守护物联网的边界:从设备开始从设备结束

物联网已经吸引了国家高层的注意,他们正越发关注物联网连接设备的安全性的悲惨状态,Mirai恶意软件在僵尸网络上扩散时演示了此状态。确实,物联网设备缺乏安全性预示着一个勇敢的新世界。

随着物联网显示数以百万的连接设备,每个节点聚集和存储自己的个体数据采集,并通过无线通信技术经由互联网和云与其他互联设备共享信息。通过感染一个设备,获取对网络的非法访问,一个臭名昭著的演员可以造成大规模的蓄意破坏。企业必须快速弄清楚如何注意连接到他们网络的物联网设备动向,以及如何保护往返于这些设备的数据传送。

挑战1. 无处不在的智能设备

智能设备貌似只是无处不在而已----家、汽车、工作场所----但事实上,“智能设备”的理念例证了物联网影响力的范围拓展,不仅在商业方面也在社会上。一个明显的例子是,迪拜水电局(DEWA)计划到2020年在整座城市安装超过100万台智能表。DEWA的CEO Al Tayer今年8月在企业创造力实验室车间里发表演讲,说到“DEWA为建造一个更加智慧的利用整合电子数据的迪拜贡献力量,使其通过IT系统和同步网络并运用互联网和云计算彼此连接。”

正如DEWA计划使用智能表来提高迪拜的城市功能,全世界的企业正为他们的业务做着同样的事情,通过连接即便是最不希望连接的物联网设备到他们的网络,譬如智能可穿戴设备、智能打印机或智能咖啡机。随着无数物联网设备已经出现在市场上,跟踪每一个连接设备和它传输的数据会成为一项冗长乏味的任务,尤其是因为如今的设备可以各种方式接入无线网络。随着无线选择使网络连接更简单更便于人们访问,包括对关键基础设施的远程访问,有线网络正变得越来越过时。

物联网设备必须有某种证明,从而帮助企业确保连入他们网络的的物联网设备是可信的,并且它们的用户证书是已证实的。在DEWA迪拜未来计划的案例里,如果从一个智能表传输到邻近一个的数据被另一个未经认证的设备拦截了,会发生什么?看见DEWA的安全努力展示出来会很有趣,因为它可能为其他政府和企业提供一个可学习效仿的例子。

挑战2:智能设备安全

正如Qualcomm执行主席Paul Jacobs最近告诉Reuters的,“对于物联网来说,保证你有一个保护和升级设备的方法是非常重要的。”因此,为什么它没有在所要求的规模下发生呢?

正如我们所见到的,臭名昭著的Mirai僵尸网络,由全球大约500,000个物联网设备组成,对诸如Twitter 、Reddit 和Netflix 之类限制访问的主流网站的Dyn网络发动先进的DdoS攻击。在那之后,它影响了利比里亚部分地区的互联网速度和访问,攻击者甚至企图打击总统候选人Donald Trump和Hillary Clinton的竞选网站。 这种类型的侵入已经发生好几年了。回溯到2008年,一次对1099英里长的土耳其输油管线的攻击,被记录为迄今为止在网络战争史上意义最重大的事件之一。

根据《Bloomberg News》,攻击者在发现摄像头通信软件的漏洞后,利用此漏洞获取了管道油压的操作控制访问权限。从那儿,他们可以在运营商无法知晓的情况下操控压力、使用无线操作系统作为数字化武器来操纵输油管,将其变成一个灾难性的石油炸弹,能使大约“30,000桶油在含水层上的某一区域喷溅而出”。

这场攻击的衍生物会是毁灭性的;在土耳其输油管道的案例中,其结果“耗费BP和它的合作伙伴在管道关闭期间一天500万美元的过境关税。” 不幸的是,这种类型的攻击没有减慢步伐。 随着数据横穿互联设备的大型网络,可以做更多的事来保护数据,并验证设备以保护它们免受未授权的访问。

解决:公钥基础设施(PKI)

考虑到当前大量的互联设备以预料中的指数级增长,物联网部署在为每个设备提供唯一身份方面提出了一项新的挑战。PKI通过身份验证、加密和数字签名解决设备标识和安全。强大的安全性需要为每个物联网设备配备唯一的认证信息。PKI提供了一个规模化的方法来实现,使用密码可靠的认证信息来提供比密码更好的安全性。

还有,PKI解决方案可以被自动化,从而满足对物联网规模的关注,对比人们手工操作的传统设备访问控制流程。PKI的新方法包含自定义配置文件和自适应的定价模型,从而高效地匹配用户案例的增长。 PKI密码地补充身份认证管理,赋予企业监控他们的物联网设备并保护贯穿设备生命期的数据的能力。

可扩展的认证生命周期管理允许设备身份配置、证书循环以保持最新的认证,并且当不再需要某个设备或设备的用户不能有更高级权限时可以撤销。如果设备出现异常表现,基于PKI的身份允许企业识别该设备,并采取缓解的行动。PKI使物联网安全管理更加容易和切实可行。

结束语

企业需要区分优先级,以便互联的设备有很强的身份证明,强验证(无密码)和加密来保持系统完整性。为了实现该目标,必须在设备开发和制造时,同时在他们的网络部署这些互联设备时思考全面的安全设计。最终,用PKI的所有者可控的安全性会成为保卫物联网安全的最重要的下一步。

原文发布时间为:2017年3月22日

时间: 2024-09-20 14:38:58

守护物联网的边界:从设备开始从设备结束的相关文章

二层设备与三层设备的区别--总结

1.前言 说来惭愧,我是学软件出生的,误打误撞去了一家搞网络设备的公司.本来对网络不熟悉,只知道一些基础的知识.虽然在公司主要是搞应用层开发,但是毕竟是网络公司,不懂网络肯定是不行的.为此要很下心来学习一些网络知识,从最基本的开始.网络设备最重要的是对报文转发和控制.高性能搞并发的转发报文需要很强的技术.目前炒的比较火的sdn(软件定义网络),将网络转发和控制分开,移到应用层.技术很先进,容易跟踪定位问他.例如intel的开发的dpdk,目前已经被很多公司采用.今天从简单的二层口和三层口学习起.

linux i2c设备驱动字符设备问题

问题描述 linux i2c设备驱动字符设备问题 在设备驱动中ioctl.read和write中使用struct i2c_client *client = file->private_data;都会出现问题,在板子上走程序就会出 现Unable to handle kernel NULL pointer dereference at virtual address 00000000,求解答为什么,还有file->private_data是什么数据,有什么用处 解决方案 http://blog.

c#读取win7下的便携式设备 如安卓设备中的文件

问题描述 c#读取win7下的便携式设备 如安卓设备中的文件 win7下手机usb插入电脑 会在便携式设备下面出现设备的名字 使用DriveInfo不能识别该设备 请教大神通过什么方法识别该设备

体感互动设备,红外设备

问题描述 体感互动设备,红外设备 高清数字捕捉系统 TTDM001有谁知道这个东西的工作原理,刚接触到,很是好奇. 要详细的解释说明 解决方案 http://zhidao.baidu.com/link?url=vXVv1_vA4O4GBdwY-bGAsr_24ARDoTYnsjIeoPie2RzOhMYD_KIIN-vT2XrwTGfj6vkGif-SAcaRsdZztK1EKa 解决方案二: Android设备管理器漏洞

设备与驱动的关系以及设备号、设备文件

Linux设备分类Linux下的设备通常分为三类,字符设备,块设备和网络设备. 字符设备 一个字符设备是一种字节流设备,对设备的存取只能按顺序按字节的存取而不能随机访问,字符设备没有请求缓冲区,所有的访问请求都是按顺序执行的.Linux下的大多设备都是字符设备.应用程序是通过字符设备节点来访问字符设备的.设备节点一般都由mknod命令都创建在/dev目录下,下面的例子显示了串口设备的设备节点.字符设备文件的第一个标志是前面的"c"标志. root#ls -l /dev/ttyS[0-3

pci-linux sparc 架构PCI设备能找到设备,但无法分配可用资源。

问题描述 linux sparc 架构PCI设备能找到设备,但无法分配可用资源. [ 0.000000] ###INFO: ***************Welcom to MyKernel*************** [ 0.000000] ###INFO: Build on Sep 5 2014, 04:56:28 [ 0.000000] PROMLIB: Sun IEEE Boot Prom 'OBP 1.0.0 2013/06/08 09:37' [ 0.000000] PROMLIB

Linux中的设备文件与设备号

设备文件与设备号   在Linux下,一切皆文件,设备也不例外,为了管理这些设备,系统为它们各自都编了号,而每个设备号又分为主设备号和次设备号.主设备号用来区分不同类型的设备,而次设备号用来区分同一类型内的多个设备(及其设备分区).一个Linux系统,当前所有注册设备的主设备号可以通过/proc接口查看: [root@localhost lenky]# cat /proc/devices Character devices: 1 mem 4 /dev/vc/0 4 tty 4 ttyS 5 /d

linux驱动开发--字符设备:动态分配设备号

设备号的动态分配 int alloc_chrdev_region(dev_t *dev, unsigned baseminor, unsigned count, const char *name);dev:保存分配到的设备号baseminor:希望分配的起始次设备号count:需要分配的设备号数目name:设备名称(出现在/proc/devices)         返回:成功返回0, 失败返回负值 请求内核动态分配count个设备号,且次设备号从baseminor开始 /** *Copyrig

linux中的设备名称和设备号

看赵炯博士的<linux 0.11 源代码注释>已经两三周了,从今天起开始将一些个人总结和感悟分小标题写出来,聊作记忆以供后来查看.在linux0.11源码的 /linux/boot/bootsect.s中,有一个标号定义ROOT_DEV ! ROOT_DEV: 0x000 - same type of floppy as boot.! 0x301 - first partition on first drive etcROOT_DEV = 0x306 这里,ROOT_DEV是系统指定的根文件