设备的安全和隐私标准达到了新的成熟度
物联网设备的安全和隐私非常重要——尤其是当一个设备控制着人体的一个重要功能时。依赖胰岛素或起搏器来保持正常,还是依赖电刺激来减轻疼痛?这是一种智能设备,也有个人健康数据和设备控制的影响。
最近的Wannacry勒索软件攻击感染了数十万系统,最初的目标英国国家医疗服务体系中的许多医院目前,我们最好不要依赖现有的设备安全级别来避免更严重的伤害。一个新的安全研究显示起搏器软件代码安全性糟糕透顶;它很快就发现了8000个漏洞,并发现这些设备可以连接到不需要医生登录的监控系统。
向哪里寻求帮助?web和API标准栈
为什么标准?因为互操作性是一个持续的需求,而标准可以帮助独立的实现正确地协同工作。如果你的企业的目标是建立一个生态系统,例如允许任何数量的第三方连接到你的设备,那么标准就是你的朋友。实现标准最佳实践的sdk、库和专家还可以帮助消除摩擦和解决业务核心竞争力之外的问题的成本,比如编写自己的安全代码。(请参考之前提到的8000个bug)
为什么要采用web和API标准?物联网经济的存在,在一定程度上要归功于过去10年API经济的崛起。在这段时间里,我们看到了控制数字产品的移动应用程序的爆炸式增长,支付访问控制的新模式,以及围绕获取在线服务的应用程序访问许可的创新。标准使一些最关键的步骤在这些领域向前迈进。
哪些标准是必须的?OAuth 2.0(发音为“oh-auth”,最初站在“开放授权”)是解锁API安全性和用户同意挑战的第一步。基于OAuth的oauth有一个日益增长的标准,这些标准随着时间的推移解决了许多挑战;下一个最重要的是OpenID连接用于管理身份和身份验证。(Please refer to the incidence of login-free pacemaker monitoring systems mentioned earlier.) If you have ever “logged in with Facebook” from one online account to another site or app, you’ve used a version of the OAuth and OpenID Connect standards to ensure that your authenticated identity was securely transmitted in a consented fashion across the network.
身份标准领域有什么新进展?
两个基于OAuth的标准已经上升到一个新的成熟水平,现在是时候认真看待它们与物联网特别是医疗保健用例的关系了。
用户管理访问(UMA)2.0:UMA被认为是基于OAuth的协议,旨在为个人提供一个统一的控制点,以授权谁以及什么可以访问他们的数字数据,内容和服务,无论这些东西都在哪里。就“添加共享按钮”来思考到任何在线服务(例如,存储纳税返回)或智能设备API(例如,管理灯泡),以便用户可以选择性地委派对其他人进行税收数据或灯泡控制。
由此产生的架构使UMA成为工具和解决方案的坚实基础建立信任的数字关系在许多物联网场景中。UMA的能力可以帮助解决法规强加的复杂的同意要求,以及向敏感的消费者展示可信度的挑战。
在消费者物联网开始以智能家居设备的形式蓬勃发展的同时,UMA的商业实现进入了市场自动连接汽车。随着物联网授权和分享方案的复杂性,利益相关者开始制定一个用于推进UMA超出初始标准的能力的路线图。
第一代UMA于2015年3月被批准Kantara倡议是一个致力于推进数字身份管理和数据隐私的行业财团。UMA 2.0版现在在其最终批准阶段,旨在更接近OAuth,以便加速与现有服务和应用程序的采用和互操作性,并在某些IOT方案中启用已常见的断开服务用例。例如,如果灯泡的所有者希望与鲍勃共享访问的人,那么从未向Alice的授权经理证明他的身份,UMA 2.0就可以在技术上更具吸引力的方式向Alice授权经理证明他的身份。
健康关系信任(心脏): 这心灵主动OpenID基金会正在开发一套隐私和安全规范,使患者能够控制对健康数据api的访问。HEART的诞生基于一个简单的概念:个人希望能够收集、控制和分享自己的健康数据。这些数据越来越多地采用数字来源,比如智能设备和移动应用程序,并可能存储在电子健康记录中。一个人的健康状况越复杂,数据来源增长的可能性就越大。许多人希望能够允许任何能够访问这些数据的人,他们希望能够随着时间的推移改变他们的想法。
临床医生、保险公司、研究人员和其他人想要或需要健康数据来诊断、制定护理计划、支付护理费用和其他原因。在某些情况下,它们以标准为基础,成功地交换了电子卫生数据。然而,病人控制数据共享的欲望已经退居次要地位。HEART将个人重新置于健康数据共享对话的中心。基于现有的快速医疗互操作性资源、OAuth、OpenID连接和用户管理访问(UMA)标准,该小组已经开发了5个规范,达到了实现者的草案状态。
关于IOT设备和连接服务漏洞的令人恐惧新闻的定期滴水 - 是否WannaCry-style攻击或BrickerBot黑客- 有可能严重破坏公众在事物互联网上已经发抖的信念。在oauth,uma和心脏等标准上进行的工作表明,白帽科技世界正在反对糟糕的演员。它应该被理解为警察本身的行业的一种方式 - 一种展示更安全,更安全,更公平的方式,为参与IOT的每个企业和个人来说。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。