基于SE和TEE技術(shù)的物聯(lián)網(wǎng)安全解決方案ThomasWangXuelin(汪雪林)Email:xuelin.wang@BeijingWatchdataSystemCo.ltd17.08.17物聯(lián)網(wǎng)將為人類的生產(chǎn)生活帶來一場巨大變革 物聯(lián)網(wǎng)賦予連接物以智能，從而提供人類更好的生存狀態(tài)與更大的自由度物聯(lián)網(wǎng)設備面臨攻擊浪潮?聯(lián)網(wǎng)設備的與日俱增，讓越來越多的數(shù)據(jù)上傳至網(wǎng)絡，增加了數(shù)據(jù)被竊的風險?IOT設備面臨更廣的攻擊大多數(shù)硬件廠商對IT大多數(shù)硬件廠商對IT設?備存在的潛在風險理解不夠清晰，一旦出現(xiàn)漏洞又不能?缺乏相關(guān)的安全標準和檢?數(shù)據(jù)源自:Fortinethttp://iot.ofweek.數(shù)據(jù)源自:Fortinet/2017‐03/ART‐132209‐8440‐302016物聯(lián)網(wǎng)破壞者病毒致使美國大規(guī)模斷網(wǎng)共有超萬物設備了次聯(lián)網(wǎng)設備，當掃描到一個物聯(lián)網(wǎng)設備(比如網(wǎng)絡攝像頭、智能2016物聯(lián)網(wǎng)破壞者病毒致使美國大規(guī)模斷網(wǎng)共有超萬物設備了次聯(lián)網(wǎng)設備，當掃描到一個物聯(lián)網(wǎng)設備(比如網(wǎng)絡攝像頭、智能肉雞”名單，黑客操控此設備開始攻被作物壞者開關(guān)等)后就嘗試使用默認密碼進行登陸，一旦登陸成功，輛開鎖鳴笛閃燈以及車輛行駛中開啟天窗，該漏洞可致使攻擊者可遠程控制車央視報道家庭監(jiān)控器安全隱患上存在缺陷黑客可以輕松通過達到窺視的目的安全漏洞安全漏洞可能允許黑客進行計費欺詐電路系統(tǒng)造成大面積停電事件發(fā)生原因主成大面積停電事件發(fā)生。原因主使用了一種被稱作物聯(lián)網(wǎng)破壞者的“Mirai’病毒，通過搜索物云服務漏洞部分應用于互聯(lián)網(wǎng)的海康威視DVR部分應用于互聯(lián)網(wǎng)的海康威視DVR、NVR產(chǎn)品未修改初始密碼挾持、破壞設備固件。拉程序設計漏洞要要在于電表期間內(nèi)部保護不善的安全憑證可以讓黑客獲取到并物聯(lián)網(wǎng)時代，安全威脅從“謀財”到“害命”廣和普及的最大障礙之一 廣和普及的最大障礙之一物聯(lián)網(wǎng)體系架構(gòu)的四大層次資料來源：中國信通院，中國移動，公開資hern典型的物聯(lián)網(wǎng)組件及連接方式hern……移動應用物聯(lián)網(wǎng)智能設備帶來廣闊的攻擊面hern?固件導出與分?數(shù)據(jù)并發(fā)送到云?移動應用程序逆據(jù)提取向分析及敏感數(shù)物hern?固件導出與分?數(shù)據(jù)并發(fā)送到云?移動應用程序逆據(jù)提取向分析及敏感數(shù)；?；?嗅探發(fā)送到云?重放和偽造通析信數(shù)據(jù)并發(fā)送到信數(shù)據(jù)并發(fā)送到云端?嗅探發(fā)送和接收重放和偽造通信?嗅探發(fā)送和接收重放和偽造通信?固件導出與分?敏感信息/漏?通信信道攻擊防范物聯(lián)網(wǎng)安全攻擊的六大安全準則安全的安全的、可信的低成本、低功耗鏈路連接密碼服務安全的安全的、可信的低成本、低功耗鏈路連接密碼服務身份認證身份認證務IOT設備管理設備管理可信身份服可信身份是物聯(lián)網(wǎng)安全的基礎(chǔ)設施務IOT設備管理設備管理可信身份服提供信任根和可信身份(設備、手機)密鑰信SecureMCU,…)安全環(huán)境和可信身份提供端到端的可信連接提供信任根和可信身份(設備、手機)密鑰信SecureMCU,…)安全環(huán)境和可信身份提供端到端的可信連接認證端端鏈((IOT應用)?應用數(shù)據(jù)加解密?可信應用更新?密碼運算?敏感信息存儲??應用數(shù)據(jù)加解密?可信應用更新?密碼運算?敏感信息存儲?可信身份認證?可信連接?密鑰存儲密碼引擎、安全元件等)提供安全的密鑰和敏感信息存儲；密碼引擎、安全元件等)提供安全的密鑰和敏感信息存儲；TEE提供與多媒體操作系統(tǒng)基于硬件的隔離提供可信的身份認證服務提供安全的連接服務TEE提供設備資源的特權(quán)訪問(用戶接口、提供安全的密碼運算服務提供應用數(shù)據(jù)的加解密服務可信硬件、可信環(huán)境、可信身份、可信連接IOT服務安全服務端到端的全方位安全方案IOT服務安全服務物聯(lián)網(wǎng)設備和可信服務管理為TEE提供可信應用管理用為物聯(lián)網(wǎng)組件提供可信身份服務為SE提供個人化服務和可信服務管理為TEE提供可信應用管理用為物聯(lián)網(wǎng)組件提供可信身份服務為SE提供個人化服務4TEE環(huán)境的可信務4TEE環(huán)境的可信務等ETESET握奇為物聯(lián)網(wǎng)應用提供全方位的安全解決方案海外NFCSE國產(chǎn)N證支持NF支持NFC?海外NFCSE國產(chǎn)N證支持NF支持NFC?C密密?海外芯片?國產(chǎn)芯片?中金認證?中金認密握奇SE現(xiàn)狀——產(chǎn)品資質(zhì)握奇SE商用案例握奇TEE解決方案WatchTrustTM體系架構(gòu)TETEE支付TA網(wǎng)銀TA證FiiFingerprintIrisIFAA/SOTER/FIDOVoIPTAEE…IOTTAGoogleCTSKeyMaterGateKeepte支付TA網(wǎng)銀TA證FiiFingerprintIrisIFAA/SOTER/FIDOVoIPTAEE…IOTTAGoogleCTSKeyMaterGateKeepter WatchTrustTM通過的第三方檢測認證TAF指紋接口檢測報告通過TAF&GP功能一致性檢TAF指紋接口檢測報告中國銀聯(lián)N3TEE項目……中國銀聯(lián)N3TEE項目……展訊手機芯片TEE解決方案提供商想Phinny項目(IFAA/SOTER/FIDO)聯(lián)想X3UPay項目(JavaTEE)ZUKFiit&IFAA項目聯(lián)想MTK6750CTS項目酷比6737CTS項目中國移動中國移動Java跨平臺項目萬利達MTK6737平臺CTS天瓏移動IFAA項目??電信——電信——幫助電信運營商為其數(shù)十億用戶提供身份鑒權(quán)金融——為銀行、證券、第三方支付等金融機構(gòu)的身份金融IC卡遷移方案和跨行業(yè)多應用的融合方案交通——幫助城市交通的用戶實現(xiàn)融合多應用的一卡通幫助客戶解決高速公路不停車收費、城市交通政府與企業(yè)——為政府機構(gòu)及其用戶提供自主可控的國幫助企業(yè)客戶提供身份認證與授權(quán)管認證認證及增值服務幫助銀行與企業(yè)實現(xiàn)價值最大化行，及城市之間互行，及城市之間互聯(lián)互通擁堵，并為客戶提供車輛使用監(jiān)管方案理方案，構(gòu)建安全的網(wǎng)絡化及移動化辦公環(huán)境資料、圖片及第三方未公開資料。資料、圖片及第方未公開資料引用部分公開在此對相關(guān)作者致以真摯的謝意。 在本演講文檔中資料、圖片及