产品安全和嵌入式安全的理念一直都很复杂,不过我们至少对它们比较熟悉。但物联网(IoT)却对“产品”这一理念进行了颠覆,让联网成为了产品定义中不可或缺的一部分。 由此一来,仅在设备层面讨论安全已经远远不够了。不论是嵌入式系统设计师还是家用电器制造商,他们都必须考虑到联网所带来的问题。更具挑战性的是,大多数物联网产品最初并没有被构想为联网产品,而这些产品的制造商很少具备所需的技术专长来确保产品与物联网连接之后的安全性。 在物联网设备方面,我们需要一个任何类型的产品制造商都能够随时取用的整体端对端平台。通过这样一个平台,互联网产品操作的安全技术和流程就能够融入每个环节,从设备及其嵌入式元件,到云端,再到用于控制最终产品的移动终端应用。 端对端安全意味着什么? 联网增加了安全风险。居民家中、工作场所以及公共空间里的物联网设备生成的潜在敏感型数据,现在会在公共互联网中来回穿梭。对于制造商以及这些联网设备的用户来说,确保这些数据的安全可谓是重中之重。 为了在联网设备中实现端对端安全,安全流程和程序必须以一种完全集成的无缝方式延伸至设备、云端以及应用之中——这三者都拥有各自的安全协议和标准。比如: o 芯片层面的安全专注于加密技术,其中包括安全套接层(SSL)等加密密钥传输协议。 o 云端层面的安全融合了计算机和网络安全协议。 o 应用层面的安全包含软件开发过程中以及应用部署之后采用的安全措施。 经过发展演变,计算机和智能手机现已包含了拥有内置安全措施的复杂操作系统。不过,通常的物联网设备——比如厨房家电、婴儿监控器、健身追踪器——在设计过程中并没有采用计算机级别的操作系统,也不具有相应的安全特性。那么问题就来了:谁应当负责这些联网产品所需的端对端安全呢? 最佳答案就是让联网设备制造商对优质的物联网平台加以利用。 怎样才算一个安全的物联网平台? 一个完整的平台解决方案能够让物联网设备在设备端、云端以及软件层面一直保持其可用性和安全性。以下是物联网平台应当遵守的一些重要的安全原则: o 提供AAA安全。AAA安全指的是认证(Authentication)、授权(Authorization)和审计(Accounting),能够实现移动和动态安全。它将对用户身份进行认证,通常会根据 用户名和密码对用户的身份进行认证;对认证用户访问网络资源进行授权;经过授权认证的用户需要访问网络资源时,会对过程中的活动行为进行审计。 o 对丢失或失窃设备进行管理。这可能包括远程擦除设备内容或者是禁止设备联网。
