图片29

物联网(IoT)安全依赖于多层保护，它可以从物联网设备的硬件基础延伸到执行环境。然而，对所有网络设备来说，威胁仍然存在，而针对云连接的典型物联网应用需求也会给物联网设备和云服务带来新的挑战。为减轻这些威胁，物联网云供应商采取了具体的安全协议和策略，但是如果不能正确使用，反而会使物联网应用更加脆弱。利用预先配置好的开发板，开发者可以迅速利用主要的物联网云服务使用的安全方法，验证连接，并授权使用物联网设备和云资源。

在云服务中，物联网门户发挥着作用。

如果物联网设备与某一资源相连接，如云服务或远程主机，其自身和由于对整个物联网网络的扩展可能会被伪装为合法服务或服务器。与此相反，云服务自身面临着类似攻击的威胁，黑客们模仿物联网设备交易来尝试渗透到云防御机制。为有助于确保对物联网设备和云资源的保护，云服务需要使用特定的安全协议进行双向身份验证，并授权随后的操作来确定是否允许使用服务。这样的协议通常包括一系列的服务，以便在物联网设备与云资源之间提供一个安全门户。

与其它可用的物联网云服务平台相似，AWS和Azure都提供了具体的入口门户，可以通过物联网设备与每一个供应商的整个云资源集合交互。这样的云计算资源包括虚拟机(VM)和SaaS(SaaS)产品，等等。AzureIoTHub和AWSIoT使用相似的机制和功能组合，可以为各自的企业云产品提供这种门户。

从最基本的意义上说，这些及其它物联网门户将使用一个特定的认证协议建立安全连接。每个供应商都可以使用软件开发套件(SDK)来执行这些协议。在AWS中，物联网设备使用双向认证来连接设备网关。并且设备网关将使用存储在设备注册中心的信息将物联网设备和其它物联网支持服务连接起来。这个寄存器可以存储独特的设备标识代码和安全凭证，并可以管理访问AWS服务所需的额外元数据。身份注册中心在Azure中有着相似的功能。

AWSIoT和AzureIoT都提供了相关服务，可以在虚拟设备中维护与物理物联网设备相关的状态信息。在AWSIoT中，设备阴影将为AWSIoT提供这一功能；同时，设备孪生也为AzureIoT提供类似的功能。

这个安全门户的概念可以扩展到物联网的边缘服务，比如AWSGreengrass或者AzureIoTEdge等等。这类边缘服务产品可以分散一部分云服务和功能到本地网络上，而在大规模部署时，边缘系统将位于物联网设备和系统附近。开发者可以使用像AzureIoTEdge这样的服务来实现一个应用业务逻辑，或者提供必要的附加功能，以缩短延迟，或者为本地操作人员提供服务，比如工业自动化等等。