GlobalSign 新闻中心

04 2018

PKI:帮助物联网设备制造商信任他们的供应链


我们已经知道公钥基础设施将成为保护物联网设备的未来。 这是因为PKI可以在不同类别的设备上以相对轻量级的方式实现。通过减少黑客攻击他们的机会数量,有助于识别和保护设备。

在制造过程,供应链以及分销和交付过程中,PKI也可用于保护物联网设备。 每个垂直市场都会被IoT打乱,PKI会对医疗保健和智能电网等行业特别有利。

在制造过程中如何实施PKI可以保护物联网设备制造商

由于物联网市场相对较新,一些设备制造商不熟悉制造过程并不罕见。很少有设备设计者也制造他们自己的产品。在大多数情况下,他们通常最终会与Flextronics等原始设计制造商(ODM)或富士康或Celestica等电子制造服务(EMS)提供商合作。

在构建物联网设备的过程中,ODMEMS拥有所有计划,蓝图和设计规范。这对设备制造商来说是一个巨大的风险。不法公司利用这些计划很容易在黑市上以比设备制造商低得多的价格出售它们。此外,某些地区对这些设计规范的所有权有更宽松或更严格的控制,可能会给设备制造商带来更多问题。更糟糕的是,设备制造商意识到发生了非法事件可能需要几年的时间。即使有检查和保护措施来保护知识产权,但这对小型设备制造商而言仍是难以应对的问题。

幸运的是,物联网设备制造商可以通过很多方法来缓解这些问题。例如,您可以将证书合并到每个设备中,通过让您的证书颁发机构(CA)只提供与您要生产的设备数量一样多的证书来仔细控制正在生产的设备数量。另一个步骤是验证证书申请的来源,即特定位置,以便分配的ODMEMS必须提供某些凭证以验证谁在申请证书。您甚至可以根据用户身份验证和IP地址来访问这些证书。

另外,使用PKI能够使您在制造过程中或之后验证实际使用证书的人员。这可以由CA管理,CA将验证设备颁发和使用的证书链接到属于特定设备制造商的正确PKI层次结构。另外,CA可以采取额外的步骤来撤销物联网设备上的以前的证书并颁发新的证书。这个过程被称为重新注册。或者,可以使用两种类型的证书:形成设备身份的“出生”证书和可用于执行某些操作的“操作”证书。

通过采取这些措施,PKI使物联网设备制造商能够防止过度生产和伪造,确保只有合适的设备才能获得正确的证书。即使在以后发现制造商出于不可靠的考虑,并且制造的设备数量超过了所要求的原始订单数量,设备也将无法使用,因为出生证书现在已经被撤销,并且设备不再能够使用获得操作证书。

像上面提到的那样的担忧是经常发生的。实际上,在3月份,iPhone供应商纬创通讯公司被指控在中国生产iPhone 8时使用未经授权的组件。像这样的场景正是为什么在制造过程中实现物联网设备的PKI是一个明智的想法。

供应链的PKI

PKI是确保供应链中设备真实性的最佳技术之一,包括验证物联网设备中的所有组件。当物联网设备制造商设计设备时,使用的是来自不同制造商的组件。这些组件来自世界各地,由分销商承载并通过EMSODM与其他组件一起组装。一旦这些组件到达分销商,实际上他们就可以在仓库里呆上一段时间。最后,该设备被制造并且被测试,然后卖家可以将其提供给客户。通常,这些由第三方安装程序安装并部署在远程位置。最终客户或买方甚至可能无法看到这些设备。

物联网设备具有非常复杂的路线,多次更换所有权。虽然卖家想要确保设备是真实的,但通过供应链的各个阶段,这种真实性得以维持。我们越来越多地听到有关供应链违规的故事,例如纬创。物联网设备来自不同国家的供应商,他们不一定施行最佳的安全和隐私,因此很难相信组件的来源。一些公司最终拥有的组件很可能是假冒或被修改的物联网设备。如果一个设备按预期运行,便很难知道真相。这让黑客有机可乘,他们可以在设备制造过程中或设备组件中嵌入额外的代码来跟踪和截取数据。这是PKI可以帮助消除或至少显著减少这些情况的另一个原因。

身份是安全的基础

在当今超级消费时代,对新技术和创新技术的渴望是无止境的。以硬件为中心的技术创业公司急剧增长,通过将网络和智能集成到设备中,提供了真实的解决方案。在KickstarterIndiegogo等众筹网站上这种情况尤其常见。但是,这些设备设计人员和制造商关注的是功能,而安全性很少是计划的一部分。正如最近的IoT僵尸网络攻击所看到的那样,这很危险并且可能导致严重后果。

好的开始非常重要,如果我们能够在设备的起点,制造工厂和相关供应链中获得安全性,那么我们就有了坚实的基础。从强大的身份开始,我们可以引导其他安全功能,如身份验证和授权。这应该不难,而且PKI使得这一点变得特别简单。

返回 GlobalSign 新闻中心