小米移动推出SecSIM物联网安全方案
http://sme.51cto.com/art/201712/560632.htm
小米公司推出了SecSIM物联网安全方案。该方案简单来讲,就是结合SIM卡本身的安全特性,首先在SIM卡上增加了一块儿新的安全区域,在制卡阶段每张卡里存入不同的根秘钥,同时在云端的TSM中借助物理加密机也给每张卡生成相应的根秘钥。在使用过程中,会通过根秘钥协商出业务秘钥,然后用业务秘钥建立一个上层应用与自己服务端的安全通道,进而做到上下行数据的安全传输,还可以做到设备与云端的双向的身份认证。
小米移动所推出的这套物联网SecSIM物联网安全方案主要有一下七大优点:
(1)这是一种硬件级加密,安全级别在EAL4+级以上,而纯软件级别的加密最多只能做到EAL2的级别。
(2)这是一个一卡一密的方案。即使某个设备秘钥泄露也不会影响到其他设备。
(3)根秘钥与业务秘钥是分离的,业务秘钥可以随时更换。
(4)TSM与SP两个服务分离,SP服务可以部署在客户那里,业务秘钥由SP下发和管理,这样客户使用业务秘钥加密的数据,TSM是无法获取的。
(5)这个方案还和通信协议无关,无论是http、udp、tcp、mqtt都可以使用。
(6)任何的安全都不是绝对的。很多的安全漏洞其实是流程上管理的问题。小米的安全流程与运营商制作SIM卡的安全流程是一致的,这样在线下流程上也保证了绝对的安全。
(7)也是区别与其他SE方案的一点,该方案不需要增加新的物理元件,也就不需要做任何硬件上的改动,可以很容易的集成使用。
In theory there are some types of security control,
Pure software key (virtual TE): it is a s/w agent on device side and a paired key on edge controller. It is not necessary to install everything on TSM on cloud. Th key can be managed dynamically.
TE (trusted element): it is a s/w agent stored on device and a paired key on TSM side.
SE (security element): a hardware module on device with a s/w agent. It is paired with the key on TSM of cloud server.
沒有留言:
張貼留言