前段时间,阿里云发布了由其牵头制定ITU-T Y.4462《开放物联网身份标识协作服务要求及功能架构》。据悉这是我国互联网公司在loT身份标识领域正式发布的首个国际标准。
本ITU国际标准定义了物联网环境下的智能物联网设备身份标识协作服务的概念和需求,定义了物联网设备可信标识、云平台上的服务以及用户身份的关联架构及接口,描述了开放物联网身份识别协作服务平台的功能模块及工作流程。
该技术基于全球唯一、不可篡改、不可预测的IoT设备标识作为信任根,使IoT设备和云端进行双向安全认证,防止IoT设备被黑客恶意伪造、非法控制。通过标准流程在IoT设备、IoT用户、IoT服务之间建立关联,解决了IoT设备标识、认证安全性、提供IoT服务等实际部署问题,并在安全保护能力、安全算法处理性能、国密算法支持上均达到行业领先水平,其中芯片认证数据格式已被国际标准组织GlobalPlatform的标准所兼容。
落地行业,对你我会造成哪些影响?
就个人日常生活而言,一般的联网智能锁都是通过云计算存储用户的开锁密码,而如果云端服务器的存储系统存在漏洞,就相当于给黑客留下了“后门”。在攻防实验中,专家首先新设置了一个密码,然后模拟黑客的攻击方式轻松地获取到了新设置的开锁密码,而且非常轻松地就打开了智能锁。
同时专家还表示,网络摄像头同样存在这样的安全漏洞,安防厂商每年为此投入预算巨大。通常情况下,常见知名品牌的监控摄像头一般会具有例如密码提醒、保护机制,其设备会自动提醒用户修改初始密码,并对新密码评定安全等级,当多次输入错误密码设备自动将用户名锁定以防止“穷举法”的暴力破解;同时附带IP、MAC地址绑定功能。可将用户名与指定的IP、MAC地址进行绑定,绑定后仅该IP或MAC的主机可访问设备。其中IP、MAC地址进行绑定的手段从某种意义上来说与本次标准有一定的相似之处,通过“唯一性”对设备安全进行防护。
保障物联网设备不被黑客控制的关键之一,就是设备应真实可信、具有不可篡改的唯一标识,从而保护智能门锁开锁指令、智能摄像头视频流的传输,不会被黑客恶意劫持和非法控制。
依上文所述,本次发布的ITU-T国际标准物联网标识关联服务标准,以IoT设备标识作为手段,促进了物联网设备的可信标识与云服务的联动,通过制定ITU国际标准,可以帮助更多的国际消费者享受到安全、便捷、可信的物联网设备的使用体验。
这个标准对行业又有哪些意义?
实际上在2018年阿里就推出了物联网设备身份认证Link ID2,不过在这次将它上升到了标准的高度,也是对原有的应用落脚点进行了一次拓宽。
但值得注意的是,在IoT设备身份认证市场,当Link ID2服务超出阿里云领衔的ICA联盟成员边界时,难免碰上腾讯云loT TID、微软Azure Sphere等同类产品(服务)。
不过基于种种因素下,中国并非微软的服务主场,以体量作为判断标准,腾讯、阿里两大巨头极有可能以此为切入点,爆发一场关于loT生态体量的战争。
先说说两家的区别,阿里以不可篡改的IoT设备标识作为安全起点,而腾讯云TID强调的则是支持从无操作系统到Android、Windows、Linux、RTOS等多种操作系统&计算平台;资源占用少,较之TLS 认证加密协议,库文件大小减小81%。弱计算能力的嵌入式 MCU 也可运行,并支持在弱网低速率环境下接入。
加之在同期腾讯云从安全漏洞攻防角度编写了一项高于IoT安全国家标准的IoT安全规范,即《腾讯物联网安全技术规范》,这也就意味着这场“局部战争”阿里云不太可能携此次国际标准之大势,进行一次碾压式的战争。
结语
事实上,阿里云Link ID2和腾讯云TID都不是强制性IoT设备身份认证,但对于智能锁、智慧监控等高敏感IoT设备而言,有与没有这一认证,对于未来的销量可能有巨大的影响。
不过当前两家的主要应用也被局限于智能锁上,但随着智能家居的普及与群众隐私意识的提高,极有可能倒逼厂家让设备在销售之前统一接受身份认证。
那在这种情况下,阿里自带线上销售平台(天猫、淘宝)更便于推广自家标准的优势,极有可能不复存在,但后续的“市场占位”情况,两家各能占多少也不好说。
如果单单站在消费者的角度来看,新技术催发的“局部战争”无论打成什么样都无所谓,因为能笑到最后的,其无论是保密性还是便捷、实用性都更高,这份红利是将来有朝一日消费者能实实在在握在手心的。