物聯(lián)網(wǎng)(IoT) 安全依賴(lài)于多層保護，可從物聯(lián)網(wǎng)設備的硬件基礎一直延伸到執行環(huán)境。不過(guò)，對于任何聯(lián)網(wǎng)設備來(lái)說(shuō)，威脅依然存在，針對云連接的典型物聯(lián)網(wǎng)應用要求也可能讓物聯(lián)網(wǎng)設備和云服務(wù)暴露在新攻擊之下。為了緩解這些威脅，物聯(lián)網(wǎng)云提供商采用特定的安全協(xié)議和策略，但若使用不當，它們反而會(huì )讓物聯(lián)網(wǎng)應用更容易受到攻擊。通過(guò)使用預先配置的開(kāi)發(fā)板，開(kāi)發(fā)人員可以快速借鑒主要物聯(lián)網(wǎng)云服務(wù)所使用的安全方法，對連接進(jìn)行身份驗證以及授權使用物聯(lián)網(wǎng)設備和云資源。

 

本文將說(shuō)明兩大云服務(wù) Amazon Web Services (AWS) 和 Microsoft Azure 所使用的連接要求，并且介紹開(kāi)發(fā)人員可以如何使用來(lái)自眾多供應商的開(kāi)發(fā)套件及相關(guān)軟件，來(lái)快速連接這些服務(wù)。

 

物聯(lián)網(wǎng)門(mén)戶(hù)在云服務(wù)中所扮演的角色

 

當一臺物聯(lián)網(wǎng)設備連接到某個(gè)資源，如云服務(wù)或遠程主機，其自身以及因擴展整個(gè)物聯(lián)網(wǎng)網(wǎng)絡(luò )而可能受到偽裝成合法服務(wù)或服務(wù)器的威脅。相反地，云服務(wù)本身也面臨著(zhù)來(lái)自黑客的類(lèi)似攻擊威脅，黑客會(huì )模仿物聯(lián)網(wǎng)設備事務(wù)以試圖對云防御機制進(jìn)行滲透。為了幫助確保保護物聯(lián)網(wǎng)設備和云資源，云服務(wù)需要采用特定的安全協(xié)議對登錄進(jìn)行雙向身份驗證并對后續操作加以授權，以確定是否允許使用服務(wù)。此類(lèi)協(xié)議通常包含在一系列服務(wù)內，以在物聯(lián)網(wǎng)設備和云資源之間提供安全門(mén)戶(hù)。

 

類(lèi)似于其他可用的物聯(lián)網(wǎng)云服務(wù)平臺，AWS 和 Azure 分別提供特定入口門(mén)戶(hù)，以供物聯(lián)網(wǎng)設備用來(lái)與每家提供商的全套云資源進(jìn)行交互。這些云資源包括虛擬機 (VM) 和軟件即服務(wù) (SaaS) 產(chǎn)品等。Azure IoT Hub 和 AWS IoT 使用功能類(lèi)似的機制和能力組合，能夠為各自相應的企業(yè)云產(chǎn)品提供此類(lèi)門(mén)戶(hù)。

 

在最低程度上，這些及其他物聯(lián)網(wǎng)門(mén)戶(hù)會(huì )使用特定的身份驗證協(xié)議來(lái)建立安全連接。這些協(xié)議可通過(guò)每家提供商的軟件開(kāi)發(fā)套件 (SDK) 實(shí)現。對于 AWS，物聯(lián)網(wǎng)設備使用雙向身份驗證來(lái)連接設備網(wǎng)關(guān)。而設備網(wǎng)關(guān)會(huì )使用設備注冊表中保存的信息來(lái)連接物聯(lián)網(wǎng)設備和其他物聯(lián)網(wǎng)支持服務(wù)。該寄存器可存儲唯一設備標識碼、安全憑證，以及管理對 AWS 服務(wù)進(jìn)行訪(fǎng)問(wèn)所需的其他元數據(圖 1)。在 Azure 中，身份注冊表具有類(lèi)似的功能。

 

 

圖1 和其他云提供商一樣，AWS會(huì )為開(kāi)發(fā)人員提供一系列專(zhuān)用服務(wù)，用以在物聯(lián)網(wǎng)設備和企業(yè)云服務(wù)之間提升事務(wù)的安全性和有效性。(圖片來(lái)源： Amazon Web Services)

 

AWS IoT 和 Azure IoT 都提供有相關(guān)服務(wù)，能在與每臺物理物聯(lián)網(wǎng)設備有關(guān)的虛擬設備中維護狀態(tài)信息。在 AWS IoT 中，設備影子將為 AWS IoT 提供此功能;而設備孿生則為 Azure IoT 提供類(lèi)似功能。

 

這種安全門(mén)戶(hù)概念可延伸到物聯(lián)網(wǎng)邊緣服務(wù)，例如 AWS Greengrass 或 Azure IoT Edge 等。這些邊緣服務(wù)產(chǎn)品可將部分云服務(wù)和功能下放至本地網(wǎng)絡(luò )，并且在大規模部署中，邊緣系統會(huì )放置在靠近物聯(lián)網(wǎng)設備和系統的位置。開(kāi)發(fā)人員可以使用 Azure IoT Edge 等服務(wù)來(lái)實(shí)現應用業(yè)務(wù)邏輯，或提供所需的其他功能來(lái)縮短延遲，或向本地操作人員提供服務(wù)，如工業(yè)自動(dòng)化等(圖 2)。

 

 

圖2 為了支持邊緣計算，云服務(wù)提供商會(huì )提供Microsoft Azure Edge等專(zhuān)用服務(wù)，使部分Azure IoT云服務(wù)更靠近與物聯(lián)網(wǎng)應用有關(guān)的物理設備。(圖片來(lái)源：Microsoft Azure)

 

應對物聯(lián)網(wǎng)門(mén)戶(hù)連接性要求

 

不管是通過(guò)邊緣系統進(jìn)行連接，還是直接連接至提供商的物聯(lián)網(wǎng)服務(wù)，物聯(lián)網(wǎng)設備通常需要滿(mǎn)足一系列要求，才能連接提供商的物聯(lián)網(wǎng)門(mén)戶(hù)并使用提供商的云服務(wù)。雖然細節有差異，但物聯(lián)網(wǎng)設備至少要提供某些項目，如私鑰、X.509 證書(shū)或其他安全令牌。在設備-云連接序列的身份驗證階段，這些密鑰、證書(shū)或令牌會(huì )為物聯(lián)網(wǎng)門(mén)戶(hù)提供關(guān)于物聯(lián)網(wǎng)設備身份的認證或證明。此外，物聯(lián)網(wǎng)云服務(wù)通常需要一套策略規范，用于定義物聯(lián)網(wǎng)設備和云服務(wù)之間交互所需的訪(fǎng)問(wèn)權限。

 

和其他企業(yè)計算要求一樣，需要使用由主要物聯(lián)網(wǎng)云服務(wù)(如 AWS IoT 和 Azure IoT)指定的特定格式和程序，來(lái)提供用于身份驗證的認證信息以及用于訪(fǎng)問(wèn)管理的策略信息。這些服務(wù)不僅在最低程度上支持基于證書(shū)的身份驗證，它們還支持使用其他形式的認證。例如，開(kāi)發(fā)人員可以在 AWS IoT 中使用以 JSON Web Token (JWT) 為基礎的基于令牌的身份驗證方法，或在 Azure IoT 中使用共享訪(fǎng)問(wèn)簽名 (SAS) 令牌。

 

如前文所述，這些服務(wù)使用注冊表來(lái)保存每臺物聯(lián)網(wǎng)設備的元數據。除安全和其他信息以外，此類(lèi)注冊表還會(huì )保存訪(fǎng)問(wèn)權限策略，而這些策略需要進(jìn)行定義以連接物聯(lián)網(wǎng)設備。雖然針對不同的云服務(wù)有不同的指定方式，但這些策略定義對不同通信通道和實(shí)體的訪(fǎng)問(wèn)權限進(jìn)行了描述。例如，一項簡(jiǎn)單的 AWS IoT 訪(fǎng)問(wèn)權限策略可能會(huì )使用 JSON 格式來(lái)指明：AWS IoT 設備注冊表中帶有特殊“物件”名稱(chēng)的物聯(lián)網(wǎng)設備只能在具有相同的相關(guān)物件名稱(chēng)的通道中進(jìn)行連接與發(fā)布消息(清單 1)。

 

 

清單 1：開(kāi)發(fā)人員使用 JSON 格式來(lái)描述物聯(lián)網(wǎng)設備的 AWS IoT 訪(fǎng)問(wèn)權限策略。(代碼來(lái)源：AWS)

 

云就緒開(kāi)發(fā)套件

 

雖然云提供商提供關(guān)于此類(lèi)格式和程序的詳細規格，但提供商的支持論壇上經(jīng)常充斥著(zhù)開(kāi)發(fā)人員遇到的非常小但關(guān)鍵的細節問(wèn)題，這些問(wèn)題使其無(wú)法順利完成身份驗證和訪(fǎng)問(wèn)管理。更糟糕的是，從安全角度來(lái)看，無(wú)意識的濫用認證或不完整的訪(fǎng)問(wèn)策略定義還有可能導致物聯(lián)網(wǎng)設備、網(wǎng)絡(luò )和應用受到攻擊。隨著(zhù)現成即用的開(kāi)發(fā)板和配套軟件包的推出，開(kāi)發(fā)人員能夠在這些連接程序中快速導航，并使用供應商提供的示例快速連接到物聯(lián)網(wǎng)云。例如，Espressif Systems 的 ESP32-Azure IoT 套件或 Seeed Technology 的 AZ3166 IoT 開(kāi)發(fā)套件都包含經(jīng)過(guò) Azure 認證的開(kāi)發(fā)板，且專(zhuān)門(mén)為輕松連接 Microsoft 云而設計。

 

Microsoft 提供完整的分步演示，包括受支持開(kāi)發(fā)套件的身份驗證和訪(fǎng)問(wèn)憑證等。以 AZ3166 開(kāi)發(fā)板為例，開(kāi)發(fā)人員只要按下板上的按鈕，即可啟動(dòng)與本地 Wi-Fi 網(wǎng)絡(luò )的連接。一旦連接，他們可以使用適用于 Microsoft Visual Studio Code 的 Azure IoT Tools 擴展包中的 Azure IoT Device Workbench，來(lái)進(jìn)行開(kāi)發(fā)、調試，以及與 Azure IoT Hub 進(jìn)行交互。通過(guò)使用此工具集及其代碼樣例包，開(kāi)發(fā)人員可以在 Azure IoT Hub 中為物聯(lián)網(wǎng)設備創(chuàng )建對象，并使用提供的文件來(lái)配置包含憑證和其他元數據的關(guān)聯(lián)身份注冊表，用以將物聯(lián)網(wǎng)板連接至 Azure IoT Hub(圖 3)。

 

 

圖3 Microsoft Azure IoT Device Workbench 中提供的代碼樣例和憑證可以幫助開(kāi)發(fā)人員完成配置，以便將 Seeed Technology 的 AZ3166 IoT 開(kāi)發(fā)套件連接至 Azure IoT Hub。(圖片來(lái)源：Microsoft Azure)

 

Azure IoT Device Workbench 提供額外的支持軟件和元數據，讓開(kāi)發(fā)人員可以快速加載 AZ3166 板和代碼樣例，并開(kāi)始將開(kāi)發(fā)板的溫度和濕度傳感器的測量數據傳輸到 Azure IoT Hub。

 

在物聯(lián)網(wǎng)云中為物理物聯(lián)網(wǎng)設備創(chuàng )建表示形式以及配置關(guān)聯(lián)的注冊表，所涉及的必要步驟只是將設備連接到物聯(lián)網(wǎng)云。不過(guò)，要充分利用云服務(wù)的優(yōu)點(diǎn)，Azure IoT Hub 還需要一項訪(fǎng)問(wèn)權限策略。為了對來(lái)自 AZ3166 傳感器的設備到云的消息進(jìn)行監控，開(kāi)發(fā)人員只需使用 Azure 共享訪(fǎng)問(wèn)策略屏幕，來(lái)選擇專(zhuān)門(mén)為快速啟用必要訪(fǎng)問(wèn)權限而設計的預構建策略(圖 4)。

 

 

圖4 開(kāi)發(fā)人員可以使用預構建的策略輕松授權使用 Azure 云服務(wù)以及來(lái)自 eed Technology 的 AZ3166 IoT 開(kāi)發(fā)套件的傳感器數據。(圖片來(lái)源：Microsoft Azure)

 

在使用 AWS IoT 時(shí)，開(kāi)發(fā)人員可以轉用開(kāi)發(fā)套件，如 Microchip Technology 的 AT88CKECC-AWS-XSTK-B 零接觸配置套件及配套軟件，來(lái)對云連接進(jìn)行快速評估。此版本是早期 Microchip 零接觸配置套件的更新版，預先加載了身份驗證憑證。使用該套件提供的其他腳本，開(kāi)發(fā)人員可以快速將開(kāi)發(fā)板連接到 AWS IoT，而無(wú)需處理私鑰和證書(shū)問(wèn)題(請參閱“采用零接觸方法安全鎖定物聯(lián)網(wǎng)設備”)。

 

其他開(kāi)發(fā)套件包括 Renesas 的 RTK5RX65N0S01000BE RX65N 云套件和 Infineon Technologies 的 KITXMC48IOTAWSWIFITOBO1 AWS IoT 套件，擴展了對 AWS IoT 連接的支持，并且支持快速開(kāi)發(fā)基于 Amazon FreeRTOS 的應用。AWS 提供了詳細的指導說(shuō)明，有助于注冊開(kāi)發(fā)板，創(chuàng )建身份驗證憑證，以及加載所提供的 JSON 策略以連接至 AWS IoT 和使用 AWS 服務(wù)。

 

簡(jiǎn)化大規模物聯(lián)網(wǎng)部署的配置

 

開(kāi)發(fā)套件(如前文所述的套件)可作為快速開(kāi)發(fā)物聯(lián)網(wǎng)應用的原型，以及探索物聯(lián)網(wǎng)云服務(wù)連接要求的有效平臺。但在實(shí)際應用中，開(kāi)發(fā)人員通常需要轉用更高級的方法，而這些方法專(zhuān)為簡(jiǎn)化現實(shí)應用中的物聯(lián)網(wǎng)設備配置而設計。Azure IoT 和 AWS IoT 都支持各種方法，以允許對大規模部署中的個(gè)別設備或大量物聯(lián)網(wǎng)設備進(jìn)行更自動(dòng)化的配置。

 

以 AWS IoT 為例，開(kāi)發(fā)人員可以使用自舉方式進(jìn)行證書(shū)配置。亦即，智能產(chǎn)品在交付時(shí)會(huì )提供自舉證書(shū)，其中包含關(guān)聯(lián)的最低訪(fǎng)問(wèn)權限以供請求和訪(fǎng)問(wèn)新證書(shū)(圖 5)。

 

 

圖5 AWS IoT 在物聯(lián)網(wǎng)設備中支持字舉證書(shū)配置方法。(圖片來(lái)源：Digi-Key Electronics，原始資料來(lái)源于 Amazon Web Services)

 

使用自舉證書(shū)時(shí)，設備可以連接到云(見(jiàn)圖 5 中的“1”)，請求 (“2”) 新證書(shū)，接收 (“3”) 由 AWS 無(wú)服務(wù)器 Lambda 函數生成的證書(shū) URL，以及從 AWS Simple Storage Services (S3) 存儲桶檢索 (“4”) 該證書(shū)。而使用該新證書(shū)，設備則可以重新登錄到 AWS IoT (“5”)，以便繼續正常操作。

 

AWS 還提供其他云服務(wù)，以支持使用執行資源(如 AWS Lambda 函數)對身份驗證令牌進(jìn)行動(dòng)態(tài)配置。例如，某汽車(chē)應用可能依賴(lài)一系列臨時(shí)連接，在這些連接中，使用令牌更實(shí)用而且更安全。在適用于物聯(lián)網(wǎng)身份驗證和授權的 AWS 模塊批準令牌請求以后，AWS Security Token Service (STS) 會(huì )生成一個(gè)令牌以傳輸到汽車(chē)系統。使用該令牌，這些系統可以訪(fǎng)問(wèn)需要由 AWS Identity and Access Management (IAM) 服務(wù)驗證的 AWS 服務(wù)(圖 6)。

 

 

圖6 主要云服務(wù)提供商提供其他形式的身份驗證認證，例如，由 AWS Security Token Service(STS)動(dòng)態(tài)生成安全令牌的這種流程。(圖片來(lái)源：Amazon Web Services)

 

AWS 為訪(fǎng)問(wèn)權限的動(dòng)態(tài)分配提供類(lèi)似功能。此時(shí)，其他 AWS Lambda 函數會(huì )分配一組與有效令牌關(guān)聯(lián)的策略(圖 7)。

 

 

圖7 開(kāi)發(fā)人員可以使用云服務(wù)來(lái)實(shí)現訪(fǎng)問(wèn)權限的動(dòng)態(tài)分配，它尤其適用于具有臨時(shí)連接或短期操作的應用。(圖片來(lái)源：Amazon Web Services)

 

 

其他物聯(lián)網(wǎng)云服務(wù)允許開(kāi)發(fā)人員更有效地處理大規模部署中的配置。例如，AWS IoT 提供車(chē)隊配置功能，包括支持前文所述自舉方法的更大規模部署。Azure IoT 的設備配置服務(wù)提供組注冊功能，支持對擁有相同 X.509 證書(shū)或 SAS 令牌的大量物聯(lián)網(wǎng)設備進(jìn)行配置。

 

安全責任共擔

 

IoT 云提供商提供若干有效方法，以提升物聯(lián)網(wǎng)應用的端對端安全。盡管如此，IoT 開(kāi)發(fā)人員不能預期這些方法可以承擔其特定物聯(lián)網(wǎng)應用的全部安全要求重任。實(shí)際上，云服務(wù)提供商會(huì )使用具體的模型(如 AWS 的責任共擔模型)來(lái)仔細地概述其在物聯(lián)網(wǎng)應用安全領(lǐng)域內的具體角色和責任(圖 8)。

 

 

圖8 和其他主要云提供商一樣，AWS也對自身與云用戶(hù)共擔的責任進(jìn)行了說(shuō)明，以便在一方面保護云基礎設施，另一方面保護客戶(hù)的應用。(圖片來(lái)源：Amazon Web Services)

 

AWS 和 Microsoft Azure 都提供責任共擔文檔，說(shuō)明與解釋在保護資源、數據和應用過(guò)程中提供商的自身角色，以及客戶(hù)所扮演的角色。在其說(shuō)明文檔中，Microsoft 還概述了安全責任共擔和合規性要求之間的部分關(guān)系。最后，云提供商還負有保護云安全的責任，而客戶(hù)則要對在云中使用的應用、數據和資源負責。

 

總結

 

IoT 應用依賴(lài)以基于硬件的機制為基礎所建立起來(lái)的安全層，來(lái)實(shí)現加密和安全密鑰存儲。和任何聯(lián)網(wǎng)產(chǎn)品一樣，當物聯(lián)網(wǎng)設備連接云服務(wù)時(shí)，安全威脅可能存在于任何形式的交互過(guò)程當中。為了保護自身及其客戶(hù)，IoT 云提供商針對身份驗證和訪(fǎng)問(wèn)權限管理制定了具體的要求。雖然提供商會(huì )提供關(guān)于此類(lèi)要求及相關(guān)規格的詳細說(shuō)明文檔，但開(kāi)發(fā)人員還是有可能發(fā)現他們?yōu)閷?shí)現安全連接所做的努力有時(shí)候會(huì )使資源暴露在風(fēng)險當中，甚至適得其反地使其不可訪(fǎng)問(wèn)。使用開(kāi)發(fā)板和相關(guān)軟件，開(kāi)發(fā)人員可以快速連接云服務(wù)，并快速設計物聯(lián)網(wǎng)應用原型，同時(shí)保證端對端安全。