信长城罗燕京：IoT时代需要从数据和身份认证本质出发，构建轻量化可信安全体系

【】今天，万物互联正在融入我们生活。相信不久的将来，完整的万物互联世界也将会到来。然而万物互联打破了以前各个封闭OA、OT体系，伴随物联网和智能设备的进一步普及，不免会带来更多的安全问题需要解决。

IoT时代，需要轻量化高等级可信安全体系

物联网(“Internet of things，以下简称：IoT)给很多企业带来了机遇，也给网络攻击者提供了更多可被攻击的“突破点”，让整个世界的受攻击面扩大。然而，相对于IT时代的安全体系，以边界为垒，以防为主，对所有程序行为、数据流量进行过滤检测，用行为监测手段来实操的安全思路和理念，IoT时代，传统的安全体系已经无法适用。

对于这方面的安全问题，信长城公司早就开始行动。 “我们花了8年的时间，针对IoT场景进行了多项研究，希望基于数字证书技术和身份认证去实现提升IoT安全性。最终，我们以标识认证密钥体系CPK(Combined Public Key)和PKI(Public Key Infrastructure)认证技术为基础，设计并实现了轻量级、超大规模、高效率、便捷实施、低成本、全场景的高等级安全体系。” 信长城创始人&CEO罗燕京向记者介绍说。

[[230878]]

信长城创始人&CEO罗燕京

随后，他与记者分析道，信长城当初之所以选择从标识认证方向解决IoT安全问题，是因为相对IT时代以边界防御为主导，大流量分析、监管、旁路，终端安装高能耗软件的安全系统和产品，IoT时代存在网络异构多样性的特征，智能终端低功耗，低性能等特点，大型的高性能，高计算能力的安全系统设备无法适用。所以，“我们不妨从数据和身份认证本质去解决安全，实现在IoT网络中不增加复杂度，不改变数据流量的安全体系和产品部署，在低功耗、低性能智能终端内完成数据安全和身份认证的安全应用的轻量化可信安全体系。”

CPK认证规范在IoT领域的应用优势明显

说起标识认证秘钥体系CPK和PKI认证，罗燕京为记者解惑道，标识认证属于密码学的范畴。当今国际，密码学有三大认证规范，即：美国的PKI、欧洲的IBE(Identity Based Encryption)、以及中国主导的CPK。PKI由70年代美国军方研制出来，90年代开始进入商业系统应用，大家现在都在使用的各个银行的U盾，就是按照这个规范来设计。之后，欧洲推出IBE标准，并于2002年成为国际规范。我国在90年代已经开始重视密码学研究，最初也是由军方主导，到了2007年正式成为国际规范，定名CPK，并于2008年正式在中国进行商用。而CPK也是信长城的一个商标，叫组合公钥密码技术。

其中，PKI公钥密码体制，依赖第三方的可信任机构(认证中心，即CA)，将用户的公钥实现集中管理和提供在线支持，为用户进行数字认证提供服务。也就是说，在使用数字证书时，每个用户无论什么操作都必须联系CA，从双方互动变为三方互动。然而，随着IoT的迅速发展，用户量、终端类型的增长，各类网络协议也逐渐组合应用，操作系统和CPU愈加多样化，PKI这种强中心化的认证服务方式达到负荷瓶颈，无法适配物联网场景的应用需求。

而CPK最大的特点就是在它应用时无需CA，只在申请数字证书时需要CA。CPK不需要庞大的证书库，也不需要在线支持，没有并发量问题。在你申请证书期间，除了给你公钥，还提供48kB大小的公钥矩阵，它只是一个运算规则，甲乙双方通过自身内部计算实现直接端到端认证，不需第三方介入。所以采用这种架构在IoT场景下，如果采用PKI，所有操作都需要跟CA相关联，造成流量成倍增粘，带来各种影响。而用CPK这种较低成本的标识认证在物联网领域的应用有着明显的优势。

八年技术积累实践，只为保障IoT时代的可信安全

基于CPK认证规范，经过8年技术积累，信长城已形成了广义IoT时代的全新架构和完整解决方案，覆盖物联网、安防、车联网、工业互联网等领域。

“在数字证书体系和信息安全的产业内，有做芯片的，有做U盾的，有做数字证书的。总之，做密码密钥的这些企业是非常少的，现在，我们除了硬件的安全芯片没做，其他的都做了，而且做得很深。” 罗燕京如是说。

据罗燕京介绍，IoT时代的安全特征依据其现实场景，链接规模的增加是海量的。信长城依据IoT特性，从安全本质出发，基于标识认证技术设计的安全体系，实现端到端直接认证，端内完成安全计算，安全应用去中心化，做到了与协议无关，链接无关，不增加链接流量，不因安全而汇聚流量与链接，因此不影响IoT链接和终端的增加。“所以IoT应用需要链接和终端规模有多大，信长城的安全体系就适应支持多大，也可以理解为安全体制支持IoT终端规模无边界，这就是信长城支持超大规模IoT安全需求的能力表现。”

在安防领域，针对新增市场，信长城通过与安防厂商合作，在产品研发生产之初，就植入数字证书体系和相关安全技术，使其具备了很强的自身信息安全能力，直接部署实施即可;针对存量市场，就是已经在运行中的安防系统和产品，信长城专门设计了视频安全加密网关及其管理系统，由前端的安全准入与加密网关和服务端的解密服务器与加密网关管理系统组成，前端加密网关直接串行接入在运行中的摄像头后面，或者串行在多个摄像头通过路由汇聚后的端口即可;解密服务器和加密网关管理系统部署在安防监控中心内;前端的部署都是直接接入，不需要与原有安防系统和产品厂商进行技术和研发对接，简单便捷。

在车联网领域，信长城车联网安全方案，基于标识认证技术和密钥保护技术，对网内为车联网的各个参与角色，以及车内网络的各个模组、单元解决了其唯一身份标识的问题，在实际应用链接中提供可信身份认证，确保安全可信的链接建立;进而保护每个模组、单元其密钥的安全和应用环境的安全，使其不被盗、不被违规利用;为各类链接之间的数据和指令交互提供安全的加解密和签名验签能力，确保所有交互数据的安全与可信;对车联网发展基于可信认证体系，实现端到端直接认证，和便捷跨域交叉认证，对车联网的大规模发展提供了安全基础设施和高效的安全支撑能力，实现了不同域的车联网跨域交叉认证。

采访最后，罗燕京表示：“信长城是一个以标识认证技术为基础，针对IoT场景提供安全解决方案和产品的公司。我们的核心战略是为万物互联的世界提供安全基础设施，构建万物可信体系。我们希望为万物互联世界中的各种角色发放身份证，数字证书，并为他们提供应用的安全场景和安全的应用。”

【原创稿件，合作站点转载请注明原文作者和出处为.com】