解讀《星閃安全白皮書——網絡安全》：全周期、高安全規格、強認證機制和全面安全防護！

2023年7月1日，在星閃無線短距通信聯盟啟航峰會上，《星閃無線短距通信技術（SparkLink 1.0）安全白皮書 — 網絡安全》（以下簡稱《星閃安全白皮書——網絡安全》）首度亮相，為產業界帶來了更多的技術啟示。

為什么星閃如此看重安全解決方案？如果我們明白星閃技術的業務場景就會明白了。

作為一個存在廣泛應用場景的無線短距通信技術，星閃可能會在智能終端、智能家居、智能汽車和智能制造等領域廣泛運用。

1.1 智能終端場景

對于智能終端而言，人們已經廣泛將其作為個人身份驗證的手段，智能終端中不僅保存用戶的個人身份信息、個人生物信息（指紋、人臉）、還存儲大量的個人社交、通信、銀行交易、電子支付、個人照片、移動軌跡等各種隱私信息。這就不難理解為什么智能終端被稱為移動的身份證、電子錢包和電子鑰匙了。智能終端出現安全問題，不管是數據泄露還是身份盜竊和欺詐，都將會個人帶來經濟、商業、名譽等重大損失。

1.2 智能家居場景

而在智能家居的場景中，會涉及數量更為廣泛的智能終端設備，而且很多設備都直接決定到家庭安全，比如：智能門鎖、智能監控。如果出現安全解決方案不完善，直接導致闖入者非法利用漏洞打開智能門鎖，或者操控監控攝像頭進行非法監視，獲取家庭活動記錄。智能家居場景中，各個智能終端可能是互聯互通的狀態，如果沒有做好設備間安全隔離，可能會一點攻破，全家淪陷，會給整個家庭帶來巨大的安全隱患和無法估量的傷害。

1.3 智能汽車場景

而智能汽車場景的安全管理同樣重要。輕者會導致車輛丟失，重者直接威脅駕駛者和乘車人的生命安全。數字車鑰匙是最可能被攻擊的設備，包括：重放攻擊、中繼攻擊、和身份冒仿等。數字車鑰匙被攻破，就意味著車輛被惡意解鎖，會給車主帶來汽車被盜的重大的財產安全風險。而這還不是最嚴重的，對于自動駕駛車輛，如果遭遇黑客攻擊，導致黑客遠程非法控制或干擾車輛駕駛，比如駕駛系統、穩定控制系統、安全氣囊、防盲區360度全景環視系統，都將直接威脅駕駛者和乘客的生命安全，甚至會威脅路人和其他行駛車輛的安全。

1.4 智能制造場景

智能制造，雖然表面上沒有智能汽車和智能家居這樣的直接安全威脅，但其實不然。工業化環境，安全的維度和影響程度也會發生重大變化。智能制造可能涉及大量的數據收集、傳輸和分析，包括生產數據、傳感器數據、質量數據等。這些數據可能包含商業機密、知識產權和敏感信息。如果出現數據泄露，會造成重大的經濟損失。同樣，從供應鏈環節來看，如果有壞人刻意破壞生產設施，或者盜竊生產原材料，也同樣會造成難于估量的生產損失，甚至重大的安全事故。

從上述的場景分析來看，星閃技術面臨的安全威脅是非常有嚴峻和復雜的。

在《星閃安全白皮書——網絡安全》中，將上述四大場景的安全威脅總結為三大類：傳輸安全威脅、設備安全威脅和應用安全威脅。對應的解決方案也是針對這三類安全威脅展開的。

2.1 傳輸安全威脅

傳輸安全側重于保護短距離無線通信的數據傳輸過程中的機密性、完整性和可用性。這包括加密通信數據、驗證通信雙方的身份、防止信息竊聽和篡改、抵御拒絕服務攻擊等。傳輸安全的目標是確保通信的安全性和保護通信數據的隱私。

傳輸安全威脅包括：

• 身份仿冒：攻擊者冒充合法設備的身份與目標設備進行通信，會導致未經授權的訪問、信息泄露或惡意操作。

• 偽造信息：攻擊者向目標設備發送偽造的傳輸信息，以欺騙設備并引起誤操作或不良行為。

• 重放或篡改信息：攻擊者可以截獲通信中的信息，并在稍后的時間重放它們，或者篡改信息內容。這可能導致設備無法識別合法信息，引起系統錯誤或數據不一致性。

• 拒絕服務攻擊：攻擊者通過注入大量干擾信息來耗盡通信信道容量，導致合法通信無法正常進行。這可能導致系統不可用或降低通信質量。

• 竊聽數據：攻擊者通過監聽通信信道或截獲傳輸數據來竊取敏感信息。

• 中繼攻擊：攻擊中雙方的通信是由攻擊者發起的，攻擊者只是在雙方之間中繼消息，而不操縱消息，甚至不一定讀取消息。如針對汽車無鑰匙進入場景，攻擊者將通信信號從數字鑰匙中繼到汽車上，讓汽車誤以為車主在旁邊從而打開車門。在整個過程中，車主和車輛相距較遠，車主沒有辦法發現車輛已經被偷走。

2.2 設備安全威脅

設備安全側重于保護短距離無線通信設備本身免受物理和邏輯上的威脅。這包括保護設備的固件、硬件和軟件免受固件提取、篡改、逆向工程等攻擊手段的影響。設備安全的目標是確保設備的完整性、可信性和可靠性。

設備安全威脅包括：

• 固件提取：攻擊者將設備拆解，并提取設備中的固件（固件是設備上運行的軟件）。然后，通過逆向分析，攻擊者可以研究固件的工作原理、邏輯和漏洞，以進行惡意操作或發現系統中的弱點。

• 刷寫固件 ：攻擊者通過本地或遠程手段，未經授權地修改設備的固件。這可能導致設備的操作異常、功能受損或無法正常工作，從而給設備的功能、安全性和可靠性帶來威脅。

• 拒絕服務攻擊：攻擊者通過控制設備發送大量非法數據或請求，以導致通信信道的擁塞。這可能導致設備無法正常工作、無法響應合法用戶請求或喪失通信的可用性。

• 側信道攻擊：攻擊者利用密碼系統物理實現中的側信道信息來獲取有關密碼密鑰或敏感數據的信息。側信道攻擊可以基于電磁泄漏、功耗、時序等物理特性進行，從而破壞密碼系統的安全性。

2.3 應用安全威脅

應用安全側重于保護應用程序的安全性。這包括應用的代碼、邏輯和數據的保護，以防止應用被修改、劫持、越權訪問或反向工程。應用安全的目標是確保應用程序的完整性、可靠性和用戶數據的安全性。

應用安全威脅包括：

• 應用重打包：攻擊者可以對應用進行重打包，即將應用的原始代碼進行修改或插入惡意代碼，以實現惡意功能。這可能包括應用劫持、信息竊取、廣告欺詐等惡意行為。

• 攻擊鑒權機制：攻擊者試圖繞過應用的鑒權機制，以獲取越權訪問應用的權限。這可能導致攻擊者能夠訪問應用中的敏感信息、執行未經授權的操作或進行其他惡意行為。

• 反編譯攻擊：攻擊者嘗試反編譯應用的二進制代碼，以獲取應用的源代碼或進行逆向分析。這可能導致攻擊者了解應用的內部邏輯、發現漏洞或敏感信息，并從中獲得不當利益。

針對上述的三大安全威脅，《星閃安全白皮書——網絡安全》中總結了10條對應的網絡安全需求：

3.1 傳輸安全需求

• 通信雙方應進行雙向身份認證，保證通信對端身份的真實性。

• 要對通信雙方信息進行加密傳輸，保障通信數據的機密性；

• 通過數據校驗機制，保證重要信息的真實性；

• 能夠有對信息的過濾機制或黑白名單機制，保證信息的有效性。

3.2 設備安全需求

• 能夠采取安全啟動技術，在設備啟動各個階段對啟動過程進行安全校驗；

• 能夠有物理隔離的安全域來放置密鑰；

• 能夠通過加殼混淆等多元化技術組合對代碼進行加固，防止逆向破解。

3.3 應用安全需求

• 通過代碼加固、調試注入防護等方式提升應用安全水平；

• 應用訪問權限控制，防止應用被越權訪問；

• 對應用進行統一安全策略管理和配置。

前面聊了星閃面臨的安全威脅和網絡安全需求，那么星閃的安全解決方案到底長什么樣呢？讓我們先看一下星閃安全總體架構。下面，是我根據《星閃安全白皮書——網絡安全》的安全機制介紹，重繪了星閃無線通信系統安全架構：

從上述架構中，我們可以明顯看出來分為四大塊：接入層安全、基礎服務層、設備安全和基礎應用層安全。其中接入層和基礎服務層對應傳輸安全。星閃接入層有兩類節點：管理節點（G節點）和終端節點（T節點）。G節點為其覆蓋下的T節點提供連接管理、資源分配、信息安全等接入層服務。T節點分為兩種通信接口：星閃基礎接入技術（SLB）和星閃低功耗接入技術（SLE）。SLB和SLE面向不同業務訴求，提供不同的傳輸服務，兩者相互補充并且根據業務需求進行持續平滑演進。

從星閃整個安全架構設計上，能看出來，星閃不追求單一的安全解決方案而實現所謂的一勞永逸，而是非常嚴謹地提供了全周期的高安全規格、強認證機制和全面安全防護。

高安全規格

• 業界主流安全算法：ZUC、SM4、AES

• 動態會話密鑰協商，支持前向安全

• 安全機制可協商靈活安全配置，滿足業務需求

強認證機制

• SLB強制雙向認證：雙向認證后才能建立連接，防止非法設備接入

• SLE支持靜態口令、動態口令和PSK認證，提高認證強度

全面安全防護

• 定義系統實現安全需求，全面保護星閃系統安全

• 全棧安全設計：設備安全、傳輸安全、應用安全

接下來，我們會以三大類安全為主線分別闡述星閃安全解決方案。讓我們先從接入層安全開始談起。

星閃接入層安全，針對SLB和SLE有所不同，所以《星閃安全白皮書——網絡安全》給予了分別的說明。

5.1 星閃基礎接入技術（SLB）安全

認證憑證配置：在G節點和T節點之間配置相同的256比特共享密鑰PSK。有三種配置方案可選：預配置密鑰方法、口令配置方法和第三方服務器認證憑證配置方法。通過這些配置方法，確保T節點和G節點之間共享相同的256比特密鑰PSK。

認證和安全參數協商：在認證憑證配置完成后，G節點和T節點執行雙向身份認證，基于挑戰/應答的方法進行認證。同時，雙方協商安全參數，如加密算法、完整性保護算法、加密密鑰和完整性保護密鑰。根據安全能力協商出最高優先級的算法，并通過橢圓曲線密鑰協商算法（如SM2、ECDH）推演出加密密鑰和完整性保護密鑰。

SM2（橢圓曲線數字簽名算法）：是中國國家密碼管理局發布的一種國密算法。基于離散對數問題，使用橢圓曲線加密算法實現數字簽名的生成和驗證。SM2算法具有高度的安全性和性能效率，被廣泛應用于中國的密碼通信和信息安全領域。

空口通信安全保護：在認證和安全參數協商完成后，G節點和T節點使用協商的安全參數對空口通信進行安全保護。這包括使用密碼算法、密鑰等對通信進行加密和完整性保護。另外，支持密鑰更新機制，當密鑰有效期到期或新鮮性參數重復時，G節點會觸發密鑰更新流程，更新G節點和T節點之間的密鑰。

密碼算法：星閃SLB支持多種密碼算法，包括加密算法、完整性保護算法、密鑰協商算法和密鑰派生函數。每一類算法都支持國密算法和國際算法，以滿足不同的安全需求。

5.2 星閃低功耗接入技術（SLE）安全

配對和鑒權管理：星閃SLE支持六種配對和鑒權方式，包括數字比較、通行碼輸入、口令驗證、帶外方式、PSK方式和免輸入。通過這些方式，G節點和T節點可以進行身份鑒權和配對，確保通信雙方的合法性和安全性。

安全控制：在配對和鑒權管理完成后，G節點和T節點啟動安全控制流程，對空口通信進行安全保護。安全控制流程包括啟動安全流程和暫停安全流程。通過協商會話密鑰和動態刷新密鑰，實現對用戶數據和控制消息的安全傳輸。

隱私管理：星閃SLE提供隱私管理機制，確保系統真實身份的隱藏，防止惡意的服務器或監聽者收集私有數據和跟蹤。通過分發可解析地址密鑰和生成可解析隨機標識，保護G節點和T節點的隱私和身份。

密碼算法：星閃SLE支持多種密碼算法，包括加密算法、完整性保護算法、密鑰協商算法和密鑰派生函數。這些算法支持國密算法和國際算法，用于實現數據的加密、完整性保護、密鑰協商和派生。

講完了傳輸層（接入層）安全，讓我們再看一下設備安全。設備安全要求，包括安全存儲、安全執行、安全防護和安全管理等四個方面。

6.1 安全存儲：

• 敏感信息安全存儲：為防止敏感信息的泄露或篡改，星閃技術采取安全措施來保護包括密鑰、口令、用戶身份、安全上下文、白名單和黑名單等敏感信息的存儲。這些敏感信息需要得到妥善保護，確保只有經過授權的用戶或設備能夠訪問。

• 用戶數據的訪問控制：星閃技術支持不同用戶數據的安全訪問控制機制，以防止未經授權的訪問。對于存儲不同用戶的數據，應實施適當的訪問權限控制，確保數據的機密性和完整性。

6.2 安全執行：

• 安全環境中的操作：星閃技術要求安全敏感操作，如加密、解密、完整性驗證等，必須在安全環境中進行執行。通過提供安全的執行環境，可以減少對這些關鍵操作的潛在風險。

• 安全啟動：星閃技術支持安全啟動機制，確保設備在啟動過程中的安全性。通過對啟動過程進行驗證和防護措施，可以減少潛在的惡意軟件或未經授權的訪問。

6.3 安全防護：

• 調試接口的安全訪問控制：為防止未經授權的訪問和潛在的攻擊，星閃技術禁用或實施安全訪問控制來管理設備的調試接口。這樣可以防止攻擊者通過調試接口獲取設備敏感信息或執行未經授權的操作。

• 閑置物理端口的禁用：為減少設備受到潛在攻擊的風險，星閃技術建議禁用閑置的物理端口。這樣可以防止未經授權的設備或用戶通過閑置端口進行入侵或干擾。

6.4 安全管理：

• 安全事件日志記錄：星閃技術支持安全事件的日志記錄功能，用于跟蹤和記錄設備發生的安全事件。這些安全事件的記錄可用于安全審計和分析，以及后續的安全事件響應和調查。

• 安全日志的安全存儲：為確保安全日志的完整性和保密性，星閃技術要求將安全日志進行安全存儲。這樣可以防止攻擊者篡改或刪除關鍵的安全日志信息。

• 高危漏洞管理：星閃技術要求設備在上市后，不應存在已公開發布的高危及以上等級的漏洞超過六個月的時間。這意味著設備制造商需要及時關注和處理相關漏洞，通過及時的漏洞修復和安全補丁發布，確保設備在運行過程中的安全性。

通過以上安全措施，保障設備的安全性和可信度，提供全面的設備安全保護。

星閃定義了應用層傳輸安全機制和應用的安全要求，同時星閃可進行應用專屬的安全設置，可根據業務特征配置安全機制。

典型星閃應用安全配置可包括：認證憑證配置、傳輸安全保護和安全隔離等方面的配置。

前面說過，星閃的應用場景復雜，不同的應用場景可能會存在一定的差異，盡管存在細微的差異，但整體上，這三大類技術都是相通的，只是在具體實施上可能需要進行微調和適應。比如下面以智能汽車的一個場景為例，針對四種業務來說明認證憑證配置、傳輸安全保護和安全隔離等方面的差異性配置建議。

降噪：

• 認證憑證配置：通過配置密鑰方法，確保降噪設備的認證憑證安全。

• 傳輸安全保護：可以選擇關閉用戶面的完整性保護，同時可以開啟用戶面的加密保護，以保證傳輸數據的安全性。

• 安全隔離：禁止車載無線短距通信系統的流量進入車內網，避免降噪設備與其他系統的互聯互通，提升系統的安全性和隔離性。

語音：

• 認證憑證配置：通過配置口令方法，確保語音設備的認證憑證安全。

• 傳輸安全保護：可以開啟用戶面的完整性保護和加密保護，保證語音數據的完整性和保密性。

• 安全隔離：禁止車載無線短距通信系統的流量進入車內網，保證語音設備與其他系統的隔離，防止潛在的安全威脅。

投屏：

• 認證憑證配置：通過配置口令方法，確保投屏設備的認證憑證安全。

• 傳輸安全保護：可以開啟用戶面的完整性保護和加密保護，保障投屏數據的完整性和保密性。

• 安全隔離：禁止車載無線短距通信系統的流量進入車內網，確保投屏設備與其他系統的隔離，減少潛在的安全風險。

電子鑰匙：

• 認證憑證配置：通過配置密鑰方法，確保電子鑰匙的認證憑證安全。

• 傳輸安全保護：必須開啟用戶面的機密性和完整性保護，以確保電子鑰匙傳輸的安全性。

• 安全隔離：允許車載無線短距通信系統的流量進入車內網，以便電子鑰匙與車輛系統進行通信，但仍需要保持安全隔離，避免潛在的安全威脅。

安全無小事，正所謂魔高一尺道高一丈，安全防護是一項持續而艱巨的長效工程，不存在一勞永逸。隨著數字世界的快速發展，無線短距通信在各個領域的應用越發廣泛。智能汽車、智能終端、智能家居和智能制造等領域的新興應用場景不斷涌現，這也給網絡安全技術提出了更高的要求。為了滿足新業務需求和發展趨勢，星閃無線短距通信技術需要不斷創新和進步。

《星閃安全白皮書——網絡安全》從以下四點談到了未來的規劃思路：

• 首先，要完善安全技術標準。針對不同的網絡安全應用場景的需求演進，需要持續進行創新研究，攻關關鍵網絡安全問題。通過設立專題攻關任務，聯合行業伙伴共同解決安全風險，建立發現和解決問題的能力體系。

• 其次，要構建有效的安全防護體系。這包括建立星閃安全技術標準體系，形成一系列針對網絡安全的核心標準，如安全通用要求、評價方法、測試方法和事件處置等。星閃 Release 2.0 的標準化工作，將重點加強在高精定位安全、合作設備集合管理安全和SLE 設備安全要求與測試方法等方向的研究。

• 第三，要加速星閃安全技術的實際應用和商業化進程。通過推動解決方案和測試認證等環節，將促進星閃安全技術在各個領域的高價值場景中實現規模商用，為用戶提供更安全可靠的通信服務。在實踐中打磨和鍛煉，并持續優化。

• 最后，建立并完善漏洞分享機制，及時處理網絡安全問題，不斷提升星閃產品的安全性。通過建立合作伙伴網絡，共同分享經驗和解決方案，更好地應對日益復雜的網絡安全挑戰。

從上述四點，我們能看出星閃聯盟的網絡安全的未來規劃旨在持續創新研究、完善安全技術標準、推動實際應用和商業化，并建立漏洞分享機制。相信，星閃聯盟將與行業伙伴更加緊密地合作，共同打造星閃安全生態系統，為用戶提供更加安全可靠的無線短距通信技術。讓我們拭目以待。