信息化觀察網(wǎng)

不少企業(yè)都把防護中心放在沙盒、加密上，卻忽視了身份認證的重要性。曾有客戶在互聯(lián)網(wǎng)上將過期數(shù)據(jù)庫保持開放狀態(tài)，并且未開啟身份認證，導致數(shù)以萬計的云數(shù)據(jù)庫遭到劫持，并遭遇勒索。

身份認證有云威脅

身份認證與訪問管理（IAM）是管理數(shù)字身份并控制資源訪問的一種方式，以保障資源被訪問時的安全性，IT系統(tǒng)會依此對信息類資產(chǎn)進行統(tǒng)一的管控和審計。同時，考慮到其在自動化應用、自助式服務、數(shù)據(jù)保護、端點登錄等方面的特性，對云環(huán)境的安全可靠運行也很重要。不少企業(yè)主反映，憑證泄露是數(shù)據(jù)泄露的直接原因，防護系統(tǒng)很難分辨“來訪者”是真實用戶還是黑客偽裝的。

釣魚郵件竊取憑證

此外，一些企業(yè)的密碼也面臨著過期的風險，光是靠密碼的復雜性不能解決根本問題，而且所謂的“猜密碼”也并不是黑客獲取訪問權(quán)限的唯一手段。例如他們可以通過釣魚郵件來盜竊憑證，這也是網(wǎng)絡攻擊中最常用的手段之一，采用基于域的郵件驗證、報告和一致性技術(shù)的企業(yè)并不是絕大多數(shù)。

多元化保護云安全

為此，不少云廠商都推出了類似的防護機制，例如青云QingCloud的云安全體系涉及系統(tǒng)和網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、內(nèi)容安全、身份認證及安全管理等層面，在提供DDoS防護、WAF、SSL證書、數(shù)據(jù)加密、訪問控制、安全審計等安全產(chǎn)品的同時，其AppCenter集成眾多第三方安全應用，覆蓋主機防護、堡壘機、數(shù)據(jù)庫應用安全等領(lǐng)域，可滿足企業(yè)級用戶多元化的安全需求。

物聯(lián)網(wǎng)信息應交互加密

不止是云計算，在物聯(lián)網(wǎng)世界，安全問題同樣可以歸結(jié)為身份認證，這是安富利全球物聯(lián)網(wǎng)戰(zhàn)略經(jīng)理Guillaume Crinon給出的觀點。人們通過驗證相關(guān)機構(gòu)出具的證明文件來判斷所不認識的人或者機器是否可信，在物聯(lián)網(wǎng)世界中，相同的概念也同樣適用，只不過進行通信的是機器而已。如果每臺機器都有唯一的可信身份和證明身份的適當文件，它們就可以像人類一樣安全地交換信息。

身份認證須跨越性加密

在全面部署物聯(lián)網(wǎng)的過程中，設備將跨越應用程序、公司和服務之間的界限，身份需要實現(xiàn)標準化。因此，安富利建議采用X.509證書格式。無論IP通信是由TLS、非IP藍牙、Zigbee技術(shù)還是其他系統(tǒng)處理，PKI、IT和這些設備最終連接的物聯(lián)網(wǎng)平臺實際所采用的標準都是X.509。

身份認證書如同護照

事實上，可靠的服務提供商通過提供完整的安全堆棧，對整個生命周期管理產(chǎn)生影響，從而在企業(yè)物聯(lián)網(wǎng)項目的部署中發(fā)揮著關(guān)鍵作用。完整的安全堆棧包括：證書簽發(fā)服務，如同護照簽發(fā)一樣；證書注冊服務，如同社會保障系統(tǒng)數(shù)據(jù)庫維護；證書管理服務，如按需進行的有效性檢查、撤銷、續(xù)訂等，相當于每次人們用信用卡付款時銀行系統(tǒng)后臺所進行的操作；密鑰管理服務，例如用適當?shù)姆绞较蜻h程工廠和現(xiàn)場設備分發(fā)密鑰，相當于通過郵件將信用卡或手機SIM卡的PIN碼發(fā)送給終端用戶。

硬件植入身份認證密鑰

電子代工企業(yè)在物聯(lián)網(wǎng)領(lǐng)域的安全防護，也是BlackBerry關(guān)注的，該公司曾推出過BlackBerry Secure Enablement Feature Pack（BlackBerry安全賦能功能包），可提供一個制造站點，制造站點提供硬件信任根源，且連接到BlackBerry公司全天候保持監(jiān)控的網(wǎng)絡運營中心，以保證運行時間和可靠性。在生產(chǎn)過程中，向硬件植入BlackBerry安全身份認證服務密鑰，并記錄于安全服務器上。在產(chǎn)品新上市時，以及產(chǎn)品生命整個周期內(nèi)會進行定期檢查，以確保兩個密鑰匹配無誤。如果匹配失敗，設備將不會啟動。

物聯(lián)終端也要定制安全

而Arm則發(fā)布過集成式SIM身份認證，以保障下一代蜂窩物聯(lián)網(wǎng)設備的安全使用。一直以來，SIM卡都在為手機和其他聯(lián)網(wǎng)設備提供著一個穩(wěn)定、可信且經(jīng)過檢驗的身份安全認證機制。然而，傳統(tǒng)SIM卡一旦安裝在設備上就不能改變其屬性，并且需要通過實體接入的方式更改移動網(wǎng)絡運營商。在未來智能城市、鄉(xiāng)村，以及經(jīng)歷數(shù)字化轉(zhuǎn)型的行業(yè)中，我們將會有幾十億的互聯(lián)設備，許多設備都將受益于蜂窩網(wǎng)絡連接，但是物理變更SIM卡不具備可擴展性，甚至也不太可行。

物聯(lián)網(wǎng)要集成安全

除了物理實體接入的問題，想要把該技術(shù)集成至尺寸更小的物聯(lián)網(wǎng)設備，以實現(xiàn)大規(guī)模低成本的部署還將面臨成本和尺寸的障礙。為確保隨著物聯(lián)網(wǎng)的發(fā)展，逐漸實現(xiàn)設備身份管理的透明性和互操作性，簡化技術(shù)并提高成本效率勢在必行。嵌入式SIM和最近的集成式SIM在尺寸方面取得的進展對提供蜂窩物聯(lián)網(wǎng)設備的安全身份認證至關(guān)重要。

Arm將安全集成為系統(tǒng)中

目前，Arm采用符合GSMA嵌入式SIM規(guī)范的新技術(shù)，向設備制造商和服務提供商提供蜂窩物聯(lián)網(wǎng)應用的安全身份認證。通過與硬件安全性更強的片上安全區(qū)域架構(gòu)（如Arm CryptoIsland）相結(jié)合，可將MCU、蜂窩調(diào)制解調(diào)器和SIM身份認證集成至單個物聯(lián)網(wǎng)系統(tǒng)級芯片，從而降低設備成本。此外，Arm Kigen OS提供了可擴展、占用空間小且符合GSMA規(guī)范的軟件堆棧，從而將SIM功能完全集成至物聯(lián)網(wǎng)SoC設計中。Arm Kigen能夠遠程配置服務器解決方案可實現(xiàn)模塊化設計，與MNO和物聯(lián)網(wǎng)平臺輕松集成。

結(jié)束語

無論是云計算還是物聯(lián)網(wǎng)，要基于身份認證的安全防范，否則讓黑客盜取了“身份”，就相當于獲取了控制權(quán)。