實(shí)現(xiàn)物聯(lián)網(wǎng)安全，真正的難題在于如何找到一種低成本途徑，在“消費(fèi)級(jí)”產(chǎn)品中實(shí)現(xiàn)“企業(yè)級(jí)”安全性。本文中，來自賽普拉斯半導(dǎo)體公司的 Sree Harsha Angara 將與您探討 “設(shè)備身份”話題以及如何將其運(yùn)用于云提供商。

輸入，公共密鑰基礎(chǔ)架構(gòu)(PKI)

網(wǎng)絡(luò)安全的基本要求之一是能夠在向某個(gè)實(shí)體傳遞任何有價(jià)值的信息之前，確定其身份的真實(shí)性。PKI 的基本概念源于非對(duì)稱密鑰加密法，它能夠“簽署”給定的數(shù)據(jù)對(duì)象，并能夠在無需知曉任何秘密的情況下驗(yàn)證“簽字”的真實(shí)性。

非對(duì)稱密鑰加密采用“密鑰對(duì)”的概念，含一個(gè)公鑰和一個(gè)私鑰。公鑰可以安全地共享給任何想驗(yàn)證數(shù)據(jù)的人，而私鑰則被安全地存放。這種屬性使得非對(duì)稱密鑰方案特別適用于驗(yàn)證來自(或委托給)給定實(shí)體的大量數(shù)據(jù)的真實(shí)性。

PKI 與物聯(lián)網(wǎng)設(shè)備有什么關(guān)系?

假設(shè)您是智能設(shè)備的制造商，在使用其中一家主流提供商提供的云服務(wù)，現(xiàn)在希望將物聯(lián)網(wǎng)設(shè)備連接到云服務(wù)。如何確保只有您的設(shè)備實(shí)現(xiàn)了上云?

“知道正確的服務(wù)器地址”并進(jìn)行常規(guī)數(shù)字測(cè)試的做法并不能絕對(duì)保障安全，因?yàn)樾畔⒈Ｃ苄匀Q于是否能夠同時(shí)在設(shè)備內(nèi)部以及在前往制造設(shè)施的途中對(duì)它進(jìn)行保護(hù)。

使用 PKI，您可以讓每部設(shè)備都擁有唯一的公鑰/私鑰對(duì)并攜帶相關(guān)證書。在公鑰被驗(yàn)證為可信后，您就可以核實(shí)私鑰的所有人。私鑰(如果您操作正確)只會(huì)被您的智能設(shè)備知曉，這在功能上等效于我們進(jìn)行個(gè)人身份的驗(yàn)證。

在設(shè)備上云之前進(jìn)行設(shè)備身份驗(yàn)證的流程顯示如下：

設(shè)備身份驗(yàn)證流程

在生產(chǎn)制造環(huán)境中的設(shè)備身份信息

實(shí)現(xiàn) PKI 方案的方式取決于硬件技術(shù)以及在最終產(chǎn)品中選擇的廠商類型。從純粹的功能角度來看，要驗(yàn)證物聯(lián)網(wǎng)設(shè)備的身份，同時(shí)需要密鑰對(duì)和相關(guān)證書。

為此您可以：

預(yù)先生成一套公鑰/私鑰對(duì)及其相關(guān)證書，并將它們放入生產(chǎn)制造流程的每個(gè)設(shè)備中。

預(yù)生成密鑰和證書的制造流程

采用基于硬件的安全性，即讓設(shè)備生成唯一密鑰對(duì)并只導(dǎo)出公鑰，在生產(chǎn)制造流程中生成證書并將其放回設(shè)備(例如，您的生產(chǎn)制造流程有某種設(shè)備能生成根認(rèn)證機(jī)構(gòu)-或更有可能生成中級(jí)認(rèn)證機(jī)構(gòu))。

設(shè)備生成密鑰的制造流程

第一種選項(xiàng)看似最簡(jiǎn)單，但它要求您將私鑰“公開”，這樣您就面臨著密鑰被惡意攻擊者讀取/重復(fù)使用的風(fēng)險(xiǎn)。

后一種選項(xiàng)一般更加安全，因?yàn)橹挥性O(shè)備知曉自己的私鑰而且永遠(yuǎn)不會(huì)被暴露。然而，由于設(shè)備公鑰必須逐個(gè)設(shè)備簽署，這就要求您使用硬件安全模塊(HSM)之類的工具在制造流程中簽發(fā)相關(guān)證書。

在過去，生成密鑰對(duì)完全由“安全組件”負(fù)責(zé)，但現(xiàn)在許多安全 MCU 廠商也能提供。

僅有身份并不意味著設(shè)備是“安全的”， 現(xiàn)仍存在大量其他類型的攻擊，例如旁路攻擊以及針對(duì)密鑰存儲(chǔ)的運(yùn)行時(shí)攻擊。本文為您介紹了構(gòu)建安全系統(tǒng)所需了解的基礎(chǔ)知識(shí), 希望有助于您了解如何使用加密技術(shù)構(gòu)建設(shè)備身份，以及如何驗(yàn)證它們的真實(shí)性。