智库丨“中科芯安全通讯系统”：确保物联网信息安全“万无一失”

“中科芯安全通讯系统”：确保物联网信息安全“万无一失”

中经社分析师 朱程

物联网应用深度、广度不断拓展，对物联网信息安全提出更高要求。中科芯集成电路股份有限公司自主研发的安全通信系统，在国密标准的基础上，创新设计安全通讯体系，自主研发数字信封技术和高效语音通信信令技术，在安全芯片中精准绑定使用者身份，以毫秒级速度完成数据加、解密，有效杜绝信息泄露风险，确保物联网信息传输安全、灵活、高效。该系统适配性好、使用便捷，安全性能达国际先进水平，在无锡市多个党政部门和重要系统使用，成为物联网应用的新一代“安全卫士”。

该案例入选由中国经济信息社与无锡市政府联合评选、发布的“无锡物联网应用2016年度十大案例”。

物联网应用安全为要，安全芯片为信息上锁

随着物联网应用深度和广度的不断拓展，人、机、物之间的联系日益紧密，这为生活生产带来便利，也带来巨大的安全隐患。一旦出现问题，其影响很可能溢出网络这一虚拟层面，经各类设备设施，对社会、经济，甚至人身安全造成实际危害。因此，保证物联网应用的安全、可靠，是未来发展的重中之重。

“我们认为，在物联网传统架构中，连接虚拟与现实两大部分的‘应用层’最需要安全保护。这其中，又以手机的安全防护最为紧要。当前，汇集了大量功能与数据的手机已成为物联网架构中的重要一环，被不法分子觊觎。手机木马、系统后门等安全问题层出不穷，迫切需要加装一把安全锁。”中科芯集成电路股份有限公司总经理刘岱说。

现阶段，手机信息防护主要有软、硬两大路径。

“软路径”主要指安装安全应用软件。该方法操作便捷、通用性强、价格便宜，但软件加密是在操作系统环境下运算，容易被窥探和劫持。目前我国主流手机操作系统多由国外开发，存在诸多未知领域，如果仅靠软件防护，安全性不高。

“硬路径”是给设备加装固定的安全芯片，即开发定制终端。这虽然提高了安全性，但研发周期比通用终端长，设备价格贵，更新换代不便。同时，由于安全芯片生产、制造是一个系统化工程，人、财、物投入大，会对企业造成财务压力。

“中科芯采取的办法是‘软硬结合’。依托安全芯片对使用者身份进行绑定，对信息进行加、解密。依托专用软件简化使用流程、优化客户体验。同时，依托后台平台对所有芯片进行管理，并根据客户需求拓展应用。”刘岱说，“我们之所以将安全模块融入TF卡，主要是因为TF卡接口是手机等移动设备中为数不多的标准接口，用户只需插入安全TF卡并安装对应的软件，就可以为普通设备加装安全模块，从而极大降低投入成本，拓宽应用范围。”

刘岱演示了整套系统操作流程。他将安全TF卡插入一台手机后，屏幕上自动弹出一个名为“移动宝”应用的安装界面。打开软件并注册后，可以看到“密信”、“安全通话”等功能，使用起来与平常发短信、打电话无异。特殊的是，如果与同样安装有安全TF卡的设备进行通话，声音清晰且没有任何延迟，如果与未安装安全TF卡设备进行通话，另一端收到的只有杂音。

目前，该系统已在无锡市市委办、政府办、纪委、台办、无锡移动等重要、敏感部门投入应用。中国移动通信集团无锡分公司政企客户部副总经理郑斌说：“该系统在技术方面具有独到之处。现在哪怕终端丢失或者用户名和密码泄露，都不会对数据产生威胁。同时，它使用方便、适配性强，对用户来说也更容易接受。”

三大秘笈为信息安全铸就“铜墙铁壁”

中科芯是我国从事国家重要电子信息系统、软件和关键元器件的研发生产骨干单位，拥有丰富的开发经验和良好的研发生产条件，具备安全芯片从设计、制造、测试、封装、应用等全流程生产能力。在基于安全TF卡的安全通信系统中，中科芯使出三大独门秘笈，严守信息安全大门。

——建立基于国密标准的安全通信体系。

安全通信体系的核心在密码。中科芯依据的国密标准是国家商用密码管理办公室制定的一系列密码标准。常用的加密算法包括对称和非对称两种。

对称算法是指双方用同一套密码体系进行交流，优点是效率高，但安全性一般。非对称算法是双方各有两把秘钥，一把用于数据加密，可随意发给期望同密钥持有者进行安全通信的人，一把用于解密，仅属于密钥持有者。该方法安全性较高，但加密速度慢。

中科芯采取的办法是，在传统非对称算法中引用HASH算法。它是非对称算法的一种衍生，是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程，从而确保信息的安全性。同时，该算法可以将任意长度的输入，经过变化以后，得到固定长度的输出，因此它可以快速生成加密数据。

在中科芯建立的这套安全通信体系中，数据的加、解码过程均在安全芯片中完成。这些安全芯片在无网环境下生产，内部拥有独立的处理器和存储单元，一旦被激活就会根据密码体系自动生成两把秘钥。所有秘钥均封存于设备之中，如果用一般计算机进行破解，需要花1020年才能“找”到它们。

——引入数字信封技术实现智能移动终端间的密钥分发。

手机拨打电话、收发短信使用的通讯线路与上网使用的线路不同。其中，无线网络传输带宽更大，速度更快，应用范围也更广。因此，中科芯将无线网络作为整套安全通信体系的数据流通通道。但这也产生了一个问题。

普通的密钥协商机制存在退回机制，即通讯双方有一方不连接网络时，另一方发出的内容会因无法确定信息接收方的存在而被退回，这对于收发短信来说影响较为明显。目前，许多移动终端并不能做到无时无刻联网，网络状况的稳定性也无法保证，极有可能出现一方发出的短信无法及时传到目标对象手中的情况，使用不便。

中科芯采取数字信封技术，利用接收方公钥生成会话密钥密文，该密文随着加密的数据内容一并发送给服务器。接收方可在之后的任意时间从服务器获取加密数据和加密会话密钥，进行非实时通信。

“数字信封的功能类似于普通信封，它为暂时存放于服务器内的数据再上了一把安全锁。当对方接收到信息后，需要用自己的身份信息取出专门的钥匙，再用这把钥匙打开装有通讯信息的集装箱。该方法极大提升了系统应用的灵活性，也确保消息内容无法被第三方破解。”刘岱说。

——研发高效语音通信信令技术确保通讯体验。

目前，普通VOIP（网络电话）语音通讯多采用通用国外开发的SIP协议（会话初始协议）栈进行传输，如Linphone、doubange等，协议复杂，执行效率差，采用的加密算法也不符合国密规范，存在安全隐患。

中科芯借鉴通用SIP协议栈的通信方式，基于UDP协议（用户数据报协议）研制高效语音通信协议栈，协议简洁、执行效率高。同时，搭配数字信封技术和HASH算法，可极大提高了该技术的完整性和安全性。

“简单地说，我们在国际公路上建设起两座符合我国标准的高架桥。然后，我们将信息分解到这两座高架上。其中，用于核实身份的信息数量较少，走慢一点的路，海量的语音通讯信息则被分装到一个个标准集装箱内走高速公路，从而提升数据传输效率。”刘岱说。

数据显示，中科芯研制的这套语音通信信令技术，加、解密过程以毫秒计，用户在使用过程中几乎感觉不到任何延迟。

优化软硬件布局 为物联网应用提供安全解决方案

目前，中科芯研发的这套安全通信系统主要为手机之间的语音、文字信息交互提供安全保护，但它完全具备向物联网应用推广的能力。中科芯正从三方面进一步优化软硬件系统，为嫁接物联网应用拓宽道路。

打造安全服务云平台。目前，中科芯安全通讯系统的后台系统主要负责对安全芯片进行实时管理，如果发现异常情况，可对该卡进行远程注销。中科芯在此基础上打造安全服务云平台，融入云存储、云计算、云安全等功能，可与第三方物联网应用平台进行对接，为其提供包括运营管理、资源整合等全方位安全服务。

拓宽硬件适配范围。中科芯正尝试跳出TF卡形式，进一步拓展安全芯片的使用范围。如中科芯正在研制的一种安全手环，它将安全芯片与蓝牙、无线模块相结合，从而打破物理卡口限制，外接设备只需同该手环进行无线配对，就能拥有安全防护功能。

试水物联网应用。中科芯正在开发的“基于加密TF卡的安全移动OA平台”，可使安防、交通等敏感领域的物联网应用从内网局限中解放出来，真正利用移动设备进行远程监控。中科芯也正在开发智慧楼宇应用系统，依托在楼宇网关加装安全TF卡，确保对楼宇内空调、电灯、摄像头等系列设备的智能化管控，防范恶意侵入。

“在商业推广上，我们选择与运营商合作，依托给网关等关键设备安装安全芯片，构建起一张安全网络。这一方面减少了企业在基站、服务器等基础设备上的投入，一方面也提高了后期服务的质量。同时，我们与运营商共同设计套餐，凭借其强大的营销网络，快速拓展市场。”刘岱说。

企业简介

中科芯集成电路股份有限公司是中国电子科技集团公司下属企业，主要从事国家重要电子信息系统、软件和关键元器件的研发生产，具备集成电路设计、制造、测试、封装、可靠性、应用支撑等完整产业链条。公司研发实力雄厚，累计获得各类国家级科研成果奖项18项，部级44项，国防类22项，在我国集成电路领域拥有“我国第一块实用化卫星用SO1 CMOS专用集成电路”等多个“第一”。

本文系中国经济信息社江苏中心出品。

【最江苏】：第一时间发布、解读江苏最新经济、社会、政治、文化、民生动态，用原创荡涤纷杂，用思想解读资讯，用情怀传递观点。

※欢迎关注“最江苏”微信公众号（微信号：zuijiangsu）←长按复制，看更多精彩内容！