引入身份准入机制,增强物联网安全
物联网的世界
早期的物联网理论由美国麻省理工学院(MIT)的Kevin Ash-ton教授1999年提出,是最早的万物互联、实现智能化的倡导者。
后期不断发展演变,逐渐形成如今清晰的物联网版图,即通过高度发达的互联网和应用,以及先进的感知设备和智能化装置感知一切,达到人与物、物与物的万物互联的效果,同时依托人工智能和大数据计算以及云平台进行海量的数据计算和分析,最终实现对物理世界的智能控制,应用于生活和工作中的方方面面。物联网已经深入到各行各业,渗透到办公、制造产线、医院、智能销售、智能汽车、公共安全等不同场合。
物联网通常包括四层结构,如下图:
物联网的现状和未来
估测到2025年,将有接近750亿台物联网设备接入网络,物联网市场规模将会达到近1万亿美元。区块链、边缘计算、人工智能等新兴技术带动了物联网迅猛发展,物联网整体正朝向多元化方向发展。
物联网的未来趋势,预判如下:
- 物联网将会进一步快速增长;
- 物联网制造盈利增多;
- 亚太地区物联网需求增幅飞快。
下图为物联网发展的不同时期阶梯图
物联网安全风险
物联网伴随着互联网而生,融入于互联网中,与我们生活息息相关,影响了我们的工作和生活。在我们身边可以看到大量IoT设备被攻击泄露数据的新闻,知名人士家庭IoT设备导致的隐私信息泄露及公共设备、商业设备遭受黑客攻击利用的新闻比比皆是,以下举几个例子:
- 2013年,某知名黑客在YouTube公开视频,展示他使用SkyJack技术,使一架民用无人机能够定位并控制飞在它附近的其他无人机,组成一个仅靠智能手机操控的庞大“僵尸无人机战队”。
- 2016年10月,恶意软件Mirai控制的IoT僵尸网络对美国域名服务器管理服务供应商Dyn发起DDOS攻击,导致了包括Twitter,Guardian,Netflix,Reddit和CNN等机构瘫痪。该次攻击利用了150万台网络摄像头设备组成了“僵尸网络”。
- 2017年3月, Spiral Toys旗下的某款智能玩具被入侵,200万家庭语音信息等敏感客户数据泄露。
- 2018年,北美某赌场一起黑客攻击,竟然是操控一个鱼缸发起。鱼缸通过物联网操控喂食、清洁等操作,同时连着赌场的网络,容易让人忽略其安全性,轻而易举被黑客利用。
- 2017年,某安全研究团队发现,四大主流起搏器制造商的产品中,存在超过8000个程序漏洞,极易被攻击利用。
- 2018年,国外某研究团队发现,Libelium、Echelon和Battelle 三种智慧城市系统存在17个严重性安全漏洞,包括默认密码、可绕过身份验证等,通过这些漏洞能够轻易操纵一个城市的交通。
物联网安全攻击面分析
谈到物联网身份安全解决方案,我们需要了解黑客攻击物联网的攻击面,通常包括以下十多种:
01 系统访问控制及设备Web界面
包括读取利用以下:设备内存、明文用户名、明文密码、第三方密码、秘钥、注入攻击、用户名攻击、弱密码、账户锁定、默认账户密码等。
02 设备物理接口及管理接口
包括攻击利用以下:用户名命令行接口、管理命令行接口、权限提升、用户名枚举攻击、弱密码、账号锁定、默认账号密码、缺乏双因子认证。
03 设备固件
包括攻击利用以下:硬编码的账号密码、密钥暴露等。
04 设备网络服务及网络流量
包括利用以下:用户命令行接口、管理命令行接口、注入攻击、服务未加密、加密实现不好、短距离、非标准、无线。
05 本地数据存储
包括攻击利用以下:数据未加密、用简单的密钥加密数据。
06 云端Web界面
包括攻击利用以下:SQL注入、用户名枚举攻击、弱密码、账号锁定、默认账号密码、缺乏双因子认证。
07 API接口
包括攻击利用以下:个人识别信息未加密、泄露设备信息、弱验证、弱访问控制、注入攻击。
08 硬件及更新机制
包括攻击利用以下:篡改、物理破坏、软件更新包传输时未加密,软件更新没有验证。
09 移动应用
包括攻击利用以下:用户名枚举攻击、账号锁定、存在默认账号密码、弱口令、传输未加密、无双因子认证。
10 生态系统通信
包括攻击利用:健康检查、销毁账号。
11 认证和授权
包括攻击利用以下:泄露认证和授权相关的session key、token、 cookie,重复使用session key、token,缺乏动态认证。
12 隐私
包括攻击利用以下:泄露用户数据,泄露用户或设备的位置信息。
综上来看,物联网安全是一个错综复杂的问题,涉及到不同行业、不同应用场景,涉及到身份认证、加密证书技术、漏洞管理、应用安全、通信安全、系统安全等,因此无法通过一个大而全的方案去综合治理,单一厂商也无法基于应用场景进行切片,针对不同的安全问题点,多个专业厂商进行联动才能解决。
综上描述的物联网系统很多威胁与身份安全相关,包括不断涌入的物联网设备身份、应用程序、云端的弱口令等。
宁盾物联网身份准入方案
本方案从如何建立物联网端侧准入机制以及云端利用身份认证加强数据安全两个层面讨论:
1、建立物联网端侧身份准入
自动化识别不断接入网络中的物联网设备,为每台设备生成设备指纹,并对其进行分类;
为接入终端设置安全基线,快速实现合法终端和非法终端进行管控;
联动第三方安全设备,对实现进行处置,如siem、soc等。
该场景利用宁盾泛终端准入控制平台ND ACE来实现。
2、云端身份安全防护
云端是数据存储和处理的中心,同时也是应用中心,通过保护云端应用服务器及其应用,可以提升数据访问安全水位,概要为:
针对堡垒机、服务器、vpn开启运维管理MFA认证,防止弱口令导致数据泄漏;
针对应用系统:可以通过SSO单点登录减少暴漏面,同时启用MFA认证增强账号安全。
针对网络设备,可以启动AAA,实现对基础设施的安全;
借助于身份目录服务,实现对账号的统一管理。
安全增益
成为物联网安全链接器
身份平台通过与不同安全设备、应用互操作,如与防火墙、SEIM、NGSOC、漏洞平台、ITSM,实现协作式防护物联网安全。
引入身份准入机制,增强物联网安全相关推荐
- YOLOv5/v8改进主干GhostNetV2系列:首发结合最新NIPS2022华为诺亚的GhostNetV2 架构:引入长距离注意力机制增强廉价操作,构建更强端侧轻量型骨干,打造高效轻量级检测器
- 拉勾网引入百度 AI,上线全新企业及招聘者身份审核机制;AI 法律咨询服务系统落户厦门海沧...
福建省首套人工智能法律咨询服务系统落户厦门海沧 雷锋网(公众号:雷锋网)消息 日前,海沧区司法局依托"法治海沧"微信公众号平台,在福建省率先上线了"智能海沧AI人工智能& ...
- 如何通过引入硬注意力机制来学习视觉问答任务?
作者 | Mateusz Malinowski, Carl Doersch, Adam Santoro, and Peter Battaglia 译者 | linstancy 编辑 | Jane 出品 ...
- ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication) (转载)
ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication) 收藏 转自:http://www.aspxclub.com/l12/c_3689.html 本篇文章介绍了在ASP ...
- Web应用程序的身份验证机制
身份验证是大多数网站的基本要求. 但是,有许多机制可以实现身份验证,并且它们之间不是很互换. 根据业务需求,开发人员需要为其应用程序选择最合适的身份验证方法. 除非人们很好地了解机制之间的差异,否则这 ...
- ASP.NET身份验证机制membership入门——配置篇(1){转}
几乎所有的系统中都会使用到访问控制和角色管理这样的功能,例如:新建.修改.删除用户和角色,为用户分配角色,管理角色中的用户等等.于是MS在ASP.NET 2.0开始,实现了这些功能,使得我们在开发中, ...
- Java学习笔记_身份验证机制
身份验证机制(authentication):确定一个用户具有自己声称的那个身份 应用程序关心用户是否通过了验证而不关心是通过何种方式进行的验证??? 授权(访问控制:authorization):★ ...
- Web应用中基于密码的身份认证机制(表单认证、HTTP认证: Basic、Digest、Mutual)
Web应用中基于密码的身份认证机制 背景概念 认证(Authentication) 会话管理 1 表单认证(Form-Based Authentication) 1.1 介绍 1.2 流程 2 通用的 ...
- ESMTP身份验证机制探索手记
http://www.cnblogs.com/witxjp/archive/2003/07/22/1986215.html 为了限制非本系统的正式用户利用邮件服务器散发垃圾邮件或进行其他不当行为,国内 ...
最新文章
- 2021年大数据Flink(三十九):​​​​​​​Table与SQL ​​​​​​总结 Flink-SQL常用算子
- 图解GPT-2(完整版)!
- 人工智能恶意使用报告:预测、预防和缓解
- Spring处理器(Controller)全局建言
- DonkeyID---php扩展-64位自增ID生成器
- Spark ML - 聚类算法
- CS144 lab4 计算机网络实验 笔记
- 软件工程讲义 9 创新的出路 走进作坊
- 你真的理解图像处理算法SIFT吗?
- mysql 锁24小时_MySQL中Alter table 不长时间锁表的情况汇总。
- Machine learning for improved image-based wavefront sensing
- 阶段3 3.SpringMVC·_01.SpringMVC概述及入门案例_05.入门程序之入门代码编写
- Qt编写地图综合应用12-路线查询
- ios 通过代码调整焦距
- Salesforce系列(十):Salesforce Schedule cron定时执行方法!
- 直播预告更新 | 火爆全网的ChatGPT为什么这么强?
- 介绍一些比较方便好用的爬虫工具和服务
- strcpy函数实现(C语言)
- 海康威视SDK控制台程序consoleDemo将实时码流保存为视频文件mp4
- 【ArcGIS风暴】ArcGIS tif转jpg:JPEG压缩仅支持8位或16位无符号数据(具有一个或三个波段,且没有色彩映射表)解决方案!
热门文章
- MySQL隔离级别--未提交读,提交读,可重复读,序列化--详解(有示例)
- 国内互联网公司梯队划分,阿里,腾讯,华为第一挡,网友坐不住了!
- 网传国内互联网梯队划分,网友坐不住了!
- [3] Jenkins 系列:如何获取触发Jenkins Job的用户信息?
- 吴恩达深度学习作业编程1【识别猫片】
- crash report
- c语言报错spawning 插1,Visual C++中error spawning cl.exe解决办法
- 化学绘图软件ChemFinder怎样连接数据库
- Python 3 字符串 center( ) 方法
- 读书 - 躬行 - 悟道