意见

物联网-一次一个设备

安全构建并生长IoT生态系统时,必须具备识别、控制和管理IoT设备的工具和架构进程从在每个iot设备内建立强标识开始其中一些方式我们可以验证IoT设备在入机前的真实性

智能城市iot二叉线市楼
Getty图像

IoT运动遍及我们生活的方方面面,该领域创新速度继续增长我们看到新技术新用法非常酷-我们也看到许多完全傻事实现然而,如果不是全部的话,大多数都非常有影响。象我们过去所见农林保健iot快速移动并留居iot设备开发者常常忽略今日世界连接服务核心部分安全性,

IoT安全-网络安全或物理安全-标准很少正对信息技术大全标准进行修改或引用,以开发参考架构和IoT安全最佳安全实践常见框架是需要每个iot设备都有一个强健、独特和不可变特征行业分析师、云平台提供商、思想引导者及早期采用者都同意公钥基础设施即为当前和未来的选择机制。PKI自身不得不适配并正向21st上世纪加法,但也广泛应用到多例使用

PKI基础核心为受信任第三方验证局CA已存在数十年,今天公开(或私有)发布需要证明身份的可信证书实体正因如此,CAs签发数字证书是大多数数字平台上普遍接受的身份证书

CA的一个重要组成部分或函数是注册局常用的'注册'行为RA位居实体请求身份和CA并基本对身份认证发布前实施层次控制管理验证局负责检验某公共密钥属于请求证书实体

建注册局

如何建注册局

第一,我们需要想方设法向终端用户提供基于策略的控制,这些用户可以定义设备究竟需要如何行为才能被视为真实设备第二,我们需要将它应用到大公共设备集-这个问题因设备可用的不同提供环境而加剧新建或仍在制造设备)和Brownfield系统注册(已经部署并使用设备)都需记账最后,我们需要添加辅助层像配置和规则引擎,对设备分组分类等这将创建本地注册局或LAF,我们可以有部署环境特殊LAF

用什么定义设备的真实性

开工预编译信任根

多IoT设备配有预编译标识符,在安全过程制造时注入这可能是简单预分享的秘密像密钥 唯一序列号 或另一份证书硬件安全元素嵌入设备-可信平台模块或硬件物理不可变函数

二叉设备白列表

上传公共标识符列表 举MAC地址 创建允许设备白列表 并上传到RARA对白表作发布前检验

3级Challenge-response

RA对IoT设备进行挑战响应检查举例说,设备生成公共密钥if该公钥预批白列表上,RA会挑战设备证明拥有关联私钥测试成功后设备注册并发证书

4级行为签名

IoT设备没有预编译ROT,我们可以依赖安全度较低的方法验证真伪举例说,我们可以使用设备行为特征来确定并识别特定或类设备方法之一是生成文件系统所选文件散列并比对黄金图像预编译hashs-设备指纹

5级环境检验

如果我们更少选择验证真伪,我们可以依赖设备部署的具体环境特征举例说,我们可使用IP地址组合定位接收请求的地理源( to RA)并结合时窗使用,在此期间设备有可能基于预编程连接虽然不完全安全,但这更多是一种好方法

6级一次性信任事件

归根结底,我们可以执行一次性信任事件-基本假设设备一次真实真实性,能够实现设备录入并提供初始设备标识或ROT越接近制造阶段或更早供应链越好然而,对于保证安全环境下部署的设备也可以这样做。降低风险时,我们甚至可提供临时或一次性密钥,如果设备离开并返回环境/或系统,则无法使用此密钥

可以看到,我们已经提供数种选项可用于构建自己的设备RA服务并配置策略以接受或拒绝设备为真伪每种类型验证都不同,通常需要综合数项因素来保证设备是它声称是谁同时,一旦注册完成后,视证书有效性或生态系统策略而定,我们可能需要定期注册

高级IT标准如IEE802.1AR指定长寿命设备证书,称为初始设备标识符(IDevID),基本永不过期,正在改编并用于物工业互联网这些都是单纯的出生证明,只能用于身份验证并用这些嵌入更多部署生态系统专用证书,称为局部重要设备标识符(LDevID),可用于认证、授权、安全通信等LDevID证书通常短活

影响IIOT

IOT有非常特殊的挑战 设备RA或IOT专用RA可以帮助解决

第一,使用案例广度和物理环境即IIOT系统部署后,极难为所有连接设备建立通用识别机制

第二,有机器存在多年,并会继续运行数十年以上-我们再向这个生态圈引进较新设备,这些设备与老相仿大不相同。

堆积绿地和棕地设备授权 我们不能有全新开换法并提供选项优雅地搭载这些老式设备上新式IoT平台归根结底,我们需要把IT和OT系统合二为一IT早已非常熟悉PKI特征,并创造出足够的上下文和价值, 以适应OT用户和人

举个例子,让我们看看智能电网和Wi-SUN联盟及其局域网规范正在做的一些工作网状无线网络架构允许智能Meters相互独立交谈,并允许头端控制器(简单输出)。产生更具弹性和高可用网络,在发生关键节点失效时可动态路由交通新建设备可自动输入并退出给定网络完全自主发生因此,在这里极为重要的是设备能够直接交谈并相互认证而无需第三方支持。局部设备专用RA服务最优解决

如你所见,公钥基础设施正在演化,我们现在应用部分网络安全核心原理,这些核心原理是公钥基础设施的一部分,应用到iot使用案例记住,没有必要重新发明轮子-在这种情况下,简单开发使用它的新方式物联网至今仍是互联网-数十年来维护网络的同样安全原则会继续保护网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网际网络认知并自始至终实现安全

有个足球雷竞技app加入网络世界社区 脸书LinkedIn论题高思想
关联性 :

Nisarg Desai软件工程师经验丰富的产品管理与领导能力覆盖信息与网络安全、招待服务和商业咨询行业产品管理主管IoTGlobalSign.

Raybet2版权2018 IDG通信公司

SDWAN买主指南:关键问题查询商家(和你自己)