3S Market 傳遞 智慧應用與價值的商業資訊
Klacci i series 智慧連網門鎖
今日主題 智慧安控\雲端\物聯網\行業應用
智慧安全科技應用
2024年9月16日 星期一
★ 5 大門禁控制挑戰
身份和門禁管理(IAM,Identity and Management)是安全系統的組成部分。沒有適當的身份驗證和授權,就不可能實踐零信任和最小特權等網路安全原則。
到目前為止,大多數組織都牢牢掌握了 IAM 的身份部分,包括多因素和基於令牌的身份驗證等概念。然而,實施門禁控制仍然具有挑戰性,因為基於角色的門禁控制(RBAC, role-based access control )等方法,在許多情況下被證明是不夠的。
本報導討論了企業面臨的主要門禁控制挑戰、RBAC 的侷限性,以及解決這些問題的解決方案。
五大門禁控制問題
門禁控制系統規範誰或什麼可以門禁資訊和資源,以及他們可以使用這些資產做什麼。企業通常面臨以下門禁控制問題:
1. 分散式 IT 系統
如今,IT 系統通常由多個雲和本地網路組成。這些系統在地理上可能分散,包括許多裝置、資產和虛擬機器。所有這些裝置都被授予門禁許可權,追蹤它們可能很困難。
正如我們在 2022 年雲原生對齊報告中發現的那樣,97% 的企業計劃增加對雲原生技術的使用。這種遷移將導致分散式 IT 系統成為規範,門禁控制方法需要相應地發展。
2. 政策管理
組織內的決策者編寫政策,IT 部門將預期的政策轉化為實施程式。這兩個小組之間的協調對於使門禁控制系統保持最新,並按預期工作非常重要。政策實施者往往對門禁控制規則背後的意圖缺乏瞭解,決策者通常無法自行更新或更改政策。
3. 過度的許可權和例外
在競爭激烈的市場中,公司重視雲工作負載提供的靈活性和靈活性。在匆忙進入市場時,安全性往往被忽視。管理員可以向個人使用者授予不必要的許可權,以防止開發中的任何延遲。這種做法大大降低了門禁控制系統提供的安全水準。
Verizon 的一份 2019 年報告發現,當年所有資料洩露的 34% 中,內部行為者參與了其中。透過限制授予使用者的過度許可權數量,來實踐最小特權的安全原則,可以幫助防止這些內部資料洩露。
此外,特殊情況有時需要制定政策例外,這可能很難追蹤和管理。在過於頻繁地進行例外時,辨識未經授權的訪問,也可能具有挑戰性。
4. 監控和報告
組織必須持續監控門禁控制系統,以確保遵守內部政策和政府法規。任何違規行為或更改都應立即辨識和報告。不這樣做可能會導致機密資訊落入壞人之手,從而根據隱私法被處以罰款。據 GlobalScape 稱,由於一次違規行為,公司平均損失 400 萬美元的收入。
5. 門禁控制模式
門禁控制方法提供不同程度的粒度。為你的組織選擇合適的門禁控制模式,讓你在充分的安全性和員工生產力之間走一條細線。
RBAC 仍然是實施最廣泛的授權解決方案。RBAC 易於設定,更適合小型企業和公司。其他遺留授權系統包括強制門禁控制(MAC,mandatory access control)和自由裁量門禁控制(DAC,Declarative Authorization Service)。這些模型經常被軍事和政府機構使用。
更高階的模式包括基於屬性的門禁控制(ABAC,attribute-based access control)和基於策略的門禁管理(PBAM,policy-based access management (PBAM). )。這些系統提供了對授權決策的細粒度控制,允許你分配屬性,來確定使用者是否可以訪問資源。
瞭解美國最大的直接銀行如何透過 Styra 宣告性授權服務(DAS)管理門禁控制政策。
為什麼你需要超越 RBAC 方法
儘管實施簡單,但 RBAC 在企業級授權方面有幾個缺點。缺點包括:
— 角色爆炸:RBAC 的主要侷限性,特別是對大公司和組織來說,是角色爆炸。隨著公司的成長,更多的職位被新增到組織結構中。管理員必須手動將這些角色新增到 RBAC 系統中。如果個人使用者在公司內更換職位,他們也可以分配多個角色。管理大量角色可能會導致監督和安全複雜化。
— 管理和維護挑戰:RBAC 系統需要定期維護才能有效。隨著員工調動部門、獲得晉升或離開公司,角色需要更新或刪除。雖然實施很簡單,但管理員仍然必須花大量時間,為組織中的每個人定義角色。
— 僅分配給角色的許可權:使用 RBAC 模型,你只能將許可權設定為角色,而不能設定為資源或資產。在授予門禁許可權時,系統忽略了所有權和位置等資源屬性。
— 靜態授權:RBAC 規則不靈活,在授予門禁許可權時不考慮動態因素。這一限制使 RBAC 不適合保護使用者只能在本地或工作時間,門禁的高度敏感資料。
基於 Kubernetes 意圖的 API:基於意圖的 API 只允許使用者執行一定數量的操作。RBAC 策略沒有 Kubernetes API 安全所需的粒度,試圖透過 RBAC 實現細粒度門禁控制將不必要地複雜。
解決方案:使用開放策略代理(OPA)進行安全訪問
OPA 是一個開源策略引擎,它使用簡單的 API,從你的應用中解除安裝策略決策。策略是用一種名為 Rego 的高階策略語言編寫的,使業務使用者更容易理解和實施它們。
OPA 的另一個優勢是,你可以根據組織的具體需求,將策略作為程式來互換實現 RBAC和ABAC。OPA 在雲原生環境中有多個用例,包括微服務、Kubernetes 和 Terraform,以幫助你解決大多數門禁控制問題。
然而,OPA 沒有開箱即用的控制平台,來從中心位置管理所有 OPA 佈署。 Styra 最初設計 OPA 是為了解決應用等級的授權,而不是整個企業系統。
隨著 OPA 越來越受歡迎,科技界的巨頭開始在他們的雲系統中實施它,Styra 意識到了對交鑰匙管理解決方案的需求,並推出了 Styra DAS。
Styra DAS —— 業界第一個 OPA 控制平台 —— 管理從創作到執行的整個策略生命週期。它還使你能夠即時監控政策並檢視違規行為。策略可以在實施前進行測試和驗證,更好的是,你可以使用圖形使用者介面(GUI)而不是文字編輯器來編寫策略。
嘗試 Styra DAS Free 或 預訂演示,看看我們如何幫助你克服雲原生環境中的門禁控制挑戰。
常見問題解答
門禁控制可以防止什麼?
門禁控制可以防止資料洩露和洩露。據 IBM 稱,在美國,資料洩露平均花費 944 萬美元。被盜資訊可能包括客戶資料、醫療保健記錄和智慧財產權。
實施門禁控制的最佳做法有哪些?
門禁控制實施的一些最佳實踐,是為你的環境選擇最合適的門禁控制模型,監控整個系統的使用者訪問,並應用最小特權和零信任的原則。
商機探索 —— 傳統市場如何智慧化 ⋯⋯
★ 如何選擇安全攝影機晶片組
Klacci 凱樂奇 iF系列行動生物辨識智慧門鎖
如果你正在建構監控攝影機裝置,選擇正確的晶片組很重要,因為品質和類型將直接影響安全攝影機的效能、功能和可靠性。以下是一些需要記住的最大因素。
首要考慮
IP 攝影機晶片組的 CPU 為系統做了所有「思考」,這也是影響你為晶片組支付金額的最大因素之一。任何正在建構監控攝影機系統的人,都會想要提供速度和價格良好組合的 CPU 核心。例如,ARM Cortex 處理器因其經過驗證的效率,和眾多編譯器的強大支援,而在行業中普遍受到青睞。儘管與 ARM 的智慧財產權相關的許可成本很高,但這使它們成為受歡迎的選擇。
像 ARM Cortex-A53 這樣的型號,提供了功率效率和效能的結合,在不顯著提高成本的情況下,處理高畫質影像處理需求。另一方面,由於不同的許可結構或較低的整體市場需求,非 ARM 替代品,如來自 MIPS 或 PowerPC 的替代品,在某些情況下可能會提供成本優勢。
你的晶片組還將有一個作業系統或即時作業系統(RTOS),它就像一個超快、超輕量級的作業系統,沒有標準作業系統那麼大的處理能力。Linux 是常見的作業系統選擇,因為它的穩健性、多功能性和強大的社群支援,使其適合大多數通用監控應用程式。
然而,對於智慧門鈴或其他電池供電系統等裝置,其中功率效率更重要,CPU 必須透過高階睡眠模式,和其他省電功能有效管理電源。在這些類型的低功耗情況下,你可能更喜歡支援 RTOS 的 CPU。基於 RTOS 的晶片組最適合工業監控等高安全性和低延遲環境。工業環境需要以相對較低的功率,立即處理資料和反應處時間,而 RTOS 可以提供所有這些。
能源效率也是物聯網裝置,特別是智慧攝影機的重中之重。對於門鈴攝影機等電池供電裝置,你可能需要透過動態電壓和頻率縮放(DVFS)等技術,優先進行電源管理的晶片組。DVFS 是一種用於電腦處理器和其他電子裝置的電源管理技術,根據實際工作負載調整處理器執行的電壓和頻率。
這種調整有助於最佳化電力使用和管理熱量產生,提高裝置的整體能源效率。在行動式裝置中,DVFS 在不需要全效能時,透過最小化功耗來延長電池壽命的關鍵。實現 DVFS 需要能夠支援,電壓和頻率快速變化的處理器和電源電路。
硬體支援
讓我們更具體地瞭解一下,你應該在晶片組中尋找的一些硬體功能。第一個是編碼支援。當 IP 攝影機晶片組處理影片時,它們需要壓縮(編碼)資料,以進行儲存或傳輸。與效率較低的編解碼器相比,使用更高效的編解碼器(壓縮標準)的攝影機,可以在更少的磁碟空間中儲存更多影像片段,攝影機還可以使用更少的頻寬,串流傳輸高品質影像。
這在監控應用中尤為有價值,在監控應用中,攝影機可能需要儲存或傳輸長時間的影像。一些最著名的標準是 H.264,或高階影像編碼(AVC)和 H.265,也稱為高效影像編碼(HEVC)。VP8 和 VP9 也很受歡迎。這些標準中的每一個都有其自身的優缺點:
H.264 與 H.265
- H.264(高階影像編碼,AVC):這是使用最廣泛的影像壓縮標準之一。它以相對較低的位元率提供良好的影像品質,使其在網際網路上串流傳輸影像或儲存影像錄製具有效率。幾乎所有的平台和裝置都支援它。
- H.265(高效影片編碼,HEVC):該標準是 H.264 的繼任者,在相同影像品質等級下,提供大約兩倍的資料壓縮比,或在相同位元率下提供明顯更好的品質。雖然它可以進一步降低儲存和頻寬要求,但它需要更多的編碼和解碼處理能力,這可能需要更先進的硬體。
VP8 和 VP9
- VP8:這是谷歌擁有的開放影像壓縮標準,是 WebM 專案的一部分。它提供高效的壓縮,主要用於網路影像。
- VP9:這是 VP8 的繼任者,也是谷歌的,提供更好的壓縮效率,與同等品質等級的 VP8 相比,它可以將資料使用量減少約 50%。它被廣泛用於在 YouTube 等平台上,串流傳輸高解析度影像。
下表總結了一些差異:
|
|
H.264(AVC) |
H.265(HEVC) |
VP8 |
VP9 |
|
介紹年份 |
2003 |
2013 |
2010 |
2016 |
|
編碼效率 |
好 |
高(比H.264顯著好) |
適度的 |
高(比VP8好得多) |
|
延遲 |
適度的 |
高 |
低 |
低於VP8 |
|
版稅費用 |
可能需要許可 |
可能需要許可 |
免版稅 |
免版稅 |
|
硬體支援 |
廣泛地 |
成長 |
有限的 |
增加 |
|
專注 |
品質和效率的平衡 |
提高效率 |
即時應用程式 |
比VP8品質有所提高 |
加密/解密
在 CCTV 晶片組的背景下,納入對加密和解密的硬體支援,對於保護隱私和確保資料完整性非常重要。尋找包含硬體加速的晶片組,這意味著硬體實際上使加密過程更快。一些典型的硬體加速加密過程,包括對稱加密的高階加密標準(AES)和非對稱任務的RSA(Rivest-Shamir-Adleman)。這些可以在不增加系統效能的情況下,實現影像饋送的即時加密和高效身份驗證。
請注意,對稱加密透過在傳輸過程中,對影像串流進行編碼來確保隱私,使未經授權的一方無法讀取。另一方面,非對稱加密通常處理對稱金鑰的身份驗證和安全傳輸。
此外,安全啟動和安全儲存等功能,在閉路電視系統中非常重要,以進一步提高安全性。安全啟動確保裝置僅執行經過身份驗證的韌體,防止未經授權的修改可能危及系統。另一方面,安全儲存透過加密來保護敏感資料,如影像錄製和配置設定,即使獲得對裝置的實體連線,也防止資料洩露。這些功能共同提高了監控系統的整體安全性,並有助於遵守資料保護法規,保持系統完整性和使用者信任。
Wi-Fi 整合
在整合 Wi-Fi 功能和外部 Wi-Fi 模組之間,進行選擇取決於平衡設計簡單性和靈活性。整合 Wi-Fi 簡化了設計過程,減少了相容性問題,並可能降低了大規模生產中的單位成本。這些功能非常適合,以功率效率和降低複雜性為優先事項的經濟型裝置。然而,整合的 Wi-Fi 限制了,在不更換整個晶片組的情況下,升級或更改 Wi-Fi 規格的能力,隨著技術的發展,這可能代價高昂且不靈活。此外,將 Wi-Fi 整合到晶片中需要設計天線,並獲得當局的批准,這一挑戰通常由預先批准的 Wi-Fi 模組解決。
另一方面,外部 Wi-Fi 模組提供了更大的靈活性,允許根據範圍或頻寬等,特定需求輕鬆更新到較新的 Wi-Fi 標準和客製化。這種方法還簡化了故障排除和元件更換。然而,外部 Wi-Fi 模組有一些缺點,如設計複雜性增加,以及由於聯結器和遮蔽等附加元件,而可能更高的成本。
MIPI CSI-2
最後,對於將執行臉部辨識軟體,或其他高頻寬應用程式的更先進的攝影機系統,請尋找支援行動通訊工業處理器介面攝影機序列介面2(MIPI CSI-2)的晶片組。MIPI CSI-2 是由 MIPI 聯盟開發的高速協議。該協議促進了攝影機和主機處理器之間的介面。
MIPI CSI-2 目的在處理複雜的成像設定,並支援一系列成像系統,從基本攝影機到現代行動裝置中使用的高階成像系統。該協議使用高速資料通道傳輸資料包,其中包括從攝影機到處理器的影像資料,從而實現高資料吞吐量和高效的成像能力。
當 CCTV 晶片組或處理器原生支援 MIPI CSI-2 時,這意味著它本質上,目的在有效地處理現代攝影機介面的複雜性。這使得它成為專注於多媒體豐富,或以攝影機為中心的裝置的開發人員和製造商的理想選擇。相比之下,如果你要為家庭監控建立門鈴攝影機,MIPI CSI-2 支援可能不那麼重要。
監控攝影機協議
當我們討論安全攝影機晶片組時,提到許多智慧攝影機供應商希望整合到其監控系統中的協議類型也是有意義的。
安全攝影機中的晶片組,在定義系統可以支援哪些影像協議、這些協議的運作情況,以及攝影機可以滿足其預期用例的有效性方面,發揮著根本作用。由於網路即時通訊(WebRTC)協議和即時流媒體協議(RTSP)在影像監控中都很常見,也是 Nabto 即時通訊平台的核心,讓我們具體談談這兩個協議。
WebRTC 是一個 P2P 影像串流協議。它直接在瀏覽器中工作,儘管最近它也在 Android 和 iOS 應用程式中工作。這使得 WebRTC 非常適合影像串流等物聯網應用,例如,你可能希望透過智慧手機或膝上型電腦,遠端連線和檢視串流。
與 WebRTC 不同,RTSP 實際上不會傳輸資料流。它只是像電視的遙控器一樣,讓你遠端播放、暫停或停止影像串流。
如果你想更多地瞭解,哪種協議更適合你的特定應用,你可以在我們的相關部落格文章中瞭解更多資訊。但由於這裡的討論更側重於,你應該購買什麼晶片組,以下是一些需要考慮的因素:
1. 對編碼和解碼的硬體支援
RTSP 和 WebRTC 都要求攝影機的晶片組,支援影像壓縮和解壓標準,例如 RTSP 的 H.264 或 H.265,以及 WebRTC 的 VP8 或 VP9。高效率的壓縮,對於在保持高影像品質的同時,減少頻寬使用和儲存需求非常重要。晶片組必須包括一個能夠快速有效地處理,這些壓縮標準的硬體編碼器和解碼器。請注意,並非所有瀏覽器都同樣支援所有編碼標準,因此請謹慎選擇你的晶片組。
特別是 WebRTC 要求晶片組提供即時影像處理功能,因為它是為即時通訊而設計的。這意味著晶片組必須足夠強大,以最小的延遲處理高解析度影像流,在捕獲時幾乎立即處理串流傳輸影像。
2. 網路能力
對於 RTSP,晶片組需要支援可靠的網路連線,並能夠處理管理影像串流的會話控制訊息。RTSP 流通常透過 TCP 或 UDP 傳輸,晶片組應有效處理這些協議,以確保穩定高效的影像串流。
與此同時,支援 WebRTC 的裝置中使用的晶片組,需要具有強大的網路功能,包括支援點對點網路連線。這比 RTSP 更複雜,因為它涉及對不斷變化的網路條件進行即時適應,以保持影像品質。
3. 安全功能
WebRTC 需要能夠直接在硬體中,支援端到端加密的晶片組,以實現安全影像串流。這對於維護隱私和安全非常重要,特別是在監控敏感區域的應用中。RTSP 實現也將受益於對安全功能的硬體支援,儘管這通常需要透過額外的軟體配置來設定和啟用。
4. 相容性和整合
晶片組必須與用於實現這些協議的軟體堆疊相容。對於 WebRTC,這可能包括對基於瀏覽器的技術,和 RTOS 相容性的支援,而 RTSP 則需要支援媒體伺服器軟體,並可能與傳統 CCTV 系統整合。
最主要監控攝影機晶片組供應商
很難詳細說明市場上的最主要晶片組,只是因為晶片組太多了,所以我將談論主要晶片組供應商。
1. 索尼半導體解決方案
索尼半導體解決方案是高品質影像感測器領域的領導者,特別是該公司在 IMX 系列下的 CMOS 感測器,它們因其卓越的低照度效能,和高解析度而備受讚譽。這些感測器是許多高階安全攝影機的組成部分,提供卓越的影像清晰度和色彩保真度。除了感測器之外,索尼還開發了全面的 SoC 選項,這些選項結合了高階成像、處理和安全功能,以支援複雜的監控系統。例如,IMX490 提供異常寬的動態範圍和高靈敏度,是在不同照明條件下執行的監控攝影機的理想選擇。
2. HiSilicon
華為的子公司 HiSilicon 是晶片組市場曾經的領先者,以其 Kirin 系列而聞名,特別是 Kirin 990 晶片組,它採用雙核 NPU,提供強大的人工智慧功能。它適用於高階遊戲和多媒體應用程式。此外,Kirin 990 包含先進的 ISP,以提高攝影機效能。還有 Kirin 810 晶片組。Kirin 810 專為中端和高階裝置而設計,還基於 7 奈米製程,使其在電晶體中節能且密度高。GPU 是 Mali-G52,結合 Kirin 遊戲+技術,提供流暢的遊戲體驗。Kirin 810 還包括一個帶有華為達芬奇架構的 NPU,增強了人工智慧處理能力。HiSilicon 晶片組也適用於智慧監控攝影機。
3. Ingenic
Ingenic Semiconducto r是一家成立於 2005 年的中國公司,專門設計和開發微處理器和片上系統(SoC)解決方案。他們的產品主要服務於嵌入式系統市場,其中包括安全攝影機、智慧家居裝置和可穿戴技術等應用。Ingenic 的 T31 晶片組是安全攝影機的領先選擇。T31 晶片組採用 Ingenic 的 XBurst 2 核心架構,以其能效而聞名。這有助於延長安全攝影機的電池壽命,並確保長時間的效能一致。該晶片組還支援 4K 超高畫質影像編碼和解碼,提供清晰細緻的影像片段。
4. XM(Nextchip)
Nextchip 以其具有成本效益的影像訊號處理器(ISP)和專為中端安全攝影機量身訂製的片上系統(SoC)選項而聞名。該公司專注於提供不影響影像 品質的實惠晶片組,使其成為注重預算的安全應用的理想之選。Nextchip 的熱門產品之一是 NVP2441H ISP,它支援高解析度影像處理,並針對閉路電視系統進行了最佳化,提供運動檢測和寬動態範圍(WDR)功能等功能。
5. NXP 恩智浦半導體
恩智浦半導體提供廣泛的處理器,非常適合網路連線的攝影機,提供現代監控系統必不可少的強大安全功能。他們的晶片組支援安全的影像傳輸、加密和高階篡改檢測,這對防止未經授權的訪問和確保影像資料的完整性非常重要。例如,i.MX 8 系列具有先進的多媒體處理、多種成像功能和高階安全功能,使其成為建構智慧、整合監控系統的理想選擇。恩智浦的選項往往比上述一些晶片組更昂貴,這意味著它們更常用於工業攝影機。
6. 德州儀器
德州儀器(TI)在數位訊號處理器(DSP)市場享有長期聲譽,為閉路電視應用設計了強大的範圍。該公司的 DSP 因其可靠性和先進的處理能力而受到高度評價,這促進了影像降噪、影像穩定和高效壓縮演算法等,增強的影像功能。例如,TMS320C6000 DSP 系列,因其卓越的處理能力和能源效率,而在高效能影像分析和監控系統中特別受到青睞。與 NXP 類似,TI 的 DSP 在工業攝影機中更常見,因為價格更高。
最後的想法
市場上有這麼多監控攝影機晶片組選項,你需要花時間找到適合你系統的晶片組。希望你現在對尋找什麼有了更清晰的瞭解。
商機探索 —— 傳統市場如何智慧化 ⋯⋯