OSI模型的安全性

在短短6年,根据思科系统,将会有500亿台设备互联在物联网的宇宙。IDC把这个数字高达2120亿年。无论哪种方式,它真的不重要。事实是,绝大多数会交谈,自主,虽然云——一场噩梦管理场景中,无论如何旋转。

这个的影响是显著的,很多问题出现。一些已经存在,将是新的。其他人将并发症出现的数量级的增加这些设备。但一个问题,需要首先在每个人的议程是机器安全。

已经存在有一个漂亮的无处不在的网络部署的机器,以某种方式或其他。然而,大多数这些机器没有智慧和更少,如果有的话,安全。甚至组织机器如RFID阅读器、复印机和仓库设备做跟多核心系统,这在大多数情况下是前提。在多个位置,有更多的互联网活动,但大部分是安全的vpn等技术或专有连接硬件。和设备本身使用最小的安全,如密码,但没有其他的保护。

机器今天
今天安全时周围的早期物联网机器,安全似乎是大多忽略了。在2014马力的一项研究中最常用的物联网设备的今天,70%的人表现出某种漏洞,包括加密、安全、和个人数据的问题。在这三个类别中,一些特定的观察包括:

• 60%的设备,提供用户界面是容易受到一系列问题如持久的跨站点脚本漏洞和薄弱的凭证。
• 90%的设备收集个人信息,60%的人不安全的用户界面。
• 76%的设备使用未加密的网络服务,使设备容易受到中间人攻击。
• 80%未能使用强密码。一些默认的密码很简单,比如1234年或0000年。这是相同的保护装置和控制它通过云或移动应用程序。
• 60%未能保护固件下载传输加密和文件保护,使黑客篡改设备固件的有效载荷。

这些统计出来,几乎每天都从难民营,真正关心周围的总体进展缓慢插入其中的一些安全漏洞,理应如此。举个例子,在2014年的黑帽会议人员能够侵入Nest恒温器的温度在15秒,获得不间断访问。他们只是更换了基于linux的固件与恶意代码捕获网络流量。

在同样的会议上,丹尼尔Buentello演讲者的信息安全工作,指出“连接电器将成为网络罪犯的一个有吸引力的大道,因为他们没有提供传统的反馈(监控)或输入(鼠标/键盘)。如果有人能够妥协嵌入式主机将是完美的优势对于一个M2M攻击或其他滩头阵地发动攻击。”

在另一个演示,耶稣莫利纳,一个独立的安全顾问,讨论了缺陷被发现在一个酒店的建筑自动化系统,允许黑客控制几乎所有设备的属性。这样的问题不只是你的咖啡壶。

上面的示例引用自动机器人所有对象物联网。阻碍的问题是如何破坏这种高效、经济和依。虽然没有产品短缺,有一个很好的资源,大部分的基础我们今天使用的通信协议——OSI模型。,如果物联网真正是M2M成熟的时代,和大多数的设备是自动机器,那么它应该得到认真考虑为基础模型。

osi - 101
首先,OSI栈只是一个理论上的参考模型。没有实际的OSI的软件。它已经存在自1980年,它是基于推荐ITU-T和ISO,开发它提供一个开放标准平台,定义了数据通信应如何进行。它是一系列的函数或过程分为七组或“层”,每一层设计界面层上方和下方它(参见图1),它给了我们功能协议(如以太网、wi - fi、tcp - ip, IPsec和许多其他人自成立以来。

层作为新兴的安装平台或开发标准和协议。协议等开发的组织时,IEEE, ANSI,或ITU-T,例如,他们被插入到适当的层模型(见图2)。这个很好,可以使用适用的协议栈中(如tcp - ip、wi - fi、以太网等)和应用安全。OSI模型支持大多数的专业网络和计算机厂商,大型商业实体,和政府。这使它非常有吸引力的模型锁定的设备将开始涌向物联网/ E,床。

然而,它需要很多合作和协议分层敌对阵营中,让它工作得很好。然而,更不可思议的事情都发生过。考虑到这一点,让我们看看什么是目前在雷达屏幕上。

剥去
这个栈一个优点是它爆发到多个层,每个都有特定的协议,这意味着有一个多样化的工作表面。

图1:七层OSI模型。由technology.blurtit.com。

图2所示。协议层内。(礼貌Acturus网络)

安全协议可以实现在任何层-一般,或应用程序有自己的安全协议进行加密,在各自的层。例如,HTTPS和SSH在第四层虽然IPsec,常用在路由网络,实现在第三层。,以太网在第四层工作。但有一个安全协议层和位置之间的关系。越到物理层,安全就会越好。

安全是最防弹层物理层。然而,即使在那里,可以进行拒绝服务攻击。这种攻击是罕见的有线网络,因为他们需要直接访问传输媒介。然而,无线是非常脆弱的。安全在这一层可以很坚强,但可能昂贵和复杂。这可能是最关键的保证物联网设备,但不太可能发现接受他们中的大多数。

以太网存在层OSI的两个堆栈和以太网是一个很好的候选物联网设备的安全,因为它是物理层的旁边。这里安全可以相对强劲的设备。以太网网络已经拥有了自己的加密协议中定义的IEEE标准,802.1 ae所以移植到物联网设备应该是相当简单的。这似乎是因为buzz似乎指向标准化在以太网协议。

以太网已经很好接受的原因之一是因为它能提供强加密。这也预示着互联网的功能到目前为止,信息。但随着物联网转向设备从网络信息,网络不可信的设备访问网络成为一个重要问题。解决方案是对设备本身进行身份验证和访问控制和通信协议,不仅加密设备数据。

机制
所以如何解决以太网池中?答案是KeySec协议。802.1 x中定义的标准,使以太网协议栈的身份验证和授权。这可以通过使用所谓的半径认证服务器进行身份验证安全数据的来源。

以太网栈中的数据完整性和机密性可以通过802.11 ae MACsec ICV字段和AES加密。ICV字段被损坏如果互联网载荷包被砍。AES是标准的128或256位加密标准应用于数据和将对物联网安全的关键设备之一。

最后,MACsec比IPsec协议更简单和更便宜的实现(驻留在3级),并在物联网网络很容易部署。它支持高速、宽的带宽(1到100 GHz),并要求小载荷头管理开销。

在力量方面相对较低,不需要专用的安全处理器。线性扩展,提供一个更健壮的平台链接和端点时跳和端到端应用程序。

展望未来
OSI模型提供了一些有趣的机会锁定互联网的新秩序的安全。自驱动力之一,随着物联网的发展,成本,等成熟和灵活的标准以太网提供了一些有吸引力的规模经济在大型部署。有其他选项在OSI模型,但目前,以太网是最难的。

目前,以太网堆栈似乎提供足够的鲁棒性和包括协议,可以适应保护对象以及加密数据。但很难推断只是所有这一切将如何打开当有200多亿对象所有争夺一块的管道。记住,他们中的大多数将自主和总是在线。

今天以太网看起来像一个很好的选择。但是所有的事情都一样,技术游行。的时候这些数以亿计的自治对象物联网真正开始出现op,也许不再是颗闪亮的星。