物联网安全取决于使用公钥基础设施的有效设备注册

物联网 (IoT) 设备的数量已达到临界数量。今天，大约有 270 亿台联网设备居住在我们的世界上。Statistica估计，到 2025 年，将有 386 亿台联网设备，到 2030 年估计将达到 500 亿台。这是很多设备。但是，连接设备只是物联网必须克服的第一个挑战。保护它们将是下一个必须克服的障碍，以继续物联网的迅速崛起和可持续的长期采用。

物联网安全的重要性怎么强调都不为过。当物联网设备连接到互联网时，它们会共享信息。保护他们共享的数据的完整性和与谁共享数据的隐私可能意味着在安全放心的情况下操作或遇到设备、数据或系统受损之间的区别。对于医疗设备、汽车运营等高价值设备或网络或智能公用事业等关键物联网基础设施尤其如此。

物联网安全始于公钥基础设施 (PKI)

用户名和密码已过时且不安全。根据 2019 年 Ponemon Institute 全球 PKI 和物联网趋势研究，对它们的依赖有所下降。同一项研究报告称，PKI 为物联网提供了重要的核心身份验证技术。物联网行业的许多公司都同意这一点。

图 1. PKI 作为基于证书的设备身份验证过程，允许物联网端点/设备通过注册服务器/服务向证书颁发机构请求证书，以创建唯一、强大和安全的设备身份。（来源：GlobalSign）

PKI 挑战

但是知道使用正确的技术并不总是意味着它很容易实施。即使有一条看似明确且明确的物联网安全路径，一些人仍认为 PKI 是一项挑战，尤其是设备注册功能，这是提供独特、强大和安全的设备身份的关键。PKI 是一个系统，它将由证书颁发机构颁发的唯一数字证书与每个单独的设备绑定，因此可以安全地对设备进行身份验证。凭借独特的强大设备身份，物联网设备（或事物）可以在上线时进行身份验证，确保其他设备、服务和用户之间的安全通信，并证明其完整性。

GlobalSign 提供物联网设备身份注册，这是更广泛的物联网设备注册范围的一部分。设备身份注册是设备加入 PKI 的地方，通常通过注册服务器或服务，有时称为注册机构。注册服务配置了策略和验证协议来审查每台设备，确认它有资格成为 PKI 的一部分，允许请求数字证书，并且可以验证它是它所说的那个人。

建立安全注册所需的硬件和软件系统和协议的内部开发非常棘手。许多因素促成了这一点。

目前缺乏训练有素的 PKI 和注册专家，这使得本地设置和管理存在问题。注册需要准确。尽管将 PKI 职责分配给初级经理可能在财务上具有吸引力，但他们可能不仅仅专注于 PKI 管理，这可能会导致安全细微差别被忽视——使物联网安全性失效。缺乏统一的物联网安全指南、标准或法规加剧了不确定性，为错误留下了更大的空间。最后，启动 PKI 并非易事。它可能既麻烦又昂贵，尤其是在需要全球认可和信任的数字身份时。

图 2. 专业开发、全球认可的商业注册服务遵循最新的安全标准，以确保正确的 PKI 设备注册、消除人员配备问题、克服资本支出开发挑战并提供管理功能。（来源：GlobalSign）

幸运的是，许多公司发现 PKI 在与提供 PKI 平台以及全功能物联网设备身份注册服务的组织合作方面取得了成功。这些托管服务通过提供经过验证的技术以及经验丰富的 PKI 专家的熟练程度，流利地了解最新的安全最佳实践或标准，从而消除了对本地团队的需求。它还将本地 PKI 设置的昂贵资本支出转换为可预测的每月运营费用，这对运营预算更有利。

简化、优化和强化的设备注册

我们发现物联网设备制造商和关键基础设施运营商都希望从他们的身份注册服务中获得三个主要结果。他们希望简化配置、设置和设备身份注册；PKI 的优化操作和注册；强化注册协议和设备安全性。让我们来看看每一个。

强化的身份注册协议和设备安全，.每个物联网生态系统都根据自己的标准和可接受的风险水平确定其保证水平。物联网设备、网关、网络或生态系统的价值越高，身份注册协议必须越严格以保持安全保证。PKI 和身份注册服务采用分层的安全方法，具有多种身份注册策略和协议选项，并且可以适应各种级别的保证，这是一个优势。可定制的身份验证策略允许根据其特定标准定义、设置和管理安全级别。这包括从简单的白名单到包含可信平台模块 (TPM) 证明的任何内容，以最大限度地提高身份注册安全性。物联网安全是一个个性化的决定，

尽管物联网设备和半导体制造商以及关键基础设施运营商希望从他们的 PKI 和设备身份注册服务中获得许多相同的结果，但他们每个人的需求也与他们的功能和供应链中的位置相关联。

物联网制造商

物联网制造商可能存在于供应链的起点或中间。他们是原始设备制造商 (OEM)、原始设计制造商 (ODM) 或电子制造服务 (EMS)。他们可能是生产智能芯片或内置于设备组件中的 TPM 的半导体制造商。它们可能很容易成为那些反过来内置到设备中的组件本身，或者它们可能是被编程出售的物联网设备。在供应链的开始，他们关注下游设备身份的影响。在此阶段包括芯片、组件或设备身份是安全设计的最佳示例，其中身份包括在设计和生产期间，因此可以在其生命周期的后期得到保护。

毫不奇怪，制造商最关心的是提供身份的功能，或 PKI 设备身份注册的第一步。对于制造商来说，一个大问题是 PKI 和身份注册设置，必须为每个单独的用例或生产运行进行唯一配置。自动化该功能或自动身份注册也是一个重要的考虑因素。物联网制造商需要一种更快的方法来做到这一点，以及适当的指导或如何做到这一点，同时保持他们快节奏的生产计划或延迟产品上市的风险。这就是来自托管身份注册服务提供商的证书配置文件和模板配置方面的专家指导可以增加不可估量的价值。

关键物联网基础设施运营商

关键的物联网基础设施运营商位于供应链的下游。它们包括管理设备群、提供物联网服务或拥有物联网平台或应用程序的任何组织。这可以是网络运营商、政府（市政府）、智能电网运营商、智能建筑运营商或运输组织。虽然物联网制造商通过 PKI 和身份注册来提供设备身份，但关键基础设施运营商是这些身份的超级用户。对他们来说，互操作性至关重要。他们需要确保任何设备（无论制造商如何）都可以连接——不同的设备可以被正确识别、验证并安全上线。关注数据完整性、隐私和安全通信，因此，他们的网络仍然被锁定，以防止外部入侵者为企业间谍活动捕获数据、发起攻击以控制设备或找到后门以渗透网络。对他们而言，保护互联供应链意味着确保他们从 OEM、ODM 和 EMS 收到的产品是真实的，并且从未被篡改过。管理制造商提供的设备身份是他们从 PKI 中获得最大价值的地方。

物联网设备身份是 PKI 和身份注册的第一步

PKI 是事实上的物联网安全认证平台，大多数领先的物联网平台都支持它。半导体制造商、OEM、ODM、EMS 和关键物联网基础设施运营商依靠物联网设备身份和 PKI 来保护他们的设备、网络和生态系统。

PKI 专家提供基于单一、高性能身份云平台的安全、可扩展和可互操作的设备身份服务，为设备身份配置和管理提供了一条行之有效的途径。它支持证书身份生命周期管理，克服操作 PKI 和身份注册挑战，消除设备身份成功的障碍。

审核编辑 黄昊宇