1. 概述

        上一篇针对物联网终端提出了具体的安全需求，针对这些安全需求，有不同的安全解决方案，本文将首先对这些安全解决方案进行分类，以对物联网终端安全解决方案有一个体系化的了解，然后对每一种方案进行简单介绍。

2. 物联网终端安全方案简介

2.1 概述

        物联网终端安全解决方案众多，比如：终端认证、防攻击、安全加固、安全管理等，这些方案分别从不同的角度为终端提供保护。为了对终端安全方案有一个全面的、体系化的认识，需要对各种解决方案进行分类、梳理。

        首先可以把方案分为安全技术方案和安全管理方案两个大类，技术方案部分可按照“问题域的类型”分为：终端认证方案、通信安全方案、本地安全方案、防攻击方案。

        也可以按照其他维度对安全技术方案进行分类，比如：按照“方案所在的系统层次”把方案分类为：应用层安全方案、系统层安全方案、网络层安全方案等；或者按照需求类型，把方案分类为：硬件安全方案、软件安全方案、数据安全方案。

        由于在实际应用中，更多的按照问题域的类型进行技术方案分类，所以本文将按照这种分类方式，对各种解决方案进行简介。并在后续的文章中，对其中的解决方案进行详细介绍。

2.2 解决方案分类介绍

• 终端认证方案

        该方案主要针对终端的安全认证/授权的需求，提供的解决方案。方案的核心是为终端和终端外部实体之间提供身份认证能力。终端身份认证的具体实现方案有很多种，比如：基于密码的简单认证、基于PKI的认证、基于Token的认证；或者按照认证的因子数量，可以分为单因子认证、双因子认证等。应用中需要根据终端应用环境的特点以及安全级别的要求进行选择。

•  通信安全方案

        该方案用于解决通信安全需求，即通信过程中的机密性、完整性和不可否认性等需求。具体的方案包括采用标准的通信安全协议，如：SSL/TLS或DTLS等，或者为应用提供基础的密码算法，并定制专用的安全通信协议。

•  本地安全方案

        针对本地安全需求，可以提供各种安全方案，包括：系统安全启动、系统更新、本地安全存储等内容。其中系统安全启动、系统更新都需要终端提供对终端固件的验证和保护能力，比如：通过终端硬件提供的安全启动信任根对固件进行验证，以实现安全启动和系统安全更新的能力。本地安全存储则是通过终端本地的安全介质（软件或者硬件）实现对本地敏感数据的存储，安全介质可以为安全硬件，比如：SIM卡、SE、TEE等。

•  防攻击方案

        对于针对终端的各种攻击，可以通过防火墙、IDS等网络设备防御来自网络的攻击，通过对终端硬件的加固防御来自本地的硬件破解攻击；通过对终端固件、应用的加固，防御来自本地的软件破解攻击。

   

• 安全管理方案

        应对安全风险，除了采用技术手段，更重要的是采用管理手段，也就是通过对人员、设备、数据、流程等进行管理控制，保证物联网终端整个生命周期的安全性。

  

3. 小结

        针对物联网终端的各种安全需求，本文对各种安全解决方案进行了体系化的分类和介绍，各类方案可以独立使用以解决某一种安全问题，也可以把多种方案组合在一起使用，构成更加强大的安全防护体系。

        后续的文章中，将对各种解决方案进行详细介绍，敬请关注。