物联网漏洞难防，黑客对开放接口虎视眈眈

物联网漏洞难防，黑客对开放接口虎视眈眈

（文章来源：中关村在线）

考虑到物联网的设备形态和功能千奇百怪，从终端、无线接入、网关，再到云平台，涉及的环节众多，要知道不少设备使用的操作系统也是不统一的，不是定制的就是非标准的，无形中为运维人员增加了负担。而在工业和制造业场景中，一些产线上的物联网设备服役时间长达数月或数年，但安全防护措施却非常有限。

然而，存在于不同IT环境中的联网设备，多数是由不同厂商“组装”起来的，硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是，有时候芯片升级了可对应的软件升级并没有赶上，而安全补丁更新的时候组件又不支持。这也就是为什么，有的物联网安全厂商会在一开始就希望将安全解决方案整合到一个平台中，而不是之后不断的打补丁。通过这种从芯片到网络、再到云的集成式管理，原有安全认证的复杂性降低了，也不用过于依赖第三方的证书授权。

不过，任何事都有两面性。网络应用前端随处可见的API逐渐变成了黑客攻击的热点，一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常，企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务，而这些服务的可用性很大程度上会依赖于API的安全性，尤其是在客户引入第三方服务的时候，让API暴露在了外部环境中。

此时，API所面临的挑战往往会体现在几个方面：外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击，其对关键API的入侵能导致网络大面积瘫痪，并且占用大量计算资源使得程序中断。此外，如果通过API建立联系的用户端和服务器端没有经过特殊加密，很容易造成信息泄露。

考虑到这些风险，服务商自然也要积极完善API的安全性。举个例子，客户端将密钥添加到参数传输过程中，结合口令发送给服务端，后者进行二次加密后再给出一个口令，通过比对前后两次口令的一致性来认定是否为合法请求。由于黑客无法获知签名密钥，因此既是修改请求参数也不能对其进行签名，更不能获得之后的口令。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。