物聯(lián)網(wǎng) (IoT) 設備的數(shù)量已達到臨界數(shù)量。今天，大約有 270 億臺聯(lián)網(wǎng)設備居住在我們的世界上。Statistica估計，到 2025 年，將有 386 億臺聯(lián)網(wǎng)設備，到 2030 年估計將達到 500 億臺。這是很多設備。但是，連接設備只是物聯(lián)網(wǎng)必須克服的第一個挑戰(zhàn)。保護它們將是下一個必須克服的障礙，以繼續(xù)物聯(lián)網(wǎng)的迅速崛起和可持續(xù)的長期采用。

物聯(lián)網(wǎng)安全的重要性怎么強調(diào)都不為過。當物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)時，它們會共享信息。保護他們共享的數(shù)據(jù)的完整性和與誰共享數(shù)據(jù)的隱私可能意味著在安全放心的情況下操作或遇到設備、數(shù)據(jù)或系統(tǒng)受損之間的區(qū)別。對于醫(yī)療設備、汽車運營等高價值設備或網(wǎng)絡或智能公用事業(yè)等關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設施尤其如此。

物聯(lián)網(wǎng)安全始于公鑰基礎(chǔ)設施 (PKI)

用戶名和密碼已過時且不安全。根據(jù) 2019 年 Ponemon Institute 全球 PKI 和物聯(lián)網(wǎng)趨勢研究，對它們的依賴有所下降。同一項研究報告稱，PKI 為物聯(lián)網(wǎng)提供了重要的核心身份驗證技術(shù)。物聯(lián)網(wǎng)行業(yè)的許多公司都同意這一點。

圖 1. PKI 作為基于證書的設備身份驗證過程，允許物聯(lián)網(wǎng)端點/設備通過注冊服務器/服務向證書頒發(fā)機構(gòu)請求證書，以創(chuàng)建唯一、強大和安全的設備身份。（來源：GlobalSign）

PKI 挑戰(zhàn)

但是知道使用正確的技術(shù)并不總是意味著它很容易實施。即使有一條看似明確且明確的物聯(lián)網(wǎng)安全路徑，一些人仍認為 PKI 是一項挑戰(zhàn)，尤其是設備注冊功能，這是提供獨特、強大和安全的設備身份的關(guān)鍵。PKI 是一個系統(tǒng)，它將由證書頒發(fā)機構(gòu)頒發(fā)的唯一數(shù)字證書與每個單獨的設備綁定，因此可以安全地對設備進行身份驗證。憑借獨特的強大設備身份，物聯(lián)網(wǎng)設備（或事物）可以在上線時進行身份驗證，確保其他設備、服務和用戶之間的安全通信，并證明其完整性。

GlobalSign 提供物聯(lián)網(wǎng)設備身份注冊，這是更廣泛的物聯(lián)網(wǎng)設備注冊范圍的一部分。設備身份注冊是設備加入 PKI 的地方，通常通過注冊服務器或服務，有時稱為注冊機構(gòu)。注冊服務配置了策略和驗證協(xié)議來審查每臺設備，確認它有資格成為 PKI 的一部分，允許請求數(shù)字證書，并且可以驗證它是它所說的那個人。

建立安全注冊所需的硬件和軟件系統(tǒng)和協(xié)議的內(nèi)部開發(fā)非常棘手。許多因素促成了這一點。

目前缺乏訓練有素的 PKI 和注冊專家，這使得本地設置和管理存在問題。注冊需要準確。盡管將 PKI 職責分配給初級經(jīng)理可能在財務上具有吸引力，但他們可能不僅僅專注于 PKI 管理，這可能會導致安全細微差別被忽視——使物聯(lián)網(wǎng)安全性失效。缺乏統(tǒng)一的物聯(lián)網(wǎng)安全指南、標準或法規(guī)加劇了不確定性，為錯誤留下了更大的空間。最后，啟動 PKI 并非易事。它可能既麻煩又昂貴，尤其是在需要全球認可和信任的數(shù)字身份時。

圖 2. 專業(yè)開發(fā)、全球認可的商業(yè)注冊服務遵循最新的安全標準，以確保正確的 PKI 設備注冊、消除人員配備問題、克服資本支出開發(fā)挑戰(zhàn)并提供管理功能。（來源：GlobalSign）

幸運的是，許多公司發(fā)現(xiàn) PKI 在與提供 PKI 平臺以及全功能物聯(lián)網(wǎng)設備身份注冊服務的組織合作方面取得了成功。這些托管服務通過提供經(jīng)過驗證的技術(shù)以及經(jīng)驗豐富的 PKI 專家的熟練程度，流利地了解最新的安全最佳實踐或標準，從而消除了對本地團隊的需求。它還將本地 PKI 設置的昂貴資本支出轉(zhuǎn)換為可預測的每月運營費用，這對運營預算更有利。

簡化、優(yōu)化和強化的設備注冊

我們發(fā)現(xiàn)物聯(lián)網(wǎng)設備制造商和關(guān)鍵基礎(chǔ)設施運營商都希望從他們的身份注冊服務中獲得三個主要結(jié)果。他們希望簡化配置、設置和設備身份注冊；PKI 的優(yōu)化操作和注冊；強化注冊協(xié)議和設備安全性。讓我們來看看每一個。

強化的身份注冊協(xié)議和設備安全，.每個物聯(lián)網(wǎng)生態(tài)系統(tǒng)都根據(jù)自己的標準和可接受的風險水平確定其保證水平。物聯(lián)網(wǎng)設備、網(wǎng)關(guān)、網(wǎng)絡或生態(tài)系統(tǒng)的價值越高，身份注冊協(xié)議必須越嚴格以保持安全保證。PKI 和身份注冊服務采用分層的安全方法，具有多種身份注冊策略和協(xié)議選項，并且可以適應各種級別的保證，這是一個優(yōu)勢。可定制的身份驗證策略允許根據(jù)其特定標準定義、設置和管理安全級別。這包括從簡單的白名單到包含可信平臺模塊 (TPM) 證明的任何內(nèi)容，以最大限度地提高身份注冊安全性。物聯(lián)網(wǎng)安全是一個個性化的決定，

盡管物聯(lián)網(wǎng)設備和半導體制造商以及關(guān)鍵基礎(chǔ)設施運營商希望從他們的 PKI 和設備身份注冊服務中獲得許多相同的結(jié)果，但他們每個人的需求也與他們的功能和供應鏈中的位置相關(guān)聯(lián)。

物聯(lián)網(wǎng)制造商

物聯(lián)網(wǎng)制造商可能存在于供應鏈的起點或中間。他們是原始設備制造商 (OEM)、原始設計制造商 (ODM) 或電子制造服務 (EMS)。他們可能是生產(chǎn)智能芯片或內(nèi)置于設備組件中的 TPM 的半導體制造商。它們可能很容易成為那些反過來內(nèi)置到設備中的組件本身，或者它們可能是被編程出售的物聯(lián)網(wǎng)設備。在供應鏈的開始，他們關(guān)注下游設備身份的影響。在此階段包括芯片、組件或設備身份是安全設計的最佳示例，其中身份包括在設計和生產(chǎn)期間，因此可以在其生命周期的后期得到保護。

毫不奇怪，制造商最關(guān)心的是提供身份的功能，或 PKI 設備身份注冊的第一步。對于制造商來說，一個大問題是 PKI 和身份注冊設置，必須為每個單獨的用例或生產(chǎn)運行進行唯一配置。自動化該功能或自動身份注冊也是一個重要的考慮因素。物聯(lián)網(wǎng)制造商需要一種更快的方法來做到這一點，以及適當?shù)闹笇Щ蛉绾巫龅竭@一點，同時保持他們快節(jié)奏的生產(chǎn)計劃或延遲產(chǎn)品上市的風險。這就是來自托管身份注冊服務提供商的證書配置文件和模板配置方面的專家指導可以增加不可估量的價值。

關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設施運營商

關(guān)鍵的物聯(lián)網(wǎng)基礎(chǔ)設施運營商位于供應鏈的下游。它們包括管理設備群、提供物聯(lián)網(wǎng)服務或擁有物聯(lián)網(wǎng)平臺或應用程序的任何組織。這可以是網(wǎng)絡運營商、政府（市政府）、智能電網(wǎng)運營商、智能建筑運營商或運輸組織。雖然物聯(lián)網(wǎng)制造商通過 PKI 和身份注冊來提供設備身份，但關(guān)鍵基礎(chǔ)設施運營商是這些身份的超級用戶。對他們來說，互操作性至關(guān)重要。他們需要確保任何設備（無論制造商如何）都可以連接——不同的設備可以被正確識別、驗證并安全上線。關(guān)注數(shù)據(jù)完整性、隱私和安全通信，因此，他們的網(wǎng)絡仍然被鎖定，以防止外部入侵者為企業(yè)間諜活動捕獲數(shù)據(jù)、發(fā)起攻擊以控制設備或找到后門以滲透網(wǎng)絡。對他們而言，保護互聯(lián)供應鏈意味著確保他們從 OEM、ODM 和 EMS 收到的產(chǎn)品是真實的，并且從未被篡改過。管理制造商提供的設備身份是他們從 PKI 中獲得最大價值的地方。

物聯(lián)網(wǎng)設備身份是 PKI 和身份注冊的第一步

PKI 是事實上的物聯(lián)網(wǎng)安全認證平臺，大多數(shù)領(lǐng)先的物聯(lián)網(wǎng)平臺都支持它。半導體制造商、OEM、ODM、EMS 和關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設施運營商依靠物聯(lián)網(wǎng)設備身份和 PKI 來保護他們的設備、網(wǎng)絡和生態(tài)系統(tǒng)。

PKI 專家提供基于單一、高性能身份云平臺的安全、可擴展和可互操作的設備身份服務，為設備身份配置和管理提供了一條行之有效的途徑。它支持證書身份生命周期管理，克服操作 PKI 和身份注冊挑戰(zhàn)，消除設備身份成功的障礙。

審核編輯 黃昊宇