你的位置:首頁 > 測試測量 > 正文

如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?

發(fā)布時間:2020-12-30 責任編輯:lina

【導(dǎo)讀】為了緩解這些威脅,物聯(lián)網(wǎng)云提供商采用特定的安全協(xié)議和策略,但若使用不當,它們反而會讓物聯(lián)網(wǎng)應(yīng)用更容易受到攻擊。通過使用預(yù)先配置的開發(fā)板,開發(fā)人員可以快速借鑒主要物聯(lián)網(wǎng)云服務(wù)所使用的安全方法,對連接進行身份驗證以及授權(quán)使用物聯(lián)網(wǎng)設(shè)備和云資源。
 
物聯(lián)網(wǎng)(IoT) 安全依賴于多層保護,可從物聯(lián)網(wǎng)設(shè)備的硬件基礎(chǔ)一直延伸到執(zhí)行環(huán)境。不過,對于任何聯(lián)網(wǎng)設(shè)備來說,威脅依然存在,針對云連接的典型物聯(lián)網(wǎng)應(yīng)用要求也可能讓物聯(lián)網(wǎng)設(shè)備和云服務(wù)暴露在新攻擊之下。為了緩解這些威脅,物聯(lián)網(wǎng)云提供商采用特定的安全協(xié)議和策略,但若使用不當,它們反而會讓物聯(lián)網(wǎng)應(yīng)用更容易受到攻擊。通過使用預(yù)先配置的開發(fā)板,開發(fā)人員可以快速借鑒主要物聯(lián)網(wǎng)云服務(wù)所使用的安全方法,對連接進行身份驗證以及授權(quán)使用物聯(lián)網(wǎng)設(shè)備和云資源。
 
本文將說明兩大云服務(wù) Amazon Web Services (AWS) 和 Microsoft Azure 所使用的連接要求,并且介紹開發(fā)人員可以如何使用來自眾多供應(yīng)商的開發(fā)套件及相關(guān)軟件,來快速連接這些服務(wù)。
 
物聯(lián)網(wǎng)門戶在云服務(wù)中所扮演的角色
 
當一臺物聯(lián)網(wǎng)設(shè)備連接到某個資源,如云服務(wù)或遠程主機,其自身以及因擴展整個物聯(lián)網(wǎng)網(wǎng)絡(luò)而可能受到偽裝成合法服務(wù)或服務(wù)器的威脅。相反地,云服務(wù)本身也面臨著來自黑客的類似攻擊威脅,黑客會模仿物聯(lián)網(wǎng)設(shè)備事務(wù)以試圖對云防御機制進行滲透。為了幫助確保保護物聯(lián)網(wǎng)設(shè)備和云資源,云服務(wù)需要采用特定的安全協(xié)議對登錄進行雙向身份驗證并對后續(xù)操作加以授權(quán),以確定是否允許使用服務(wù)。此類協(xié)議通常包含在一系列服務(wù)內(nèi),以在物聯(lián)網(wǎng)設(shè)備和云資源之間提供安全門戶。
 
類似于其他可用的物聯(lián)網(wǎng)云服務(wù)平臺,AWS 和 Azure 分別提供特定入口門戶,以供物聯(lián)網(wǎng)設(shè)備用來與每家提供商的全套云資源進行交互。這些云資源包括虛擬機 (VM) 和軟件即服務(wù) (SaaS) 產(chǎn)品等。Azure IoT Hub 和 AWS IoT 使用功能類似的機制和能力組合,能夠為各自相應(yīng)的企業(yè)云產(chǎn)品提供此類門戶。
 
在最低程度上,這些及其他物聯(lián)網(wǎng)門戶會使用特定的身份驗證協(xié)議來建立安全連接。這些協(xié)議可通過每家提供商的軟件開發(fā)套件 (SDK) 實現(xiàn)。對于 AWS,物聯(lián)網(wǎng)設(shè)備使用雙向身份驗證來連接設(shè)備網(wǎng)關(guān)。而設(shè)備網(wǎng)關(guān)會使用設(shè)備注冊表中保存的信息來連接物聯(lián)網(wǎng)設(shè)備和其他物聯(lián)網(wǎng)支持服務(wù)。該寄存器可存儲唯一設(shè)備標識碼、安全憑證,以及管理對 AWS 服務(wù)進行訪問所需的其他元數(shù)據(jù)(圖 1)。在 Azure 中,身份注冊表具有類似的功能。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖1 和其他云提供商一樣,AWS會為開發(fā)人員提供一系列專用服務(wù),用以在物聯(lián)網(wǎng)設(shè)備和企業(yè)云服務(wù)之間提升事務(wù)的安全性和有效性。(圖片來源: Amazon Web Services)
 
AWS IoT 和 Azure IoT 都提供有相關(guān)服務(wù),能在與每臺物理物聯(lián)網(wǎng)設(shè)備有關(guān)的虛擬設(shè)備中維護狀態(tài)信息。在 AWS IoT 中,設(shè)備影子將為 AWS IoT 提供此功能;而設(shè)備孿生則為 Azure IoT 提供類似功能。
 
這種安全門戶概念可延伸到物聯(lián)網(wǎng)邊緣服務(wù),例如 AWS Greengrass 或 Azure IoT Edge 等。這些邊緣服務(wù)產(chǎn)品可將部分云服務(wù)和功能下放至本地網(wǎng)絡(luò),并且在大規(guī)模部署中,邊緣系統(tǒng)會放置在靠近物聯(lián)網(wǎng)設(shè)備和系統(tǒng)的位置。開發(fā)人員可以使用 Azure IoT Edge 等服務(wù)來實現(xiàn)應(yīng)用業(yè)務(wù)邏輯,或提供所需的其他功能來縮短延遲,或向本地操作人員提供服務(wù),如工業(yè)自動化等(圖 2)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖2 為了支持邊緣計算,云服務(wù)提供商會提供Microsoft Azure Edge等專用服務(wù),使部分Azure IoT云服務(wù)更靠近與物聯(lián)網(wǎng)應(yīng)用有關(guān)的物理設(shè)備。(圖片來源:Microsoft Azure)
 
應(yīng)對物聯(lián)網(wǎng)門戶連接性要求
 
不管是通過邊緣系統(tǒng)進行連接,還是直接連接至提供商的物聯(lián)網(wǎng)服務(wù),物聯(lián)網(wǎng)設(shè)備通常需要滿足一系列要求,才能連接提供商的物聯(lián)網(wǎng)門戶并使用提供商的云服務(wù)。雖然細節(jié)有差異,但物聯(lián)網(wǎng)設(shè)備至少要提供某些項目,如私鑰、X.509 證書或其他安全令牌。在設(shè)備-云連接序列的身份驗證階段,這些密鑰、證書或令牌會為物聯(lián)網(wǎng)門戶提供關(guān)于物聯(lián)網(wǎng)設(shè)備身份的認證或證明。此外,物聯(lián)網(wǎng)云服務(wù)通常需要一套策略規(guī)范,用于定義物聯(lián)網(wǎng)設(shè)備和云服務(wù)之間交互所需的訪問權(quán)限。
 
和其他企業(yè)計算要求一樣,需要使用由主要物聯(lián)網(wǎng)云服務(wù)(如 AWS IoT 和 Azure IoT)指定的特定格式和程序,來提供用于身份驗證的認證信息以及用于訪問管理的策略信息。這些服務(wù)不僅在最低程度上支持基于證書的身份驗證,它們還支持使用其他形式的認證。例如,開發(fā)人員可以在 AWS IoT 中使用以 JSON Web Token (JWT) 為基礎(chǔ)的基于令牌的身份驗證方法,或在 Azure IoT 中使用共享訪問簽名 (SAS) 令牌。
 
如前文所述,這些服務(wù)使用注冊表來保存每臺物聯(lián)網(wǎng)設(shè)備的元數(shù)據(jù)。除安全和其他信息以外,此類注冊表還會保存訪問權(quán)限策略,而這些策略需要進行定義以連接物聯(lián)網(wǎng)設(shè)備。雖然針對不同的云服務(wù)有不同的指定方式,但這些策略定義對不同通信通道和實體的訪問權(quán)限進行了描述。例如,一項簡單的 AWS IoT 訪問權(quán)限策略可能會使用 JSON 格式來指明:AWS IoT 設(shè)備注冊表中帶有特殊“物件”名稱的物聯(lián)網(wǎng)設(shè)備只能在具有相同的相關(guān)物件名稱的通道中進行連接與發(fā)布消息(清單 1)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
清單 1:開發(fā)人員使用 JSON 格式來描述物聯(lián)網(wǎng)設(shè)備的 AWS IoT 訪問權(quán)限策略。(代碼來源:AWS)
 
云就緒開發(fā)套件
 
雖然云提供商提供關(guān)于此類格式和程序的詳細規(guī)格,但提供商的支持論壇上經(jīng)常充斥著開發(fā)人員遇到的非常小但關(guān)鍵的細節(jié)問題,這些問題使其無法順利完成身份驗證和訪問管理。更糟糕的是,從安全角度來看,無意識的濫用認證或不完整的訪問策略定義還有可能導(dǎo)致物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)和應(yīng)用受到攻擊。隨著現(xiàn)成即用的開發(fā)板和配套軟件包的推出,開發(fā)人員能夠在這些連接程序中快速導(dǎo)航,并使用供應(yīng)商提供的示例快速連接到物聯(lián)網(wǎng)云。例如,Espressif Systems 的 ESP32-Azure IoT 套件或 Seeed Technology 的 AZ3166 IoT 開發(fā)套件都包含經(jīng)過 Azure 認證的開發(fā)板,且專門為輕松連接 Microsoft 云而設(shè)計。
 
Microsoft 提供完整的分步演示,包括受支持開發(fā)套件的身份驗證和訪問憑證等。以 AZ3166 開發(fā)板為例,開發(fā)人員只要按下板上的按鈕,即可啟動與本地 Wi-Fi 網(wǎng)絡(luò)的連接。一旦連接,他們可以使用適用于 Microsoft Visual Studio Code 的 Azure IoT Tools 擴展包中的 Azure IoT Device Workbench,來進行開發(fā)、調(diào)試,以及與 Azure IoT Hub 進行交互。通過使用此工具集及其代碼樣例包,開發(fā)人員可以在 Azure IoT Hub 中為物聯(lián)網(wǎng)設(shè)備創(chuàng)建對象,并使用提供的文件來配置包含憑證和其他元數(shù)據(jù)的關(guān)聯(lián)身份注冊表,用以將物聯(lián)網(wǎng)板連接至 Azure IoT Hub(圖 3)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖3 Microsoft Azure IoT Device Workbench 中提供的代碼樣例和憑證可以幫助開發(fā)人員完成配置,以便將 Seeed Technology 的 AZ3166 IoT 開發(fā)套件連接至 Azure IoT Hub。(圖片來源:Microsoft Azure)
 
Azure IoT Device Workbench 提供額外的支持軟件和元數(shù)據(jù),讓開發(fā)人員可以快速加載 AZ3166 板和代碼樣例,并開始將開發(fā)板的溫度和濕度傳感器的測量數(shù)據(jù)傳輸?shù)?Azure IoT Hub。
 
在物聯(lián)網(wǎng)云中為物理物聯(lián)網(wǎng)設(shè)備創(chuàng)建表示形式以及配置關(guān)聯(lián)的注冊表,所涉及的必要步驟只是將設(shè)備連接到物聯(lián)網(wǎng)云。不過,要充分利用云服務(wù)的優(yōu)點,Azure IoT Hub 還需要一項訪問權(quán)限策略。為了對來自 AZ3166 傳感器的設(shè)備到云的消息進行監(jiān)控,開發(fā)人員只需使用 Azure 共享訪問策略屏幕,來選擇專門為快速啟用必要訪問權(quán)限而設(shè)計的預(yù)構(gòu)建策略(圖 4)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖4 開發(fā)人員可以使用預(yù)構(gòu)建的策略輕松授權(quán)使用 Azure 云服務(wù)以及來自 eed Technology 的 AZ3166 IoT 開發(fā)套件的傳感器數(shù)據(jù)。(圖片來源:Microsoft Azure)
 
在使用 AWS IoT 時,開發(fā)人員可以轉(zhuǎn)用開發(fā)套件,如 Microchip Technology 的 AT88CKECC-AWS-XSTK-B 零接觸配置套件及配套軟件,來對云連接進行快速評估。此版本是早期 Microchip 零接觸配置套件的更新版,預(yù)先加載了身份驗證憑證。使用該套件提供的其他腳本,開發(fā)人員可以快速將開發(fā)板連接到 AWS IoT,而無需處理私鑰和證書問題(請參閱“采用零接觸方法安全鎖定物聯(lián)網(wǎng)設(shè)備”)。
 
其他開發(fā)套件包括 Renesas 的 RTK5RX65N0S01000BE RX65N 云套件和 Infineon Technologies 的 KITXMC48IOTAWSWIFITOBO1 AWS IoT 套件,擴展了對 AWS IoT 連接的支持,并且支持快速開發(fā)基于 Amazon FreeRTOS 的應(yīng)用。AWS 提供了詳細的指導(dǎo)說明,有助于注冊開發(fā)板,創(chuàng)建身份驗證憑證,以及加載所提供的 JSON 策略以連接至 AWS IoT 和使用 AWS 服務(wù)。
 
簡化大規(guī)模物聯(lián)網(wǎng)部署的配置
 
開發(fā)套件(如前文所述的套件)可作為快速開發(fā)物聯(lián)網(wǎng)應(yīng)用的原型,以及探索物聯(lián)網(wǎng)云服務(wù)連接要求的有效平臺。但在實際應(yīng)用中,開發(fā)人員通常需要轉(zhuǎn)用更高級的方法,而這些方法專為簡化現(xiàn)實應(yīng)用中的物聯(lián)網(wǎng)設(shè)備配置而設(shè)計。Azure IoT 和 AWS IoT 都支持各種方法,以允許對大規(guī)模部署中的個別設(shè)備或大量物聯(lián)網(wǎng)設(shè)備進行更自動化的配置。
 
以 AWS IoT 為例,開發(fā)人員可以使用自舉方式進行證書配置。亦即,智能產(chǎn)品在交付時會提供自舉證書,其中包含關(guān)聯(lián)的最低訪問權(quán)限以供請求和訪問新證書(圖 5)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖5 AWS IoT 在物聯(lián)網(wǎng)設(shè)備中支持字舉證書配置方法。(圖片來源:Digi-Key Electronics,原始資料來源于 Amazon Web Services)
 
使用自舉證書時,設(shè)備可以連接到云(見圖 5 中的“1”),請求 (“2”) 新證書,接收 (“3”) 由 AWS 無服務(wù)器 Lambda 函數(shù)生成的證書 URL,以及從 AWS Simple Storage Services (S3) 存儲桶檢索 (“4”) 該證書。而使用該新證書,設(shè)備則可以重新登錄到 AWS IoT (“5”),以便繼續(xù)正常操作。
 
AWS 還提供其他云服務(wù),以支持使用執(zhí)行資源(如 AWS Lambda 函數(shù))對身份驗證令牌進行動態(tài)配置。例如,某汽車應(yīng)用可能依賴一系列臨時連接,在這些連接中,使用令牌更實用而且更安全。在適用于物聯(lián)網(wǎng)身份驗證和授權(quán)的 AWS 模塊批準令牌請求以后,AWS Security Token Service (STS) 會生成一個令牌以傳輸?shù)狡囅到y(tǒng)。使用該令牌,這些系統(tǒng)可以訪問需要由 AWS Identity and Access Management (IAM) 服務(wù)驗證的 AWS 服務(wù)(圖 6)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖6 主要云服務(wù)提供商提供其他形式的身份驗證認證,例如,由 AWS Security Token Service(STS)動態(tài)生成安全令牌的這種流程。(圖片來源:Amazon Web Services)
 
AWS 為訪問權(quán)限的動態(tài)分配提供類似功能。此時,其他 AWS Lambda 函數(shù)會分配一組與有效令牌關(guān)聯(lián)的策略(圖 7)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖7 開發(fā)人員可以使用云服務(wù)來實現(xiàn)訪問權(quán)限的動態(tài)分配,它尤其適用于具有臨時連接或短期操作的應(yīng)用。(圖片來源:Amazon Web Services)
 
 
其他物聯(lián)網(wǎng)云服務(wù)允許開發(fā)人員更有效地處理大規(guī)模部署中的配置。例如,AWS IoT 提供車隊配置功能,包括支持前文所述自舉方法的更大規(guī)模部署。Azure IoT 的設(shè)備配置服務(wù)提供組注冊功能,支持對擁有相同 X.509 證書或 SAS 令牌的大量物聯(lián)網(wǎng)設(shè)備進行配置。
 
安全責任共擔
 
IoT 云提供商提供若干有效方法,以提升物聯(lián)網(wǎng)應(yīng)用的端對端安全。盡管如此,IoT 開發(fā)人員不能預(yù)期這些方法可以承擔其特定物聯(lián)網(wǎng)應(yīng)用的全部安全要求重任。實際上,云服務(wù)提供商會使用具體的模型(如 AWS 的責任共擔模型)來仔細地概述其在物聯(lián)網(wǎng)應(yīng)用安全領(lǐng)域內(nèi)的具體角色和責任(圖 8)。
 
如何將物聯(lián)網(wǎng)安全連接到物聯(lián)網(wǎng)云服務(wù)?
 
圖8 和其他主要云提供商一樣,AWS也對自身與云用戶共擔的責任進行了說明,以便在一方面保護云基礎(chǔ)設(shè)施,另一方面保護客戶的應(yīng)用。(圖片來源:Amazon Web Services)
 
AWS 和 Microsoft Azure 都提供責任共擔文檔,說明與解釋在保護資源、數(shù)據(jù)和應(yīng)用過程中提供商的自身角色,以及客戶所扮演的角色。在其說明文檔中,Microsoft 還概述了安全責任共擔和合規(guī)性要求之間的部分關(guān)系。最后,云提供商還負有保護云安全的責任,而客戶則要對在云中使用的應(yīng)用、數(shù)據(jù)和資源負責。
 
總結(jié)
 
IoT 應(yīng)用依賴以基于硬件的機制為基礎(chǔ)所建立起來的安全層,來實現(xiàn)加密和安全密鑰存儲。和任何聯(lián)網(wǎng)產(chǎn)品一樣,當物聯(lián)網(wǎng)設(shè)備連接云服務(wù)時,安全威脅可能存在于任何形式的交互過程當中。為了保護自身及其客戶,IoT 云提供商針對身份驗證和訪問權(quán)限管理制定了具體的要求。雖然提供商會提供關(guān)于此類要求及相關(guān)規(guī)格的詳細說明文檔,但開發(fā)人員還是有可能發(fā)現(xiàn)他們?yōu)閷崿F(xiàn)安全連接所做的努力有時候會使資源暴露在風(fēng)險當中,甚至適得其反地使其不可訪問。使用開發(fā)板和相關(guān)軟件,開發(fā)人員可以快速連接云服務(wù),并快速設(shè)計物聯(lián)網(wǎng)應(yīng)用原型,同時保證端對端安全。
 
 
免責聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問題,請電話或者郵箱聯(lián)系小編進行侵刪。
 
 
推薦閱讀:
貿(mào)澤和Molex聯(lián)手推出關(guān)于連接解決方案如何提升駕駛體驗的新電子書
嵌入式USB2 (eUSB2)標準
干貨|二極管限幅電路和鉗位電路分析
什么是二進制解碼器?
分析混合動力汽車雙模式多級齒輪動力傳動機構(gòu)扭轉(zhuǎn)振動產(chǎn)生的原因
特別推薦
技術(shù)文章更多>>
技術(shù)白皮書下載更多>>
熱門搜索
?

關(guān)閉

?

關(guān)閉