信長城羅燕京：IoT時代從數據和身份認證本質去解決安全問題才是一個正確答案

在剛結束的C3安全峰會上，信長城創始人&CEO羅燕京接受了來自CSDN記者的採訪，就目前國內物聯網安全市場發展和密碼學前沿及技術進行了探討。

作者：劉兵

來源：CSDN

「相對IT時代以邊界防禦為主導，大流量分析、監管、旁路，終端安裝高能耗軟體的安全系統和產品，在IoT時代，因為網路異構多樣性的特徵，智能終端低功耗，低性能等特點，大型的高性能，高計算能力的安全系統設備無法適用。」

信長城創始人&CEO羅燕京向CSDN記者介紹物聯網時代傳統IT安全體系面臨重大挑戰。「我們不妨換一個思路，從數據和身份認證本質去解決安全，實現在IoT網路中不增加複雜度，不改變數據流量的安全體系和產品部署，在低功耗、低性能智能終端內完成數據安全和身份認證的安全應用，信長城稱之為輕量化可信安全體系。」

圖：信長城創始人&CEO羅燕京

在剛剛結束的2018 C3安全峰會上，記者有幸採訪了信長城創始人&CEO羅燕京，就目前國內物聯網安全市場發展和密碼學前沿及技術進行了探討。

5G技術落地加速IoT時代到來同時，對傳統IT安全發起新挑戰

隨著5G通信技術應用落地和物聯網技術的快速發展，不僅人與人之間可以連接，我們所感知的萬物都可以形成連接，「萬物+」時代也隨之到來。然而，隨著IoT多層弱點的逐一暴露，智能設備被劫持、IoT設備 DDoS攻擊、勒索軟體滋生等隨之而來安全問題將會出現井噴式的爆發。對網路空間安全專家看來，網路安全受攻擊界面呈指數程度擴大。

信長城羅燕京認為，海量鏈接的支持與多樣性終端的接入，大部分終端低流量特徵，跨域調用的需求，造就 IoT時代安全契合實際的需求：萬物可信認證，可信鏈接，端到端直接認證，去中心化的安全體系，超低數據流量下的安全能力，低功耗低性能終端下的安全計算能力，這些新特性造就了物聯網安全不同於傳統IT安全的新需求。

我們回顧IT時代安全廠商及其安全產品的使用特點是，邊界思維，強中心化，流量主導，這樣就使得在邊界，中心，鏈路流量上，都有很高的要求，隨著用戶增加，鏈接增長，流量增大，邊界，中心等都會很快到達物理資源能力的瓶頸，致使其規模無法增加。

IoT時代急需支持超大規模、高安全等級、便捷實施、較低成本的全場景可信安全體系。信長城便依據IoT時代的安全特徵依據其現實場景，鏈接規模的海量的特性，從安全本質出發，基於標識認證技術設計的安全體系，實現端到端直接認證，端內完成安全計算，安全應用去中心化，做到了與協議無關，鏈接無關，不增加鏈接流量，不因安全而匯聚流量與鏈接，因此不影響IoT鏈接和終端的增加，所以IoT應用需要鏈接和終端規模有多大，信長城的安全體系就適應支持多大，也可以理解為安全體制支持IoT終端規模無邊界。

密碼學當今國際三大認證規範：美國的PKI，歐洲的IBE和中國主導的CPK

講到標識認證，羅燕京向CSDN記者介紹，信長城提出了IoT的安全體系中數字認證屬於密碼學的發展範疇，密碼學作為一個學科，現在被定義為二類學科，在安全的一類學科之下。

密碼學發展到今天，國際上公認的技術規範有三個，一個是PKI的美國的標準，由70年代美國軍方研製出來，90年代開始進入商業系統應用，大家現在都在使用的各個銀行的U盾，是按照這個規範來設計。

之後歐洲推出一個標準叫IBE，並在2012年成為國際規範。同樣我國在90年代已經開始重視密碼學研究，最初也是由軍方主導，到了2007年正式成為國際規範，定名CPK（Combined Public Key），中文名稱組合公鑰。同樣這也是信長城的一個商標。

CPK相比PKI體系的「中心化」運維思想更符合IoT時代的技術需求

從三種規範的發展趨勢可以看出，IBE和CPK 的發展最新，也有一個統一的稱呼「基於標識認證」的密碼學體系，而美國主導的較早的PKI叫「基於演算法認證」，標識認證和演算法認證有著非常大的區別。

講到區別是需要提到一個詞「CA」（第三方認證），而PKI 的標準就需要每次使用到「數字證書」時對CA進行一次請求認證。這就必然造成了作為CA的第三方認證中心成為所有安全的核心。一次安全認證就從「兩個人的事情」變成了三方的溝通。而未來IoT時代對這個第三方認證平台的承載需求勢必會呈指數級增長。

反觀CPK規範的最大的特點，它在應用交付時不需要CA這第三方中心，這個中心只存在於你去申請數字證書的時候用到它，之後的所有應用可以把它放在一邊當做不存在。CPK的第三方中心因其定位有別於PKI的設計，不需要建立龐大的證書庫，也不需要在線支持，也就沒有並發量的問題。

CPK不需要每次應用都申請認證證書，因為在初期申請證書期間，除了給你公鑰，還會獲得公鑰矩陣，一個演算法運算器，大小只有48kb。甲乙應用雙方通過自身內部計算進行直接端到端認證。所以採用這種架構在IoT的場景下的安全體系部署下來沒有改變任何設備間的連接和步驟，更符合物聯網的初衷。

圖：信長城物聯網解決方案

信長城正是基於CPK規範的諸多符合IoT技術安全的特點，通過8年時間技術積累和實踐，形成了IoT時代的可信安全體系架構及解決方案，覆蓋政務、工業互聯網、車聯網、物聯網、大數據安全等領域，並實現諸多物聯網場景下的可信安全產品和解決方案落地實施，已具備為物聯網時代持續提供輕量級、海量鏈接的可信安全產品能力。特別是在安防監控和車聯網市場已經初步建立起自己的市場品牌。

信長城完全符合GB35114公共安全視頻監控聯網信息安全技術要求

作為IoT市場的典型行業應用，安防監控系統產品廣泛應用於工業系統和物聯網智能終端產品。隨之而來的是安防監控網路攻擊和各種安全事件不斷發生，工業系統、智能終端安防監控設備成為「黑客」攻擊的主要目標。安防監控系統信息安全急需解決，安全安防已然成為了強制性的行業技術規範。

特別是2016年10月21號的（北美斷網）事件，最終查明的原因就是因為有上百萬計的監控攝像頭被黑客控制成為（肉雞），利用攝像頭的輸出高帶寬流量特點去攻擊當地網路供應商，網路的介面提供商，造成整個北美網路癱瘓。

事件發生之後，在國家的強制要求攝像頭必須完成GB35114認證的環境下，信長城主攻滿足安防系統自身信息安全方面的全面要求，和監控視頻內容的合法性要求，從證書的規範，到證書之於安防監控設備的身份認證，監控視頻內容簽名驗簽，視頻加解密安全應用，證書註冊管理吊銷；以及安防監控系統中，各類前端攝像頭和網關設備的接入安全，安防監控系統全網運行的狀態監測。

除了安防監控市場的布局外，採訪最後羅燕京向CSDN記者介紹了目前信長城在車聯網市場的產品布局。隨著車聯網智能化和網聯化進程的不斷推進，信息安全問題卻日益突顯。2017年中國信息通信研究院發布了《車聯網網路安全白皮書（2017年）》，明確指出車聯網安全是關係到車聯網能否快速發展的重要因素，強化車聯網網路安全保障已成為各大車企的當務之急。

信長城車聯網安全方案，基於標識認證技術和密鑰保護技術，對網內為車聯網的各個參與角色，以及車內網路的各個模組，單元解決了其唯一身份標識的問題，在實際應用鏈接中提供可信身份認證，確保安全可信的鏈接建立；進而保護每個模組、單元其密鑰的安全和應用環境的安全，使其不被盜，被違規利用；為各類鏈接之間的數據和指令交互提供安全的加解密和簽名驗簽能力，確保所有交互數據的安全與可信；對車聯網發展基於可信認證體系，實現端到端直接認證，和便捷跨域交叉認證，對車聯網的大規模發展提供了安全基礎設施和高效的安全支撐能力，實現了不同域的車聯網跨域交叉認證。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！