產品安全和嵌入式安全的理念一直都很復雜,不過我們至少對它們比較熟悉。但物聯網(IoT)卻對“產品”這一理念進行了顛覆,讓聯網成為了產品定義中不可或缺的一部分。 由此一來,僅在設備層面討論安全已經遠遠不夠了。不論是嵌入式系統設計師還是家用電器制造商,他們都必須考慮到聯網所帶來的問題。更具挑戰性的是,大多數物聯網產品最初并沒有被構想為聯網產品,而這些產品的制造商很少具備所需的技術專長來確保產品與物聯網連接之后的安全性。 在物聯網設備方面,我們需要一個任何類型的產品制造商都能夠隨時取用的整體端對端平臺。通過這樣一個平臺,互聯網產品操作的安全技術和流程就能夠融入每個環節,從設備及其嵌入式元件,到云端,再到用于控制最終產品的移動終端應用。 端對端安全意味著什么? 聯網增加了安全風險。居民家中、工作場所以及公共空間里的物聯網設備生成的潛在敏感型數據,現在會在公共互聯網中來回穿梭。對于制造商以及這些聯網設備的用戶來說,確保這些數據的安全可謂是重中之重。 為了在聯網設備中實現端對端安全,安全流程和程序必須以一種完全集成的無縫方式延伸至設備、云端以及應用之中——這三者都擁有各自的安全協議和標準。比如: o 芯片層面的安全專注于加密技術,其中包括安全套接層(SSL)等加密密鑰傳輸協議。 o 云端層面的安全融合了計算機和網絡安全協議。 o 應用層面的安全包含軟件開發過程中以及應用部署之后采用的安全措施。 經過發展演變,計算機和智能手機現已包含了擁有內置安全措施的復雜操作系統。不過,通常的物聯網設備——比如廚房家電、嬰兒監控器、健身追蹤器——在設計過程中并沒有采用計算機級別的操作系統,也不具有相應的安全特性。那么問題就來了:誰應當負責這些聯網產品所需的端對端安全呢? 最佳答案就是讓聯網設備制造商對優質的物聯網平臺加以利用。 怎樣才算一個安全的物聯網平臺? 一個完整的平臺解決方案能夠讓物聯網設備在設備端、云端以及軟件層面一直保持其可用性和安全性。以下是物聯網平臺應當遵守的一些重要的安全原則: o 提供AAA安全。AAA安全指的是認證(Authentication)、授權(Authorization)和審計(Accounting),能夠實現移動和動態安全。它將對用戶身份進行認證,通常會根據 用戶名和密碼對用戶的身份進行認證;對認證用戶訪問網絡資源進行授權;經過授權認證的用戶需要訪問網絡資源時,會對過程中的活動行為進行審計。 o 對丟失或失竊設備進行管理。這可能包括遠程擦除設備內容或者是禁止設備聯網。
