前言

物聯(lián)網(wǎng)設(shè)備正以創(chuàng)紀錄的數(shù)量在世界各地部署。據(jù)IDC估計，到2025年，將有416億臺互聯(lián)設(shè)備產(chǎn)生79.4ZB的數(shù)據(jù)。隨著其中許多設(shè)備運行關(guān)鍵基礎(chǔ)設(shè)施組件或收集、訪問和傳輸敏感業(yè)務(wù)或個人信息，物聯(lián)網(wǎng)身份驗證和訪問控制變得更加重要。

物聯(lián)網(wǎng)設(shè)備身份驗證是確保連接的設(shè)備可以被信任為它們所聲稱的那樣的基礎(chǔ)。因此，訪問控制可以監(jiān)控哪些資源可以被訪問和使用，以及在何種情況下最大限度地降低未經(jīng)授權(quán)的行為的風(fēng)險。

前言

物聯(lián)網(wǎng)訪問控制面臨的挑戰(zhàn)

在物聯(lián)網(wǎng)環(huán)境中部署身份驗證和訪問控制機制時，有許多方面會使任務(wù)復(fù)雜化。這是因為大多數(shù)設(shè)備的處理能力、存儲空間、帶寬和能量都是有限的。由于常見身份驗證協(xié)議的通信開銷，大多數(shù)傳統(tǒng)身份驗證和授權(quán)技術(shù)過于復(fù)雜，無法在資源受限的物聯(lián)網(wǎng)設(shè)備上運行。另一個問題是，設(shè)備有時部署在可能無法或無法提供物理安全的區(qū)域。

還有非常廣泛的硬件和軟件堆棧需要考慮。這導(dǎo)致大量設(shè)備通過多種標準和協(xié)議進行通信--這與更傳統(tǒng)的計算環(huán)境不同。例如，研究人員確定了物聯(lián)網(wǎng)環(huán)境中至少84種不同的身份驗證機制，這些機制要么是在2019年提出的，要么是在2019年投入生產(chǎn)的。由于缺乏標準和物聯(lián)網(wǎng)特定的訪問控制模型，保護設(shè)備和網(wǎng)絡(luò)安全的任務(wù)變得更加復(fù)雜。

改進物聯(lián)網(wǎng)訪問控制的3種方法

任何試圖管理數(shù)千個分布廣泛的物聯(lián)網(wǎng)設(shè)備的集中訪問管理模型都有其局限性;沒有一種方法適用于所有場景。尋求開發(fā)去中心化物聯(lián)網(wǎng)訪問控制服務(wù)的供應(yīng)商正在研究區(qū)塊鏈技術(shù)如何消除集中式系統(tǒng)造成的問題。網(wǎng)絡(luò)管理員和安全團隊必須緊跟最新發(fā)展，因為它們可能在不久的將來帶來真正可擴展的服務(wù)產(chǎn)品。

在此之前，每一個物聯(lián)網(wǎng)設(shè)備必須有一個唯一的身份，當(dāng)設(shè)備試圖連接到網(wǎng)關(guān)或中央網(wǎng)絡(luò)時，可以對其進行身份驗證。有些設(shè)備僅根據(jù)其IP或MAC(媒體訪問控制)地址進行標識，而其他設(shè)備則可能安裝了證書。但是識別任何類型設(shè)備的更好方法是通過機器學(xué)習(xí)。除了行為分析(如API、服務(wù)和數(shù)據(jù)庫請求)之外，還可以使用靜態(tài)特性來完成此任務(wù)，以更好地確保設(shè)備的身份。身份和身份驗證行為的結(jié)合使用還提供了根據(jù)上下文不斷調(diào)整訪問控制決策的能力——即使對于資源有限的設(shè)備也是如此。

這種基于屬性的訪問控制模型根據(jù)對設(shè)備、資源、操作和上下文進行分類的一系列屬性來評估訪問請求。它還提供更多動態(tài)訪問控制功能?？梢曰谏舷挛膶傩灾械母膶崟r更新對操作和請求的批準。但是，它確實需要管理員選擇和定義一組屬性和變量，以構(gòu)建一套全面的訪問控制規(guī)則和策略。

改進物聯(lián)網(wǎng)訪問控制

物聯(lián)網(wǎng)訪問控制如何加強信息安全戰(zhàn)略

強大的物聯(lián)網(wǎng)訪問控制和身份驗證技術(shù)可幫助抵御攻擊。但這只是一個更大的集成物聯(lián)網(wǎng)安全戰(zhàn)略的一個重要方面，該戰(zhàn)略可以檢測和響應(yīng)可疑的基于物聯(lián)網(wǎng)的事件。要使任何身份驗證和訪問控制策略發(fā)揮作用，物聯(lián)網(wǎng)設(shè)備必須可見。因此，需要建立關(guān)鍵設(shè)備庫存和生命周期管理程序，以及實時掃描物聯(lián)網(wǎng)設(shè)備的能力。

物聯(lián)網(wǎng)設(shè)備成功識別和驗證后，應(yīng)將其分配到嚴格受限的網(wǎng)段。在那里，它將與主生產(chǎn)網(wǎng)絡(luò)隔離，主生產(chǎn)網(wǎng)絡(luò)具有專門配置的安全和監(jiān)控控制，以防范潛在的物聯(lián)網(wǎng)威脅和攻擊載體。這樣，如果特定設(shè)備被標記為受損，暴露的表面積就會受到限制，橫向移動也會受到控制。這些措施使管理員能夠識別和隔離受危害的節(jié)點，并使用安全修補程序和補丁程序更新設(shè)備。

物聯(lián)網(wǎng)正在改變世界以及IT安全需要如何運作。安全供應(yīng)商仍在追趕物聯(lián)網(wǎng)環(huán)境的規(guī)模和復(fù)雜性。理想情況下，下一代服務(wù)產(chǎn)品將更好地匹配物聯(lián)網(wǎng)身份和訪問管理的需求。

下一代物聯(lián)網(wǎng)的信息安全

物聯(lián)網(wǎng)的信息安全價值莫過于對物聯(lián)網(wǎng)信息資源的利用，而對物聯(lián)網(wǎng)利用的關(guān)鍵在于依據(jù)自己的標準建立物聯(lián)網(wǎng)編碼資源，只有這樣才不會重蹈互聯(lián)網(wǎng)域名受限的覆轍。

我國在物聯(lián)網(wǎng)標準制定方面是與世界同步的，甚至在某些領(lǐng)域還起到了主導(dǎo)作用。2015年5月20日，在比利時布魯塞爾召開的物聯(lián)網(wǎng)標準大會決定，物聯(lián)網(wǎng)標準工作組(WG10)將同步轉(zhuǎn)移原中國主導(dǎo)的物聯(lián)網(wǎng)體系架構(gòu)國際標準項目( ISO/IEC30141)，并由中國專家繼續(xù)擔(dān)任該體系架構(gòu)項目組主編輯，這是我國在信息技術(shù)領(lǐng)域參與標準的制定，也標志著我國在物聯(lián)網(wǎng)標準制定上掌握著一定的話語權(quán)。

下一代物聯(lián)網(wǎng)的信息安全

物聯(lián)網(wǎng)產(chǎn)業(yè)的基礎(chǔ)

統(tǒng)一、規(guī)范的物聯(lián)網(wǎng)標準體系的建立是物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的基礎(chǔ)。目前，國內(nèi)物聯(lián)網(wǎng)標準存在的網(wǎng)絡(luò)安全的問題是很多標準互不兼容，這使得物聯(lián)網(wǎng)的優(yōu)勢無法顯現(xiàn)出來。物聯(lián)網(wǎng)從感知層、網(wǎng)絡(luò)層到應(yīng)用層，涉及多個行業(yè)、多個領(lǐng)域,只有統(tǒng)一、規(guī)范的物聯(lián)網(wǎng)標準才能促進物聯(lián)網(wǎng)快速、健康發(fā)展。

標準化不足也是制約物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的瓶頸之一。雖然物聯(lián)網(wǎng)行業(yè)巨大，但各種各樣的物聯(lián)網(wǎng)應(yīng)用場景把物聯(lián)網(wǎng)分割成很小的板塊，而每個板塊都很小，無法形成規(guī)模效應(yīng)，這意味著物聯(lián)網(wǎng)應(yīng)用的成本很難降低，從而導(dǎo)致物聯(lián)網(wǎng)很難商用，進而制約物聯(lián)網(wǎng)的發(fā)展。

對于企業(yè)來說，標準的制定意味著獲得競爭優(yōu)勢，通過制定行業(yè)標準獲得競爭優(yōu)勢是企業(yè)快速發(fā)展的途徑之一。對于行業(yè)跟隨者，或者對中小企業(yè)來說，要想獲得競爭優(yōu)勢，必須根據(jù)不同的發(fā)展階段實施不同的企業(yè)戰(zhàn)略。按照企業(yè)實力的從弱到強，企業(yè)可以實施這樣的戰(zhàn)略三部曲：標準應(yīng)用—適應(yīng)市場、技術(shù)積累自主提升、主導(dǎo)標準—分享利益。

付于剛剛進入物聯(lián)網(wǎng)某一領(lǐng)域的企業(yè)，首先要解決的是市場的準入問題，而物聯(lián)網(wǎng)標準即是市場準入標準。在這一階段，企業(yè)應(yīng)實施的戰(zhàn)略是遵循物聯(lián)網(wǎng)標準，適應(yīng)市場，解決與其他產(chǎn)品或系統(tǒng)的互聯(lián)互通的問題。

物聯(lián)網(wǎng)產(chǎn)業(yè)的基礎(chǔ)

市場上企業(yè)的對于物聯(lián)網(wǎng)的競爭

在進入物聯(lián)網(wǎng)市場后,企業(yè)仍然處于競爭的劣勢,這一階段企業(yè)必須不斷積累技術(shù),并進行專利布局,為制定企業(yè)標準做好準備。當(dāng)企業(yè)的技術(shù)積累到一定階段，企業(yè)的知識產(chǎn)權(quán)影響越來越大，企業(yè)就可以將自己的知識產(chǎn)權(quán)上升為行業(yè)標準，從而獲得知識產(chǎn)權(quán)的紅利。

物聯(lián)網(wǎng)涉及領(lǐng)域眾多，技術(shù)繁雜，所以物聯(lián)網(wǎng)涉及的標準組織也非常多，既有國際、區(qū)域和國家標準組織，也有行業(yè)協(xié)會和聯(lián)盟組織。不同的標準組織側(cè)重的技術(shù)領(lǐng)域也會不同。

物聯(lián)網(wǎng)標準體系分類

分別是基礎(chǔ)類、感知類、網(wǎng)絡(luò)傳輸類、服務(wù)支撐類、業(yè)務(wù)應(yīng)用類、共性技術(shù)類。

• 基礎(chǔ)類標準包括體系結(jié)構(gòu)和參考模型標準、術(shù)語和需求分析標準等,它們是物聯(lián)網(wǎng)標準體系的頂層設(shè)計和指導(dǎo)性文件，負責(zé)對物聯(lián)網(wǎng)通用系統(tǒng)體系結(jié)構(gòu)、技術(shù)參考模型、數(shù)據(jù)體系結(jié)構(gòu)設(shè)計等重要基礎(chǔ)性技術(shù)進行規(guī)范。
• 感知類標準主要包括傳感器、多媒體、條碼、射頻識別、生物特征識別等技術(shù)標準，涉及信息技術(shù)之外的物理、化學(xué)專業(yè),涉及廣泛的非電技術(shù)。
• 網(wǎng)絡(luò)傳輸類標準包括接入技術(shù)和網(wǎng)絡(luò)技術(shù)兩大類標準。接入技術(shù)包括短距離無線接入、廣域無線接入、工業(yè)總線等;網(wǎng)絡(luò)技術(shù)包括互聯(lián)網(wǎng)、移動通信網(wǎng)、異構(gòu)網(wǎng)等組網(wǎng)和路由技術(shù)。
• 服務(wù)支撐類標準包括數(shù)據(jù)服務(wù)、支撐平臺、運維管理、資源交換標準。
• 業(yè)務(wù)應(yīng)用類標準具有鮮明的行業(yè)屬性，目前物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用領(lǐng)域包括公共安全、健康醫(yī)療、智能交通、智能家居、智能電網(wǎng)、智能制造、林業(yè)、農(nóng)業(yè)環(huán)保等。
• 共性技術(shù)類標準包括物聯(lián)網(wǎng)標識標準、物聯(lián)網(wǎng)安全標準等。

物聯(lián)網(wǎng)標準體系總體框架

物聯(lián)網(wǎng)標準體系總體框架