羅永劍
(廣東原創(chuàng)科技有限公司,廣東 惠州 516003)
0 引 言
隨著物聯(lián)網(wǎng)和5G 通信技術(shù)的快速發(fā)展,如何保障這一新興領(lǐng)域中的數(shù)據(jù)安全成為一個(gè)重要的研究課題。物聯(lián)網(wǎng)設(shè)備的廣泛部署和5G 網(wǎng)絡(luò)的高速特性帶來(lái)前所未有的挑戰(zhàn),尤其是在確保數(shù)據(jù)傳輸過(guò)程中的安全性方面。文章的研究背景聚焦于物聯(lián)網(wǎng)在5G 環(huán)境下的安全問(wèn)題,特別是如何通過(guò)端到端加密策略來(lái)保護(hù)數(shù)據(jù)免受未授權(quán)訪問(wèn)和攻擊。
物聯(lián)網(wǎng)的概念起源于20 世紀(jì)末,指通過(guò)先進(jìn)的信息技術(shù)將各種信息傳感設(shè)備與網(wǎng)絡(luò)結(jié)合,實(shí)現(xiàn)物與物、物與人之間智能化的信息交換和通信。隨著傳感器技術(shù)、無(wú)線通信和互聯(lián)網(wǎng)的快速發(fā)展,物聯(lián)網(wǎng)技術(shù)得到極大的推廣[1]。目前,全球物聯(lián)網(wǎng)市場(chǎng)規(guī)模迅速擴(kuò)張,根據(jù)國(guó)際數(shù)據(jù)公司(International Data Corporation,IDC)的報(bào)告,預(yù)計(jì)到2025 年,全球物聯(lián)網(wǎng)支出將超過(guò)1.1 萬(wàn)億美元。物聯(lián)網(wǎng)的應(yīng)用領(lǐng)域極為廣泛,從智能家居、智慧農(nóng)業(yè)到工業(yè)自動(dòng)化、智能城市建設(shè)等,物聯(lián)網(wǎng)技術(shù)正逐步滲透到人們生活的各個(gè)方面。
5G 通信技術(shù)則是物聯(lián)網(wǎng)技術(shù)發(fā)展的另一驅(qū)動(dòng)力,不僅提供了更高的數(shù)據(jù)傳輸速度(最高理論速度可達(dá)20 Gb/s),還大幅降低網(wǎng)絡(luò)延遲(最低可達(dá)1 ms),這對(duì)于實(shí)時(shí)性要求極高的物聯(lián)網(wǎng)應(yīng)用至關(guān)重要。根據(jù)國(guó)際電信聯(lián)盟(International Telecommunication Union,ITU)關(guān)于5G 網(wǎng)絡(luò)的標(biāo)準(zhǔn),5G 技術(shù)支持每平方公里連接高達(dá)100 萬(wàn)個(gè)設(shè)備[2]。這一特性使得5G成為物聯(lián)網(wǎng)大規(guī)模部署的理想選擇。截至目前,全球已有多個(gè)國(guó)家和地區(qū)部署5G 網(wǎng)絡(luò),預(yù)計(jì)到2025 年,全球5G 用戶數(shù)將超過(guò)25 億。5G 的推廣和應(yīng)用將極大地促進(jìn)物聯(lián)網(wǎng)技術(shù)在各個(gè)領(lǐng)域的深入應(yīng)用,從而推動(dòng)整個(gè)社會(huì)的數(shù)字化轉(zhuǎn)型。
2 端到端加密技術(shù)的需求分析
2.1 數(shù)據(jù)安全性
從數(shù)據(jù)安全性的角度出發(fā),物聯(lián)網(wǎng)環(huán)境中的數(shù)據(jù)安全性要求極高。例如,根據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001,信息安全管理體系要求保障數(shù)據(jù)的機(jī)密性、完整性以及可用性。在物聯(lián)網(wǎng)的應(yīng)用中,如智能家居系統(tǒng)中的個(gè)人隱私數(shù)據(jù),其加密標(biāo)準(zhǔn)需要遵循高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard,AES)128 位或更高位的加密算法[3]。在5G 通信環(huán)境中,由于網(wǎng)絡(luò)的高速傳輸特性,數(shù)據(jù)的傳輸量呈指數(shù)級(jí)增長(zhǎng)。例如,5G 網(wǎng)絡(luò)的峰值數(shù)據(jù)速率可以達(dá)到20 Gb/s,這對(duì)加密技術(shù)提出了更高的效率要求,即在保證數(shù)據(jù)傳輸速率的同時(shí),還要確保數(shù)據(jù)的加密強(qiáng)度。
2.2 性能與效率需求
考慮到性能與效率,物聯(lián)網(wǎng)設(shè)備往往具有有限的計(jì)算資源和電池容量。這要求加密算法在保證安全的前提下,盡可能地減少對(duì)設(shè)備性能的影響。根據(jù)ITU 對(duì)5G 網(wǎng)絡(luò)的技術(shù)規(guī)范,端到端延遲不應(yīng)超過(guò)1 ms。因此,加密算法在物聯(lián)網(wǎng)設(shè)備上的執(zhí)行時(shí)間必須在毫秒級(jí)以內(nèi),以滿足實(shí)時(shí)性的要求。同時(shí),在物聯(lián)網(wǎng)設(shè)備上運(yùn)行的加密算法還應(yīng)考慮能耗問(wèn)題。例如,算法在執(zhí)行時(shí)應(yīng)保持設(shè)備的功耗在特定范圍內(nèi),如不超過(guò)設(shè)備正常功耗的10%。
2.3 適應(yīng)性和兼容性需求
適應(yīng)性和兼容性也是評(píng)估端到端加密技術(shù)的重要標(biāo)準(zhǔn)。物聯(lián)網(wǎng)環(huán)境包含各種不同類型的設(shè)備和應(yīng)用場(chǎng)景,這就要求加密技術(shù)能夠兼容不同的操作系統(tǒng)、硬件平臺(tái)和網(wǎng)絡(luò)協(xié)議。例如,物聯(lián)網(wǎng)設(shè)備可能運(yùn)行于不同版本的Linux 或?qū)崟r(shí)操作系統(tǒng)(Real Time Operating System,RTOS),因此加密算法需要能夠在這些不同的系統(tǒng)上高效運(yùn)行。另外,隨著新的安全威脅不斷出現(xiàn),端到端加密算法需要具備一定的靈活性和可擴(kuò)展性,以應(yīng)對(duì)未來(lái)的挑戰(zhàn)。例如,隨著量子計(jì)算的發(fā)展,傳統(tǒng)的加密算法可能面臨被破解的風(fēng)險(xiǎn),因此物聯(lián)網(wǎng)中的端到端加密技術(shù)需考慮未來(lái)可能采用量子安全的加密算法,以保證長(zhǎng)期的數(shù)據(jù)安全。
3.1 高效適應(yīng)性加密算法的應(yīng)用
在5G 物聯(lián)網(wǎng)中應(yīng)用高效適應(yīng)性加密算法,首先須考慮算法與5G 網(wǎng)絡(luò)特性的適配性。5G 網(wǎng)絡(luò)的關(guān)鍵特征包括高數(shù)據(jù)傳輸速率和低延遲,這對(duì)加密算法提出特定的性能要求。例如,5G 的理論峰值速率可達(dá)20 Gb/s,而端到端延遲理論上可低至1 ms。因此,加密算法必須在不顯著增加傳輸延遲的情況下,處理高速傳輸?shù)臄?shù)據(jù)[4]。為此,算法的計(jì)算復(fù)雜度須保持在合理范圍內(nèi),以避免對(duì)設(shè)備處理能力的過(guò)度消耗。在物聯(lián)網(wǎng)環(huán)境中,設(shè)備的計(jì)算能力和電源容量各異。例如,一個(gè)簡(jiǎn)單的傳感器可能只有有限的計(jì)算資源,而一個(gè)智能網(wǎng)關(guān)可能擁有更強(qiáng)大的處理能力。適應(yīng)性加密算法應(yīng)能根據(jù)設(shè)備的能力動(dòng)態(tài)調(diào)整加密級(jí)別和算法復(fù)雜度。例如,對(duì)于計(jì)算能力較低的設(shè)備,可能采用輕量級(jí)的加密算法,如輕量級(jí)版的AES 或橢圓曲線加密算法(Elliptic Curves Cryptography,ECC),而對(duì)于計(jì)算能力較強(qiáng)的設(shè)備,則可采用標(biāo)準(zhǔn)AES-256加密。5G 物聯(lián)網(wǎng)中不同加密算法的性能如表1 所示。
表1 5G 物聯(lián)網(wǎng)中不同加密算法的性能
考慮物聯(lián)網(wǎng)設(shè)備在5G 網(wǎng)絡(luò)中的多樣性,高效適應(yīng)性加密算法的應(yīng)用必須覆蓋各種不同的使用場(chǎng)景。以智能城市為例,其中包括從交通信號(hào)燈到高清攝像頭的各種設(shè)備。在這樣的場(chǎng)景下,交通信號(hào)燈可能僅需要基本的加密保護(hù),因?yàn)樗鼈鬏數(shù)臄?shù)據(jù)相對(duì)不敏感。此時(shí),可采用輕量級(jí)的加密方法,以減少對(duì)設(shè)備性能的影響和延長(zhǎng)電池壽命。相比之下,高清攝像頭則可能涉及更為敏感的數(shù)據(jù),如公共安全監(jiān)控畫面,因此需要采用更強(qiáng)的加密方法,如AES-256[5]。在這種情況下,雖然加密過(guò)程對(duì)計(jì)算資源的需求更高,但是攝像頭通常連接到電源并擁有較強(qiáng)的處理能力,因此這種加密策略是可行且必要的。
3.2 基于5G 特性的安全網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)
3.2.1 利用5G 網(wǎng)絡(luò)切片實(shí)現(xiàn)安全隔離
在設(shè)計(jì)基于5G 特性的安全網(wǎng)絡(luò)架構(gòu)時(shí),網(wǎng)絡(luò)切片技術(shù)是實(shí)現(xiàn)數(shù)據(jù)傳輸安全隔離的關(guān)鍵。5G 網(wǎng)絡(luò)切片允許運(yùn)營(yíng)商在同一物理網(wǎng)絡(luò)上創(chuàng)建多個(gè)虛擬網(wǎng)絡(luò),每個(gè)網(wǎng)絡(luò)切片都可以有其獨(dú)立的網(wǎng)絡(luò)架構(gòu)和安全設(shè)置。這種技術(shù)使得物聯(lián)網(wǎng)應(yīng)用能夠根據(jù)其安全需求和數(shù)據(jù)傳輸特點(diǎn),選擇或定制相應(yīng)的網(wǎng)絡(luò)切片[6]。例如,在一個(gè)智能工廠中,可以為與生產(chǎn)線直接相關(guān)的關(guān)鍵設(shè)備配置一個(gè)高安全級(jí)別的網(wǎng)絡(luò)切片,該切片可以采用更強(qiáng)的加密措施和嚴(yán)格的數(shù)據(jù)訪問(wèn)控制。而對(duì)于不涉及關(guān)鍵操作的設(shè)備,如環(huán)境監(jiān)測(cè)傳感器,可以配置一個(gè)安全級(jí)別較低的切片,以優(yōu)化數(shù)據(jù)傳輸效率和降低運(yùn)營(yíng)成本。5G 網(wǎng)絡(luò)切片用于安全隔離的性能對(duì)比如表2 所示。
表2 5G 網(wǎng)絡(luò)切片用于安全隔離的性能對(duì)比
3.2.2 端到端加密在網(wǎng)絡(luò)架構(gòu)中的集成
為確保數(shù)據(jù)在5G 物聯(lián)網(wǎng)中的安全傳輸,端到端加密技術(shù)需要被集成于整個(gè)網(wǎng)絡(luò)架構(gòu)。這要求在5G網(wǎng)絡(luò)的設(shè)計(jì)初期就將加密機(jī)制作為核心組成部分。端到端加密的實(shí)現(xiàn)應(yīng)覆蓋從物聯(lián)網(wǎng)設(shè)備到網(wǎng)絡(luò)核心,再到最終數(shù)據(jù)處理中心或云平臺(tái)的整個(gè)數(shù)據(jù)傳輸過(guò)程。在實(shí)施端到端加密時(shí),需要考慮5G 網(wǎng)絡(luò)的高吞吐量和低延遲特性。例如,對(duì)于實(shí)時(shí)性要求極高的應(yīng)用,如自動(dòng)駕駛或遠(yuǎn)程醫(yī)療,端到端加密算法需要優(yōu)化以減少加密和解密過(guò)程中的延時(shí),確保數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性不受影響。
3.2.3 強(qiáng)化認(rèn)證和授權(quán)機(jī)制
在基于5G 特性的安全網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中,強(qiáng)化認(rèn)證和授權(quán)機(jī)制是保障網(wǎng)絡(luò)和數(shù)據(jù)安全的另一關(guān)鍵方面。由于物聯(lián)網(wǎng)設(shè)備的多樣性和數(shù)量眾多,確保每個(gè)設(shè)備的身份的正確性和合法性對(duì)于防止未授權(quán)訪問(wèn)和數(shù)據(jù)泄露至關(guān)重要。因此,5G 網(wǎng)絡(luò)架構(gòu)應(yīng)包含一套全面的設(shè)備認(rèn)證和授權(quán)系統(tǒng)。該系統(tǒng)可以基于多因素認(rèn)證機(jī)制,結(jié)合設(shè)備硬件標(biāo)識(shí)、用戶識(shí)別卡(Subscriber Identification Module,SIM)卡信息、用戶憑據(jù)等多重認(rèn)證因素,提高認(rèn)證的安全性。例如,對(duì)于關(guān)鍵的物聯(lián)網(wǎng)設(shè)備,如能源管理系統(tǒng)中的智能電表,不僅可以進(jìn)行常規(guī)的密碼認(rèn)證,還可以進(jìn)行基于設(shè)備特有標(biāo)識(shí)的硬件級(jí)認(rèn)證。
3.3 密鑰管理與身份認(rèn)證機(jī)制
3.3.1 密鑰管理策略的設(shè)計(jì)與實(shí)施
在5G 物聯(lián)網(wǎng)環(huán)境中,密鑰管理策略的設(shè)計(jì)和實(shí)施需要符合國(guó)際標(biāo)準(zhǔn)如ANSI X9.63 和ISO/IEC 11770-1。這些標(biāo)準(zhǔn)規(guī)定了密鑰管理的基本要求,包括密鑰的生成、分發(fā)、存儲(chǔ)、使用和廢止。例如,密鑰生成應(yīng)采用強(qiáng)隨機(jī)數(shù)生成器,符合FIPS 140-2 級(jí)別的安全要求。在密鑰分發(fā)過(guò)程中,應(yīng)使用基于TLS 1.3協(xié)議的安全通信渠道,該協(xié)議提供改進(jìn)的安全特性,如更強(qiáng)的加密算法和更快的握手過(guò)程。考慮物聯(lián)網(wǎng)設(shè)備的多樣性,密鑰管理系統(tǒng)需要支持跨多種設(shè)備和平臺(tái)的兼容性。例如,在一個(gè)由各種傳感器、攝像頭和控制單元組成的物聯(lián)網(wǎng)系統(tǒng)中,密鑰管理系統(tǒng)需要能夠適應(yīng)從低功耗傳感器到高性能處理器的不同計(jì)算能力。密鑰存儲(chǔ)方面,對(duì)于關(guān)鍵設(shè)備,如數(shù)據(jù)中心的服務(wù)器,建議使用硬件安全模塊(Hardware Security Module,HSM)來(lái)提高密鑰的物理安全性;對(duì)于邊緣設(shè)備,如工業(yè)傳感器,可采用可信平臺(tái)模塊(Trusted Platform Module,TPM)或軟件基礎(chǔ)的安全存儲(chǔ)解決方案。
3.3.2 身份認(rèn)證機(jī)制的設(shè)計(jì)與應(yīng)用
對(duì)于身份認(rèn)證機(jī)制的設(shè)計(jì)和應(yīng)用,需要遵循如ETSI TS 123 501 和3GPP TS 33.501 等5G 安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)定義5G 網(wǎng)絡(luò)中設(shè)備身份驗(yàn)證和用戶身份驗(yàn)證的過(guò)程。身份認(rèn)證機(jī)制應(yīng)采用多因素認(rèn)證方法,結(jié)合物理和邏輯安全措施。例如,物理安全措施可以包括SIM 卡的使用和設(shè)備特有的硬件標(biāo)識(shí)符,而邏輯安全措施則可以是密碼、數(shù)字證書或生物識(shí)別技術(shù)。此外,在5G 物聯(lián)網(wǎng)環(huán)境中,身份認(rèn)證機(jī)制需要考慮網(wǎng)絡(luò)的高動(dòng)態(tài)性和設(shè)備的流動(dòng)性。這意味著認(rèn)證機(jī)制應(yīng)支持快速重新認(rèn)證和動(dòng)態(tài)身份驗(yàn)證。例如,對(duì)于在5G 網(wǎng)絡(luò)中移動(dòng)的車載單元,身份認(rèn)證系統(tǒng)應(yīng)能夠在毫秒級(jí)別完成認(rèn)證過(guò)程,以減少網(wǎng)絡(luò)切換時(shí)的延遲。
4 結(jié) 論
文章全面5G 通信技術(shù)在物聯(lián)網(wǎng)中實(shí)施端到端加密策略的關(guān)鍵方面,包括適應(yīng)性強(qiáng)的加密算法選擇、基于5G 特性的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)以及密鑰管理與身份認(rèn)證機(jī)制的實(shí)施。研究指出,隨著5G 技術(shù)的快速發(fā)展和物聯(lián)網(wǎng)應(yīng)用的日益普及,確保數(shù)據(jù)傳輸?shù)陌踩宰兊糜葹橹匾N恼律钊胩接懭绾卧?G 環(huán)境下通過(guò)高效且適應(yīng)性強(qiáng)的加密算法、安全的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)以及嚴(yán)格的密鑰管理與身份認(rèn)證機(jī)制來(lái)保障物聯(lián)網(wǎng)中的數(shù)據(jù)安全。這些策略的實(shí)施,不僅提高物聯(lián)網(wǎng)在5G 環(huán)境下的安全性,也為未來(lái)物聯(lián)網(wǎng)安全提供了可靠的參考。
