前言

物聯網設備正以創紀錄的數量在世界各地部署。據IDC估計,到2025年,將有416億臺互聯設備產生79.4ZB的數據。隨著其中許多設備運行關鍵基礎設施組件或收集、訪問和傳輸敏感業務或個人信息,物聯網身份驗證和訪問控制變得更加重要。

物聯網設備身份驗證是確保連接的設備可以被信任為它們所聲稱的那樣的基礎。因此,訪問控制可以監控哪些資源可以被訪問和使用,以及在何種情況下最大限度地降低未經授權的行為的風險。


物聯網訪問的網絡安全

前言

物聯網訪問控制面臨的挑戰

在物聯網環境中部署身份驗證和訪問控制機制時,有許多方面會使任務復雜化。這是因為大多數設備的處理能力、存儲空間、帶寬和能量都是有限的。由于常見身份驗證協議的通信開銷,大多數傳統身份驗證和授權技術過于復雜,無法在資源受限的物聯網設備上運行。另一個問題是,設備有時部署在可能無法或無法提供物理安全的區域。

還有非常廣泛的硬件和軟件堆棧需要考慮。這導致大量設備通過多種標準和協議進行通信--這與更傳統的計算環境不同。例如,研究人員確定了物聯網環境中至少84種不同的身份驗證機制,這些機制要么是在2019年提出的,要么是在2019年投入生產的。由于缺乏標準和物聯網特定的訪問控制模型,保護設備和網絡安全的任務變得更加復雜。

改進物聯網訪問控制的3種方法

任何試圖管理數千個分布廣泛的物聯網設備的集中訪問管理模型都有其局限性;沒有一種方法適用于所有場景。尋求開發去中心化物聯網訪問控制服務的供應商正在研究區塊鏈技術如何消除集中式系統造成的問題。網絡管理員和安全團隊必須緊跟最新發展,因為它們可能在不久的將來帶來真正可擴展的服務產品。

在此之前,每一個物聯網設備必須有一個唯一的身份,當設備試圖連接到網關或中央網絡時,可以對其進行身份驗證。有些設備僅根據其IP或MAC(媒體訪問控制)地址進行標識,而其他設備則可能安裝了證書。但是識別任何類型設備的更好方法是通過機器學習。除了行為分析(如API、服務和數據庫請求)之外,還可以使用靜態特性來完成此任務,以更好地確保設備的身份。身份和身份驗證行為的結合使用還提供了根據上下文不斷調整訪問控制決策的能力——即使對于資源有限的設備也是如此。

這種基于屬性的訪問控制模型根據對設備、資源、操作和上下文進行分類的一系列屬性來評估訪問請求。它還提供更多動態訪問控制功能。可以基于上下文屬性中的更改實時更新對操作和請求的批準。但是,它確實需要管理員選擇和定義一組屬性和變量,以構建一套全面的訪問控制規則和策略。


物聯網訪問的網絡安全

改進物聯網訪問控制

物聯網訪問控制如何加強信息安全戰略

強大的物聯網訪問控制和身份驗證技術可幫助抵御攻擊。但這只是一個更大的集成物聯網安全戰略的一個重要方面,該戰略可以檢測和響應可疑的基于物聯網的事件。要使任何身份驗證和訪問控制策略發揮作用,物聯網設備必須可見。因此,需要建立關鍵設備庫存和生命周期管理程序,以及實時掃描物聯網設備的能力。

物聯網設備成功識別和驗證后,應將其分配到嚴格受限的網段。在那里,它將與主生產網絡隔離,主生產網絡具有專門配置的安全和監控控制,以防范潛在的物聯網威脅和攻擊載體。這樣,如果特定設備被標記為受損,暴露的表面積就會受到限制,橫向移動也會受到控制。這些措施使管理員能夠識別和隔離受危害的節點,并使用安全修補程序和補丁程序更新設備。

物聯網正在改變世界以及IT安全需要如何運作。安全供應商仍在追趕物聯網環境的規模和復雜性。理想情況下,下一代服務產品將更好地匹配物聯網身份和訪問管理的需求。

下一代物聯網的信息安全

物聯網的信息安全價值莫過于對物聯網信息資源的利用,而對物聯網利用的關鍵在于依據自己的標準建立物聯網編碼資源,只有這樣才不會重蹈互聯網域名受限的覆轍。

我國在物聯網標準制定方面是與世界同步的,甚至在某些領域還起到了主導作用。2015年5月20日,在比利時布魯塞爾召開的物聯網標準大會決定,物聯網標準工作組(WG10)將同步轉移原中國主導的物聯網體系架構國際標準項目( ISO/IEC30141),并由中國專家繼續擔任該體系架構項目組主編輯,這是我國在信息技術領域參與標準的制定,也標志著我國在物聯網標準制定上掌握著一定的話語權。


物聯網訪問的網絡安全

下一代物聯網的信息安全

物聯網產業的基礎

統一、規范的物聯網標準體系的建立是物聯網產業發展的基礎。目前,國內物聯網標準存在的網絡安全的問題是很多標準互不兼容,這使得物聯網的優勢無法顯現出來。物聯網從感知層、網絡層到應用層,涉及多個行業、多個領域,只有統一、規范的物聯網標準才能促進物聯網快速、健康發展。

標準化不足也是制約物聯網產業發展的瓶頸之一。雖然物聯網行業巨大,但各種各樣的物聯網應用場景把物聯網分割成很小的板塊,而每個板塊都很小,無法形成規模效應,這意味著物聯網應用的成本很難降低,從而導致物聯網很難商用,進而制約物聯網的發展。

對于企業來說,標準的制定意味著獲得競爭優勢,通過制定行業標準獲得競爭優勢是企業快速發展的途徑之一。對于行業跟隨者,或者對中小企業來說,要想獲得競爭優勢,必須根據不同的發展階段實施不同的企業戰略。按照企業實力的從弱到強,企業可以實施這樣的戰略三部曲:標準應用—適應市場、技術積累自主提升、主導標準—分享利益。

付于剛剛進入物聯網某一領域的企業,首先要解決的是市場的準入問題,而物聯網標準即是市場準入標準。在這一階段,企業應實施的戰略是遵循物聯網標準,適應市場,解決與其他產品或系統的互聯互通的問題。


物聯網訪問的網絡安全

物聯網產業的基礎

市場上企業的對于物聯網的競爭

在進入物聯網市場后,企業仍然處于競爭的劣勢,這一階段企業必須不斷積累技術,并進行專利布局,為制定企業標準做好準備。當企業的技術積累到一定階段,企業的知識產權影響越來越大,企業就可以將自己的知識產權上升為行業標準,從而獲得知識產權的紅利。

物聯網涉及領域眾多,技術繁雜,所以物聯網涉及的標準組織也非常多,既有國際、區域和國家標準組織,也有行業協會和聯盟組織。不同的標準組織側重的技術領域也會不同。

物聯網標準體系分類

分別是基礎類、感知類、網絡傳輸類、服務支撐類、業務應用類、共性技術類。

  • 基礎類標準包括體系結構和參考模型標準、術語和需求分析標準等,它們是物聯網標準體系的頂層設計和指導性文件,負責對物聯網通用系統體系結構、技術參考模型、數據體系結構設計等重要基礎性技術進行規范。
  • 感知類標準主要包括傳感器、多媒體、條碼、射頻識別、生物特征識別等技術標準,涉及信息技術之外的物理、化學專業,涉及廣泛的非電技術。
  • 網絡傳輸類標準包括接入技術和網絡技術兩大類標準。接入技術包括短距離無線接入、廣域無線接入、工業總線等;網絡技術包括互聯網、移動通信網、異構網等組網和路由技術。
  • 服務支撐類標準包括數據服務、支撐平臺、運維管理、資源交換標準。
  • 業務應用類標準具有鮮明的行業屬性,目前物聯網業務應用領域包括公共安全、健康醫療、智能交通、智能家居、智能電網、智能制造、林業、農業環保等。
  • 共性技術類標準包括物聯網標識標準、物聯網安全標準等。

物聯網標準體系總體框架


物聯網訪問的網絡安全

物聯網標準體系總體框架