公钥基础设施(PKI)是确保设备安全的重要工具,尤其是在物联网网络中。PKI 的工作原理是使用数字证书端到端验证私钥。这种以数字证书为后盾的认证模式可确保设备的安全性和可验证的身份。
最常见的情况是,使用 PKI 保护的物联网设备使用 X.509 证书,它在保护 TLS(https 的基础)以及数字签名、代码签名和时间戳等其他应用方面有着良好的记录。X.509 证书之所以被广泛使用,是因为它可靠、安全、灵活,允许对证书配置文件和模板进行定制,可适应各种物联网用例,是物联网管理平台和自动化解决方案的核心组件。
然而,即使使用了 X.509 证书,物联网设备还是经常成为网络犯罪的目标--这就不难理解为什么了。市场上的设备数量庞大,这意味着潜在的漏洞可能会给坏人带来巨大的价值,因此,物联网设备需要比以往任何时候都更加安全。
通过设备身份识别确保供应链安全
使用数字身份可确保物联网安全,并提供一道坚实的防线,尤其是在电子制造服务(EMS)生产过程中包含数字身份时。如果没有可靠的数字身份,物联网设备可能会受到未经授权的网络访问。这也意味着,如果物联网设备被盗,例如在运输过程中被盗,证书可能会被撤销,这意味着设备对任何非法转售商或用户都将毫无用处。
这也有利于 EMS 公司本身。在为多个客户生产相同设备时,以可追踪和可认证的方式为每个客户配置身份,可为他们带来竞争优势。它向客户保证,他们的物联网设备从出厂到送货上门的整个过程都是安全的,同时也为设备接入供应链更下游的平台提供了一个低摩擦选项。
新的设备身份识别模式增强了安全性和灵活性
随着数字环境的不断发展,我们的物联网设备和供应链面临的威胁也在不断增加。为了保持领先地位,我们需要既强大又灵活的先进安全措施。其中一种方法就是使用设备身份识别(DevID)架构,这种架构可以提高加密灵活性,防范供应链威胁。
了解 DevID 证书
除了使用X.509 证书,我们还利用了 IEEE 802.1AR 标准,其中包括两种安全设备标识符 (DevID): 初始设备标识符(IDevID)和本地重要设备标识符(LDevID)。
- IDevID: 将其视为设备的出生证明。它是一个非过期证书,最好由安全硬件保护,代表设备的核心身份。
- LDevID: 这更像是驾照。它是一种短期的访问级证书,允许设备在特定环境中运行。
这种双证书系统对物联网设备的安全入网特别有效。LDevID 的灵活性使运营商能够适应网络威胁和新的加密挑战,如量子计算带来的挑战。
DevID 架构的优势
DevID 架构可为希望确保其物联网供应链安全的企业带来多种益处,例如:
- 增强安全性: 通过使用 IDevID 和 LDevID,您可以确保您的设备拥有强大的身份框架。这样,恶意行为者就很难入侵您的设备和供应链。
- 灵活性和敏捷性: 经常轮换 LDevID 的能力意味着您可以快速应对新的威胁。这在威胁不断演变的环境中至关重要。
- 简化入驻: DevID 架构简化了新设备的安全入网流程,降低了将新设备集成到生态系统中所需的复杂性和时间。
- 面向未来: 随着量子计算的兴起,传统的加密方法可能会过时。DevID 模型提供了适应这些未来挑战所需的灵活性。
在物联网生态系统中实施 DevID
802.1AR 规范在需要安全、灵活应对威胁的物联网环境中越来越受欢迎。这种身份模式可用于各行各业,过去在许多企业中都取得了成功。不过,实施时需要对供应链进行仔细规划。
首先,我们要考虑 IDevID 在哪里以及如何安全地配置到设备、组件或芯片组中,以及在制造过程的哪个阶段。
接下来,我们将考虑如何利用在制造过程中安全配置的 IDevID 信任属性,将其转化为本地重要的可操作 LDevID,用于允许设备连接并运行到物联网生态系统中。这些 LDevID 通常会在设备生命周期中更频繁地轮换,从而在设备运行的整个过程中实现可调整的访问策略。
利用 DevID 基础设施保护您的供应链
IDevID/LDevID 架构允许企业在整个设备生命周期内改变算法、信任链和安全假设,从而适应新的威胁。这种自动响应可确保设备在威胁不断演变时仍能保持安全。
通过采用这种灵活、安全的身份架构,企业可以保护其物联网设备和供应链免受新出现的威胁,确保更安全、更有弹性的数字环境。实施 DevID 模型不仅能增强安全性,还能提供在瞬息万变的技术环境中保持领先所需的灵活性。