引入身份准入机制，增强物联网安全

物联网的世界

早期的物联网理论由美国麻省理工学院（MIT）的Kevin Ash-ton教授1999年提出，是最早的万物互联、实现智能化的倡导者。

后期不断发展演变，逐渐形成如今清晰的物联网版图，即通过高度发达的互联网和应用，以及先进的感知设备和智能化装置感知一切，达到人与物、物与物的万物互联的效果，同时依托人工智能和大数据计算以及云平台进行海量的数据计算和分析，最终实现对物理世界的智能控制，应用于生活和工作中的方方面面。物联网已经深入到各行各业，渗透到办公、制造产线、医院、智能销售、智能汽车、公共安全等不同场合。

物联网通常包括四层结构，如下图：

物联网的现状和未来

估测到2025年，将有接近750亿台物联网设备接入网络，物联网市场规模将会达到近1万亿美元。区块链、边缘计算、人工智能等新兴技术带动了物联网迅猛发展，物联网整体正朝向多元化方向发展。

物联网的未来趋势，预判如下：

物联网将会进一步快速增长；
物联网制造盈利增多；
亚太地区物联网需求增幅飞快。

下图为物联网发展的不同时期阶梯图

物联网安全风险

物联网伴随着互联网而生，融入于互联网中，与我们生活息息相关，影响了我们的工作和生活。在我们身边可以看到大量IoT设备被攻击泄露数据的新闻，知名人士家庭IoT设备导致的隐私信息泄露及公共设备、商业设备遭受黑客攻击利用的新闻比比皆是，以下举几个例子：

2013年，某知名黑客在YouTube公开视频，展示他使用SkyJack技术，使一架民用无人机能够定位并控制飞在它附近的其他无人机，组成一个仅靠智能手机操控的庞大“僵尸无人机战队”。
2016年10月，恶意软件Mirai控制的IoT僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击，导致了包括Twitter，Guardian，Netflix，Reddit和CNN等机构瘫痪。该次攻击利用了150万台网络摄像头设备组成了“僵尸网络”。
2017年3月， Spiral Toys旗下的某款智能玩具被入侵，200万家庭语音信息等敏感客户数据泄露。
2018年，北美某赌场一起黑客攻击，竟然是操控一个鱼缸发起。鱼缸通过物联网操控喂食、清洁等操作，同时连着赌场的网络，容易让人忽略其安全性，轻而易举被黑客利用。
2017年，某安全研究团队发现，四大主流起搏器制造商的产品中，存在超过8000个程序漏洞，极易被攻击利用。
2018年，国外某研究团队发现，Libelium、Echelon和Battelle 三种智慧城市系统存在17个严重性安全漏洞，包括默认密码、可绕过身份验证等，通过这些漏洞能够轻易操纵一个城市的交通。

物联网安全攻击面分析

谈到物联网身份安全解决方案，我们需要了解黑客攻击物联网的攻击面，通常包括以下十多种：

01 系统访问控制及设备Web界面

包括读取利用以下：设备内存、明文用户名、明文密码、第三方密码、秘钥、注入攻击、用户名攻击、弱密码、账户锁定、默认账户密码等。

02 设备物理接口及管理接口

包括攻击利用以下：用户名命令行接口、管理命令行接口、权限提升、用户名枚举攻击、弱密码、账号锁定、默认账号密码、缺乏双因子认证。

03 设备固件

包括攻击利用以下：硬编码的账号密码、密钥暴露等。

04 设备网络服务及网络流量

包括利用以下：用户命令行接口、管理命令行接口、注入攻击、服务未加密、加密实现不好、短距离、非标准、无线。

05 本地数据存储

包括攻击利用以下：数据未加密、用简单的密钥加密数据。

06 云端Web界面

包括攻击利用以下：SQL注入、用户名枚举攻击、弱密码、账号锁定、默认账号密码、缺乏双因子认证。

07 API接口

包括攻击利用以下：个人识别信息未加密、泄露设备信息、弱验证、弱访问控制、注入攻击。

08 硬件及更新机制

包括攻击利用以下：篡改、物理破坏、软件更新包传输时未加密，软件更新没有验证。

09 移动应用

包括攻击利用以下：用户名枚举攻击、账号锁定、存在默认账号密码、弱口令、传输未加密、无双因子认证。

10 生态系统通信

包括攻击利用：健康检查、销毁账号。

11 认证和授权

包括攻击利用以下：泄露认证和授权相关的session key、token、 cookie，重复使用session key、token，缺乏动态认证。

12 隐私

包括攻击利用以下：泄露用户数据，泄露用户或设备的位置信息。

综上来看，物联网安全是一个错综复杂的问题，涉及到不同行业、不同应用场景，涉及到身份认证、加密证书技术、漏洞管理、应用安全、通信安全、系统安全等，因此无法通过一个大而全的方案去综合治理，单一厂商也无法基于应用场景进行切片，针对不同的安全问题点，多个专业厂商进行联动才能解决。

综上描述的物联网系统很多威胁与身份安全相关，包括不断涌入的物联网设备身份、应用程序、云端的弱口令等。

宁盾物联网身份准入方案

本方案从如何建立物联网端侧准入机制以及云端利用身份认证加强数据安全两个层面讨论：

1、建立物联网端侧身份准入

自动化识别不断接入网络中的物联网设备，为每台设备生成设备指纹，并对其进行分类；
为接入终端设置安全基线，快速实现合法终端和非法终端进行管控；
联动第三方安全设备，对实现进行处置，如siem、soc等。

该场景利用宁盾泛终端准入控制平台ND ACE来实现。

2、云端身份安全防护

云端是数据存储和处理的中心，同时也是应用中心，通过保护云端应用服务器及其应用，可以提升数据访问安全水位，概要为：

针对堡垒机、服务器、vpn开启运维管理MFA认证，防止弱口令导致数据泄漏；

针对应用系统：可以通过SSO单点登录减少暴漏面，同时启用MFA认证增强账号安全。

针对网络设备，可以启动AAA,实现对基础设施的安全；

借助于身份目录服务，实现对账号的统一管理。

安全增益

成为物联网安全链接器

身份平台通过与不同安全设备、应用互操作，如与防火墙、SEIM、NGSOC、漏洞平台、ITSM，实现协作式防护物联网安全。