圖片來源:http://pxhere.com/zh/photo/47200
來源:物聯之家網(iothome.com)
去年,一臺智能咖啡機如何讓工廠控制系統遭遇勒索軟件感染的故事登上了媒體頭條。不過,這件事並非獨一無二,我們已經看到了很多黑客攻擊事件發生,涉及家用電器、機器人設備、無人機和城市、企業和辦公室使用的其他物聯網設備。一些失控的例子如下:
▲清潔機器人自動開啟,爬上廚房的燃氣灶,推開正在烹飪的鍋並燒燬自己,差點把公寓點著。
▲安全機器人淹死在辦公樓的噴泉中。
▲割草機器人從“工作場所”逃脫,並逃跑途中割斷了一條燃料軟管。
▲機器人外科醫生,在手術過程中傷害病人,並用它的“手”抓住器官組織。
▲未經授權控制的無人機。
▲關閉暖通空調設備。
▲黑客攻擊智能玩具、手錶、健身追蹤器和其他可穿戴個人和辦公室設備。
所有這些事件讓我們對每天遇到智能系統和設備的安全性提出了質疑。
這種情況可能是由於物聯網設備的各種故障造成,但大多數都是為了追求某些好處而精心策劃的干擾結果。
在無處不在的黑客入侵和其他網絡威脅時代,加強個人和企業設備的安全勢在必行。反過來,公司應該專注於保護在業務流程、工業、製造、醫藥等方面發揮槓桿作用的智能系統,以降低因第三方篡改而導致設備故障的風險,當然,還可以保護在傳輸和存儲中的專有數據。基本安全涉及更改默認密碼、定期軟件更新以及通過VPN建立安全和加密的網絡連接。
智能化的東西已經無處不在:戶外、家庭、辦公室、醫藥、運輸、生產、工業、農業、物流、電力供應和其他領域。這份清單還在不斷擴大,我們正在迅速接近一個智能但尚未安全的生態系統。
在動態物聯網市場中,這是目前最有前途和最具革命性的技術之一,供應商既沒有花足夠時間也沒有足夠重視其設備的安全性。相反,他們專注於快速生產,以保持其市場競爭優勢,並在這種環境中推動創新。
這種猖獗的開發和製造競賽為犯罪分子提供了大量攻擊機會。
我不會在這裡詳細討論物聯網設備的類型及其安全性,我將專注於帳戶管理和用戶對這些設備的訪問權限,以及從應用程序轉移到設備IDM(身份管理)系統所需的功能。
那麼,物聯網環境中的IDM是什麼?構建IDM系統時需要考慮哪些因素?未來該何去何從?
物聯網的實施預示著人類、設備和服務之間的複雜互動。因此,有必要確保對應用程序、系統和設備(事物)的帳戶和訪問權限進行適當驗證。
設備和數據傳輸之間的明確互動,以及對它們的適當控制——這些是在消費者和工業領域成功實施物聯網的基礎。物聯網解決方案應提供一組用於管理賬戶和權限的組件,這些組件可以準確定義特定用戶的訪問範圍,並在檢查授權策略和訪問權限時驗證用戶身份。
根據全球研究和諮詢公司Gartner的數據,到2020年,40%的IDM供應商將不得不升級他們的物聯網解決方案,相比之下,現在還不到5%。
真正重要的是什麼?
將“用戶”帳戶分配給設備
行業參與者需要確定構成設備“身份”的屬性,這樣,物聯網設備製造商將能夠利用通用方案或數據模型,以使註冊、驗證和認證過程簡單並適用於不同場景。當這些屬性被確定並從特定設備收集時,它們可以用於註冊該設備的帳戶。對於一些智能的東西,註冊時可能需要某種額外驗證,例如,以確認設備本身是官方認證的。
互動
人與人之間的互動將不再足夠,並且有必要在設備、事物、人類、服務和數據之間建立其他聯繫。此外,多對多關係將脫穎而出。
其中一些關係將用於臨時訪問數據,而其他(人、智能設備、智能生產)將是永久性的。這些關係需要註冊、驗證,然後在必要時撤銷。
身份認證和授權
身份認證和授權組件應該應用於物聯網數據流的每個階段。目前支持以下協議: OAuth2、OpenID Connect、UMA、ACE和FIDO。
訪問權限管理
與用戶訪問權限相關屬性的創建/管理應該在設備啟動和初始化階段以及用戶註冊期間進行。適用的標準包括LWM2M、OpenICF和SCIM。
眾所周知,傳統的IDM系統旨在授予對網絡邊界內部系統的訪問權限。蓬勃發展的物聯網技術需要更多動態IDM解決方案,不僅可以支持和添加內部用戶、客戶和合作夥伴,還可以支持和添加設備和智能系統,無論其位置如何,從而擴展了數字轉型範例中的保護功能。
(原創文章,轉載請註明出處:“物聯之家網”。違者必究!)