能否在物联网领域构建一个通用的安全模型?
一些公司也意识到了这种危险,但是由于他们还没有大规模使用物联网应用程序,所以并没有采取相应行动。但是他们真的知道他们到底有多少设备已经连接到网络并且暴露于风险之中吗?
Shodan是一种专门搜索联网设备的搜索引擎,它不像Google等传统的搜索引擎,利用Web爬虫去遍历你整个网站,而是直接进入互联网的背后通道,审计设备的各类端口,一刻不停的寻找着所有和互联网关联的设备。
每个月Shodan都会在大约5亿个网络设备上日夜不停地搜集信息,它的搜索能力是极其惊人的,包括无数交通灯、安全摄像头、家庭自动化设备、冰上曲棍球球场,甚至工厂的控制系统和核电站。大部分的这些设备经由制造商或者第三方通过一个内部应用程序连接到网络。
大部分这些设备只有非常有限的安全功能,许多情况下,连接设备甚至不需要密码。就算有,也在使用“Admin”这样的用户名和“1234”这样非常简单的密码。70%的设备还是在以文本格式沟通,即使使用更安全的密码,攻击这些设备依然很容易。
数以百万的设备也在使用非常过时的软件版本——这些软件的漏洞和弱点简直众所周知。所以,很多公司的问题根本不在于如何开始一个物联网项目,他们的问题在于如何管理和保护现有的那些未知部分的物联网设备。
一个可能的通用安全模型
目前还没有专门针对物联网的通用安全模型,然而,可以把如下图所示的安全体系架构作为基础。
图1.物联网涵盖的元素和交互对象
在图1里,我将物联网中涵盖的不同元素和它们交互的对象标示了出来。
1.设备是联网的真实对象
2.网络基础设施将设备连接到物联网平台
3.运营平台为应用程序提供了开发的基础设施
4.物联网平台是一套组件,它可以与设备通信,可以对设备进行管理,还能运行应用程序
5.发展指的是物联网应用程序的实现过程