網絡空間與現實生活的邊界正逐漸模糊。隨著物聯網的發展，個人和各類設備越來越多地連接到網絡中，各種物品也得以無縫地整合至信息網絡系統中。機器和機器人能夠感知并分析數據，使現實生活中的遠程控制得以實現。物聯網將改變人們生活、工作甚至溝通的方式。長遠來說，任何一家企業都無法避開它的影響。但是，巨大機遇的同時帶來了新的挑戰，尤其在安全方面。

　　安全是物聯網的核心，尤其在身份方面。如果人們需要將房屋、汽車以及工廠連接至網絡中，必須保證它們的安全。個人、機器和設備必須獲得安全的身份認證，只有得到授權才能正常訪問。用戶的私人數據以及企業秘密必須受到保護，免受盜竊以及詐騙的影響。同時，物聯網安全設計還必須是易于使用的，不能犧牲任何用戶體驗。因此，安全需要從一開始就設計到物聯網系統中，而不是后來附加上去。

　　安全硬件對物聯網的重要性

　　Stuxnet、BlackEnergy及近期的一系列其它攻擊證明，僅僅依靠軟件是無法有效地保護物聯網系統的。狡詐的黑客往往可輕松繞過安全軟件，而對系統進行遠程控制。而將軟件與硬件相結合可在安全與靈活性之間獲得最佳平衡。即便安全軟件無法起到作用，安全芯片仍然可以提供保護。

　　物聯網中的用戶身份

　　物聯網用戶要求遠程獲取其設備上的信息，但這同時也需要高度的易用性及安全性。用戶名和密碼驗證往往無法滿足這些要求，因為人們往往認為密碼輸入很麻煩且很容易被盜。最近，FIDO（快速網絡身份驗證）聯盟發布了一套開放性的、可擴展的、可互操作的多因素驗證機制標準。

　　物聯網用戶可從FIDO中獲得兩方面的益處。首先，他們的安全性得到了提高。其次，設備驗證管理的復雜性大幅度降低了。如圖一所示，FIDO允許用戶通過本地硬件安全驗證碼來獲取其網絡賬號，他們可使用這一驗證碼來驗證其它系統，不論是否具有PIN。

　　物聯網中的設備身份

　　隨著物聯網的興起，設備安全，尤其是設備身份越來越重要。物聯網設備控制著汽車、工廠系統、門鎖以及安全攝像頭等關鍵性的系統。同時，他們也受到眾多來自網絡的威脅。要阻止沒有權限的參與者并提供安全性，物聯網設備必須能夠與用戶、其它設備以及云進行雙向驗證。幸運的是，設備身份技術（例如IEEE 802.1AR）已經非常成熟并獲得了廣泛的應用。

　　密碼認證是物聯網設備身份驗證的最好方法。物聯網設備完全可以建立、維護以及使用長密鑰。因此，完全不需要使用密碼來進行設備身份驗證。而安全硬件則可以保護這些密匙防止被盜。

　　某些安全芯片——例如作為開放標準的可信平臺模塊（TPM）——不僅僅建立了設備身份，而且進行了加密以及設備檢測的設計。監控系統的完整性對物聯網來說尤其重要，因為獲得某些認證的非法設備會帶來真正的物理性破壞。

　　工業互聯網中的身份

　　工業互聯網指物聯網概念和技術的在工業中的應用。比如，新一代制造業使用網絡來集成從供應商到消費者的整個供應鏈，使供應商得以根據市場需求進行生產定制。在這樣的環境中，必須進行身份驗證，且對端到端的交流進行保護，以確保包括消費者和供應商在內的所有信息的安全。

　　要保證系統的安全和完整性，安全控制器可集成到工業互聯網系統的所有部分中，通過客戶的平板電腦等設備來跟蹤從產品預訂到生產線，到運輸、分銷、批發以及零售的所有流程。這些安全芯片可建立產品、設備以及用戶身份，進行加密和授權，同時保持設備的統一性。此外，這些安全解決方案為敏感IP和工藝技術提供保護。

　　結論

　　在工業互聯網中，對用戶和設備進行可靠身份認證是必不可少的。沒有可靠的身份，攻擊者可越過網絡及現實的邊界。這樣的攻擊目前正在發生。隨著眾多物聯網技術的應用，這些攻擊的影響不僅僅限于智能家庭或聯網汽車，同時延伸到工業自動化、醫療保健以及其它各個領域。

　　幸運的是，有關可靠身份認證的標準和技術現可在不影響用戶體驗的前提下獲取。硬件安全必須用來限制軟件無法根除的缺點帶來的影響。在設計連接網絡空間和現實世界的物聯網系統和其它系統的過程中，可靠身份以及安全硬件是必備之選，只有這樣才能保證安全。

　　圖1：FIDO中的可靠身份驗證（圖片來自FIDO Alliance）

　　圖2：工業互聯網中端到端的安全

　　----------------------------------------------------------

　　本文選自4月份《智能硬件特刊》，更多技術熱文可進入特刊詳情頁面下載瀏覽！