物联网终端统一安全认证解决方案

1. 需求分析

      随着物联网的发展,基于物联网而设备越来越多,但如何确保物联网中各类终端、智能设备的安全也成为日益迫切需要解决的问题。目前,物联网安全主要需要解决以下问题才能有效的确保整个系统的安全、可控。

• 身份认证

  防止攻击者冒充合法用户，以及防止物联网设备被沦为DDOS“肉鸡”，这就要求整个系统的任何一个节点都需要对访问者的身份进行认证。

• 敏感数据的机密性

  防止非授权节点、传输途径、交互过程中窃取信息，避免中间人攻击。

• 敏感数据的完整性

  防止非授权节点、传输途径、交互过程中窃取信息，避免中间人篡改数据。

• 访问节点的可授权性
  控制网络中每一个节点的访问权限，防止节点访问其他未经授权的资源。

2. DJUIAP概述

      DJUIAP（东进统一认证平台）是东进技术基于公钥密码基础设施（PKI）技术，严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》等标准，完全自主研发的商用密码统一身份认证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、应用系统安全集成等安全服务。
      DJUIAP的最大特点是它作为整个物联网的基础安全服务构件，为物联网中的各应用系统、各终端节点提供数据安全服务集成、统一身份认证服务，同时，提供方便易用的运维管理工具，为合规性检查提供有效的支撑。

3. 方案介绍

结合物联网系统的应用场景以及系统组成，DJUIAP可以为物联网系统提供以下服务：

1. 物联网终端的接入平台认证

对每一个智能终端（Andriod/Linux/其他单片机系统）DJUIAP提供接入认证、数据传输加密服务，通过对每一个智能终端签发数字证书以及数据加密证书，通过数字证书进行身份认证，确保身份的合法性，通过数据加密证书，对传输中的敏感数据进行加密传输，确保数据的私密性。

对于非智能终端，DJUIAP将提供无感知终端加密模块（型号为：DJEM-100），通过USB/LAN等通用接口，串接在非智能设备之前或者嵌入到非智能设备中，实现终端的身份认证以及数据的传输加解密，充分的保障整个系统的安全性。

2. 对系统管理员、操作员提供统一身份认证

采用硬加密介质（USB-KEY/IC卡）以及口令进行双因素的认证，确保操作人员的合法性，并进行完善的日志记录且提供审计功能，以便事后追溯。

3. 对物联网络中的各应用系统的合法性进行验证

可通过对所有应用系统签发数字证书，充分确保系统的访问可控、安全。

4. 采用SSL VPN网关，对网络的传输通道进行安全加密，确保数据在传输的过程中的安全