物聯網 (IoT) 設備的數量已達到臨界數量。今天，大約有 270 億臺聯網設備居住在我們的世界上。Statistica估計，到 2025 年，將有 386 億臺聯網設備，到 2030 年估計將達到 500 億臺。這是很多設備。但是，連接設備只是物聯網必須克服的第一個挑戰。保護它們將是下一個必須克服的障礙，以繼續物聯網的迅速崛起和可持續的長期采用。

物聯網安全的重要性怎么強調都不為過。當物聯網設備連接到互聯網時，它們會共享信息。保護他們共享的數據的完整性和與誰共享數據的隱私可能意味著在安全放心的情況下操作或遇到設備、數據或系統受損之間的區別。對于醫療設備、汽車運營等高價值設備或網絡或智能公用事業等關鍵物聯網基礎設施尤其如此。

物聯網安全始于公鑰基礎設施 (PKI)

用戶名和密碼已過時且不安全。根據 2019 年 Ponemon Institute 全球 PKI 和物聯網趨勢研究，對它們的依賴有所下降。同一項研究報告稱，PKI 為物聯網提供了重要的核心身份驗證技術。物聯網行業的許多公司都同意這一點。

圖 1. PKI 作為基于證書的設備身份驗證過程，允許物聯網端點/設備通過注冊服務器/服務向證書頒發機構請求證書，以創建唯一、強大和安全的設備身份。（來源：GlobalSign）

PKI 挑戰

但是知道使用正確的技術并不總是意味著它很容易實施。即使有一條看似明確且明確的物聯網安全路徑，一些人仍認為 PKI 是一項挑戰，尤其是設備注冊功能，這是提供獨特、強大和安全的設備身份的關鍵。PKI 是一個系統，它將由證書頒發機構頒發的唯一數字證書與每個單獨的設備綁定，因此可以安全地對設備進行身份驗證。憑借獨特的強大設備身份，物聯網設備（或事物）可以在上線時進行身份驗證，確保其他設備、服務和用戶之間的安全通信，并證明其完整性。

GlobalSign 提供物聯網設備身份注冊，這是更廣泛的物聯網設備注冊范圍的一部分。設備身份注冊是設備加入 PKI 的地方，通常通過注冊服務器或服務，有時稱為注冊機構。注冊服務配置了策略和驗證協議來審查每臺設備，確認它有資格成為 PKI 的一部分，允許請求數字證書，并且可以驗證它是它所說的那個人。

建立安全注冊所需的硬件和軟件系統和協議的內部開發非常棘手。許多因素促成了這一點。

目前缺乏訓練有素的 PKI 和注冊專家，這使得本地設置和管理存在問題。注冊需要準確。盡管將 PKI 職責分配給初級經理可能在財務上具有吸引力，但他們可能不僅僅專注于 PKI 管理，這可能會導致安全細微差別被忽視——使物聯網安全性失效。缺乏統一的物聯網安全指南、標準或法規加劇了不確定性，為錯誤留下了更大的空間。最后，啟動 PKI 并非易事。它可能既麻煩又昂貴，尤其是在需要全球認可和信任的數字身份時。

圖 2. 專業開發、全球認可的商業注冊服務遵循最新的安全標準，以確保正確的 PKI 設備注冊、消除人員配備問題、克服資本支出開發挑戰并提供管理功能。（來源：GlobalSign）

幸運的是，許多公司發現 PKI 在與提供 PKI 平臺以及全功能物聯網設備身份注冊服務的組織合作方面取得了成功。這些托管服務通過提供經過驗證的技術以及經驗豐富的 PKI 專家的熟練程度，流利地了解最新的安全最佳實踐或標準，從而消除了對本地團隊的需求。它還將本地 PKI 設置的昂貴資本支出轉換為可預測的每月運營費用，這對運營預算更有利。

簡化、優化和強化的設備注冊

我們發現物聯網設備制造商和關鍵基礎設施運營商都希望從他們的身份注冊服務中獲得三個主要結果。他們希望簡化配置、設置和設備身份注冊；PKI 的優化操作和注冊；強化注冊協議和設備安全性。讓我們來看看每一個。

強化的身份注冊協議和設備安全，.每個物聯網生態系統都根據自己的標準和可接受的風險水平確定其保證水平。物聯網設備、網關、網絡或生態系統的價值越高，身份注冊協議必須越嚴格以保持安全保證。PKI 和身份注冊服務采用分層的安全方法，具有多種身份注冊策略和協議選項，并且可以適應各種級別的保證，這是一個優勢。可定制的身份驗證策略允許根據其特定標準定義、設置和管理安全級別。這包括從簡單的白名單到包含可信平臺模塊 (TPM) 證明的任何內容，以最大限度地提高身份注冊安全性。物聯網安全是一個個性化的決定，

盡管物聯網設備和半導體制造商以及關鍵基礎設施運營商希望從他們的 PKI 和設備身份注冊服務中獲得許多相同的結果，但他們每個人的需求也與他們的功能和供應鏈中的位置相關聯。

物聯網制造商

物聯網制造商可能存在于供應鏈的起點或中間。他們是原始設備制造商 (OEM)、原始設計制造商 (ODM) 或電子制造服務 (EMS)。他們可能是生產智能芯片或內置于設備組件中的 TPM 的半導體制造商。它們可能很容易成為那些反過來內置到設備中的組件本身，或者它們可能是被編程出售的物聯網設備。在供應鏈的開始，他們關注下游設備身份的影響。在此階段包括芯片、組件或設備身份是安全設計的最佳示例，其中身份包括在設計和生產期間，因此可以在其生命周期的后期得到保護。

毫不奇怪，制造商最關心的是提供身份的功能，或 PKI 設備身份注冊的第一步。對于制造商來說，一個大問題是 PKI 和身份注冊設置，必須為每個單獨的用例或生產運行進行唯一配置。自動化該功能或自動身份注冊也是一個重要的考慮因素。物聯網制造商需要一種更快的方法來做到這一點，以及適當的指導或如何做到這一點，同時保持他們快節奏的生產計劃或延遲產品上市的風險。這就是來自托管身份注冊服務提供商的證書配置文件和模板配置方面的專家指導可以增加不可估量的價值。

關鍵物聯網基礎設施運營商

關鍵的物聯網基礎設施運營商位于供應鏈的下游。它們包括管理設備群、提供物聯網服務或擁有物聯網平臺或應用程序的任何組織。這可以是網絡運營商、政府（市政府）、智能電網運營商、智能建筑運營商或運輸組織。雖然物聯網制造商通過 PKI 和身份注冊來提供設備身份，但關鍵基礎設施運營商是這些身份的超級用戶。對他們來說，互操作性至關重要。他們需要確保任何設備（無論制造商如何）都可以連接——不同的設備可以被正確識別、驗證并安全上線。關注數據完整性、隱私和安全通信，因此，他們的網絡仍然被鎖定，以防止外部入侵者為企業間諜活動捕獲數據、發起攻擊以控制設備或找到后門以滲透網絡。對他們而言，保護互聯供應鏈意味著確保他們從 OEM、ODM 和 EMS 收到的產品是真實的，并且從未被篡改過。管理制造商提供的設備身份是他們從 PKI 中獲得最大價值的地方。

物聯網設備身份是 PKI 和身份注冊的第一步

PKI 是事實上的物聯網安全認證平臺，大多數領先的物聯網平臺都支持它。半導體制造商、OEM、ODM、EMS 和關鍵物聯網基礎設施運營商依靠物聯網設備身份和 PKI 來保護他們的設備、網絡和生態系統。

PKI 專家提供基于單一、高性能身份云平臺的安全、可擴展和可互操作的設備身份服務，為設備身份配置和管理提供了一條行之有效的途徑。它支持證書身份生命周期管理，克服操作 PKI 和身份注冊挑戰，消除設備身份成功的障礙。

審核編輯 黃昊宇