一种基于国密算法安全芯片的物联网数据安全设计方案—— TF32A09
物联网相较于传统网络,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点, 并且由于物联网是在现有传输网络基础上扩展了感知网络和智能处理平台, 传统网络安全措施不足以提供可靠的安全保障, 从而使得物联网的安全问题具有特殊性。

物联网主要由传感器、传输系统(泛在网以及处理系统3个要素构成, 因此, 物联网的安全形态也体现在这3个要素上。

第一是物理安全,主要是传感器的安全,包括对传感器的干扰、屏蔽、信号截获等,是物联网安全特殊性的体现; 第二是运行安全, 存在于各个要素中, 涉及到传感器、传输系统及处理系统的正常运行, 与传统信息系统安全基本相同; 第三是数据安全,也是存在于各个要素中,要求在传感器、传输系统、处理系统中的信息不会出现被窃取、被篡改、被伪造、被抵赖等性质。

因此,物联网除面临一般信息网络所具有的安全问题外,还面临物联网特有的威胁和攻击。

1、针对传输层数据安全解决方案:
□ 简介
本方案通过为物联网建立虚拟专用网(VPN ,在现有的公用网络环境下,建立安全的通讯信道,对数据进行加解密,提供完整性校验机制,保证信息传输的安全。

本方案主要包括两个部分:物联网安全网关和终端安全模块。

□ 定义
VPN :虚拟专用网络 (Virtual Private Network , 简称 VPN 指的是在公用网络上建立专用网络的技术。

IPSEC VPN:IPSEC 是一套比较完整成体系的 VPN 技术,它规定了一系列的协议标准,旨在公网上建立安全的专用通讯信道。

2、产品特点
■ 数据安全
■ 网络专用
■ 纵向认证
■ 数据传输安全
■ 实时监控
■ 移动性数据查询
■ 数据采集
■ 信息回报产品优势
3、产品安全性设计
■ 采用 VPN 虚拟专用网。

■ 遵循 IPSEC VPN标准。

■ 网关内核级的加解密处理
■ 支持内外网物理隔离。

■ 建立双向认证。

4、主控芯片的特殊性
TF32A09FDL1是同方自主研发的 TF32A09系列中的一款安全芯片, 通过国家密码管理局的审核认证,并获得产品型号为 SSX1019。

芯片具有如下特性:
1 芯片自身有很好的物理抗攻击能力。

2 提供硬件级 SM1国密算法。

3 32位处理器,工作最高可达到 100Mhz 主频,可做到实时加解密并传输数据。

5、产品原理图
5.1系统框图
物联网安全平台由物联网安全网关和终端安全模块组成。

对于内外业务数据控制平台和客户端设备之间的数据传输,物联网安全平台将提供安全的传输通道。

5.2物联网安网关
全网关主要用于解密待进入内网的数据,加密待发向外网的数据。

方案提供带物理隔离的网关和非物理隔离的网关供用户选择。

收发
5.3安全终端模块
模块主要用于解密来自公网的数据,加密待发向公网的数据。

从通信接口上分为 GPRS 类型和以太网类型终端安全模块。

6、应用领域
⏹金融:银行储蓄点机房监控;
⏹通信:电信机房动力环境监控;
⏹交通:GPRS/SMS/GPS机动车輛监控调度系统;银行运钞车,邮政运输车监控调度;
⏹公安:公安、 110、交警车辆监控调度,公安移动性数据查询,交警移动通信数据查询;
⏹彩票:福彩、体彩等彩票机的数据传输。

⏹监控摄像:环境监控摄像数据的查询。

⏹热力:热力系统实时监控和维护;
⏹电力:电力系统城市中电网实时监控、防止供电中断和保护公共网络;
⏹工业:工业遥感, 遥测, 遥控信息回报;
⏹气象:气象数据采集与传输;
⏹水利:水文监测;
⏹生活:煤气调压站实时数据采集自动控制,自来水,污水管道,闸门、泵站与水厂实时监控维护,物联网的数据监控等。