Идентификация устройств IoT с точки зрения разработчика

    Несколько дней назад компания GlobalSign открыла портал для разработчиков IoT Developer Portal. Здесь можно бесплатно зарегистрироваться (только по корпоративным адресам), выбрать API для интеграции, бесплатно получить сертификаты X.509 и протестировать свою систему идентификации IoT. Пока что GlobalSign остаётся единственным центром сертификации, который выдаёт сертификаты устройствам в масштабе IoT с идентификатором устройства на основе инфраструктуры открытых ключей (PKI).

    Если вкратце сформулировать суть, то новый портал — это централизованная локаль, где предоставляется демонстрационный доступ ко всем инструментам, необходимым для успешной интеграции device identity. Тут руководства по интеграции, инструменты тестирования, спецификации продукта, примеры кода, RESTful API и т.д.

    Кому это нужно?

    Портал идеально подходит для тестирования систем идентификации на этапе разработки. Тут можно проверить, что на практике всё будет работать надёжно и безопасно. И прикинуть, сколько будет стоить доступ к API и автоматическое управление сертификатами в реальной коммерческой системе.

    API в центре всего


    Устройства, подключённые к интернету, генерируют огромный объём данных. Например, вот экстремальный пример — беспилотный автомобиль. По оценке Intel, каждая такая машина будет генерировать около 4-4,5 терабайта информации в день с сенсоров, камер и т.д.


    Конечно, это своеобразная «вершина пирамиды» по сложности устройств. Но миллиарды простых гаджетов в умном доме, в промышленном IoT, в медицинских сенсорах за счёт огромного масштаба и численности будут генерировать не меньше трафика.

    Очевидно, что трудно передавать на удалённый сервер для обработки абсолютно всю информацию. Например, в экстренной ситуации нужно срочно передать в центр небольшой объём важных данных. Здесь и применяются API. Так, в одной из реализаций по RESTful API передаётся такой набор информации об инциденте в формате JSON или YAML:

    {
     "CarModel": "Toyota Yaris II 2014",
     "carNumberPlates": "D65261",
     "accidentTime": "1985-04-12T23:20:50.52Z",
     "owner": "Wojtek Konowal",
     "location": "[47.4925, 19.0513]",
     "averageSpeed": 110,
     "passangers": 1,
     "status": "Service is pending",
     "injury": "Critical"
    }

    Таким образом, сети устройств IoT желательно интегрировать с неким стандартным RESTful API.

    Безопасность начинается с identity


    В то время, как сети IoT распространяются на десятки миллиардов устройств, значительная часть их функциональности базируется на надёжной идентификации друг друга (M2M), перед серверами и маршрутизаторами в своей сети, а также перед облачными системами управления. Так формируется аутентификационный канал безопасности end-to-end.

    Благодаря аутентификации каждое устройство обладает уникальным идентификатором и может подтвердить его аутентичность. Это важно для обработки данных и выделения ресурсов данному устройству после авторизации.

    Во многих случаях следует провести аутентификацию анонимно. Так, устройство может криптографически доказать, что оно принадлежит определённой группе, но при этом сохраняет в секрете свой уникальный идентификатор. В современных условиях, когда все провайдеры пытаются собрать максимум персональной информации о каждом пользователе, а потом торгуют ею, это тоже очень важно. Зачастую сохранение анонимности — нормативное требование, как по закону GDPR.

    Отдельная тема, что фактическая анонимность сложнее, чем просто скрытие ID. Например, сейчас на слуху истории, как подрядчики Apple, Amazon и Google прослушивают аудиозаписи разговоров пользователей, собранные персональными цифровыми ассистентами Siri, Alexa и Google Assistant, соответственно. Эти подрядчики прослушивают аудиозаписи сексуальных актов, драк, покупок наркотиков и так далее — и легко могут идентифицировать имена и адреса людей, которые звучат в файлах. Несмотря на формальную анонимизацию записей.

    Более того, недавно учёные доказали, что существует множество способов связать любые анонимные данные с реальными людьми. К примеру, данные с 15 демографическими атрибутами «раскроет 99,98% жителей Массачусетса». Согласно проведённому исследованию, в любых сложных датасетах практически невозможно успешно анонимизировать данные.

    Возможно, в будущем для сохранения истинной анонимности придётся использовать методы, похожие на те, что применяла команда Алана Тьюринга, которая расшифровала шифры «Энигмы», но не могла выдать этот факт, иначе противник изменил бы шифр. Тьюринг пытался скрыть статистические аномалии — и выдавал шифровки только в редких случаях. В большинстве случаев английские криптографы просто молча наблюдали, как нацисты уничтожают солдат и мирных жителей — законы математики не позволяли им предотвратить эти убийства. Тактика сработала. Нацисты не заметили, что союзники слишком часто «угадывают» секретную информацию.

    В случае с истинной анонимизацией IoT это может означать рандомизацию данных, подмешивание случайных ID и случайной чужой информации, чтобы злоумышленник со стороны не мог вычислить истинного владельца перехваченного трафика. Но эти проблемы придётся решать в будущем. На сегодняшний день главное — обеспечить хотя бы базовую защиту сетей IoT.

    В контексте IoT идентификация, аутентификация и авторизация позволяют защитить устройство от неавторизованного доступа и защитить данные от спуфинга (как в случае с электросчётчиками, где население наверняка попытается подменить трафик). Это относительно простые задачи, которые по силам решить современным технологиям.




    СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
    GlobalSign
    160,33
    Компания
    Поделиться публикацией

    Комментарии 3

      0

      Статья похожа на осмысленно написанный текст… но я не понял ни единого абзаца, и даже близко не понял в чем суть сервиса.

        0
        Портал для IoT разработчиков является частью GlobalSign IoT Developer Program (программы разработчиков IoT от GlobalSign). Это хранилище всех инструментов, утилит и руководств, которые формируют наш IoT SDK и позволяют разработчикам быстро понять как работает Atlas API при выпуске и отзыве сертификатов для IoT устройств, при интеграции их в рабочие процессы.
        Разработчик может запросить демонстрационный доступ к Atlas CA, узнать цену а также использовать механизм, который позволяет общаться с IoT командой напрямую.
        Чтобы понять как все устроено, вы можете зарегистрироваться на IoT портале, используя свой корпоративный адрес электронной почты по ссылке: https://www.globalsign.com/en/internet-of-things/partner-programs/developer-program/, после чего для вас будет создана учетная запись.
          0
          Понекропощу чутка ))

          У всех провайдеров SSL-сертификатов дико бомбит от того, что постоянно падают доходы по SSL-сертификатам из-за Let's Encrypt. Поэтому, GlobalSign решил диверсифицироваться и создал СА для IoT ака «умных» устройств, а так же еще некую инфраструктуру вокруг (API'шечки, фигишечки).
          В целом направление верное, тк за IoT сейчас огромный рынок вырастает, да и самих устройств будет значительно больше, чем сайтиков. Т.е. конечных заказов на «правильных» сертификатов можно будет выписывать значительно больше.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое