En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 物聯(lián)網(wǎng)的普及,IAM將大有可為!鏡像世界還會遠(yuǎn)嗎?

物聯(lián)網(wǎng)的普及,IAM將大有可為!鏡像世界還會遠(yuǎn)嗎?

文章

2023-11-09瀏覽次數(shù):272

你好,我是茆正華。歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》第四講。

 

想象一下,當(dāng)你的衣食住行全部載入物聯(lián)網(wǎng),真正的萬物互聯(lián),這時候世界會怎么樣?

 

我相信很多人會暢想一些科技炫目、高端智能的美好場景;同時,肯定也有人會擔(dān)憂科幻電影中的人機(jī)災(zāi)難是否會發(fā)生。畢竟,我們已經(jīng)站在了21世紀(jì),對科技的想象已不再那么貧乏。

 

而物聯(lián)網(wǎng)技術(shù)的出現(xiàn)與不斷普及,又進(jìn)一步拓展了我們對未來世界的想象!

 

據(jù)權(quán)威數(shù)據(jù)調(diào)查顯示,2022年底,全球達(dá)到 143 億個活躍物聯(lián)網(wǎng)端點(diǎn);到 2025 年,預(yù)計物聯(lián)網(wǎng)連接數(shù)量將超過 300 億,相當(dāng)于平均每人近四臺物聯(lián)網(wǎng)設(shè)備。

 

如此龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備會帶來一個什么樣的世界呢?

 

我們不妨從物聯(lián)網(wǎng)的定義開始探索。據(jù)IBM對物聯(lián)網(wǎng)的定義:物聯(lián)網(wǎng)(IoT)是將物理世界和互聯(lián)網(wǎng)緊密連接,從而更好地管理物理世界。物聯(lián)網(wǎng)是信息技術(shù)(IT)和控制技術(shù)(OT)的融合,它借助數(shù)據(jù)采集技術(shù)和智能網(wǎng)絡(luò)對物理世界進(jìn)行分析、預(yù)測和優(yōu)化,創(chuàng)造新的價值。

 

也就是說,物聯(lián)網(wǎng)的加入,會讓數(shù)字世界更加深刻、直接、廣泛地影響著我們生活的物理世界。那些龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備,作為連接現(xiàn)實(shí)的載體,將互聯(lián)網(wǎng)的觸角不斷延伸到物理世界的各個角落,最終讓數(shù)字世界成為物理世界的孿生體。

 

事實(shí)也證明,物聯(lián)網(wǎng)對物理世界的影響越來越顯著。我們耳熟能詳?shù)闹腔凵睿òㄎ覀兊囊率匙⌒校?、智慧汽車、工業(yè)自動化、智慧醫(yī)療、智慧交通、智慧城市、智慧農(nóng)業(yè)、環(huán)境監(jiān)測等等,正在現(xiàn)實(shí)逐步呈現(xiàn)。曾經(jīng)在科幻小說或電影里存在的世界,正在被人們用技術(shù)一幕幕的搬到現(xiàn)實(shí)上演!

 

 

然而,物聯(lián)網(wǎng),這樣一個多元化且復(fù)雜的生態(tài)系統(tǒng),囊括了各種傳感器、設(shè)備、網(wǎng)關(guān)、云端服務(wù)和應(yīng)用程序等。這些設(shè)備和組件不僅規(guī)模數(shù)量龐大,位置分布全球各地、各角落,需聯(lián)網(wǎng)且注重實(shí)時性,還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等。

 

這些都使其管理變得非常復(fù)雜、困難,并帶來各種安全問題。例如,急速擴(kuò)大的網(wǎng)絡(luò)攻擊面、更多的潛在漏洞、隱私安全問題等。據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報告調(diào)查顯示:物聯(lián)網(wǎng)設(shè)備是報告最多的外部攻擊目標(biāo),比移動設(shè)備或計算機(jī)受到的攻擊更多。

 

另一項基于對全球260萬個智能家居采樣的威脅情報,調(diào)查了近1.2億個物聯(lián)網(wǎng)設(shè)備的《2023年物聯(lián)網(wǎng)安全形勢報告》的研究數(shù)據(jù)顯示:物聯(lián)網(wǎng)設(shè)備每天在全球范圍內(nèi)產(chǎn)生多達(dá)36億起安全事件。

 

這意味著每個家庭有20臺聯(lián)網(wǎng)設(shè)備,每24小時就會發(fā)生8起網(wǎng)絡(luò)攻擊。而這樣的攻擊數(shù)量還會隨著你的物聯(lián)網(wǎng)設(shè)備的增加,呈指數(shù)級增長。

 

這就是為什么當(dāng)下的人們在暢想技術(shù)帶來的美好智慧化未來的同時,也在時刻擔(dān)憂著技術(shù)帶來的潛在安全威脅與破壞性。

 

 

那么,問題來了,要如何做好物聯(lián)網(wǎng)安全?首先,我們來看看物聯(lián)網(wǎng)技術(shù)帶來了哪些網(wǎng)絡(luò)安全新特征:

 

 

01

物聯(lián)網(wǎng)規(guī)模與復(fù)雜性問題

眾所周知,物聯(lián)網(wǎng)通常涉及海量的設(shè)備,而這些設(shè)備呈現(xiàn)明顯的分散性,如地理維度和時間維度的分散、設(shè)備類型的分散(不同廠商的傳感器、嵌入式設(shè)備、網(wǎng)關(guān)等)。

 

這樣龐大、多樣化的生態(tài)系統(tǒng)進(jìn)行訪問控制時就非常復(fù)雜,需要處理大規(guī)模、復(fù)雜的身份驗證和授權(quán)操作等。此外,還要兼顧跨平臺、跨網(wǎng)絡(luò)、跨地域的兼容性問題。

 

02

物聯(lián)網(wǎng)設(shè)備身份管理問題

隨著物聯(lián)網(wǎng)發(fā)展和深入,越來越多設(shè)備被接入互聯(lián)網(wǎng)。這就意味著要對這些接入的設(shè)備進(jìn)行唯一性識別,賦予其一一映射的數(shù)字身份標(biāo)識,并處理龐大數(shù)量設(shè)備的身份管理和生命周期管理,包括設(shè)備注冊、上線、替換、下線、密鑰管理、設(shè)備證書等。

 

此外,物聯(lián)網(wǎng)設(shè)備面臨著被訪問和訪問其他資源,都需要身份和訪問控制管理。而許多物聯(lián)網(wǎng)設(shè)備還沒有可交互的用戶界面,需要采用自動化機(jī)制幫助身份驗證和授權(quán)。

 

03

物聯(lián)網(wǎng)設(shè)備連接與網(wǎng)絡(luò)問題

物聯(lián)網(wǎng)設(shè)備通常連接到不穩(wěn)定的網(wǎng)絡(luò),可能在某些情況下無法直接訪問。因此,與傳統(tǒng)在相對穩(wěn)定的網(wǎng)絡(luò)環(huán)境運(yùn)行的IAM對比,物聯(lián)網(wǎng)IAM需要處理不穩(wěn)定的連接、離線操作和網(wǎng)絡(luò)故障等問題。

 

04

物聯(lián)網(wǎng)數(shù)據(jù)安全與隱私問題

物聯(lián)網(wǎng)IAM往往還涉及到大量不斷生成的傳感器數(shù)據(jù),這些數(shù)據(jù)可能是非結(jié)構(gòu)化的,而且需要在實(shí)時或接近實(shí)時的情況下處理。

 

這種始終在線、近乎實(shí)時的數(shù)據(jù)分析處理,又會帶來更大的安全與控制問題。一旦這些海量設(shè)備使用的控制權(quán)落入壞人之手,可能會被武器化/用于違背計劃本意的用途,帶來巨大的破壞性甚至毀滅性后果。

 

此外,考慮連接到物聯(lián)網(wǎng)的個人物聯(lián)網(wǎng)設(shè)備,這些數(shù)據(jù)的共享處理又會涉及個人隱私安全問題。

 

面對上述物聯(lián)網(wǎng)技術(shù)帶來的種種新特征,IAM技術(shù)要如何進(jìn)一步發(fā)展進(jìn)化,從而堅守其作為網(wǎng)絡(luò)空間第一道安全“門檻”的重要意義呢?

 

以下是我個人的一些觀察與見解:

 

整體來看,要承載如此大規(guī)模數(shù)量且動態(tài)變化的物聯(lián)網(wǎng)設(shè)備,物聯(lián)網(wǎng)IAM需要在功能性和非功能性兩大維度,具備相應(yīng)的能力:

 

物聯(lián)網(wǎng)IAM功能性能力

 

1. IoT身份的全生命周期管理

對于IoT設(shè)備從被制造出廠一直到下線銷毀,IAM需進(jìn)行全程的身份標(biāo)識跟蹤,并記錄各個過程的行為和狀態(tài),包括設(shè)備注冊、唯一身份標(biāo)識寫入、設(shè)備變更、設(shè)備下線、銷毀等。

 

2. IoT的身份驗證

由于IoT中的設(shè)備和傳感器極易受到攻擊,因此強(qiáng)化身份驗證至關(guān)重要。多因素身份驗證,如生物識別、智能卡或令牌等,可能在IoT設(shè)備和用戶身份驗證中更廣泛使用。同時,IoT還會涉及邊緣計算,其中數(shù)據(jù)在設(shè)備本地進(jìn)行處理。IAM系統(tǒng)需要適應(yīng)邊緣設(shè)備上的身份驗證需求,以確保數(shù)據(jù)在邊緣處理過程中受到保護(hù)。

 

3. IoT的訪問控制

在訪問控制決策上會變得非常復(fù)雜,甚至受限于特定的設(shè)備版本、一天中的特定時間和其他約束條件等。物聯(lián)網(wǎng)下的任何IAM系統(tǒng)都必須能夠支持快速并精細(xì)地允許/禁止共享設(shè)備和信息的動態(tài)訪問控制環(huán)境,實(shí)時調(diào)整訪問控制策略,以適應(yīng)設(shè)備狀態(tài)的變化,確保只有合適的設(shè)備或用戶可以訪問數(shù)據(jù)或控制設(shè)備。

 

而為了進(jìn)一步簡化設(shè)備的管理與維護(hù),IAM系統(tǒng)要與自主設(shè)備管理技術(shù)集成,從而使IoT設(shè)備更加智能,能夠自行管理其身份和訪問控制。

 

物聯(lián)網(wǎng)IAM非功能性能力

 

1. IoT身份平臺的云原生化

未來物聯(lián)網(wǎng)下的IAM基礎(chǔ)設(shè)施在設(shè)計上必須根據(jù)組織最終將支持的設(shè)備數(shù)量進(jìn)行隨需擴(kuò)展,這個數(shù)字可能比現(xiàn)有的高出幾個數(shù)量級。

 

所以,IAM基礎(chǔ)底座,必須在高可用、高擴(kuò)展、兼容性等能力上進(jìn)一步提升,并能與云服務(wù)集成,從而更好地支持IoT設(shè)備的身份驗證、注冊等,包括使用證書、令牌或其他身份驗證機(jī)制,以確保設(shè)備的唯一身份。

 

2. 超大規(guī)模的認(rèn)證邊緣化

物理網(wǎng)設(shè)備指數(shù)增長的情況,靠中心化認(rèn)證系統(tǒng)進(jìn)行集中認(rèn)證已經(jīng)變得越來越吃力,需要借助邊緣計算的技術(shù)能力,把海量IoT設(shè)備的認(rèn)證分散到各個邊緣系統(tǒng)和組件,保障IoT設(shè)備要求的快速響應(yīng)特征;

 

3. 非連續(xù)性特征的影子化

針對一些非智能類IoT設(shè)備或處于惡劣環(huán)境下的設(shè)備,無法實(shí)時并連續(xù)的接入互聯(lián)網(wǎng),需要利用影子設(shè)備的技術(shù),把顯示世界的IoT設(shè)備復(fù)刻到數(shù)字世界形成影子設(shè)備,可以更好的從中心對影子設(shè)備進(jìn)行維護(hù)和管理以及指令的下達(dá)。

 

此外,為進(jìn)一步確保IoT設(shè)備和數(shù)據(jù)的完整性和安全性,IAM系統(tǒng)還需要集成智能合同和區(qū)塊鏈等技術(shù),用于建立更高信任,提供更強(qiáng)的安全性和可驗證性,從而更有效的應(yīng)對個人隱私保護(hù)問題。

 

 

隨著技術(shù)的不斷發(fā)展與完善,杰勒恩特提出的“鏡像世界”還會遠(yuǎn)嗎?當(dāng)現(xiàn)實(shí)世界一步步被軟件的數(shù)字模擬所取代,當(dāng)一切都有一個數(shù)字孿生體,并被賦予一個唯一身份,IAM技術(shù)又會進(jìn)化到什么程度?

 

顯然,我們都知道未來會朝著“YES”的方向前行。我們也都應(yīng)該知道,這個融合了真實(shí)與虛擬的鏡像世界,一方面給我們的生活、工作、娛樂等帶來了無限的可能性與想象空間;

 

但與此同時,也會帶來各種安全問題,甚至對人產(chǎn)生生理和心理影響。這點(diǎn),我們已經(jīng)在當(dāng)下的網(wǎng)絡(luò)世界中深刻體會到了。

 

鏡像世界肯定不遠(yuǎn)了,IAM技術(shù)肯定也會進(jìn)一步進(jìn)化的。你是否做好了準(zhǔn)備,無論是從技術(shù)維度還是心理維度?

 

以上就是本期全部內(nèi)容,我們下期內(nèi)容再見,也歡迎你在文末留言,對本期內(nèi)容進(jìn)行探討。