作者:安富利全球物聯網戰略經理Guillaume Crinon
在離散制造、交通運輸、物流和公用事業等行業的帶動下,全球物聯網市場規模在2021年將達到3.9萬億美元,市場前景廣闊。隨著物聯網市場的規模化快速發展,物聯網安全變得日益凸顯,成為行業持續關注的重點。據Gartner預測,到2021年,全球物聯網安全支出將達到31億美元。 然而,沒有任何一種普適性技術可以解決所有的物聯網安全問題。定制的物聯網解決方案也帶來了許多重大的安全挑戰,例如數據泄露等安全事件頻發,且速度更快。正因如此,一項調查研究發現,只有40%的服務提供商表示已準備在未來兩年應對數據泄露的威脅。也就是說,每10家服務提供商中就有6家沒有真正進行防御系統入侵的準備。 網絡之所以安全性不足,原因在于它只負責確保各次訪問的成功接入。作為互聯網用戶,我們非常清楚這一點:當通過公共WiFi訪問網絡時,瀏覽器會確保我們以HTTPS 或 FTTPS連接跳轉到正在訪問的URL,否則URL一欄中會出現一個紅色標志。 正如HTTPS協議一樣,我們需要在互連設備和數據庫之間實現端到端的安全,從而提供高于網絡安全等級的保護機制,這樣我們就不必關注和擔心哪個網絡正在運行什么內容。傳輸層安全協議(TLS)及其衍生工具是實現這一目標的最佳協議。該協議可以適用于HTTP、FTTP、MQTT并分別將它們轉換成HTTPS、FTTPS和MQTTS,這正是我們在復雜的物聯網安全領域所需要的。 三大功能實現端到端的物聯網安全 - 雙向認證:設備和服務器應該并且能夠相互證明彼此身份的真實性和獨特性 - 信息的完整性:設備和服務器之間能夠安全地發送消息,使得干擾方無法對其進行攻擊或更改 - 信息的保密性:還應該能夠對信息進行編碼,只有被授權接收信息的各方才能閱讀消息的內容。這也是數據隱私保護的核心。 我們希望互連設備的通信和運行能夠自動化,可以不再需要人類的參與,且越來越具有主動性。 互連設備需要一種更簡單的自動化方式與遠程服務器進行雙向認證,如同人與人之間的互動一樣。并且,在萬物互聯的世界中,這種雙向認證需要比以往任何時候都快,因為終端用戶需要隨時隨地訪問信息。單向認證(通過設備認證目標服務器)是遠遠無法滿足需求的,必須采用雙向身份認證,這種方式服務器也需要能夠自動驗證請求連接的設備。目前唯一可行且得到廣泛認可的解決方案是,采用基于證書的公鑰基礎架構(PKI),并在工廠和目標服務器的安全元件及安全處理器中進行安全配置。 物聯網安全歸根結底在于身份認證 在物聯網世界,安全可以歸結為身份認證。人類通過驗證相關機構出具的證明文件來判斷我們所不認識的人或者機器是否可信。在物聯網世界中,相同的概念也同樣適用,只不過進行通信的是機器而已。如果每臺機器都有唯一的可信身份和證明身份的適當文件,它們就可以像人類一樣安全地交換信息。 在全面部署物聯網的過程中,設備將跨越應用程序、公司和服務之間的界限,身份需要實現標準化。因此,安富利建議采用X.509證書格式。無論IP通信是由TLS、非IP藍牙、Zigbee技術還是其他系統處理,PKI、IT和這些設備最終連接的物聯網平臺實際所采用的標準都是X.509。 安全解決方案的關鍵在于完整、可升級的安全堆棧 事實上,可靠的服務提供商通過提供完整的安全堆棧,對整個生命周期管理產生影響,從而在企業物聯網項目的部署中發揮著關鍵作用。完整的安全堆棧包括:證書簽發服務,如同護照簽發一樣;證書注冊服務,如同社會保障系統數據庫維護;證書管理服務,如按需進行的有效性檢查、撤銷、續訂等,相當于每次我們用信用卡付款時銀行系統后臺所進行的操作; 密鑰管理服務,例如用適當的方式向遠程工廠和現場設備分發密鑰,相當于通過郵件將Visa或手機SIM卡的 PIN碼發送給終端用戶。安全解決方案的關鍵在于安全堆棧。更重要的是,當且僅當設備的單片機(MCU)或處理器運行授權軟件和固件時,整個堆棧才能合成在一起。 不同于視頻或者連接,安全系統還沒有完善的標準。無論是視頻還是連接標準,都能夠伴隨著技術的提升、創新和突破不斷發展,提高自身的兼容性,并確保不被時代所淘汰。尤其在終端用戶看來,安全性必須具備這樣與時俱進的能力。 這要求安全設備必須具有非常重要的特性:無論是嵌入式安全芯片還是一個獨特的安全元件,都需要嵌入一種機制,以支持應用軟件或固件以及操作系統、內核系統和安全子系統的升級。此外,必須通過高度安全的管理平臺中的非常安全的通道進行此類升級,而且可以憑借管理權限和證明文件追蹤現場的每臺設備。要在物聯網解決方案中實現真正的安全,需要提供覆蓋物理層1層到7層的全方位安全,同時協調和維系與眾多合作伙伴的合作關系,以便能夠長久地將所有的架構整合在一起。 物聯網這個規模近5,000億的市場將繼續增長。企業若想讓自己的物聯網解決方案在當下和未來都保持競爭力,需要創建一個不僅能夠在每個物理層提供安全保障而且可以確保物聯網解決方案在生命周期維護過程中能夠經受住時間檢驗的系統。 建立端到端安全系統的難度很大。從芯片到身份管理,以及選擇合作伙伴和協商業務模式,期間有很多環節需要管理。因此,安富利鼓勵那些希望部署該系統的企業,對比建立內部物聯網基礎架構和從經驗豐富的技術解決方案提供商那里購買的利與弊。例如,安富利的客戶告訴我們,直到最近,他們才獲得了之前僅對特定市場開放的所有此類服務。 咨詢-開發-部署流程,對于創建一個能夠促使新物聯網解決方案取得成功的環境至關重要。安富利作為端到端合作伙伴,希望利用最新的技術和最佳的實踐用例,與領先的供應商合作,為企業提供最優質的電子元器件和服務,以及所需的解決方案,為企業解除繁難,讓他們專注于自己最擅長的業務。 |
