設(shè)置物聯(lián)網(wǎng)設(shè)備是至關(guān)重要的一步。如果我們以消費品為例，這個過程預計將在打開每個購買的產(chǎn)品時完成一次。設(shè)置的主要挑戰(zhàn)是它必須既是無縫體驗又是安全程序：設(shè)備必須經(jīng)過唯一身份驗證，并且設(shè)置不能暴露漏洞。此設(shè)置程序需要正確設(shè)計和執(zhí)行，否則會損害安全性或市場成功。因此，過去幾年安全性受到嚴重破壞也就不足為奇了，供應商更喜歡簡單但不安全的配對。例如，許多物聯(lián)網(wǎng)設(shè)備制造商一直在為其所有產(chǎn)品使用通用登錄名/密碼（例如管理員/密碼）。這造成了巨大的安全漏洞被 MIRAI 機器人利用。因此，成功的設(shè)備設(shè)置應結(jié)合消費者的易用性和安全性。我們將在本文中更詳細地討論這一點。

入職消費產(chǎn)品

零售物聯(lián)網(wǎng)產(chǎn)品需要首先設(shè)置，并且通常由家庭中最精通技術(shù)的人維護。設(shè)備連接到有線或無線網(wǎng)絡(luò)后，必須配置設(shè)備以供最終用戶或其他物聯(lián)網(wǎng)設(shè)備和應用程序使用。我們將這種配置比作人員入職——新員工融入公司的綜合人力資源流程。發(fā)生這種情況時，組織內(nèi)的多個不同部門會執(zhí)行各種流程，為新員工設(shè)置電子郵件、計算機、電話、稅務(wù)文件、工資單、福利和相關(guān)培訓注冊。與員工入職類似，物聯(lián)網(wǎng)設(shè)備的設(shè)備入職執(zhí)行多個流程以將新的物聯(lián)網(wǎng)設(shè)備引入物聯(lián)網(wǎng)安全域：

所有權(quán)轉(zhuǎn)讓成功從制造商到購買者，或從一個購買者到下一個購買者。入職的第一步是建立設(shè)備的所有權(quán)，這也將設(shè)備建立為物聯(lián)網(wǎng)安全域的成員。一旦擁有，另一個所有者應該只有通過放棄所有權(quán)、使用硬件重置或執(zhí)行適當?shù)?API 調(diào)用將設(shè)備返回到非擁有狀態(tài)才能擁有設(shè)備。這很重要，因此可以保持設(shè)備的固有安全性。如今，存在一個手動流程，其中設(shè)備所有權(quán)被轉(zhuǎn)移、現(xiàn)場激活、在網(wǎng)絡(luò)上配置，并在物聯(lián)網(wǎng)管理平臺中向設(shè)備所有者注冊。這個耗時且成本高昂的過程充滿了安全漏洞。通過物聯(lián)網(wǎng)設(shè)備的設(shè)備載入，

憑據(jù)配置：為設(shè)備配置憑據(jù)，用于與物聯(lián)網(wǎng)安全域中的其他設(shè)備建立相互驗證的安全連接。

精細訪問控制：通過載入，可以為設(shè)備配置不同級別的安全性。例如，也許只有房子里的父母可以對恒溫器進行編程，但孩子們只能將其調(diào)高和調(diào)低。

有一些專有解決方案可以大規(guī)模提供引導，但在最壞的情況下，它們的接口僅限于一種設(shè)備產(chǎn)品，或者更有可能的是，僅限于制造商產(chǎn)品范圍內(nèi)的許多設(shè)備產(chǎn)品。使用專有 API 的動機可能是供應商鎖定和/或缺乏支持設(shè)備功能的標準 API。專有軟件的一些限制包括高成本、缺乏開發(fā)人員支持、安全問題和缺乏定制選項。

OCF 簡介

開放連接基金會(OCF) 是一個全球標準機構(gòu)，幫助真正的物聯(lián)網(wǎng)出現(xiàn)，這意味著所有垂直行業(yè)。OCF 建立在三個支柱之上：公共規(guī)范、開源代碼和認證。OCF 發(fā)布由國際標準組織 (ISO) 和國際電工委員會 (IEC) 認證為國際標準的開放規(guī)范。OCF 運行IoTivity 項目，該項目管理 Github 上可用的 OCF 規(guī)范的兩個開源實現(xiàn)：IoTivity for hub 和IoTivity lite為終點。有具體的實現(xiàn)可以消除開發(fā)人員的歧義，縮短設(shè)備制造商的上市時間，并建立互操作性。最后，OCF 運行一個認證計劃，提供 OCF 認證標簽并維護認證設(shè)備產(chǎn)品數(shù)據(jù)庫，以及相關(guān)的 OCF 公鑰基礎(chǔ)設(shè)施，可用于為 OCF 認證設(shè)備頒發(fā)制造商證書。

該基金會相信通過提供與其他生態(tài)系統(tǒng)無縫橋接的工具來幫助該行業(yè)。這種橋接框架可幫助制造商跨越多個垂直行業(yè)，并最大限度地提高他們的開發(fā)投資，從而增加跨市場機會。OCF 橋接功能還使公司能夠?qū)?OCF 認證產(chǎn)品完全集成到專有和傳統(tǒng)解決方案中，而不會損失其當前投資。為此，OCF 維護OneIoTa，一個數(shù)據(jù)模型數(shù)據(jù)庫：它對公共貢獻開放，并允許開發(fā)人員從任何包含的數(shù)據(jù)模型自動轉(zhuǎn)換為任何其他數(shù)據(jù)模型。任何人都可以通過在 OpenAPI 2.0 中指定他們的數(shù)據(jù)模型來做出貢獻。請注意，生成代碼和翻譯的工具在Github上可用。

OCF 使用 REpresentational State Transfer (REST) 在設(shè)備之間進行消息傳遞。對于每組邏輯信息，都設(shè)計了一個資源。這些資源是在 Open API 中設(shè)計的（使用 JSON），但是作為 CBOR 在線傳輸，這是一種自動轉(zhuǎn)換為二進制格式，可以減少有效負載的大?。愃朴?zip）。這意味著 OCF 支持輕松使用互聯(lián)網(wǎng)技術(shù)（RESTful 和開放 API/JSON），同時由于使用二進制有效負載而適用于小型設(shè)備。

OCF 安全解決方案

OCF 要求僅當客戶端位于同一安全域中時才能進行設(shè)備配置。供應指令通過安全連接發(fā)送，由數(shù)據(jù)報傳輸層安全性 (DTLS) 加密。

安全域上的入職在技術(shù)上分為設(shè)備所有權(quán)轉(zhuǎn)移和設(shè)備配置。整個過程被定義為一組狀態(tài)轉(zhuǎn)換，如下圖所示（簡化）：

準備好所有權(quán)轉(zhuǎn)讓方法 (RFOTM)

準備好配置 (RFPRO)

準備好正常運行 (RFNOP)

（來源：開放連接基金會）

下面的示意圖定義了操作如何及時進行。成功的所有權(quán)轉(zhuǎn)移意味著設(shè)備狀態(tài)將進入正常操作（RFNOP）。

（來源：開放連接基金會）

所有權(quán)轉(zhuǎn)移將設(shè)備鎖定到安全域。只有安全域的所有者可以更改它。如果應用程序或其他 IoT 設(shè)備想要與設(shè)備通信，則它需要屬于同一安全域。只有屬于安全域的設(shè)備才能安全地相互通信。

OCF 定義了三種所有權(quán)轉(zhuǎn)移方法 (OTM) 或算法：

Just Works 基于 Anonymous Diffie-Hellman，不提供對新設(shè)備的身份驗證，也不提供入職工具 (OBT)。

隨機 Pin：要求設(shè)備在所有權(quán)轉(zhuǎn)移過程中可以顯示 PIN，PIN 是在啟動期間隨機生成的。該機制提供設(shè)備和 OBT 的相互認證。無法顯示 PIN 的設(shè)備無法使用此入職機制。

使用公鑰基礎(chǔ)設(shè)施 (PKI) 的制造商證書需要額外的基礎(chǔ)設(shè)施來在設(shè)備中創(chuàng)建和存儲證書。因此，成本方面的證書比 Just Works 更昂貴。Random Pin 需要一個顯示器，如果不用于其他目的，顯示器會更昂貴。此機制提供設(shè)備的身份驗證，但不提供 OBT 的身份驗證。

提供這些不同技術(shù)中的哪一種是設(shè)備制造商根據(jù)他們的需要和設(shè)備的能力來選擇的。

對資源的訪問由與訪問控制列表 (ACL) 中的資源匹配的條目控制，這些條目還指定：

訪問權(quán)限：資源的創(chuàng)建/讀取/更新/刪除/通知（CRUDN）。

設(shè)備標識符、角色標識符（在后面的部分中進一步討論）或客戶端獲取資源訪問權(quán)限的連接類型。

完成所有配置步驟后，設(shè)備將進入“準備正常運行”狀態(tài)。這意味著將檢查所有傳入的操作：

如果連接設(shè)備是同一安全域的成員

如果連接設(shè)備有權(quán)對資源執(zhí)行請求的操作。

授予所有步驟后，該操作將由設(shè)備執(zhí)行。

保護設(shè)備

正如引言中提到的，重要的是設(shè)備既不能受到攻擊，也不能被允許攻擊與它沒有業(yè)務(wù)通信的其他系統(tǒng)。采用分層方法：基于角色的訪問控制和制造商使用說明。前者解決了設(shè)備安全問題，而后者增加了額外的網(wǎng)絡(luò)保護層。

基于角色的訪問控制

當設(shè)備標識符用于授予訪問權(quán)限時，必須設(shè)置每個設(shè)備以授予每個客戶端訪問權(quán)限。一個更簡單且更具可擴展性的解決方案是使用基于角色的訪問控制 (RBAC)。在這種情況下，ACL 條目有一個唯一標識符，表示客戶端可以執(zhí)行的角色。然后在客戶端上配置此角色，否則必須重新配置設(shè)備。

這樣可以創(chuàng)建不同的訪問級別：

管理員訪問

訪客訪問

正常操作訪問

維護訪問

必須為每個支持的角色配置設(shè)備，而不是為每個設(shè)備配置。

結(jié)論

OCF 已經(jīng)定義了一個標準化的解決方案來安全地裝載消費產(chǎn)品。但是，在現(xiàn)有基礎(chǔ)架構(gòu)網(wǎng)絡(luò)中設(shè)置企業(yè)產(chǎn)品是一個不同的挑戰(zhàn)。首先，IT 人員無法對每臺設(shè)備進行一個接一個的安裝過程。期望他們對辦公室中的所有燈泡一個接一個地重復相同的冗長程序是不合理的。其次，安裝需要更多的選擇：網(wǎng)絡(luò)管理員必須決定允許他們訪問什么網(wǎng)絡(luò)和什么資源。換句話說，挑戰(zhàn)在于在不影響安全性的情況下擴展多個辦公室和/或建筑物的部署。在這里，糟糕的實施也會產(chǎn)生災難性的影響。2018年，一家賭場成為黑客的受害者這要歸功于安裝在大堂的一個智能溫度計監(jiān)控水族館的水。黑客通過連接到溫度計，設(shè)法從賭場的豪賭客數(shù)據(jù)庫中找到并竊取信息。使用沒有為物聯(lián)網(wǎng)保護的其他無害設(shè)備，一些非常機密的信息很容易落入壞人之手。我們不會在這里描述企業(yè)產(chǎn)品，但會在以后的文章中介紹。

審核編輯 黃昊宇