基于通信模組實現物聯網可信身份新思路

林敏 張曉東

（中國聯合網絡通信有限公司廣東省分公司，廣東廣州 510627）

0.引言

當前國內物聯網通過將手機信息中的傳感器、執行器等多種位于手機終端的虛擬物體或者物聯網終端設備，直接相互接入互聯網中而逐漸發展形成了“萬物互聯”的安全技術網絡，極大地拓寬了當前國內互聯網的安全技術應用邊界。但國內物聯網安全市場發展規模龐大，終端的虛擬物體安全技術性能良莠不一，包含很多新的安全相關技術應用問題，比如對合法身份的驗證。一旦遇到黑客繞過身份認證或者仿冒身份認證，輕松進入組織或企業內網進行橫向破壞，必將會引起嚴重的后果。而過往的做法是把身份標識或電子證書存放于物聯網設備主控MCU側。基于合規要求，隨著現在通信模組性能越來越高，考慮到普適性和推廣性以及安全問題，把身份標識或電子證書的存放和數據加解密操作從物聯網設備主控MCU側解耦出來顯得更合理。我國現代移動物聯網安全技術是在把握現代移動互聯網網絡信息安全技術重大發展趨勢基礎上，逐步推進延伸和不斷改進擴展的一種現代化網絡安全管理技術。由于現代網絡安全可以覆蓋到任何一種個人、機構和系統的廣大應用范圍，安全性已經發展成為任何一個現代化物聯網系統重要組成的一部分以及健康發展的關鍵。所以便于推廣的可信身份認證技術問題不僅是當前國內物聯網安全技術快速發展中極為關鍵的一部分，也已經逐漸成為國內外廣大學術界、產業界共同努力研究的一個技術重點。本文針對基于通信模組實現物聯網可信身份認證提出了相關的解決策略。

1.通信模組的物聯網背景

無線通信模塊也稱無線通信模組，簡單來說就是芯片軟件的組合。它是物聯網中的通信基礎，可以作為不同物聯網終端設備接入物聯網的入口，為終端設備提供網絡信息傳輸能力。

物理信息網絡中的邊界曾經也被認為網絡是可信物理信息網絡和不可信物理信息網絡之間的有效相互不可分割。這些企業系統防火墻通常都會作為部署于可信信息網絡的一個物理世界邊緣，基于一種新的靜態網絡管理策略并且被用來有效地限制網絡上的網絡流量。那些位于企業系統防火墻內部的網絡連接用戶，通常也都會被這些企業系統授予較高的網絡可靠和信任安全防護等級并且被用來有效禁止他們訪問其他企業的敏感資源和網絡數據資源，因為他們被這些企業系統默認地確認為網絡是可信的。

然而隨著5G網絡的普及、移動云計算、移動人工互聯、物聯網、人工智能等新一代技術的快速發展，為我國信息化技術行業的快速發展轉型提供了更加廣闊的發展空間，國內外不安全因素相互傳導、演變的趨勢更加明顯，嚴重威脅國家安全以及企事業單位信息網絡安全。傳統的邊界防護模式已經到了能力天花板，僅靠簡單的產品堆疊已經無法防御以創新驅動的攻擊模式。傳統的邊界防護模式對逐漸興起的服務云化、辦公移動化等場景的防護力不從心。攻擊者以創新方式為驅動，成功繞過或規避業界的最佳安全實踐和業界流行的安全控制，而企業傳統的防護者更多采用成熟的安全技術來防止攻擊者進入，結果防護者總是落在攻擊者后面。采取的措施和手段更傾向于事后發現和彌補。

2.通信模組概念

通信模組全稱是“無線蜂窩通信模組”，是在電路板上集成存儲器、基帶芯片，并提供標準的接口模塊，使各種終端設備能借助該無線模塊實現網絡通信。因此，通信模組是實現數據傳輸的工具，是物聯網終端設備的核心組件之一。通信模組位于物聯網的網絡層，同時與感知層交互，模組的下游是物聯網終端設備，準確來說通信模組是跟設備主控MCU進行通訊的。一般來說，模組作為核心組件，為SIM卡與物聯網設備之間提供傳輸通訊功能。通信模組與設備主控MCU的通訊流程如下[1]：

2.1 獲取設備基本信息

通訊模塊上電后，將向MCU查詢設備信息。（1）通訊模塊 >>> MCU；（2）MCU回復： MCU >>> 通訊模塊。

2.2 通訊模組向MCU發送業務指令

業務指令一般為控制指令，如開關設備、設置模式、設置溫度、請求狀態等。（1）通訊模組 >>> MCU；（2）MCU回復：MCU >>> 通訊模組。

2.3 MCU向通訊模組發送業務指令

應用場景一般為故障上報、開關狀態/模式等通過其他方式如紅外遙控、產品集成的功能按鍵改變之后，主動上報給通訊模組。（1）MCU >>> 通訊模組；（2）通訊模組回復：通訊模組 >>> MCU。

相對通信芯片，模組需要根據電子元器件工業標準針對芯片和各種軟硬件進行重新設計與集成。同時具有可定制化的特點，可以根據客戶需求和業務需要滿足不同客戶和應用場景。隨著5G網絡的普及，通信模組廠家跟進5G物聯網的布局，發布了5G通信模組，可支持NSA和SA網絡架構，支持5G NR Sub6、FDD-LTE、TDD-LTE、WCDM多種制式的遠距離通訊模式。可支持3GPP Release15，比如存放身份標識，數據加解密。基于以上因素，通信芯片廠商無法更細分化的去滿足不通客戶的需求，所以通信模組的提供定制化封裝服務就有用武之地。

3.可信身份概念

網絡可信身份認證技術是信息安全的核心手段，主要功能是驗證網絡業務系統中的合法用戶身份和真實用戶身份。類似于現實生活中不管是介紹信還是身份證，熟人推薦等都是一種對于身份合法真實的確認。在互聯網中不能缺少合法身份認證系統一旦缺失，社會秩序就會被打破。隨著可信身份重要性的不斷提升，其已成為互聯網的重要組成部分。鑒于互聯網虛擬社區中，海量的身份信息數據，通過清洗分析，會產生巨大的商業價值。在利益的驅動下，黑、灰色產業鏈早已虎視眈眈，黑客的入侵盜取，包括一些企業的內部人員非法操作，以及業務應用不注重用戶隱私和體驗的設計，都會導致海量用戶信息外泄。從產業規模來看，2019年底我國網絡電子認證市場達到295.8億元規模，但是相應的黑、灰色產業鏈規模卻已超千億元。這時構建出一套可信身份體系，作為各種業務場景下的網絡安全互補手段，顯然已成為我國網絡空間安全發展的一個重要基礎。電子認證服務作為可信身份的實踐之一，其包括電子簽名者身份的真實性認證、電子簽名過程的安全性認證和電子數據完整性認證3個部分。其產品涉及的主要技術為PKI（公鑰基礎設施），屬于國家商用密碼領域中的一種。

4.零信任技術的概念

為什么要引進零信任技術？網絡空間從傳統的網絡邊界發展到了無界化、移動化、動態化、實時性以及信息多樣性等給我國網絡安全發展帶來了新的技術挑戰，工信部也在國內首次提出確定零條件信任技術為安全創新的關鍵技術。零條件信任技術是一種安全創新理念，強調“永不信任，始終驗證”。所有人/物/端/網/信息/供應鏈均需認證授權（動態安全策略），是可信身份實現的有效方式。管控信息風險，如零售業信任管理模式旨在強化各類數字信息資產的風險發現，要求對相關企業的任何產品應用與提供服務等各類數字信息資產都必須進行信息識別并及時給予真實身份。其核心價值體現如下：

（1）降低網絡成本：零信任將安全保護網絡資源的主要目標完全聚焦轉移到系統負載與網絡數據，通過網絡策略與安全控制層來排除不需要直接訪問保護資源的網絡用戶、設備與網絡應用，使得網絡惡意攻擊行為減少并受到成本限制，縮小被動的攻擊面，大大降低了網絡安全事件的發生數量。

（2）業務敏捷：即使公司員工與其他企業及其合作伙伴之間隨時可以在手機移動端和互聯網上隨時隨地、無縫直連各種大型公司企業內部應用，不必再擔心需要通過整個公司企業應用管理網絡關卡（如VPN）的方式進行各種靜態數據實時檢測，提升了公司企業合作用戶實時處理各種大型業務的實時工作處理速度與敏捷性。

5.無證書認證的設計思路

CLA（Certificateless Authentication）作為無證書的可信身份認證實現方式之一，是一種融合自證公鑰定位密碼管理體制和無加密證書公鑰定位密碼管理體制的密鑰密碼生成和密鑰密碼使用管理機制，借鑒PKI/CA認證系統的密鑰管理體系基礎架構，構建的一種新型公鑰密碼基礎配套設施。系統采用我國現有的SM2橢圓直角曲線公鑰密碼管理算法，不使用數字證書，不使用雙線性對運算，兼具PKI/CA、IBC的優點。

生成短電子文件格式的數字簽名管理應用驗證數據中心驗證工具包，適合于各種數字簽名應用驗證包的應用，而且在進行驗簽時不必再擔心需要直接使用用戶密鑰驗證即可。即使有管理數字驗證數據中心的密鑰驗證支持，驗簽者仍然同樣可以直接對數字簽名驗證應用數據進行用戶密鑰數據驗證，極大地方便了數字簽名者和接收者對數字簽名的應用進行密鑰驗證。

建設工程成本低、計算運行效率高、占用網絡資源少。可廣泛用于對全國海量網絡用戶的身份密鑰采集管理，滿足大量小規模、大深度范圍的基于云計算、物聯網和以及移動智能互聯網等大環境下的用戶身份密碼認證、數據安全防軟件篡改、防軟件抵賴等安全基礎應用技術需求。為實現物聯網場景下海量設備的可信身份認證提供堅實的基礎。

6.零信任技術體系下基于通信模組實現物聯網可信身份

通過上面介紹的通信模組和可信身份技術的現狀與特點，結合物聯網場景下數量巨大的物聯網設備都需要身份標識和可信認證，為了減少網絡帶寬流量以及減少物聯網終端設備存儲空間的占用，傳統的PKI體系身份認證技術采用公鑰證書的方式，用證書機構（Certificate Authority，簡稱CA）的私鑰對用戶公鑰證書進行簽名，保證用戶公鑰的真實性。實際上是用證書機構為用戶公鑰真實性作為背書。而證書機構自己的公鑰真實性，要么具有公信力，要么則由更上一層的機構乃至國家機構來擔保，這會形成多層級CA結構。為了驗證用戶公鑰的真實性至少需要2次驗證簽名甚至更多（比如多層級CA）。證書狀態會動態改變。因此，CA需要在線維護證書的狀態。另外，在線服務是PKI技術的特點和要求，同時也意味著，它不僅成本高，而且不適用于無法保證在線服務的場景。所以進化成基于身份標識的無證書身份認證顯得極其重要。而零信任架構的網絡安全接入技術正是集成了身份認證模塊。結合通信模組可定制的特點，考慮到產品推廣和普適性，在零信任架構產品中，基于高端通信模組自帶開源Linux操作系統，具有性能高體積小等特點，支持衛星定位；處理器頻率高達1.5G；內置16G DDR內存以及4G高速閃存；支持USB3.1超高速（SS）接口；數據傳輸率最大可達10Gbps。可根據業務需求提供USB或PCI-E接口。同時支持USIM和ESIM接口。把身份認證和數據加解密操作從物聯網設備MCU側前移到通信模組側，從產業鏈中解耦出來，有利于后期業務的推廣[2]。

7.結語

本文首先闡述了5G物聯網現狀，介紹了通信模組的發展情況、零信任架構技術以及現實情況對電子身份認證的基于身份標識的無證書認證提出了更高要求。將電子證書或身份標識以及算法存放到通信模組這樣的獨立芯片中，這種硬件物理安全控制特征設計可以有效保護密鑰以及算法的安全，符合密碼安全規范。結合新一代安全接入技術“零信任架構的網絡安全接入管理技術”、新一代5G通信模組以及無證書身份認證技術設計出一套基于軟硬件組合，上下游產業鏈組合的可信網絡安全接入解決方案。