物联网轻量级鉴别安全认证系统包括哪些功能
物联网轻量级鉴别安全认证系统包括以下功能:
终端身份信息安全存储与防护:终端身份信息安全存储与防护是终端安全认证的一个重要组成部分。终端的身份信息包括终端的证书、私钥、密码参数、密码算法、系统参数等,这些信息是终端的私有信息,密码参数、密码算法、系统参数等信息也是整个系统的关键信息和数据,一旦泄露会给整个系统的安全带来严重的隐患和威胁。在物联网终端中可以采用专有的安全硬件(如安全SD卡/安全SIM卡)来存储终端的身份信息。
身份认证访问控制策略安全下发:由于网络安全接入与终端认证系统采用分布式部署,各认证网关之间需要交互信息,它们交互的信息包括设备工作状况、设备基本信息及身份认证访问控制策略,所有这些信息都是属于需要保护的信息。所以在核心网络的各认证网关之间建立安全隧道,保证身份认证、访问控制策略的安全下发。安全隧道的加密将采用高强度的密码算法进行加密。
基于角色的访问控制:权限管理和判决服务是建立在终端身份认证基础上的,即必须先经过身份认证,再根据该终端的身份进行权限的管理,权限管理和判决服务一般采用三个步骤实现。
证书、加密算法和密钥优化:对于证书一方面可以根据具体情况选择采用WTLS证书、URL、短期证书,另一方面通过采用ECC加密算法,使得证书的大小只有100多字节。在公钥算法方面可以采用ECC算法,它比RSA更适用无线环境下的通信,其安全性更高、计算量小、处理速度快、占用存储空间占用小和带宽要求低,是移动通信领域首选的密码算法。
证书操作协议优化:有线PKI服务请求的方法是依靠ASN.1中的基本编码规则(Basic Encoding Rules,BER)和特异编码规则(Disinguished Encoding Rules,DER)。BER/DER要占用很多的资源,超出了物联网终端设备正常运行时的资源,而WPKI协议是依靠WML和WMLScript Crypto API(WML Script)来完成的。当进行编码和提交PKI服务请求时,WML和WML Script能比PKI中的方法节约很多资源。
证书安全分发协议:证书的安全分发需要通过协议来保证,对WTLS协议进行分析、改造和实现,其中改造主要是指算法部分的改造。WTLS的作用是保证传输层的安全,作为WAP协议栈的一个层次向上层提供安全传输服务接口。WTLS是以安全协议TLS1.0标准为基础发展而来的,提供通信双方数据的机密性、完整性和通信双方的鉴权机制。WTLS在TLS的基础上根据无线环境、长距离、低带宽及自身的适用范围等增加了一些新的特性,如对数据报的支持、握手协议的优化和动态密钥刷新等。