改編自：《智能制造信息安全技術(shù)》（作者：秦志光, 聶旭云, 秦臻）

計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的數(shù)字世界，在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)智能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，成為了當(dāng)今信息安全領(lǐng)域極為重要的問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題。

身份認(rèn)證（即“身份驗(yàn)證”或“身份鑒別”）是驗(yàn)證用戶的真實(shí)身份與其對(duì)外的身份是否相符的過程，從而確定用戶信息是否可靠、屬實(shí)，防止非法用戶假冒其他合法用戶獲得一系列相關(guān)權(quán)限，保證用戶信息的安全、合法利益，其是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程中產(chǎn)生的解決方法。

「1. 身份認(rèn)證技術(shù)簡介」

用戶身份認(rèn)證的最終目的就是要保障信息的安全，從用戶使用和技術(shù)設(shè)計(jì)等多個(gè)方面來看，用戶身份認(rèn)證技術(shù)對(duì)于維護(hù)信息安全有著極為重要的意義[7][8]。

（1）能夠?yàn)橛脩魩砀蟮谋憷Ｓ脩羯矸菡J(rèn)證技術(shù)能夠?qū)τ脩暨M(jìn)行集中統(tǒng)一的管理，在已有安全系統(tǒng)的前提下，對(duì)用戶進(jìn)行相關(guān)權(quán)限的設(shè)置和分配，減少重新開發(fā)安全系統(tǒng)的成本，同時(shí)減少對(duì)現(xiàn)有安全系統(tǒng)的修改影響。

（2）用戶身份認(rèn)證單點(diǎn)登錄更為凸顯，用戶在登錄認(rèn)證之后，在不同的系統(tǒng)之間進(jìn)行切換時(shí)，不需要注銷之后重新登錄。

（3）信息平臺(tái)中的不同安全系統(tǒng)之間，都是基于同一個(gè)數(shù)據(jù)庫而進(jìn)行設(shè)計(jì)的。

（4）用戶身份認(rèn)證系統(tǒng)具有更好的整合性和擴(kuò)展性，不但能夠兼容現(xiàn)有的安全系統(tǒng)和數(shù)據(jù)庫，還能夠支持新建的相關(guān)系統(tǒng)，故用戶身份認(rèn)證技術(shù)的集成模塊也同樣能夠嵌入到新系統(tǒng)中。

（5）用戶身份認(rèn)證技術(shù)對(duì)于用戶來說更為靈活便捷，能夠在多種環(huán)境下進(jìn)行使用。用戶身份認(rèn)證技術(shù)在設(shè)計(jì)之初，就考慮到了在整個(gè)安全系統(tǒng)中，不同角色的分級(jí)權(quán)限管理、相關(guān)安全系統(tǒng)的維護(hù)、安全證書的管理以及信息資源的匹配等問題，從而實(shí)現(xiàn)數(shù)據(jù)的高度集中，提高資源的利用效率，讓用戶身份認(rèn)證技術(shù)在信息安全中發(fā)揮更為顯著的作用。

常用的身份認(rèn)證方法包括但不限于：靜態(tài)密碼、動(dòng)態(tài)口令、短信密碼、USB KEY認(rèn)證、IC卡認(rèn)證、生物識(shí)別技術(shù)[3-6]、數(shù)字簽名等。身份認(rèn)證是判斷被證對(duì)象是否屬實(shí)或是否有效的一個(gè)過程，主要通過以下 3 種方式來判別：

（1）知識(shí)類認(rèn)證方式，即根據(jù)用戶所知道的信息來證明用戶身份。

（2）資產(chǎn)類認(rèn)證方式，即根據(jù)用戶所擁有的資產(chǎn)來證明用戶身份。

（3）本征類認(rèn)證方式，即根據(jù)用戶獨(dú)一無二的身體特征來證明用戶身份。

身份認(rèn)證技術(shù)基本分類方法如表1所示。

表1 身份認(rèn)證技術(shù)基本分類方法

1） 知識(shí)類認(rèn)證方式

知識(shí)類認(rèn)證方式主要包括靜態(tài)口令和用戶相關(guān)信息等。

靜態(tài)口令是指長期保持不變、可以被用戶反復(fù)重用的口令，是一種最原始最簡單的認(rèn)證方式。靜態(tài)口令是一種極不安全的身份認(rèn)證方式，雖然也存在增強(qiáng)口令安全性的策略，包括定期更改靜態(tài)口令、大小寫字母和數(shù)字混排的口令、加入特殊字符的口令等，但這些并不被大多數(shù)用戶所接受。用戶相關(guān)信息是用戶為重置密碼等操作而預(yù)留的相關(guān)信息，如郵箱地址、手機(jī)號(hào)碼、生日信息等。

2） 資產(chǎn)類認(rèn)證方式

資產(chǎn)類認(rèn)證方式包括電子令牌、APP 動(dòng)態(tài)口令、手機(jī)短信驗(yàn)證、智能卡認(rèn)證和數(shù)據(jù)證書認(rèn)證等。

（1）電子令牌

電子令牌是一種動(dòng)態(tài)口令技術(shù)，用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入用戶側(cè)客戶端，即可實(shí)現(xiàn)身份認(rèn)證。用戶的密碼根據(jù)時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次。如果客戶端硬件與服務(wù)器端程序的時(shí)間或使用次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登陸的問題，并且用戶每次登錄時(shí)還需要通過鍵盤輸入一長串無規(guī)律的密碼，一旦輸錯(cuò)就要重新輸入，因此用戶在使用方面并不便利。

（2）APP 動(dòng)態(tài)口令

APP 動(dòng)態(tài)口令是移動(dòng)互聯(lián)網(wǎng)新興的一種認(rèn)證方式，需要用戶在手機(jī)上安裝 APP 動(dòng)態(tài)口令生成軟件，當(dāng)用戶需要使用口令時(shí)，運(yùn)行 APP 動(dòng)態(tài)口令生成程序產(chǎn)生一個(gè)動(dòng)態(tài)口令。

（3）手機(jī)短信驗(yàn)證

手機(jī)短信驗(yàn)證是通過服務(wù)端下發(fā)到用戶手機(jī)的短信驗(yàn)證碼來驗(yàn)證身份。目前使用最普遍的有網(wǎng)上銀行、網(wǎng)上商城、團(tuán)購網(wǎng)站、票務(wù)公司等。

（4）智能卡認(rèn)證

智能卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關(guān)的數(shù)據(jù)，由專門的廠商生產(chǎn)，可以認(rèn)為是不可復(fù)制的硬件。智能卡具有硬件加密功能，有較高的安全性。使用智能卡認(rèn)證時(shí)，用戶輸入 PIN 碼（個(gè)人身份識(shí)別碼），智能卡認(rèn)證成功后，即可讀出智能卡中的秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證。對(duì)于智能卡認(rèn)證，需要在每個(gè)認(rèn)證端添加讀卡設(shè)備，增加了硬件成本，并且單個(gè)用戶可能擁有多張智能卡，不便于攜帶和管理。

（5）數(shù)字證書認(rèn)證

數(shù)字證書[4][6]包括證書版本、序列號(hào)、用戶標(biāo)識(shí)符、用戶的公鑰、證書所用的數(shù)字簽名算法說明等內(nèi)容。數(shù)字證書認(rèn)證是借助第三方電子認(rèn)證服務(wù)機(jī)構(gòu)，為用戶頒發(fā)基于 USB-Key 的數(shù)字證書，實(shí)現(xiàn)“雙因子認(rèn)證”（USB-Key和用戶 PIN碼）。

USB-Key 是一種 USB接口的硬件設(shè)備，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用 USB-Key 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。用戶只有同時(shí)取得 USB-Key 和用戶 PIN 碼，才可以登錄系統(tǒng)。但是單個(gè)用戶可能擁有多個(gè) USB-Key，不便于用戶對(duì) USB-Key 的攜帶和管理。

3） 本征類認(rèn)證方式

本征類認(rèn)證方式包括指紋識(shí)別、人臉識(shí)別和虹膜識(shí)別等。

（1）指紋識(shí)別

指紋識(shí)別[4]是目前應(yīng)用最廣泛的生物識(shí)別方式，是把現(xiàn)場采集到的用戶指紋與數(shù)據(jù)庫中己經(jīng)登記的指紋進(jìn)行一對(duì)一的比對(duì)，來確認(rèn)身份的過程。指紋識(shí)別使用方便，樣本容易獲取，硬件成本低，在許多應(yīng)用中，基于指紋的生物認(rèn)證系統(tǒng)的成本是可以承受的。

（2）人臉識(shí)別

人臉識(shí)別[6]是基于人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)。現(xiàn)有的人臉識(shí)別系統(tǒng)在用戶配合、采集條件比較理想的情況下可以取得令人滿意的結(jié)果。但是，在用戶不配合、采集條件不理想的情況下，現(xiàn)有系統(tǒng)的識(shí)別率將陡然下降。當(dāng)采集的人臉圖像與系統(tǒng)中存儲(chǔ)的人臉圖像有差異，如剃胡子、換發(fā)型、加眼鏡、變表情等都有可能引起比對(duì)失敗。

（3）虹膜識(shí)別

虹膜識(shí)別[5]是基于人眼中的虹膜進(jìn)行身份識(shí)別，主要應(yīng)用于安防設(shè)備（如門禁等），以及有高度保密需求的場所。虹膜在胎兒發(fā)育階段形成后，始終保持不變。因此，可以將人眼的虹膜特征作為每個(gè)人的身份識(shí)別特征。虹膜識(shí)別便于用戶使用，不需物理接觸，可靠性高，可能會(huì)是最可靠的生物識(shí)別技術(shù)。然而，目前的技術(shù)現(xiàn)狀是很難將虹膜識(shí)別的圖像獲取設(shè)備小型化，并且設(shè)備造價(jià)高，很難大范圍推廣。

如今，互聯(lián)網(wǎng)助推社會(huì)的高速發(fā)展，而網(wǎng)絡(luò)安全又為互聯(lián)網(wǎng)的健康增長保駕護(hù)航，掌握、運(yùn)用身份技術(shù)現(xiàn)今這個(gè)信息技術(shù)時(shí)代占據(jù)著舉足輕重的地位。只有深刻理解、認(rèn)識(shí)身份認(rèn)證技術(shù)，才能使它更好的服務(wù)與現(xiàn)代社會(huì)生活的方方面面。

「2. 匿名身份認(rèn)證」

匿名身份驗(yàn)證是確認(rèn)用戶訪問網(wǎng)頁或其他服務(wù)的權(quán)限的過程。與傳統(tǒng)身份驗(yàn)證不同，傳統(tǒng)身份驗(yàn)證可能需要用戶名和密碼等憑據(jù)，匿名身份驗(yàn)證允許用戶登錄到系統(tǒng)而不暴露其實(shí)際身份。匿名身份驗(yàn)證的最大好處是認(rèn)證是在網(wǎng)上進(jìn)行業(yè)務(wù)時(shí)保護(hù)個(gè)人安全和安全，這涉及個(gè)人和職業(yè)兩方面的考慮，但重點(diǎn)是保護(hù)用戶在互聯(lián)網(wǎng)上的身份，同時(shí)防止其他個(gè)人有能力跟蹤和識(shí)別在線用戶。

在真實(shí)世界中，匿名身份驗(yàn)證的用戶和完全未經(jīng)身份驗(yàn)證的用戶沒有區(qū)別。因此，使用匿名身份驗(yàn)證的網(wǎng)站對(duì)訪問該網(wǎng)站的個(gè)人沒有實(shí)際限制。使用此設(shè)置的網(wǎng)站有點(diǎn)像公共偽裝；所有人可以獲得訪問權(quán)限，但無法識(shí)別任何人。

按照用戶匿名強(qiáng)度的不同，匿名認(rèn)證可分為兩類：

（1）對(duì)外部用戶匿名。在認(rèn)證過程中，外部用戶無法確定用戶的真實(shí)身份，并且無法確定不同的會(huì)話來自相同的用戶，而服務(wù)提供者可以確定用戶的真實(shí)身份。

（2）對(duì)外部用戶和服務(wù)提供者同時(shí)匿名（強(qiáng)匿名）。在認(rèn)證的過程中，外部用戶和服務(wù)提供者均無法確定用戶的真實(shí)身份，而且無法確定不同的會(huì)話是否來自相同的用戶。

在認(rèn)證過程中，用戶和服務(wù)提供者對(duì)于匿名性的要求是相反的。對(duì)于用戶，為了充分保護(hù)個(gè)人隱私，希望獲得較強(qiáng)的匿名性，希望對(duì)外部用戶和服務(wù)提供者同時(shí)匿名。而對(duì)于服務(wù)提供者，希望用戶是非匿名的。如果服務(wù)提供者無法確定用戶身份，將會(huì)增加對(duì)用戶管理的復(fù)雜性。例如，為了防止匿名用戶進(jìn)行惡意操作，服務(wù)提供者需要付出額外的管理開銷。在普適環(huán)境中，應(yīng)該根據(jù)不同的場合，選擇不同的匿名認(rèn)證方式，在滿足用戶匿名性要求的同時(shí)盡量降低服務(wù)提供者的管理復(fù)雜性。例如，當(dāng)服務(wù)提供者具有較高可信度時(shí)，用戶可以確信服務(wù)提供者不會(huì)利用其身份信息進(jìn)行非法活動(dòng)，這時(shí)可以采用第一類匿名認(rèn)證方式，在滿足用戶匿名性要求的同時(shí)盡量降低服務(wù)提供者的管理復(fù)雜性。例如，當(dāng)服務(wù)提供者具有較高可信度時(shí)，用戶可以確信服務(wù)提供者不會(huì)利用其身份信息進(jìn)行非法活動(dòng)，這時(shí)可以采用第一類匿名認(rèn)證方式，以降低服務(wù)提供者的管理復(fù)雜性。當(dāng)用戶訪問一些涉及到自身隱私的服務(wù)時(shí)，用戶希望其他用戶和服務(wù)提供者都不知道其具體訪問了哪些服務(wù)，這時(shí)應(yīng)該采用第二類匿名認(rèn)證方式，以充分保護(hù)用戶隱私。由上述分析可以看出，兩類匿名認(rèn)證方式，以充分保護(hù)用戶隱私。由上述分析可以看出，兩類匿名認(rèn)證機(jī)制在普適環(huán)境中均有需求，可滿足不同應(yīng)用場合的需要。

「3.工業(yè)互聯(lián)網(wǎng)中身份認(rèn)證的應(yīng)用」

1）工業(yè)互聯(lián)網(wǎng)的概念和功能

“工業(yè)互聯(lián)網(wǎng)”最早由美國通用電氣公司在2012年提出，和其他四家（IBM、思科、英特爾和AT&T）行業(yè)龍頭企業(yè)聯(lián)手，共同組建了工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)，將這一概念進(jìn)行推廣應(yīng)用。

工業(yè)互聯(lián)網(wǎng)的本質(zhì)和核心是通過工業(yè)互聯(lián)網(wǎng)平臺(tái)把設(shè)備、生產(chǎn)線、工廠、供應(yīng)商、產(chǎn)品和客戶緊密地連接融合起來。從而拉長產(chǎn)業(yè)鏈，形成跨設(shè)備、跨系統(tǒng)、跨廠區(qū)、跨地區(qū)的互聯(lián)互通，提質(zhì)增效，推動(dòng)整個(gè)制造服務(wù)體系智能化。還有利于推動(dòng)制造業(yè)融通發(fā)展，實(shí)現(xiàn)制造業(yè)和服務(wù)業(yè)之間的跨越發(fā)展，使工業(yè)經(jīng)濟(jì)各種要素資源能夠高效共享。

自2017年國務(wù)院發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》以來，各地政府紛紛加快落實(shí)“企業(yè)上云”，云計(jì)算發(fā)展突飛猛進(jìn)。工業(yè)互聯(lián)網(wǎng)、工業(yè)會(huì)聯(lián)網(wǎng)平臺(tái)成為當(dāng)下最熱的互聯(lián)網(wǎng)話題之一。2018年，工業(yè)和信息化部設(shè)立了工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組并印發(fā)《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2018-2020年）》提出以供給側(cè)結(jié)構(gòu)性改革為主線，以全面支撐制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國建設(shè)為目標(biāo)，著力建設(shè)先進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，打造標(biāo)識(shí)解析體系，同步提升安全保障能力，突破核心技術(shù)。同年工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)及推廣指南》提出在2020年初步構(gòu)建工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系，建設(shè)一批面向行業(yè)或區(qū)域的標(biāo)識(shí)解析二級(jí)節(jié)點(diǎn)以及公共遞歸節(jié)點(diǎn)，制定并完善標(biāo)識(shí)注冊(cè)和解析等管理辦法，標(biāo)識(shí)注冊(cè)量超過20億。2019年12月工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南（試行）》將工業(yè)互聯(lián)網(wǎng)企業(yè)分為三類，其中標(biāo)識(shí)解析系統(tǒng)建設(shè)運(yùn)營機(jī)構(gòu)是主要的工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)營企業(yè)。

工業(yè)互聯(lián)網(wǎng)平臺(tái)功能架構(gòu)圖

2）工業(yè)互聯(lián)網(wǎng)存在的安全風(fēng)險(xiǎn)

隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)數(shù)量將數(shù)以千億計(jì)，并發(fā)解析請(qǐng)求可達(dá)千萬量級(jí)，如此大量級(jí)的標(biāo)識(shí)解析系統(tǒng)對(duì)安全保障能力提出了非常高的要求，其安全是工業(yè)互聯(lián)網(wǎng)安全的重要建設(shè)內(nèi)容[1][2]。分析工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系，其在架構(gòu)、協(xié)議、運(yùn)營、身份、數(shù)據(jù)、惡意利用等方面存在安全風(fēng)險(xiǎn)。

（1）架構(gòu)安全。從標(biāo)識(shí)解析架構(gòu)來看，客戶端主機(jī)、標(biāo)識(shí)解析服務(wù)器、緩存與代理服務(wù)器都有可能成為標(biāo)識(shí)解析體系的脆弱點(diǎn)，服務(wù)器被篡改導(dǎo)致返回錯(cuò)誤的標(biāo)識(shí)解析結(jié)果，樹形分層架構(gòu)為拒絕服務(wù)攻擊提供可能。

（2）協(xié)議安全。標(biāo)識(shí)解析協(xié)議的脆弱性很容易被攻擊者利用監(jiān)聽標(biāo)識(shí)解析會(huì)話進(jìn)行中間人攻擊，通過竊聽、篡改和偽造標(biāo)識(shí)解析消息的方式對(duì)標(biāo)識(shí)解析系統(tǒng)進(jìn)行攻擊。攻擊者也可通過遞歸解析服務(wù)器夾雜惡意數(shù)據(jù)進(jìn)行緩存投毒攻擊。

（3）運(yùn)營安全。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析在運(yùn)營過程中可能涉及根節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、頂級(jí)節(jié)點(diǎn)運(yùn)行機(jī)構(gòu)、二級(jí)節(jié)點(diǎn)服務(wù)機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)管理機(jī)構(gòu)、標(biāo)識(shí)注冊(cè)代理機(jī)構(gòu)等多種標(biāo)識(shí)解析服務(wù)機(jī)構(gòu)。攻擊者可以濫用標(biāo)識(shí)注冊(cè)、非法注冊(cè)、偽造標(biāo)識(shí)服務(wù)機(jī)構(gòu)，引發(fā)標(biāo)識(shí)資源浪費(fèi)、標(biāo)識(shí)資源分配混亂、標(biāo)識(shí)資源失信、標(biāo)識(shí)解析結(jié)果失真等安全風(fēng)險(xiǎn)。

（4）身份安全。身份是工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的門戶，根節(jié)點(diǎn)、頂級(jí)節(jié)點(diǎn)、二級(jí)節(jié)點(diǎn)、遞歸節(jié)點(diǎn)、企業(yè)節(jié)點(diǎn)、用戶等之間做查詢和解析請(qǐng)求時(shí)首先需要進(jìn)行身份認(rèn)證，不同的節(jié)點(diǎn)角色擁有不同的權(quán)限，任一環(huán)節(jié)出現(xiàn)認(rèn)證問題都可能帶來信任風(fēng)險(xiǎn)，導(dǎo)致標(biāo)識(shí)數(shù)據(jù)被非法訪問或可不信的解析結(jié)果。

（5）數(shù)據(jù)安全。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)數(shù)據(jù)中攜帶大量敏感隱私信息，隨著工業(yè)互聯(lián)網(wǎng)的互聯(lián)互通，海量標(biāo)識(shí)數(shù)據(jù)在數(shù)據(jù)的采集、傳輸、存儲(chǔ)和使用等生命周期流轉(zhuǎn)中，將為數(shù)據(jù)的安全治理、合規(guī)管控帶來挑戰(zhàn)。

（6）惡意利用。標(biāo)識(shí)解析的流量通常不會(huì)被安全工具（例如，防火墻、入侵檢測系統(tǒng)等）攔截，但這也給攻擊者有可乘之機(jī)，攻擊者可以利用標(biāo)識(shí)解析數(shù)據(jù)構(gòu)建命令與控制信道或建立隧道，用惡意流量偽裝成標(biāo)識(shí)解析流量而避開安全防護(hù)工具。

3）工業(yè)互聯(lián)網(wǎng)存在的安全保障

隨著工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的普及應(yīng)用，除考慮標(biāo)識(shí)解析自身安全的同時(shí)，標(biāo)識(shí)的不可篡改、不可偽造、全球唯一的安全屬性優(yōu)勢逐漸凸顯，在數(shù)據(jù)可信采集、統(tǒng)一身份認(rèn)證、安全接入認(rèn)證、密碼基礎(chǔ)設(shè)施、惡意行為分析等方面可賦能工業(yè)互聯(lián)網(wǎng)安全保障能力建設(shè)。

（1）數(shù)據(jù)可信采集。工業(yè)數(shù)據(jù)采集是智能制造和工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)，但數(shù)據(jù)采集傳輸時(shí)存在被破壞、泄露、篡改的安全風(fēng)險(xiǎn)，建立基于工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)的數(shù)據(jù)可信采集系統(tǒng)，能增強(qiáng)工業(yè)數(shù)據(jù)從產(chǎn)生到傳輸貫穿模組生產(chǎn)商、通信服務(wù)商、網(wǎng)絡(luò)運(yùn)營商、工業(yè)企業(yè)等多參與方的可信性，為數(shù)據(jù)可信采集提供保障。

（2）統(tǒng)一身份認(rèn)證。工業(yè)生產(chǎn)、智能制造、能源電力等不同業(yè)務(wù)場景下應(yīng)用對(duì)設(shè)備都存在鑒權(quán)需求，針對(duì)現(xiàn)有工業(yè)互聯(lián)網(wǎng)應(yīng)用單獨(dú)進(jìn)行身份認(rèn)證、不能互通、對(duì)數(shù)據(jù)開放共享造成障礙的問題，基于標(biāo)識(shí)的工業(yè)互聯(lián)網(wǎng)應(yīng)用統(tǒng)一身份認(rèn)證，能實(shí)現(xiàn)多應(yīng)用身份交叉互信，簡化賬號(hào)管理、身份認(rèn)證、權(quán)限管理和審計(jì)過程，加強(qiáng)工業(yè)互聯(lián)網(wǎng)應(yīng)用的安全防范能力。

（3）安全接入認(rèn)證。工業(yè)互聯(lián)網(wǎng)設(shè)備規(guī)模巨大、種類眾多、質(zhì)量參差不齊、缺乏統(tǒng)一規(guī)范，容易出現(xiàn)固件漏洞、惡意軟件感染等問題，為緩解工業(yè)互聯(lián)網(wǎng)設(shè)備帶來的安全風(fēng)險(xiǎn)，利用標(biāo)識(shí)，結(jié)合可信計(jì)算和密碼技術(shù)，能為設(shè)備提供安全認(rèn)證、安全連接、數(shù)據(jù)加密等端到端的安全接入認(rèn)證能力。

（4）密碼基礎(chǔ)設(shè)施。針對(duì)傳統(tǒng)PKI密鑰體系中，數(shù)字證書分發(fā)、管理和維護(hù)需要大量成本，在對(duì)實(shí)時(shí)性要求較高的工業(yè)互聯(lián)網(wǎng)環(huán)境中難以部署的問題，基于標(biāo)識(shí)筑建工業(yè)互聯(lián)網(wǎng)密碼基礎(chǔ)設(shè)施，融合國家密碼算法，實(shí)現(xiàn)密鑰申請(qǐng)、分發(fā)、更新、銷毀等全生命周期的管理，能有效保護(hù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的不可抵賴性、完整性和保密性，實(shí)現(xiàn)對(duì)工業(yè)互聯(lián)網(wǎng)敏感信息的防護(hù)控制。

（5）惡意行為分析。通過提取工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系網(wǎng)絡(luò)行為的流量特征，進(jìn)行網(wǎng)絡(luò)測量、網(wǎng)絡(luò)行為分析，針對(duì)的網(wǎng)絡(luò)行為包括且不限于注冊(cè)（分配）、解析、數(shù)據(jù)更新（配置）、數(shù)據(jù)管理、同步等。充分利用先驗(yàn)知識(shí)、機(jī)器學(xué)習(xí)方法從流量中進(jìn)行挖掘，可支持典型工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系的異常網(wǎng)絡(luò)行為檢測、惡意行為發(fā)現(xiàn)等。

在工業(yè)互聯(lián)網(wǎng)中，對(duì)用戶和設(shè)備進(jìn)行可靠身份認(rèn)證是必不可少的。沒有可靠的身份，攻擊者可越過網(wǎng)絡(luò)及現(xiàn)實(shí)的邊界。這樣的攻擊目前正在發(fā)生。隨著眾多物聯(lián)網(wǎng)技術(shù)的應(yīng)用，這些攻擊的影響不僅僅限于智能家庭或聯(lián)網(wǎng)汽車，同時(shí)延伸到工業(yè)自動(dòng)化、醫(yī)療保健以及其它各個(gè)領(lǐng)域。