物聯(lián)網(wǎng)的普及，IAM將大有可為！鏡像世界還會(huì)遠(yuǎn)嗎？

你好，我是茆正華。歡迎來(lái)到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪(fǎng)問(wèn)控制管理》第四講。

想象一下，當(dāng)你的衣食住行全部載入物聯(lián)網(wǎng)，真正的萬(wàn)物互聯(lián)，這時(shí)候世界會(huì)怎么樣？

我相信很多人會(huì)暢想一些科技炫目、高端智能的美好場(chǎng)景；同時(shí)，肯定也有人會(huì)擔(dān)憂(yōu)科幻電影中的人機(jī)災(zāi)難是否會(huì)發(fā)生。畢竟，我們已經(jīng)站在了21世紀(jì)，對(duì)科技的想象已不再那么貧乏。

而物聯(lián)網(wǎng)技術(shù)的出現(xiàn)與不斷普及，又進(jìn)一步拓展了我們對(duì)未來(lái)世界的想象！

據(jù)權(quán)威數(shù)據(jù)調(diào)查顯示，2022年底，全球達(dá)到 143 億個(gè)活躍物聯(lián)網(wǎng)端點(diǎn)；到 2025 年，預(yù)計(jì)物聯(lián)網(wǎng)連接數(shù)量將超過(guò) 300 億，相當(dāng)于平均每人近四臺(tái)物聯(lián)網(wǎng)設(shè)備。

如此龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備會(huì)帶來(lái)一個(gè)什么樣的世界呢？

我們不妨從物聯(lián)網(wǎng)的定義開(kāi)始探索。據(jù)IBM對(duì)物聯(lián)網(wǎng)的定義：物聯(lián)網(wǎng)（IoT）是將物理世界和互聯(lián)網(wǎng)緊密連接，從而更好地管理物理世界。物聯(lián)網(wǎng)是信息技術(shù)（IT）和控制技術(shù)（OT）的融合，它借助數(shù)據(jù)采集技術(shù)和智能網(wǎng)絡(luò)對(duì)物理世界進(jìn)行分析、預(yù)測(cè)和優(yōu)化，創(chuàng)造新的價(jià)值。

也就是說(shuō)，物聯(lián)網(wǎng)的加入，會(huì)讓數(shù)字世界更加深刻、直接、廣泛地影響著我們生活的物理世界。那些龐大規(guī)模的物聯(lián)網(wǎng)設(shè)備，作為連接現(xiàn)實(shí)的載體，將互聯(lián)網(wǎng)的觸角不斷延伸到物理世界的各個(gè)角落，最終讓數(shù)字世界成為物理世界的孿生體。

事實(shí)也證明，物聯(lián)網(wǎng)對(duì)物理世界的影響越來(lái)越顯著。我們耳熟能詳?shù)闹腔凵睿òㄎ覀兊囊率匙⌒校⒅腔燮?chē)、工業(yè)自動(dòng)化、智慧醫(yī)療、智慧交通、智慧城市、智慧農(nóng)業(yè)、環(huán)境監(jiān)測(cè)等等，正在現(xiàn)實(shí)逐步呈現(xiàn)。曾經(jīng)在科幻小說(shuō)或電影里存在的世界，正在被人們用技術(shù)一幕幕的搬到現(xiàn)實(shí)上演！

面對(duì)上述物聯(lián)網(wǎng)技術(shù)帶來(lái)的種種新特征，IAM技術(shù)要如何進(jìn)一步發(fā)展進(jìn)化，從而堅(jiān)守其作為網(wǎng)絡(luò)空間第一道安全“門(mén)檻”的重要意義呢？

以下是我個(gè)人的一些觀察與見(jiàn)解：

整體來(lái)看，要承載如此大規(guī)模數(shù)量且動(dòng)態(tài)變化的物聯(lián)網(wǎng)設(shè)備，物聯(lián)網(wǎng)IAM需要在功能性和非功能性?xún)纱缶S度，具備相應(yīng)的能力：

1. IoT身份的全生命周期管理

對(duì)于IoT設(shè)備從被制造出廠一直到下線(xiàn)銷(xiāo)毀，IAM需進(jìn)行全程的身份標(biāo)識(shí)跟蹤，并記錄各個(gè)過(guò)程的行為和狀態(tài)，包括設(shè)備注冊(cè)、唯一身份標(biāo)識(shí)寫(xiě)入、設(shè)備變更、設(shè)備下線(xiàn)、銷(xiāo)毀等。

2. IoT的身份驗(yàn)證

由于IoT中的設(shè)備和傳感器極易受到攻擊，因此強(qiáng)化身份驗(yàn)證至關(guān)重要。多因素身份驗(yàn)證，如生物識(shí)別、智能卡或令牌等，可能在IoT設(shè)備和用戶(hù)身份驗(yàn)證中更廣泛使用。同時(shí)，IoT還會(huì)涉及邊緣計(jì)算，其中數(shù)據(jù)在設(shè)備本地進(jìn)行處理。IAM系統(tǒng)需要適應(yīng)邊緣設(shè)備上的身份驗(yàn)證需求，以確保數(shù)據(jù)在邊緣處理過(guò)程中受到保護(hù)。

3. IoT的訪(fǎng)問(wèn)控制

在訪(fǎng)問(wèn)控制決策上會(huì)變得非常復(fù)雜，甚至受限于特定的設(shè)備版本、一天中的特定時(shí)間和其他約束條件等。物聯(lián)網(wǎng)下的任何IAM系統(tǒng)都必須能夠支持快速并精細(xì)地允許/禁止共享設(shè)備和信息的動(dòng)態(tài)訪(fǎng)問(wèn)控制環(huán)境，實(shí)時(shí)調(diào)整訪(fǎng)問(wèn)控制策略，以適應(yīng)設(shè)備狀態(tài)的變化，確保只有合適的設(shè)備或用戶(hù)可以訪(fǎng)問(wèn)數(shù)據(jù)或控制設(shè)備。

而為了進(jìn)一步簡(jiǎn)化設(shè)備的管理與維護(hù)，IAM系統(tǒng)要與自主設(shè)備管理技術(shù)集成，從而使IoT設(shè)備更加智能，能夠自行管理其身份和訪(fǎng)問(wèn)控制。

1. IoT身份平臺(tái)的云原生化

未來(lái)物聯(lián)網(wǎng)下的IAM基礎(chǔ)設(shè)施在設(shè)計(jì)上必須根據(jù)組織最終將支持的設(shè)備數(shù)量進(jìn)行隨需擴(kuò)展，這個(gè)數(shù)字可能比現(xiàn)有的高出幾個(gè)數(shù)量級(jí)。

所以，IAM基礎(chǔ)底座，必須在高可用、高擴(kuò)展、兼容性等能力上進(jìn)一步提升，并能與云服務(wù)集成，從而更好地支持IoT設(shè)備的身份驗(yàn)證、注冊(cè)等，包括使用證書(shū)、令牌或其他身份驗(yàn)證機(jī)制，以確保設(shè)備的唯一身份。

2. 超大規(guī)模的認(rèn)證邊緣化

物理網(wǎng)設(shè)備指數(shù)增長(zhǎng)的情況，靠中心化認(rèn)證系統(tǒng)進(jìn)行集中認(rèn)證已經(jīng)變得越來(lái)越吃力，需要借助邊緣計(jì)算的技術(shù)能力，把海量IoT設(shè)備的認(rèn)證分散到各個(gè)邊緣系統(tǒng)和組件，保障IoT設(shè)備要求的快速響應(yīng)特征；

3. 非連續(xù)性特征的影子化

針對(duì)一些非智能類(lèi)IoT設(shè)備或處于惡劣環(huán)境下的設(shè)備，無(wú)法實(shí)時(shí)并連續(xù)的接入互聯(lián)網(wǎng)，需要利用影子設(shè)備的技術(shù)，把顯示世界的IoT設(shè)備復(fù)刻到數(shù)字世界形成影子設(shè)備，可以更好的從中心對(duì)影子設(shè)備進(jìn)行維護(hù)和管理以及指令的下達(dá)。

此外，為進(jìn)一步確保IoT設(shè)備和數(shù)據(jù)的完整性和安全性，IAM系統(tǒng)還需要集成智能合同和區(qū)塊鏈等技術(shù)，用于建立更高信任，提供更強(qiáng)的安全性和可驗(yàn)證性，從而更有效的應(yīng)對(duì)個(gè)人隱私保護(hù)問(wèn)題。

以上就是本期全部?jī)?nèi)容，我們下期內(nèi)容再見(jiàn)，也歡迎你在文末留言，對(duì)本期內(nèi)容進(jìn)行探討。