去年,一臺(tái)智能咖啡機(jī)如何讓工廠控制系統(tǒng)遭遇勒索軟件感染的故事登上了媒體頭條���。不過(guò)����,這件事并非獨(dú)一無(wú)二�,我們已經(jīng)看到了很多黑客攻擊事件發(fā)生,涉及家用電器�����、機(jī)器人設(shè)備����、無(wú)人機(jī)和城市、企業(yè)和辦公室使用的其他物聯(lián)網(wǎng)設(shè)備�。一些失控的例子如下:
▲清潔機(jī)器人自動(dòng)開(kāi)啟,爬上廚房的燃?xì)庠?���,推開(kāi)正在烹飪的鍋并燒毀自己,差點(diǎn)把公寓點(diǎn)著�����。
▲安全機(jī)器人淹死在辦公樓的噴泉中。
▲割草機(jī)器人從“工作場(chǎng)所”逃脫��,并逃跑途中割斷了一條燃料軟管����。
▲機(jī)器人外科醫(yī)生�,在手術(shù)過(guò)程中傷害病人,并用它的“手”抓住器官組織��。
▲未經(jīng)授權(quán)控制的無(wú)人機(jī)�。
▲關(guān)閉暖通空調(diào)設(shè)備。
▲黑客攻擊智能玩具����、手表、健身追蹤器和其他可穿戴個(gè)人和辦公室設(shè)備����。
所有這些事件讓我們對(duì)每天遇到智能系統(tǒng)和設(shè)備的安全性提出了質(zhì)疑。
這種情況可能是由于物聯(lián)網(wǎng)設(shè)備的各種故障造成����,但大多數(shù)都是為了追求某些好處而精心策劃的干擾結(jié)果�����。
在無(wú)處不在的黑客入侵和其他網(wǎng)絡(luò)威脅時(shí)代��,加強(qiáng)個(gè)人和企業(yè)設(shè)備的安全勢(shì)在必行���。反過(guò)來(lái),公司應(yīng)該專注于保護(hù)在業(yè)務(wù)流程��、工業(yè)�����、制造��、醫(yī)藥等方面發(fā)揮杠桿作用的智能系統(tǒng)�,以降低因第三方篡改而導(dǎo)致設(shè)備故障的風(fēng)險(xiǎn),當(dāng)然�����,還可以保護(hù)在傳輸和存儲(chǔ)中的專有數(shù)據(jù)��。基本安全涉及更改默認(rèn)密碼�����、定期軟件更新以及通過(guò)VPN建立安全和加密的網(wǎng)絡(luò)連接��。
智能化的東西已經(jīng)無(wú)處不在:戶外���、家庭����、辦公室���、醫(yī)藥、運(yùn)輸���、生產(chǎn)�����、工業(yè)����、農(nóng)業(yè)、物流�����、電力供應(yīng)和其他領(lǐng)域��。這份清單還在不斷擴(kuò)大����,我們正在迅速接近一個(gè)智能但尚未安全的生態(tài)系統(tǒng)。
在動(dòng)態(tài)物聯(lián)網(wǎng)市場(chǎng)中����,這是目前最有前途和最具革命性的技術(shù)之一,供應(yīng)商既沒(méi)有花足夠時(shí)間也沒(méi)有足夠重視其設(shè)備的安全性����。相反,他們專注于快速生產(chǎn)���,以保持其市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)��,并在這種環(huán)境中推動(dòng)創(chuàng)新��。
這種猖獗的開(kāi)發(fā)和制造競(jìng)賽為犯罪分子提供了大量攻擊機(jī)會(huì)���。
我不會(huì)在這里詳細(xì)討論物聯(lián)網(wǎng)設(shè)備的類型及其安全性����,我將專注于帳戶管理和用戶對(duì)這些設(shè)備的訪問(wèn)權(quán)限�,以及從應(yīng)用程序轉(zhuǎn)移到設(shè)備IDM(身份管理)系統(tǒng)所需的功能。
那么�����,物聯(lián)網(wǎng)環(huán)境中的IDM是什么?構(gòu)建IDM系統(tǒng)時(shí)需要考慮哪些因素?未來(lái)該何去何從?
物聯(lián)網(wǎng)的實(shí)施預(yù)示著人類�、設(shè)備和服務(wù)之間的復(fù)雜互動(dòng)。因此��,有必要確保對(duì)應(yīng)用程序�����、系統(tǒng)和設(shè)備(事物)的帳戶和訪問(wèn)權(quán)限進(jìn)行適當(dāng)驗(yàn)證���。
設(shè)備和數(shù)據(jù)傳輸之間的明確互動(dòng),以及對(duì)它們的適當(dāng)控制——這些是在消費(fèi)者和工業(yè)領(lǐng)域成功實(shí)施物聯(lián)網(wǎng)的基礎(chǔ)�。物聯(lián)網(wǎng)解決方案應(yīng)提供一組用于管理賬戶和權(quán)限的組件,這些組件可以準(zhǔn)確定義特定用戶的訪問(wèn)范圍�,并在檢查授權(quán)策略和訪問(wèn)權(quán)限時(shí)驗(yàn)證用戶身份。
根據(jù)全球研究和咨詢公司Gartner的數(shù)據(jù),到2020年�,40%的IDM供應(yīng)商將不得不升級(jí)他們的物聯(lián)網(wǎng)解決方案,相比之下����,現(xiàn)在還不到5%。
真正重要的是什么?
將“用戶”帳戶分配給設(shè)備
行業(yè)參與者需要確定構(gòu)成設(shè)備“身份”的屬性����,這樣,物聯(lián)網(wǎng)設(shè)備制造商將能夠利用通用方案或數(shù)據(jù)模型�,以使注冊(cè)、驗(yàn)證和認(rèn)證過(guò)程簡(jiǎn)單并適用于不同場(chǎng)景�����。當(dāng)這些屬性被確定并從特定設(shè)備收集時(shí)���,它們可以用于注冊(cè)該設(shè)備的帳戶�����。對(duì)于一些智能的東西��,注冊(cè)時(shí)可能需要某種額外驗(yàn)證���,例如�,以確認(rèn)設(shè)備本身是官方認(rèn)證的���。
互動(dòng)
人與人之間的互動(dòng)將不再足夠�,并且有必要在設(shè)備�、事物、人類�、服務(wù)和數(shù)據(jù)之間建立其他聯(lián)系。此外����,多對(duì)多關(guān)系將脫穎而出。
其中一些關(guān)系將用于臨時(shí)訪問(wèn)數(shù)據(jù)�����,而其他(人�、智能設(shè)備、智能生產(chǎn))將是永久性的�。這些關(guān)系需要注冊(cè)、驗(yàn)證�,然后在必要時(shí)撤銷��。
身份認(rèn)證和授權(quán)
身份認(rèn)證和授權(quán)組件應(yīng)該應(yīng)用于物聯(lián)網(wǎng)數(shù)據(jù)流的每個(gè)階段。目前支持以下協(xié)議: OAuth2����、OpenID Connect、UMA�、ACE和FIDO。
訪問(wèn)權(quán)限管理
與用戶訪問(wèn)權(quán)限相關(guān)屬性的創(chuàng)建/管理應(yīng)該在設(shè)備啟動(dòng)和初始化階段以及用戶注冊(cè)期間進(jìn)行���。適用的標(biāo)準(zhǔn)包括LWM2M����、OpenICF和SCIM��。
眾所周知����,傳統(tǒng)的IDM系統(tǒng)旨在授予對(duì)網(wǎng)絡(luò)邊界內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限。蓬勃發(fā)展的物聯(lián)網(wǎng)技術(shù)需要更多動(dòng)態(tài)IDM解決方案����,不僅可以支持和添加內(nèi)部用戶、客戶和合作伙伴��,還可以支持和添加設(shè)備和智能系統(tǒng)�����,無(wú)論其位置如何,從而擴(kuò)展了數(shù)字轉(zhuǎn)型范例中的保護(hù)功能��。
