設(shè)置物聯(lián)網(wǎng)設(shè)備是至關(guān)重要的一步。如果我們以消費(fèi)品為例，這個(gè)過程預(yù)計(jì)將在打開每個(gè)購(gòu)買的產(chǎn)品時(shí)完成一次。設(shè)置的主要挑戰(zhàn)是它必須既是無縫體驗(yàn)又是安全程序：設(shè)備必須經(jīng)過唯一身份驗(yàn)證，并且設(shè)置不能暴露漏洞。此設(shè)置程序需要正確設(shè)計(jì)和執(zhí)行，否則會(huì)損害安全性或市場(chǎng)成功。因此，過去幾年安全性受到嚴(yán)重破壞也就不足為奇了，供應(yīng)商更喜歡簡(jiǎn)單但不安全的配對(duì)。例如，許多物聯(lián)網(wǎng)設(shè)備制造商一直在為其所有產(chǎn)品使用通用登錄名/密碼（例如管理員/密碼）。這造成了巨大的安全漏洞被 MIRAI 機(jī)器人利用。因此，成功的設(shè)備設(shè)置應(yīng)結(jié)合消費(fèi)者的易用性和安全性。我們將在本文中更詳細(xì)地討論這一點(diǎn)。

入職消費(fèi)產(chǎn)品

零售物聯(lián)網(wǎng)產(chǎn)品需要首先設(shè)置，并且通常由家庭中最精通技術(shù)的人維護(hù)。設(shè)備連接到有線或無線網(wǎng)絡(luò)后，必須配置設(shè)備以供最終用戶或其他物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序使用。我們將這種配置比作人員入職——新員工融入公司的綜合人力資源流程。發(fā)生這種情況時(shí)，組織內(nèi)的多個(gè)不同部門會(huì)執(zhí)行各種流程，為新員工設(shè)置電子郵件、計(jì)算機(jī)、電話、稅務(wù)文件、工資單、福利和相關(guān)培訓(xùn)注冊(cè)。與員工入職類似，物聯(lián)網(wǎng)設(shè)備的設(shè)備入職執(zhí)行多個(gè)流程以將新的物聯(lián)網(wǎng)設(shè)備引入物聯(lián)網(wǎng)安全域：

所有權(quán)轉(zhuǎn)讓成功從制造商到購(gòu)買者，或從一個(gè)購(gòu)買者到下一個(gè)購(gòu)買者。入職的第一步是建立設(shè)備的所有權(quán)，這也將設(shè)備建立為物聯(lián)網(wǎng)安全域的成員。一旦擁有，另一個(gè)所有者應(yīng)該只有通過放棄所有權(quán)、使用硬件重置或執(zhí)行適當(dāng)?shù)?API 調(diào)用將設(shè)備返回到非擁有狀態(tài)才能擁有設(shè)備。這很重要，因此可以保持設(shè)備的固有安全性。如今，存在一個(gè)手動(dòng)流程，其中設(shè)備所有權(quán)被轉(zhuǎn)移、現(xiàn)場(chǎng)激活、在網(wǎng)絡(luò)上配置，并在物聯(lián)網(wǎng)管理平臺(tái)中向設(shè)備所有者注冊(cè)。這個(gè)耗時(shí)且成本高昂的過程充滿了安全漏洞。通過物聯(lián)網(wǎng)設(shè)備的設(shè)備載入，

憑據(jù)配置：為設(shè)備配置憑據(jù)，用于與物聯(lián)網(wǎng)安全域中的其他設(shè)備建立相互驗(yàn)證的安全連接。

精細(xì)訪問控制：通過載入，可以為設(shè)備配置不同級(jí)別的安全性。例如，也許只有房子里的父母可以對(duì)恒溫器進(jìn)行編程，但孩子們只能將其調(diào)高和調(diào)低。

有一些專有解決方案可以大規(guī)模提供引導(dǎo)，但在最壞的情況下，它們的接口僅限于一種設(shè)備產(chǎn)品，或者更有可能的是，僅限于制造商產(chǎn)品范圍內(nèi)的許多設(shè)備產(chǎn)品。使用專有 API 的動(dòng)機(jī)可能是供應(yīng)商鎖定和/或缺乏支持設(shè)備功能的標(biāo)準(zhǔn) API。專有軟件的一些限制包括高成本、缺乏開發(fā)人員支持、安全問題和缺乏定制選項(xiàng)。

OCF 簡(jiǎn)介

開放連接基金會(huì)(OCF) 是一個(gè)全球標(biāo)準(zhǔn)機(jī)構(gòu)，幫助真正的物聯(lián)網(wǎng)出現(xiàn)，這意味著所有垂直行業(yè)。OCF 建立在三個(gè)支柱之上：公共規(guī)范、開源代碼和認(rèn)證。OCF 發(fā)布由國(guó)際標(biāo)準(zhǔn)組織 (ISO) 和國(guó)際電工委員會(huì) (IEC) 認(rèn)證為國(guó)際標(biāo)準(zhǔn)的開放規(guī)范。OCF 運(yùn)行IoTivity 項(xiàng)目，該項(xiàng)目管理 Github 上可用的 OCF 規(guī)范的兩個(gè)開源實(shí)現(xiàn)：IoTivity for hub 和IoTivity lite為終點(diǎn)。有具體的實(shí)現(xiàn)可以消除開發(fā)人員的歧義，縮短設(shè)備制造商的上市時(shí)間，并建立互操作性。最后，OCF 運(yùn)行一個(gè)認(rèn)證計(jì)劃，提供 OCF 認(rèn)證標(biāo)簽并維護(hù)認(rèn)證設(shè)備產(chǎn)品數(shù)據(jù)庫，以及相關(guān)的 OCF 公鑰基礎(chǔ)設(shè)施，可用于為 OCF 認(rèn)證設(shè)備頒發(fā)制造商證書。

該基金會(huì)相信通過提供與其他生態(tài)系統(tǒng)無縫橋接的工具來幫助該行業(yè)。這種橋接框架可幫助制造商跨越多個(gè)垂直行業(yè)，并最大限度地提高他們的開發(fā)投資，從而增加跨市場(chǎng)機(jī)會(huì)。OCF 橋接功能還使公司能夠?qū)?OCF 認(rèn)證產(chǎn)品完全集成到專有和傳統(tǒng)解決方案中，而不會(huì)損失其當(dāng)前投資。為此，OCF 維護(hù)OneIoTa，一個(gè)數(shù)據(jù)模型數(shù)據(jù)庫：它對(duì)公共貢獻(xiàn)開放，并允許開發(fā)人員從任何包含的數(shù)據(jù)模型自動(dòng)轉(zhuǎn)換為任何其他數(shù)據(jù)模型。任何人都可以通過在 OpenAPI 2.0 中指定他們的數(shù)據(jù)模型來做出貢獻(xiàn)。請(qǐng)注意，生成代碼和翻譯的工具在Github上可用。

OCF 使用 REpresentational State Transfer (REST) 在設(shè)備之間進(jìn)行消息傳遞。對(duì)于每組邏輯信息，都設(shè)計(jì)了一個(gè)資源。這些資源是在 Open API 中設(shè)計(jì)的（使用 JSON），但是作為 CBOR 在線傳輸，這是一種自動(dòng)轉(zhuǎn)換為二進(jìn)制格式，可以減少有效負(fù)載的大?。愃朴?zip）。這意味著 OCF 支持輕松使用互聯(lián)網(wǎng)技術(shù)（RESTful 和開放 API/JSON），同時(shí)由于使用二進(jìn)制有效負(fù)載而適用于小型設(shè)備。

OCF 安全解決方案

OCF 要求僅當(dāng)客戶端位于同一安全域中時(shí)才能進(jìn)行設(shè)備配置。供應(yīng)指令通過安全連接發(fā)送，由數(shù)據(jù)報(bào)傳輸層安全性 (DTLS) 加密。

安全域上的入職在技術(shù)上分為設(shè)備所有權(quán)轉(zhuǎn)移和設(shè)備配置。整個(gè)過程被定義為一組狀態(tài)轉(zhuǎn)換，如下圖所示（簡(jiǎn)化）：

準(zhǔn)備好所有權(quán)轉(zhuǎn)讓方法 (RFOTM)

準(zhǔn)備好配置 (RFPRO)

準(zhǔn)備好正常運(yùn)行 (RFNOP)

（來源：開放連接基金會(huì)）

下面的示意圖定義了操作如何及時(shí)進(jìn)行。成功的所有權(quán)轉(zhuǎn)移意味著設(shè)備狀態(tài)將進(jìn)入正常操作（RFNOP）。

（來源：開放連接基金會(huì)）

所有權(quán)轉(zhuǎn)移將設(shè)備鎖定到安全域。只有安全域的所有者可以更改它。如果應(yīng)用程序或其他 IoT 設(shè)備想要與設(shè)備通信，則它需要屬于同一安全域。只有屬于安全域的設(shè)備才能安全地相互通信。

OCF 定義了三種所有權(quán)轉(zhuǎn)移方法 (OTM) 或算法：

Just Works 基于 Anonymous Diffie-Hellman，不提供對(duì)新設(shè)備的身份驗(yàn)證，也不提供入職工具 (OBT)。

隨機(jī) Pin：要求設(shè)備在所有權(quán)轉(zhuǎn)移過程中可以顯示 PIN，PIN 是在啟動(dòng)期間隨機(jī)生成的。該機(jī)制提供設(shè)備和 OBT 的相互認(rèn)證。無法顯示 PIN 的設(shè)備無法使用此入職機(jī)制。

使用公鑰基礎(chǔ)設(shè)施 (PKI) 的制造商證書需要額外的基礎(chǔ)設(shè)施來在設(shè)備中創(chuàng)建和存儲(chǔ)證書。因此，成本方面的證書比 Just Works 更昂貴。Random Pin 需要一個(gè)顯示器，如果不用于其他目的，顯示器會(huì)更昂貴。此機(jī)制提供設(shè)備的身份驗(yàn)證，但不提供 OBT 的身份驗(yàn)證。

提供這些不同技術(shù)中的哪一種是設(shè)備制造商根據(jù)他們的需要和設(shè)備的能力來選擇的。

對(duì)資源的訪問由與訪問控制列表 (ACL) 中的資源匹配的條目控制，這些條目還指定：

訪問權(quán)限：資源的創(chuàng)建/讀取/更新/刪除/通知（CRUDN）。

設(shè)備標(biāo)識(shí)符、角色標(biāo)識(shí)符（在后面的部分中進(jìn)一步討論）或客戶端獲取資源訪問權(quán)限的連接類型。

完成所有配置步驟后，設(shè)備將進(jìn)入“準(zhǔn)備正常運(yùn)行”狀態(tài)。這意味著將檢查所有傳入的操作：

如果連接設(shè)備是同一安全域的成員

如果連接設(shè)備有權(quán)對(duì)資源執(zhí)行請(qǐng)求的操作。

授予所有步驟后，該操作將由設(shè)備執(zhí)行。

保護(hù)設(shè)備

正如引言中提到的，重要的是設(shè)備既不能受到攻擊，也不能被允許攻擊與它沒有業(yè)務(wù)通信的其他系統(tǒng)。采用分層方法：基于角色的訪問控制和制造商使用說明。前者解決了設(shè)備安全問題，而后者增加了額外的網(wǎng)絡(luò)保護(hù)層。

基于角色的訪問控制

當(dāng)設(shè)備標(biāo)識(shí)符用于授予訪問權(quán)限時(shí)，必須設(shè)置每個(gè)設(shè)備以授予每個(gè)客戶端訪問權(quán)限。一個(gè)更簡(jiǎn)單且更具可擴(kuò)展性的解決方案是使用基于角色的訪問控制 (RBAC)。在這種情況下，ACL 條目有一個(gè)唯一標(biāo)識(shí)符，表示客戶端可以執(zhí)行的角色。然后在客戶端上配置此角色，否則必須重新配置設(shè)備。

這樣可以創(chuàng)建不同的訪問級(jí)別：

管理員訪問

訪客訪問

正常操作訪問

維護(hù)訪問

必須為每個(gè)支持的角色配置設(shè)備，而不是為每個(gè)設(shè)備配置。

結(jié)論

OCF 已經(jīng)定義了一個(gè)標(biāo)準(zhǔn)化的解決方案來安全地裝載消費(fèi)產(chǎn)品。但是，在現(xiàn)有基礎(chǔ)架構(gòu)網(wǎng)絡(luò)中設(shè)置企業(yè)產(chǎn)品是一個(gè)不同的挑戰(zhàn)。首先，IT 人員無法對(duì)每臺(tái)設(shè)備進(jìn)行一個(gè)接一個(gè)的安裝過程。期望他們對(duì)辦公室中的所有燈泡一個(gè)接一個(gè)地重復(fù)相同的冗長(zhǎng)程序是不合理的。其次，安裝需要更多的選擇：網(wǎng)絡(luò)管理員必須決定允許他們?cè)L問什么網(wǎng)絡(luò)和什么資源。換句話說，挑戰(zhàn)在于在不影響安全性的情況下擴(kuò)展多個(gè)辦公室和/或建筑物的部署。在這里，糟糕的實(shí)施也會(huì)產(chǎn)生災(zāi)難性的影響。2018年，一家賭場(chǎng)成為黑客的受害者這要?dú)w功于安裝在大堂的一個(gè)智能溫度計(jì)監(jiān)控水族館的水。黑客通過連接到溫度計(jì)，設(shè)法從賭場(chǎng)的豪賭客數(shù)據(jù)庫中找到并竊取信息。使用沒有為物聯(lián)網(wǎng)保護(hù)的其他無害設(shè)備，一些非常機(jī)密的信息很容易落入壞人之手。我們不會(huì)在這里描述企業(yè)產(chǎn)品，但會(huì)在以后的文章中介紹。

審核編輯 黃昊宇