信安世紀：構建海爾U+智慧家庭安全防線

圖1 由用戶到平臺統一標識，安全認證

隨著智慧家庭概念的興起和發展，越來越多的智能家電開始融入到廣大家庭當中，為消費者帶來便利。海爾的U+智慧生活平臺（以下簡稱“U+平臺”）在這樣的大背景下應運而生，而U+平臺中重要的物聯網安全領域，海爾選擇了與北京信安世紀科技股份有限公司（以下簡稱“信安世紀”）建立密切的合作關系。

項目背景

U+平臺是海爾旗下智慧家庭領域全開放、全兼容、全交互的智慧生活平臺。U+平臺以U+物聯平臺、U+大數據平臺、U+交互平臺、U+生態平臺為基礎，以引領物聯網時代智慧家庭為目標，以用戶社群為中心，搭建U+智慧生活平臺的物聯云和云腦，為行業提供物聯網時代智慧家庭全場景生態解決方案。

作為面向家庭用戶的物聯網服務平臺，U+平臺更加關注平臺信息安全與用戶隱私保護。面對復雜多樣的物聯網安全威脅，U+平臺綜合應用PKI密碼技術結合“端、管、云”物聯網模型，建立了三道安全防線，為平臺接入制造商及終端用戶提供安全保障服務。

解決方案部署

1.統一標識，安全認證

弱密碼是物聯網應用中普遍存在的安全問題，由于我國智能家電行業安全技術標準的缺失，設備種類繁多，“弱密碼、無密碼、默認密碼”問題在實際應用中更為突出。

鑒于以上安全需求，U+平臺選用信安世紀物聯網CA系統，通過為智能設備、平臺系統、終端用戶頒發數字證書的方式，實現對平臺通信實體的統一標識，進而建立了由用戶到平臺到設備間的信任防線，如圖1所示。

在設備端，WiFi模組、智能臺燈等造價較低的小家電產品，統一采用軟件密碼模塊的技術實現數字證書的安全存儲與應用。智能冰箱、智能電視等密碼運算性能要求較高的大家電產品采用軟硬件密碼模塊相結合的方式實現數字證書的安全存儲與應用。所有設備證書在出廠階段，可通過定制的燒錄工具與U+平臺CA進行交互，實現批量注冊、批量燒錄，進而滿足制造商產能要求。

在用戶端，用戶注冊開通U+ APP后，U+平臺CA將自動為用戶簽發綁定該用戶身份及設備信息的用戶證書，以確保該用戶對該設備絕對歸屬權，防止惡意盜用。同時，該證書將用于對隱私數據的加密，確保用戶隱私數據只有該用戶才能讀取。

在平臺端，U+平臺CA為U+平臺系統、第三方外部系統簽發平臺數字證書，保障數據共享、接口調用時通信實體身份的真實性。

用戶與平臺、設備與平臺、用戶與設備、平臺與平臺等實體間通信時，統一采用數字簽名技術，實現通信雙方的安全認證，進而規避“弱密碼、無密碼、默認密碼”所帶來的安全風險。

2.通信加密，信令認證

圖2 通信加密，信令認證

圖3 固件簽名，可信執行

物聯網設備與平臺間、用戶與物聯網設備間通信采用明文協議或安全協議配置不正確是導致不法分子有機可乘的主要原因，進而造成敏感信息泄露、非法設備利用等安全問題。U+平臺在用戶、智能家電、平臺間強制采用SSL安全協議，并開啟雙向認證功能，有效防止中間人攻擊等，形成數據傳輸加密防線。

同時，U+平臺在遠程調用智能家電時，要求用戶使用其U+APP中的數字證書對操作信令進行簽名，由智能家電進行簽名驗證，進而阻斷信令重放，防止智能家電的非授權訪問。

另外，U+平臺還采用了DTLS、QUIC等輕量級SSL協議，進一步保障加密通信技術在小家電中的可用性，降低設備功耗，提高傳輸效率，如圖2所示。

3.固件簽名，可信執行

安全認證、傳輸加密等技術可有效解決物聯網實體交互過程中的安全問題，但物聯網設備本身的安全性是實施所有安全策略的基礎。非法固件升級、本地存儲數據讀取等是針對物聯網智能設備攻擊的常用手段，對此，U+平臺基于數字證書技術結合可信執行技術，實現對系統固件的簽名驗證及核心代碼的可信執行，構建了可信安全防線，如圖3所示。

U+平臺基于信安世紀MSDK安全中間件為智能家電設備端提供了TrustZone版、白盒版（軟件版）可信執行開發組件，能夠為智能設備提供安全引導、安全固件校驗、核心代碼安全執行等功能，進而提供智能家電本體的安全性。

方案價值

信安世紀幫助海爾U+平臺基于PKI密碼技術建設的三道安全防線，綜合運用安全認證、加密傳輸、可信執行等技術形成了U+平臺服務的安全基線，有效保障了平臺4000萬終端設備的安全性，落實了用戶敏感信息與隱私保護的責任，信安世紀將與海爾一起攜手引領物聯網時代智慧家庭。

點評

近年來物聯網迎來爆發期，其背后的安全問題變得尤為突出。信安世紀從安全認證出發，幫助海爾U+平臺實現基于PKI密碼技術的安全認證體系，實現三道安全防線的縱深防護，有效解決傳統物聯網終端弱密碼等所帶來的安全風險。