通过智能传感器来提高我们的信息安全

（文章来源：阿普多）
       工业互联网终端设备为了实现智能化，集成越来越多的传感器，产生了大量的数据，伴随而来的是数据泄露等安全问题。海量终端异构设备接入工业互联网进行信息交换和数据通信，应用场景复杂，因此安全防护变得更复杂，传统的安全防护手段无法直接应用于工业互联网环境。

无线接入是工业互联网实现终端设备快速便捷接入的重要技术。随着4G的普及与5G的发展，无线接入能力大大提高，但传统的接入认证存在严重的安全问题。目前，学术界在设备安全接入认证问题上的研究成果大多围绕公钥认证。

公钥基础设施（public key infrastructure，PKI）是目前使用最普遍的一种安全应用架构，然而PKI笨重的公钥证书管理和复杂的处理逻辑极大阻碍了PKI 系统在工业互联网中的应用。由此无证书公钥技术成为研究热点，其中基于身份的公钥加密（identity based encryption，IBE）体制最为引人注目。

提出基于XML 的IBE 密钥管理服务体系——IBE-XKMS，解决传统IBE方案跨域通信的问题。本文结合工业互联网中终端计算能力有限、不支持或难以实现公钥计算的特性，针对设备数据安全传输、数据共享等问题，设计了基于IBE-XKMS 的IBEXSec 框架。框架中网关对本地设备进行代理，向IBE-XKMS 请求公钥加密运算，减轻终端设备的计算压力。

终端设备的接入认证是确保工业互联网安全的第一道屏障，是工业互联网安全中不容忽视的难题。随着科技的发展，终端设备的计算能力、存储能力不断提高，身份认证技术也从简单的用户名/口令，逐渐发展到智能卡、动态口令、数字证书、生物特征识别、动态密码以及多因素认证。

终端身份认证的目的是防范非法接入和访问、假冒、抵赖、重放攻击等威胁，防止一切可能伪造和抵赖的因素。近几年，众多学者聚焦物联网系统的设备身份认证，提出了多种认证协议。这些协议可以分为两类：一类是基于计算成本低、消耗资源少的对称加密算法，该类协议迎合物联网终端设备资源有限和计算能力低的特性；另一类是基于计算量较大、安全性较高的非对称加密算法。

传统的网络边界瓦解，工业大数据开放共享，设备内置越来越多的传感器，短时期内传统的、有安全隐患的工业终端设备不会被替换，这给攻击者提供了攻击途径。因此，在进行设备认证和数据传输的时候，保护设备信息是一种有效手段，可以不用替换传统设备，成本较低。

未来的终端设备是传感器高度融合的，由多个传感器组成，每个传感器的功能可能不尽相同，多个传感器共同协作。一种情况是在数据共享中，用户请求的数据可能只是某一类数据，比如一个设备同时内置了温度传感器、湿度传感器、重力传感器、光电传感器、压力传感器等，然而用户只需要其中的温度数据；另一种情况是为保护设备隐私，隐藏设备真实信息，此时可申请设备的别名，别名与设备无关，基于第一种情况，别名的设置可与传感器有关。
      （责任编辑：fqj）