[嵌入式]【PKI技术】第二弹 — PKI在电信运营商的应用

• 作者｜王聪丽
• 来源｜ 翼安研习社
• 发布时间｜2021-07-08

0. 前言

通过上一节【PKI技术】第一弹 — 什么是PKI？，我们了解了PKI基础，本节我们对PKI在电信运营商的应用进行探讨。

1. 业务系统

无纸化营业厅的电子印章、数字签名以及各种终端设备的安全接入都需要公钥基础设施保证其数据的真实性、完整性、有效性；企业内部办公系统要确保有相应权限才能够访问和操作；业务网站要进行HTTPS升级；电子邮件、语音通信等数据传输需进行加密；自有APP需要进行代码签名，防止盗版、仿冒、篡改风险；手机支付软件（例如中国电信翼支付）需要验证支付服务器及域名的真实性，从而保证交易安全。以上业务系统的安全性都可以或必须通过公钥基础设施实现。

2. 物联网安全

物联网给电信运营商带来巨大机遇，在拓展业务的同时，也要重视物联网安全问题，公钥基础设施是解决物联网安全保障和身份认证问题的一种解决方案。中国电信物联网开放平台]提供物联网设备安全接入能力，目前支持基于SIM卡安全能力的SimID认证、基于身份标识的国密算法SM9认证，后续可基于公钥基础设施，增加利用证书保障物联网设备安全接入与安全通信的认证方式，拓展物联网开放平台的终端接入安全认证能力。在视频监控中，国家标准GB 35114-2017《公共安全视频监控联网信息安全技术要求》提出，前端设备和用户终端必须具有基于数字证书的设备身份认证功能，并且要求在系统中访问加密视频信息的用户是经过基于数字证书认证的用户。公钥基础设施发挥着关键作用，提供数据传输存储以及验证身份所需的信任。

3. 区块链节点身份认证

中国电信、中国移动、中国联通均在区块链领域有不同程度的涉足，探索区块链在电信行业的应用场景，例如国内运营商间利用码号优势建立数字身份、国内运营商与国际运营商间的国际漫游结算、运营商与银行共享征信、运营商间共享计算和带宽、共享基站等。这些区块链在电信运营商的应用场景中均需要不互信的多方参与、多方协作，所以身份认证问题是区块链应用不可避免地挑战。就联盟链而言，电子认证是必选项，联盟链节点通常需要电子认证确定节点的真实身份，这就是CA节点的主要用途，也是电子认证在联盟链中的价值所在。联盟链中的CA节点负责对网络中的成员身份进行管理；采用数字证书机制实现对成员身份的鉴别与权限控制。

4. 5G新场景

公钥密码基础设施在5G新的应用场景中也将为身份认证、互联互通提供有力支撑。安全网关和5G基站gNB（Next Generation Node-B）之间以及有直接链路的gNB和4G基站eNB（Evolved Node-B）之间采用PKI证书进行双向认证保证组网传输安全；5G核心网的NF(Network Function)（网络功能）之间、NF与NRF（NF Repository Function）（网络存储功能）之间、NRF之间均可使用基于证书的TLS(Transport Layer Security)建立安全会话并进行双向认证。在车联网中，美国的V2X通信以IEEE1609.2为基准，定义了V2X（Vehicle-to-Everything）通信中应用和管理信息的安全服务、安全交互信息格式，提出了LTCA和PCA等新的机制，均基于公钥密码基础设施改良，为车联网提供安全保障。

5. 总结

电信行业业务庞大而复杂，电信运营商内部业务系统、物联网安全以及区块链等新兴技术均需要公钥密码基础设施提供安全服务。加强公钥基础设施在身份认证、数据加密、完整性保护和非否认性等方面的应用，有助于构建完善的电信运营商安全体系。

参考文献：

[1] 中华人民共和国公安部. 公共安全视频监控联网信息安全技术要求:GB 35114-2017.
[2] 薛淼，刘千仞，符刚，王光全. 区块链在电信运营商应用场景的探讨[J]. 邮电设计技术，2019(4):76-80.
[3] 全国信息安全标准化技术委员会. 汽车电子网络安全标准化白皮书[EB]，2018.