物聯網終端統一安全認證解決方案

1. 需求分析

      隨著物聯網的發展,基于物聯網而設備越來越多,但如何確保物聯網中各類終端、智能設備的安全也成為日益迫切需要解決的問題。目前,物聯網安全主要需要解決以下問題才能有效的確保整個系統的安全、可控。

• 身份認證

  防止攻擊者冒充合法用戶，以及防止物聯網設備被淪為DDOS“肉雞”，這就要求整個系統的任何一個節點都需要對訪問者的身份進行認證。

• 敏感數據的機密性

  防止非授權節點、傳輸途徑、交互過程中竊取信息，避免中間人攻擊。

• 敏感數據的完整性

  防止非授權節點、傳輸途徑、交互過程中竊取信息，避免中間人篡改數據。

• 訪問節點的可授權性
  控制網絡中每一個節點的訪問權限，防止節點訪問其他未經授權的資源。

2. DJUIAP概述

      DJUIAP（東進統一認證平臺）是東進技術基于公鑰密碼基礎設施（PKI）技術，嚴格遵循國家密碼管理局制定的《證書認證系統密碼及其相關安全技術規范》等標準，完全自主研發的商用密碼統一身份認證系統，主要為用戶提供多系統之間的統一身份認證、數據加解密、數據安全傳輸、應用系統安全集成等安全服務。
      DJUIAP的最大特點是它作為整個物聯網的基礎安全服務構件，為物聯網中的各應用系統、各終端節點提供數據安全服務集成、統一身份認證服務，同時，提供方便易用的運維管理工具，為合規性檢查提供有效的支撐。

3. 方案介紹

結合物聯網系統的應用場景以及系統組成，DJUIAP可以為物聯網系統提供以下服務：

1. 物聯網終端的接入平臺認證

對每一個智能終端（Andriod/Linux/其他單片機系統）DJUIAP提供接入認證、數據傳輸加密服務，通過對每一個智能終端簽發數字證書以及數據加密證書，通過數字證書進行身份認證，確保身份的合法性，通過數據加密證書，對傳輸中的敏感數據進行加密傳輸，確保數據的私密性。

對于非智能終端，DJUIAP將提供無感知終端加密模塊（型號為：DJEM-100），通過USB/LAN等通用接口，串接在非智能設備之前或者嵌入到非智能設備中，實現終端的身份認證以及數據的傳輸加解密，充分的保障整個系統的安全性。

2. 對系統管理員、操作員提供統一身份認證

采用硬加密介質（USB-KEY/IC卡）以及口令進行雙因素的認證，確保操作人員的合法性，并進行完善的日志記錄且提供審計功能，以便事后追溯。

3. 對物聯網絡中的各應用系統的合法性進行驗證

可通過對所有應用系統簽發數字證書，充分確保系統的訪問可控、安全。

4. 采用SSL VPN網關，對網絡的傳輸通道進行安全加密，確保數據在傳輸的過程中的安全