图片29

物联网终端认证平台结合零信任体系结构概念，提供基于无证书识别密码技术的终端安全接入能力，包括设备授权，认证授权、密钥管理、加密传输、会话管理、数据签名等多个功能，保护物联网设备和数据免于重放、伪造攻击，资料篡改、会话劫持等网络攻击，实现基于对无证无照标识密码的快速安全认证接入能力，通过终端和安全认证网关建立的国密无证书TLS安全通道与企业后端业务平台无缝集成。

动态智能防火墙技术应用。

网络安全是以防火墙为基础的物理边界防御，即人们所熟悉的内部网络。“防火墙”的概念起源于20世纪80年代，它假定企业所有的办公设备和数据资源都是网络，而且内部网络是完全可信任的。

但是，随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正从“有边界”向“无边界”过渡，传统的安全边界已逐步瓦解。伴随以5G、工业互联网为代表的新基建的不断推进，将进一步加快“无边界”的进化进程。同时，零信安全逐渐走进了人们的视野，成为解决新时代网络安全问题、新体系结构的新理念。

物联网终端安全认证平台是以零信任的体系结构思想为基础，结合动态智能防火墙技术的云智能态势感知中心将实时动态监控物联网终端设备与后台应用的连接状态，该策略能实时更新黑白名单策略，端口的实时封闭和释放控制，基于动态安全策略实时调节终端对应用后台的访问行为；进行动态的实时安全管理。

CLA的3.1.2PKI/CLA应用的无证书密码技术。

CLA无证书加密技术是为产生、发布和管理用户实体密钥而设计的非对称密钥分配和管理的实际应用需要。CLA无证书加密技术采用一种新的、具有双密钥、基于SM2椭圆曲线、无双线性对运算的无证书公钥密码体制，利用现有SM2椭圆曲线密码算法，实现对用户密钥的分配和有效管理。

PKI/CLA具有以下技术优势。

(a)高安全性：可以实现点到点(P2P)认证和主动安全；用户对私钥拥有完全自主，外界(包括CLA)不知道用户的私钥；公钥标识中没有明确地包含用户的公钥，也没有CLA对公钥标识的签名。

(b)认证效率高：公钥标识短，密钥存储成本低，创新应用国密算法，实现更快的密码计算，更高的认证效率，更安全的运算，支持低时延的物联网，大连接认证应用，支持海量物联网设备的接入认证和密钥管理。

(b)公钥自证：该系统在国家密算法的创新应用基础上，具有去中心化和设备离线验证的能力，能够满足物联网在域外认证方面的实际需要，并具有与PKI/CA对接的能力。