物聯(lián)網(wǎng)已經(jīng)吸引了國(guó)家高層的注意，他們正越發(fā)關(guān)注物聯(lián)網(wǎng)連接設(shè)備的安全性的悲慘狀態(tài)，Mirai惡意軟件在僵尸網(wǎng)絡(luò)上擴(kuò)散時(shí)演示了此狀態(tài)。確實(shí)，物聯(lián)網(wǎng)設(shè)備缺乏安全性預(yù)示著一個(gè)勇敢的新世界。

　　隨著物聯(lián)網(wǎng)顯示數(shù)以百萬(wàn)的連接設(shè)備，每個(gè)節(jié)點(diǎn)聚集和存儲(chǔ)自己的個(gè)體數(shù)據(jù)采集，并通過(guò)無(wú)線通信技術(shù)經(jīng)由互聯(lián)網(wǎng)和云與其他互聯(lián)設(shè)備共享信息。通過(guò)感染一個(gè)設(shè)備，獲取對(duì)網(wǎng)絡(luò)的非法訪問(wèn)，一個(gè)臭名昭著的演員可以造成大規(guī)模的蓄意破壞。企業(yè)必須快速弄清楚如何注意連接到他們網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備動(dòng)向，以及如何保護(hù)往返于這些設(shè)備的數(shù)據(jù)傳送。

　　挑戰(zhàn)1. 無(wú)處不在的智能設(shè)備

　　智能設(shè)備貌似只是無(wú)處不在而已----家、汽車、工作場(chǎng)所----但事實(shí)上，“智能設(shè)備”的理念例證了物聯(lián)網(wǎng)影響力的范圍拓展，不僅在商業(yè)方面也在社會(huì)上。一個(gè)明顯的例子是，迪拜水電局(DEWA)計(jì)劃到2020年在整座城市安裝超過(guò)100萬(wàn)臺(tái)智能表。DEWA的CEO Al Tayer今年8月在企業(yè)創(chuàng)造力實(shí)驗(yàn)室車間里發(fā)表演講，說(shuō)到“DEWA為建造一個(gè)更加智慧的利用整合電子數(shù)據(jù)的迪拜貢獻(xiàn)力量，使其通過(guò)IT系統(tǒng)和同步網(wǎng)絡(luò)并運(yùn)用互聯(lián)網(wǎng)和云計(jì)算彼此連接。”

　　正如DEWA計(jì)劃使用智能表來(lái)提高迪拜的城市功能，全世界的企業(yè)正為他們的業(yè)務(wù)做著同樣的事情，通過(guò)連接即便是最不希望連接的物聯(lián)網(wǎng)設(shè)備到他們的網(wǎng)絡(luò)，譬如智能可穿戴設(shè)備、智能打印機(jī)或智能咖啡機(jī)。隨著無(wú)數(shù)物聯(lián)網(wǎng)設(shè)備已經(jīng)出現(xiàn)在市場(chǎng)上，跟蹤每一個(gè)連接設(shè)備和它傳輸?shù)臄?shù)據(jù)會(huì)成為一項(xiàng)冗長(zhǎng)乏味的任務(wù)，尤其是因?yàn)槿缃竦脑O(shè)備可以各種方式接入無(wú)線網(wǎng)絡(luò)。隨著無(wú)線選擇使網(wǎng)絡(luò)連接更簡(jiǎn)單更便于人們?cè)L問(wèn)，包括對(duì)關(guān)鍵基礎(chǔ)設(shè)施的遠(yuǎn)程訪問(wèn)，有線網(wǎng)絡(luò)正變得越來(lái)越過(guò)時(shí)。

　　物聯(lián)網(wǎng)設(shè)備必須有某種證明，從而幫助企業(yè)確保連入他們網(wǎng)絡(luò)的的物聯(lián)網(wǎng)設(shè)備是可信的，并且它們的用戶證書是已證實(shí)的。在DEWA迪拜未來(lái)計(jì)劃的案例里，如果從一個(gè)智能表傳輸?shù)洁徑粋€(gè)的數(shù)據(jù)被另一個(gè)未經(jīng)認(rèn)證的設(shè)備攔截了，會(huì)發(fā)生什么?看見(jiàn)DEWA的安全努力展示出來(lái)會(huì)很有趣，因?yàn)樗赡転槠渌推髽I(yè)提供一個(gè)可學(xué)習(xí)效仿的例子。

　　挑戰(zhàn)2：智能設(shè)備安全

　　正如Qualcomm執(zhí)行主席Paul Jacobs最近告訴Reuters的，“對(duì)于物聯(lián)網(wǎng)來(lái)說(shuō)，保證你有一個(gè)保護(hù)和升級(jí)設(shè)備的方法是非常重要的。”因此，為什么它沒(méi)有在所要求的規(guī)模下發(fā)生呢?

　　正如我們所見(jiàn)到的，臭名昭著的Mirai僵尸網(wǎng)絡(luò)，由全球大約500,000個(gè)物聯(lián)網(wǎng)設(shè)備組成，對(duì)諸如Twitter 、Reddit 和Netflix 之類限制訪問(wèn)的主流網(wǎng)站的Dyn網(wǎng)絡(luò)發(fā)動(dòng)先進(jìn)的DdoS攻擊。在那之后，它影響了利比里亞部分地區(qū)的互聯(lián)網(wǎng)速度和訪問(wèn)，攻擊者甚至企圖打擊總統(tǒng)候選人Donald Trump和Hillary Clinton的競(jìng)選網(wǎng)站。

　　這種類型的侵入已經(jīng)發(fā)生好幾年了。回溯到2008年，一次對(duì)1099英里長(zhǎng)的土耳其輸油管線的攻擊，被記錄為迄今為止在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)史上意義最重大的事件之一。根據(jù)《Bloomberg News》，攻擊者在發(fā)現(xiàn)攝像頭通信軟件的漏洞后，利用此漏洞獲取了管道油壓的操作控制訪問(wèn)權(quán)限。從那兒，他們可以在運(yùn)營(yíng)商無(wú)法知曉的情況下操控壓力、使用無(wú)線操作系統(tǒng)作為數(shù)字化武器來(lái)操縱輸油管，將其變成一個(gè)災(zāi)難性的石油炸彈，能使大約“30,000桶油在含水層上的某一區(qū)域噴濺而出”。

　　這場(chǎng)攻擊的衍生物會(huì)是毀滅性的;在土耳其輸油管道的案例中，其結(jié)果“耗費(fèi)BP和它的合作伙伴在管道關(guān)閉期間一天500萬(wàn)美元的過(guò)境關(guān)稅。”

　　不幸的是，這種類型的攻擊沒(méi)有減慢步伐。

　　隨著數(shù)據(jù)橫穿互聯(lián)設(shè)備的大型網(wǎng)絡(luò)，可以做更多的事來(lái)保護(hù)數(shù)據(jù)，并驗(yàn)證設(shè)備以保護(hù)它們免受未授權(quán)的訪問(wèn)。

　　解決：公鑰基礎(chǔ)設(shè)施(PKI)

　　考慮到當(dāng)前大量的互聯(lián)設(shè)備以預(yù)料中的指數(shù)級(jí)增長(zhǎng)，物聯(lián)網(wǎng)部署在為每個(gè)設(shè)備提供唯一身份方面提出了一項(xiàng)新的挑戰(zhàn)。PKI通過(guò)身份驗(yàn)證、加密和數(shù)字簽名解決設(shè)備標(biāo)識(shí)和安全。強(qiáng)大的安全性需要為每個(gè)物聯(lián)網(wǎng)設(shè)備配備唯一的認(rèn)證信息。PKI提供了一個(gè)規(guī)模化的方法來(lái)實(shí)現(xiàn)，使用密碼可靠的認(rèn)證信息來(lái)提供比密碼更好的安全性。還有，PKI解決方案可以被自動(dòng)化，從而滿足對(duì)物聯(lián)網(wǎng)規(guī)模的關(guān)注，對(duì)比人們手工操作的傳統(tǒng)設(shè)備訪問(wèn)控制流程。PKI的新方法包含自定義配置文件和自適應(yīng)的定價(jià)模型，從而高效地匹配用戶案例的增長(zhǎng)。

　　PKI密碼地補(bǔ)充身份認(rèn)證管理，賦予企業(yè)監(jiān)控他們的物聯(lián)網(wǎng)設(shè)備并保護(hù)貫穿設(shè)備生命期的數(shù)據(jù)的能力。可擴(kuò)展的認(rèn)證生命周期管理允許設(shè)備身份配置、證書循環(huán)以保持最新的認(rèn)證，并且當(dāng)不再需要某個(gè)設(shè)備或設(shè)備的用戶不能有更高級(jí)權(quán)限時(shí)可以撤銷。如果設(shè)備出現(xiàn)異常表現(xiàn)，基于PKI的身份允許企業(yè)識(shí)別該設(shè)備，并采取緩解的行動(dòng)。PKI使物聯(lián)網(wǎng)安全管理更加容易和切實(shí)可行。

　　結(jié)束語(yǔ)

　　企業(yè)需要區(qū)分優(yōu)先級(jí)，以便互聯(lián)的設(shè)備有很強(qiáng)的身份證明，強(qiáng)驗(yàn)證(無(wú)密碼)和加密來(lái)保持系統(tǒng)完整性。為了實(shí)現(xiàn)該目標(biāo)，必須在設(shè)備開(kāi)發(fā)和制造時(shí)，同時(shí)在他們的網(wǎng)絡(luò)部署這些互聯(lián)設(shè)備時(shí)思考全面的安全設(shè)計(jì)。最終，用PKI的所有者可控的安全性會(huì)成為保衛(wèi)物聯(lián)網(wǎng)安全的最重要的下一步。