物聯(lián)網(wǎng) (IoT) 設(shè)備的數(shù)量已達到臨界數(shù)量。今天，大約有 270 億臺聯(lián)網(wǎng)設(shè)備居住在我們的世界上。Statistica估計，到 2025 年，將有 386 億臺聯(lián)網(wǎng)設(shè)備，到 2030 年估計將達到 500 億臺。這是很多設(shè)備。但是，連接設(shè)備只是物聯(lián)網(wǎng)必須克服的第一個挑戰(zhàn)。保護它們將是下一個必須克服的障礙，以繼續(xù)物聯(lián)網(wǎng)的迅速崛起和可持續(xù)的長期采用。

物聯(lián)網(wǎng)安全的重要性怎么強調(diào)都不為過。當(dāng)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)時，它們會共享信息。保護他們共享的數(shù)據(jù)的完整性和與誰共享數(shù)據(jù)的隱私可能意味著在安全放心的情況下操作或遇到設(shè)備、數(shù)據(jù)或系統(tǒng)受損之間的區(qū)別。對于醫(yī)療設(shè)備、汽車運營等高價值設(shè)備或網(wǎng)絡(luò)或智能公用事業(yè)等關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施尤其如此。

物聯(lián)網(wǎng)安全始于公鑰基礎(chǔ)設(shè)施 (PKI)

用戶名和密碼已過時且不安全。根據(jù) 2019 年 Ponemon Institute 全球 PKI 和物聯(lián)網(wǎng)趨勢研究，對它們的依賴有所下降。同一項研究報告稱，PKI 為物聯(lián)網(wǎng)提供了重要的核心身份驗證技術(shù)。物聯(lián)網(wǎng)行業(yè)的許多公司都同意這一點。

圖 1. PKI 作為基于證書的設(shè)備身份驗證過程，允許物聯(lián)網(wǎng)端點/設(shè)備通過注冊服務(wù)器/服務(wù)向證書頒發(fā)機構(gòu)請求證書，以創(chuàng)建唯一、強大和安全的設(shè)備身份。（來源：GlobalSign）

PKI 挑戰(zhàn)

但是知道使用正確的技術(shù)并不總是意味著它很容易實施。即使有一條看似明確且明確的物聯(lián)網(wǎng)安全路徑，一些人仍認(rèn)為 PKI 是一項挑戰(zhàn)，尤其是設(shè)備注冊功能，這是提供獨特、強大和安全的設(shè)備身份的關(guān)鍵。PKI 是一個系統(tǒng)，它將由證書頒發(fā)機構(gòu)頒發(fā)的唯一數(shù)字證書與每個單獨的設(shè)備綁定，因此可以安全地對設(shè)備進行身份驗證。憑借獨特的強大設(shè)備身份，物聯(lián)網(wǎng)設(shè)備（或事物）可以在上線時進行身份驗證，確保其他設(shè)備、服務(wù)和用戶之間的安全通信，并證明其完整性。

GlobalSign 提供物聯(lián)網(wǎng)設(shè)備身份注冊，這是更廣泛的物聯(lián)網(wǎng)設(shè)備注冊范圍的一部分。設(shè)備身份注冊是設(shè)備加入 PKI 的地方，通常通過注冊服務(wù)器或服務(wù)，有時稱為注冊機構(gòu)。注冊服務(wù)配置了策略和驗證協(xié)議來審查每臺設(shè)備，確認(rèn)它有資格成為 PKI 的一部分，允許請求數(shù)字證書，并且可以驗證它是它所說的那個人。

建立安全注冊所需的硬件和軟件系統(tǒng)和協(xié)議的內(nèi)部開發(fā)非常棘手。許多因素促成了這一點。

目前缺乏訓(xùn)練有素的 PKI 和注冊專家，這使得本地設(shè)置和管理存在問題。注冊需要準(zhǔn)確。盡管將 PKI 職責(zé)分配給初級經(jīng)理可能在財務(wù)上具有吸引力，但他們可能不僅僅專注于 PKI 管理，這可能會導(dǎo)致安全細(xì)微差別被忽視——使物聯(lián)網(wǎng)安全性失效。缺乏統(tǒng)一的物聯(lián)網(wǎng)安全指南、標(biāo)準(zhǔn)或法規(guī)加劇了不確定性，為錯誤留下了更大的空間。最后，啟動 PKI 并非易事。它可能既麻煩又昂貴，尤其是在需要全球認(rèn)可和信任的數(shù)字身份時。

圖 2. 專業(yè)開發(fā)、全球認(rèn)可的商業(yè)注冊服務(wù)遵循最新的安全標(biāo)準(zhǔn)，以確保正確的 PKI 設(shè)備注冊、消除人員配備問題、克服資本支出開發(fā)挑戰(zhàn)并提供管理功能。（來源：GlobalSign）

幸運的是，許多公司發(fā)現(xiàn) PKI 在與提供 PKI 平臺以及全功能物聯(lián)網(wǎng)設(shè)備身份注冊服務(wù)的組織合作方面取得了成功。這些托管服務(wù)通過提供經(jīng)過驗證的技術(shù)以及經(jīng)驗豐富的 PKI 專家的熟練程度，流利地了解最新的安全最佳實踐或標(biāo)準(zhǔn)，從而消除了對本地團隊的需求。它還將本地 PKI 設(shè)置的昂貴資本支出轉(zhuǎn)換為可預(yù)測的每月運營費用，這對運營預(yù)算更有利。

簡化、優(yōu)化和強化的設(shè)備注冊

我們發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備制造商和關(guān)鍵基礎(chǔ)設(shè)施運營商都希望從他們的身份注冊服務(wù)中獲得三個主要結(jié)果。他們希望簡化配置、設(shè)置和設(shè)備身份注冊；PKI 的優(yōu)化操作和注冊；強化注冊協(xié)議和設(shè)備安全性。讓我們來看看每一個。

強化的身份注冊協(xié)議和設(shè)備安全，.每個物聯(lián)網(wǎng)生態(tài)系統(tǒng)都根據(jù)自己的標(biāo)準(zhǔn)和可接受的風(fēng)險水平確定其保證水平。物聯(lián)網(wǎng)設(shè)備、網(wǎng)關(guān)、網(wǎng)絡(luò)或生態(tài)系統(tǒng)的價值越高，身份注冊協(xié)議必須越嚴(yán)格以保持安全保證。PKI 和身份注冊服務(wù)采用分層的安全方法，具有多種身份注冊策略和協(xié)議選項，并且可以適應(yīng)各種級別的保證，這是一個優(yōu)勢。可定制的身份驗證策略允許根據(jù)其特定標(biāo)準(zhǔn)定義、設(shè)置和管理安全級別。這包括從簡單的白名單到包含可信平臺模塊 (TPM) 證明的任何內(nèi)容，以最大限度地提高身份注冊安全性。物聯(lián)網(wǎng)安全是一個個性化的決定，

盡管物聯(lián)網(wǎng)設(shè)備和半導(dǎo)體制造商以及關(guān)鍵基礎(chǔ)設(shè)施運營商希望從他們的 PKI 和設(shè)備身份注冊服務(wù)中獲得許多相同的結(jié)果，但他們每個人的需求也與他們的功能和供應(yīng)鏈中的位置相關(guān)聯(lián)。

物聯(lián)網(wǎng)制造商

物聯(lián)網(wǎng)制造商可能存在于供應(yīng)鏈的起點或中間。他們是原始設(shè)備制造商 (OEM)、原始設(shè)計制造商 (ODM) 或電子制造服務(wù) (EMS)。他們可能是生產(chǎn)智能芯片或內(nèi)置于設(shè)備組件中的 TPM 的半導(dǎo)體制造商。它們可能很容易成為那些反過來內(nèi)置到設(shè)備中的組件本身，或者它們可能是被編程出售的物聯(lián)網(wǎng)設(shè)備。在供應(yīng)鏈的開始，他們關(guān)注下游設(shè)備身份的影響。在此階段包括芯片、組件或設(shè)備身份是安全設(shè)計的最佳示例，其中身份包括在設(shè)計和生產(chǎn)期間，因此可以在其生命周期的后期得到保護。

毫不奇怪，制造商最關(guān)心的是提供身份的功能，或 PKI 設(shè)備身份注冊的第一步。對于制造商來說，一個大問題是 PKI 和身份注冊設(shè)置，必須為每個單獨的用例或生產(chǎn)運行進行唯一配置。自動化該功能或自動身份注冊也是一個重要的考慮因素。物聯(lián)網(wǎng)制造商需要一種更快的方法來做到這一點，以及適當(dāng)?shù)闹笇?dǎo)或如何做到這一點，同時保持他們快節(jié)奏的生產(chǎn)計劃或延遲產(chǎn)品上市的風(fēng)險。這就是來自托管身份注冊服務(wù)提供商的證書配置文件和模板配置方面的專家指導(dǎo)可以增加不可估量的價值。

關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營商

關(guān)鍵的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營商位于供應(yīng)鏈的下游。它們包括管理設(shè)備群、提供物聯(lián)網(wǎng)服務(wù)或擁有物聯(lián)網(wǎng)平臺或應(yīng)用程序的任何組織。這可以是網(wǎng)絡(luò)運營商、政府（市政府）、智能電網(wǎng)運營商、智能建筑運營商或運輸組織。雖然物聯(lián)網(wǎng)制造商通過 PKI 和身份注冊來提供設(shè)備身份，但關(guān)鍵基礎(chǔ)設(shè)施運營商是這些身份的超級用戶。對他們來說，互操作性至關(guān)重要。他們需要確保任何設(shè)備（無論制造商如何）都可以連接——不同的設(shè)備可以被正確識別、驗證并安全上線。關(guān)注數(shù)據(jù)完整性、隱私和安全通信，因此，他們的網(wǎng)絡(luò)仍然被鎖定，以防止外部入侵者為企業(yè)間諜活動捕獲數(shù)據(jù)、發(fā)起攻擊以控制設(shè)備或找到后門以滲透網(wǎng)絡(luò)。對他們而言，保護互聯(lián)供應(yīng)鏈意味著確保他們從 OEM、ODM 和 EMS 收到的產(chǎn)品是真實的，并且從未被篡改過。管理制造商提供的設(shè)備身份是他們從 PKI 中獲得最大價值的地方。

物聯(lián)網(wǎng)設(shè)備身份是 PKI 和身份注冊的第一步

PKI 是事實上的物聯(lián)網(wǎng)安全認(rèn)證平臺，大多數(shù)領(lǐng)先的物聯(lián)網(wǎng)平臺都支持它。半導(dǎo)體制造商、OEM、ODM、EMS 和關(guān)鍵物聯(lián)網(wǎng)基礎(chǔ)設(shè)施運營商依靠物聯(lián)網(wǎng)設(shè)備身份和 PKI 來保護他們的設(shè)備、網(wǎng)絡(luò)和生態(tài)系統(tǒng)。

PKI 專家提供基于單一、高性能身份云平臺的安全、可擴展和可互操作的設(shè)備身份服務(wù)，為設(shè)備身份配置和管理提供了一條行之有效的途徑。它支持證書身份生命周期管理，克服操作 PKI 和身份注冊挑戰(zhàn)，消除設(shè)備身份成功的障礙。

審核編輯 黃昊宇