物聯(lián)網(wǎng) (IoT) 設(shè)備的數(shù)量已達(dá)到臨界數(shù)量。今天，大約有 270 億臺(tái)聯(lián)網(wǎng)設(shè)備居住在我們的世界上。Statistica估計(jì)，到 2025 年，將有 386 億臺(tái)聯(lián)網(wǎng)設(shè)備，到 2030 年估計(jì)將達(dá)到 500 億臺(tái)。這是很多設(shè)備。但是，連接設(shè)備只是物聯(lián)網(wǎng)必須克服的第一個(gè)挑戰(zhàn)。保護(hù)它們將是下一個(gè)必須克服的障礙，以繼續(xù)物聯(lián)網(wǎng)的迅速崛起和可持續(xù)的長(zhǎng)期采用。

物聯(lián)網(wǎng)安全的重要性怎么強(qiáng)調(diào)都不為過。當(dāng)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)時(shí)，它們會(huì)共享信息。保護(hù)他們共享的數(shù)據(jù)的完整性和與誰共享數(shù)據(jù)的隱私可能意味著在安全放心的情況下操作或遇到設(shè)備、數(shù)據(jù)或系統(tǒng)受損之間的區(qū)別。對(duì)于醫(yī)療設(shè)備、汽車運(yùn)營等高價(jià)值設(shè)備或網(wǎng)絡(luò)或智能公用事業(yè)等關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施尤其如此。

物聯(lián)網(wǎng)安全始于公鑰基礎(chǔ)設(shè)施 (PKI)

用戶名和密碼已過時(shí)且不安全。根據(jù) 2019 年 Ponemon Institute 全球 PKI 和物聯(lián)網(wǎng)趨勢(shì)研究，對(duì)它們的依賴有所下降。同一項(xiàng)研究報(bào)告稱，PKI 為物聯(lián)網(wǎng)提供了重要的核心身份驗(yàn)證技術(shù)。物聯(lián)網(wǎng)行業(yè)的許多公司都同意這一點(diǎn)。

圖 1. PKI 作為基于證書的設(shè)備身份驗(yàn)證過程，允許物聯(lián)網(wǎng)端點(diǎn)/設(shè)備通過注冊(cè)服務(wù)器/服務(wù)向證書頒發(fā)機(jī)構(gòu)請(qǐng)求證書，以創(chuàng)建唯一、強(qiáng)大和安全的設(shè)備身份。（來源：GlobalSign）

PKI 挑戰(zhàn)

但是知道使用正確的技術(shù)并不總是意味著它很容易實(shí)施。即使有一條看似明確且明確的物聯(lián)網(wǎng)安全路徑，一些人仍認(rèn)為 PKI 是一項(xiàng)挑戰(zhàn)，尤其是設(shè)備注冊(cè)功能，這是提供獨(dú)特、強(qiáng)大和安全的設(shè)備身份的關(guān)鍵。PKI 是一個(gè)系統(tǒng)，它將由證書頒發(fā)機(jī)構(gòu)頒發(fā)的唯一數(shù)字證書與每個(gè)單獨(dú)的設(shè)備綁定，因此可以安全地對(duì)設(shè)備進(jìn)行身份驗(yàn)證。憑借獨(dú)特的強(qiáng)大設(shè)備身份，物聯(lián)網(wǎng)設(shè)備（或事物）可以在上線時(shí)進(jìn)行身份驗(yàn)證，確保其他設(shè)備、服務(wù)和用戶之間的安全通信，并證明其完整性。

GlobalSign 提供物聯(lián)網(wǎng)設(shè)備身份注冊(cè)，這是更廣泛的物聯(lián)網(wǎng)設(shè)備注冊(cè)范圍的一部分。設(shè)備身份注冊(cè)是設(shè)備加入 PKI 的地方，通常通過注冊(cè)服務(wù)器或服務(wù)，有時(shí)稱為注冊(cè)機(jī)構(gòu)。注冊(cè)服務(wù)配置了策略和驗(yàn)證協(xié)議來審查每臺(tái)設(shè)備，確認(rèn)它有資格成為 PKI 的一部分，允許請(qǐng)求數(shù)字證書，并且可以驗(yàn)證它是它所說的那個(gè)人。

建立安全注冊(cè)所需的硬件和軟件系統(tǒng)和協(xié)議的內(nèi)部開發(fā)非常棘手。許多因素促成了這一點(diǎn)。

目前缺乏訓(xùn)練有素的 PKI 和注冊(cè)專家，這使得本地設(shè)置和管理存在問題。注冊(cè)需要準(zhǔn)確。盡管將 PKI 職責(zé)分配給初級(jí)經(jīng)理可能在財(cái)務(wù)上具有吸引力，但他們可能不僅僅專注于 PKI 管理，這可能會(huì)導(dǎo)致安全細(xì)微差別被忽視——使物聯(lián)網(wǎng)安全性失效。缺乏統(tǒng)一的物聯(lián)網(wǎng)安全指南、標(biāo)準(zhǔn)或法規(guī)加劇了不確定性，為錯(cuò)誤留下了更大的空間。最后，啟動(dòng) PKI 并非易事。它可能既麻煩又昂貴，尤其是在需要全球認(rèn)可和信任的數(shù)字身份時(shí)。

圖 2. 專業(yè)開發(fā)、全球認(rèn)可的商業(yè)注冊(cè)服務(wù)遵循最新的安全標(biāo)準(zhǔn)，以確保正確的 PKI 設(shè)備注冊(cè)、消除人員配備問題、克服資本支出開發(fā)挑戰(zhàn)并提供管理功能。（來源：GlobalSign）

幸運(yùn)的是，許多公司發(fā)現(xiàn) PKI 在與提供 PKI 平臺(tái)以及全功能物聯(lián)網(wǎng)設(shè)備身份注冊(cè)服務(wù)的組織合作方面取得了成功。這些托管服務(wù)通過提供經(jīng)過驗(yàn)證的技術(shù)以及經(jīng)驗(yàn)豐富的 PKI 專家的熟練程度，流利地了解最新的安全最佳實(shí)踐或標(biāo)準(zhǔn)，從而消除了對(duì)本地團(tuán)隊(duì)的需求。它還將本地 PKI 設(shè)置的昂貴資本支出轉(zhuǎn)換為可預(yù)測(cè)的每月運(yùn)營費(fèi)用，這對(duì)運(yùn)營預(yù)算更有利。

簡(jiǎn)化、優(yōu)化和強(qiáng)化的設(shè)備注冊(cè)

我們發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備制造商和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商都希望從他們的身份注冊(cè)服務(wù)中獲得三個(gè)主要結(jié)果。他們希望簡(jiǎn)化配置、設(shè)置和設(shè)備身份注冊(cè)；PKI 的優(yōu)化操作和注冊(cè)；強(qiáng)化注冊(cè)協(xié)議和設(shè)備安全性。讓我們來看看每一個(gè)。

強(qiáng)化的身份注冊(cè)協(xié)議和設(shè)備安全，.每個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)都根據(jù)自己的標(biāo)準(zhǔn)和可接受的風(fēng)險(xiǎn)水平確定其保證水平。物聯(lián)網(wǎng)設(shè)備、網(wǎng)關(guān)、網(wǎng)絡(luò)或生態(tài)系統(tǒng)的價(jià)值越高，身份注冊(cè)協(xié)議必須越嚴(yán)格以保持安全保證。PKI 和身份注冊(cè)服務(wù)采用分層的安全方法，具有多種身份注冊(cè)策略和協(xié)議選項(xiàng)，并且可以適應(yīng)各種級(jí)別的保證，這是一個(gè)優(yōu)勢(shì)。可定制的身份驗(yàn)證策略允許根據(jù)其特定標(biāo)準(zhǔn)定義、設(shè)置和管理安全級(jí)別。這包括從簡(jiǎn)單的白名單到包含可信平臺(tái)模塊 (TPM) 證明的任何內(nèi)容，以最大限度地提高身份注冊(cè)安全性。物聯(lián)網(wǎng)安全是一個(gè)個(gè)性化的決定，

盡管物聯(lián)網(wǎng)設(shè)備和半導(dǎo)體制造商以及關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商希望從他們的 PKI 和設(shè)備身份注冊(cè)服務(wù)中獲得許多相同的結(jié)果，但他們每個(gè)人的需求也與他們的功能和供應(yīng)鏈中的位置相關(guān)聯(lián)。

物聯(lián)網(wǎng)制造商

物聯(lián)網(wǎng)制造商可能存在于供應(yīng)鏈的起點(diǎn)或中間。他們是原始設(shè)備制造商 (OEM)、原始設(shè)計(jì)制造商 (ODM) 或電子制造服務(wù) (EMS)。他們可能是生產(chǎn)智能芯片或內(nèi)置于設(shè)備組件中的 TPM 的半導(dǎo)體制造商。它們可能很容易成為那些反過來內(nèi)置到設(shè)備中的組件本身，或者它們可能是被編程出售的物聯(lián)網(wǎng)設(shè)備。在供應(yīng)鏈的開始，他們關(guān)注下游設(shè)備身份的影響。在此階段包括芯片、組件或設(shè)備身份是安全設(shè)計(jì)的最佳示例，其中身份包括在設(shè)計(jì)和生產(chǎn)期間，因此可以在其生命周期的后期得到保護(hù)。

毫不奇怪，制造商最關(guān)心的是提供身份的功能，或 PKI 設(shè)備身份注冊(cè)的第一步。對(duì)于制造商來說，一個(gè)大問題是 PKI 和身份注冊(cè)設(shè)置，必須為每個(gè)單獨(dú)的用例或生產(chǎn)運(yùn)行進(jìn)行唯一配置。自動(dòng)化該功能或自動(dòng)身份注冊(cè)也是一個(gè)重要的考慮因素。物聯(lián)網(wǎng)制造商需要一種更快的方法來做到這一點(diǎn)，以及適當(dāng)?shù)闹笇?dǎo)或如何做到這一點(diǎn)，同時(shí)保持他們快節(jié)奏的生產(chǎn)計(jì)劃或延遲產(chǎn)品上市的風(fēng)險(xiǎn)。這就是來自托管身份注冊(cè)服務(wù)提供商的證書配置文件和模板配置方面的專家指導(dǎo)可以增加不可估量的價(jià)值。

關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)營商

關(guān)鍵的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)營商位于供應(yīng)鏈的下游。它們包括管理設(shè)備群、提供物聯(lián)網(wǎng)服務(wù)或擁有物聯(lián)網(wǎng)平臺(tái)或應(yīng)用程序的任何組織。這可以是網(wǎng)絡(luò)運(yùn)營商、政府（市政府）、智能電網(wǎng)運(yùn)營商、智能建筑運(yùn)營商或運(yùn)輸組織。雖然物聯(lián)網(wǎng)制造商通過 PKI 和身份注冊(cè)來提供設(shè)備身份，但關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商是這些身份的超級(jí)用戶。對(duì)他們來說，互操作性至關(guān)重要。他們需要確保任何設(shè)備（無論制造商如何）都可以連接——不同的設(shè)備可以被正確識(shí)別、驗(yàn)證并安全上線。關(guān)注數(shù)據(jù)完整性、隱私和安全通信，因此，他們的網(wǎng)絡(luò)仍然被鎖定，以防止外部入侵者為企業(yè)間諜活動(dòng)捕獲數(shù)據(jù)、發(fā)起攻擊以控制設(shè)備或找到后門以滲透網(wǎng)絡(luò)。對(duì)他們而言，保護(hù)互聯(lián)供應(yīng)鏈意味著確保他們從 OEM、ODM 和 EMS 收到的產(chǎn)品是真實(shí)的，并且從未被篡改過。管理制造商提供的設(shè)備身份是他們從 PKI 中獲得最大價(jià)值的地方。

物聯(lián)網(wǎng)設(shè)備身份是 PKI 和身份注冊(cè)的第一步

PKI 是事實(shí)上的物聯(lián)網(wǎng)安全認(rèn)證平臺(tái)，大多數(shù)領(lǐng)先的物聯(lián)網(wǎng)平臺(tái)都支持它。半導(dǎo)體制造商、OEM、ODM、EMS 和關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)營商依靠物聯(lián)網(wǎng)設(shè)備身份和 PKI 來保護(hù)他們的設(shè)備、網(wǎng)絡(luò)和生態(tài)系統(tǒng)。

PKI 專家提供基于單一、高性能身份云平臺(tái)的安全、可擴(kuò)展和可互操作的設(shè)備身份服務(wù)，為設(shè)備身份配置和管理提供了一條行之有效的途徑。它支持證書身份生命周期管理，克服操作 PKI 和身份注冊(cè)挑戰(zhàn)，消除設(shè)備身份成功的障礙。

審核編輯 黃昊宇