同步到物联网设备认证中心,用于后续环节中对于物联网设备的可信认证和管理。

入网激活阶段 :在激活使用物联网设备时,需要对该设备的身份真实性和完整性进行校验。具体来说,设备管理服务器可先通过访问认证中心获取待入网的设备标识规则以及设备认证相关密钥的公钥部分,并通过校验设备标识合法性,以及验证设备认证密钥签名有效性等方式进行确认。校验通过后,可对该设备进行安全配置,如下发工作密钥或者操作凭据等,然后并入现有物联网网络中进行使用。

使用阶段 :使用阶段将根据该设备具体支持的应用场景和功能来确定具体的设备身份认证方案,不过一般而言,可结合使用该设备的唯一标识、设备认证密钥或者激活过程中配置的工作密钥和操作凭据等来实现对设备身份可信性的验证。使用阶段中,物联网设备管理服务器可视需要对设备的安全配置进行动态更新。

升级阶段 :如果该物联网设备支持升级如系统固件升级中,需要保证在升级过程中不能修改该设备的唯一标识以及设备认证密钥等,另外,需要有一些技术手段能够让设备对下发的升级程序的真实性和完整性进行校验。

3.3 对物联网用户的可信身份认证和管理

对物联网用户的可信身份认证和管理,主要包括在用户身份认证注册、身份认证以及身份认证注销等环节中,都应能够使用有效的技术手段确认该用户的身份及其是否具备相应的权限完成对物联网的操作请求。需要注意的是,因为物联网应用场景的多样性,实际过程中对于用户进行身份认证的方案有多种。根据在认证环节中是否需要连接身份认证服务器,可大体分为离线认证模式和在线认证模式。

离线认证模式 :该模式下,用户的身份认证凭据一般是存储在物联网设备中(比如用户设置的口令或者录入的生物特征)或者存储在用户所持有的一个 Token中,这样在认证过程中,可以无需连接位于云端的身份认证服务器即可完成认证。

相对应,在身份认证注册环节,一般是用户在提供了身份证实材料并审核通过后,即可在物联网设备上直接设置身份认证凭据,或者是通过身份认证服务器对物联网设备进行安全配置更新;在身份认证环节中,用户直接操作物联网设备或者通过物联网控制设备与物联网设备进行交互,提供认证凭据实现对用户的身份认证;在身份认证注销环节中,相对应的是在物联网设备上直接删除跟该用户相关的身份认证凭据,或者是通过身份认证服务器对设备进行安全配置更新。

在线认证模式 :该模式下,在认证过程中,需要连接到位于云端的身份认证服务器来完成对用户的身份认证。 IFAA此前在移动智能终端上制定的本地免密解决方案和远程人脸认证解决方案,即是这种结合了身份认证服务器实现的在线认证方案。事实上,移动智能终端在物联网中也是一种非常重要的 物联网控制设备, IFAA本地免密解决方案和远程人脸认证解决方案也可以应用于物联网身份认证领域中。差异点在于,在通过 物联网控制设备完成对用户的在线身份认证后,还需要将这种认证结果通过可信的方式传递给设备本身。

第 4章 物联网身份认证安全需求

4.1 概述

物联网身份认证和管理策略往往需要包括但不限于如下要求:

● 为物联网设备建立起一套可信设备标识机制。

● 为物联网设备确定一套完善的设备生命周期管理流程。

● 为物联网设备建立一套可信的设备入网注册流程,其中设备传输、接收的数据类型也应该被考虑在注册流程的构建当中。

● 为物联网设备中产生或者流转的数据流建立可靠的安全保障措施。

● 为管理员直接管理本地设备构建一套完善的验证和授权过程。

● 针对不同类型的数据构建不同的安全保障措施,尤其是具备完善措施确保个人隐私数据的安全。

● 定义不同用户角色或者属性,并基于角色或属性实现相应的访问控制。

● 可结合大数据风险控制机制,确定具体的身份认证策略。

本章后续内容将分别从设备安全、访问控制管理、数据保护等方面具体阐述所需的安全需求。

4.2 设备安全

物联网应用和服务是通过物联网设备直接或间接提供的,设备安全至关重要,是身份认证安全的基石。设备安全应包含了安全启动、软硬件安全、漏洞管理、代码签名、访问控制、数据安全等各方面的需求,如图4所示。需要特别指出的是,设备安全必须从设计环节就进行严格把关,通过建立威胁模型,全方位分析设备的潜在攻击面,并制定对应的技术策略。

新知图谱, 《IFAA物联网身份认证白皮书》正式发布

图 4 设备安全需求示意图

此外,设备必须能够证明其唯一身份,并运用这一身份与服务器或其他设备之间建立安全通讯。通常这会需要在设备生命周期的起始阶段,譬如工厂制造阶段,就与安全厂商进行合作,通过注册将设备的唯一标识和相关密钥灌入到设备中的安全存储区域。

2016 年首次发布的《 IFAA本地免密技术规范(T/IFAA 0001)》通过整合生物识别技术、安全终端与服务端,建立起了一个基于生物识别技术的全链路安全身份认证解决方案。生物识别的采集、处理、存储与比对是在用户的设备本地TEE环境中完成,有效地保护了用户的生物特征数据的安全。在这一标准支持下,基于手机等认证设备实现对用户的本地生物特征认证,如指纹、声纹、虹膜识别等,并通过注册阶段生成的用户凭据实现将本地认证的结果可信地传导至服务器端进行验证。

在2018年6月发布的2.1版标准(T/IFAA 0002-2018)中,支持TEE+SE架构成为一大亮点。关键应用和数据将通过SE进行保护,在用户使用生物特征识别或者输入口令验证通过后,即可访问位于SE中的IFAA 安全应用来实现数字签名等操作;并实现关键信息从存储、访问、传输、对比等全链路安全,可极大降低被黑客窃取或篡改的风险。

除此之外,IFAA成员也从不同角度、不同层面提出了适用于物联网应用的身份认证解决方案,以提升设备安全能力,如ARM推出的平台安全架构(PSA),旨在为日益增加的基于MCU的物联网设备奠定安全基础。

4.3 访问控制管理

访问控制包含三个要素:主体、客体和控制策略。主体是提出访问资源具体请求的发起者,主体可以是自然人、设备、独立运行的进程或者程序等。客体是指被访问资源的实体,可以是信息、文件、记录的集合体,在物联网中,客体可以是传感器、设备、云服务等。控制策略是主体对客体的相关访问规则集合,决定了主体是否可以访问客体,访问控制策略中包含了决定性的约束和算法,控制了主体的访问范围和权限,因此访问控制策略的研究与改进,始终是访问控制中重点的研究对象。

物联网是互联网的延伸,因此可以借鉴互联网中现有的访问控制技术。比如在智能家居场景中,攻击者就有可能通过设备自身的漏洞绕过设备的认证环节,可借鉴的解决思路是通过网关来实现对内部网络的统一访问控制,只有认证过的流量才能够访问内部的智能设备。

同时,由于物联网中设备的多样化以及应用的复杂性,对控制策略也提出了更高的要求以及创新性方法的诉求。目前已经有国内外学者在研究适用于物联网的基于信任的访问控制模型,以角色访问控制为基本框架,增加信任计算,实现以信任值为核心的权限授予机制。

4.4 数据保护

针对用户的身份认证通常都是基于“你知道什么”(比如登录口令)、“你是谁”(比如生物特征信息)、“你有什么”(比如手机)的相关数据来进行认证策略实施,而设备的身份认证通常是基于密码学(比如PKI密钥体系)。如果这些数据泄露,攻击者就可以进行身份伪造。因此,对这类数据的存储安全和传输安全如果处理不当,就会引发很大的物联网身份认证安全隐患。

在规划和执行设计良好的物联网部署时,数据保护措施至关重要。需结合完整的数据生命周期进行安全考虑,包括数据的生成、采集、传输、处理、存储、更新、销毁等环节;根据具体的数据重要程度以及是否涉及到用户隐私,需要设定不同的数据安全保护方案。比如,对于用于身份认证的用户生物特征数据,如果留存在物联网设备本地,需要采用密钥进行加密保护以确保其保密性和完整性,所使用的加解密密钥应尽量结合着设备的可信环境进行存储保护等。

4.5 新技术的探索

物联网设备可以自发、自动地与其他设备进行互动,如何解决物联网设备之间的信任问题是个巨大挑战。在传统的中心化系统里,可以通过可信的第三方来管理所有设备的身份认证以及安全通道建立过程,信任机制较容易建立。但是在设备数量可能达到百亿级别的物联网环境中,设备间如果依旧通过可信第三方来建立可信连接,可能会对服务器造成巨大压力。目前通过去中心化的技术比如区块链来解决设备之间的互信问题已经成为行业内的热点方向,还有更多的新技术需要探索。

第 5章 下一步工作

通过前面章节的描述可知,可信身份认证是实现安全、可靠的物联网应用的基础,不过该领域涉及到的产业链较长、参与主体众多,目前仍存在着解决方案碎片化、安全实现不完善的情况,需要进一步通过标准化和产业链通力合作来逐步解决。

基于此前在互联网金融身份认证领域的经验和积累,IFAA启动了物联网身份认证领域的标准化工作,目前已经成立了物联网安全工作组,并正在面向行业收集物联网身份认证应用场景和需求,为下一步的联盟标准化工作做准备。未来,IFAA还将通过与国际标准组织的合作,进一步推动将IFAA标准上升为国际标准。

在此过程中,IFAA非常欢迎行业内的相关企业或组织能够共同参与,通过制定技术标准和产品认证体系来共建产业生态,促进产业合作,最终形成覆盖物联网身份认证产业全链条的整体技术及安全解决方案,为物联网行业应用的快速、健康发展保驾护航。

更多新知

知识库

已收录新知