如何通过PKI保证物联网设备安全性
如今,物联网设备已经遍及人们身边的每一个角落。从个人设备比如手机、平板电脑、电脑和无线耳机已经扩展到智能汽车、医疗设备、路由器、智能锁、恒温器、可穿戴设备等,物联网属性已经成为人类娱乐和生活用品的标配。Gartner 预测, 2021 年有 250 亿个联网的“设备”。随着这种物联网设备的无处不在,一个关键问题出现了:怎么保证这些物联网设备是安全的?
随着物联网环境和安全要求的发展,设备制造商需要一种经济高效且可扩展的解决方案,以保护物联网设备免受越来越多的安全入侵威胁。我们从最近的一份白皮书中编制了一份清单,其中展示了公钥基础设施 (PKI) 如何帮助物联网设备制造商从开始就考虑到安全性。
PKI 适合物联网安全应用场景
我们知道,物联网设备往往有几个特征,碎片化,分布式,轻量级。所以在我们探讨保护 IoT 设备的主要方法之前,让我们先分析一下使用 PKI 满足 IoT 安全需求的一些优势。PKI主要采用的是基于ECC/RSA等非对称密码算法的一种安全体系,核心的优势是安全性高,扩展性强,对分布式集成友好。随着所有连接的设备上线,我们需要一种安全方法来身份识别和认证这些IOT设备。未来两年,68% 的物联网设备 将主要依靠数字证书进行身份识别和认证。事实上,数字证书的快速增长在很大程度上可以归因于物联网制造商通过设备身份、身份验证和加密所需的关键用例。但是,如果没有适当的方法来颁发和管理物联网部署中的数百万个证书,可扩展性将是一个挑战。如此海量的碎片化和分布式的物联网设备,只有PKI体系(TLS和SSL)以及其衍生的安全架构才是解决物联网安全的关键。
公钥基础设施(PKI)体系是一个由硬件、软件、策略和程序组成的框架,用于帮助创建、管理、管理、分发和更新这些数字证书。几十年来,PKI一直是互联网安全的支柱,现在它正在演变成为一种灵活且可扩展的解决方案,能够独特地满足物联网的数据和设备安全需求。
这里总结了如何 使用 PKI 来保护 IoT 设备
· 定义和设置安全标准: PKI 的开放标准允许平台或者设备商以加密方式定义系统,并提供灵活的受信任根、撤销选项以及用于证书注册和部署的标准协议。
· 使用唯一身份ID: 通过将可加密验证的身份嵌入到每个设备中,您可以在整个 设备生命周期内实现安全的网络访问和代码执行。这些证书也可以根据制造商政策进行定制,并根据每个设备进行更新或撤销。
·与设备增长并行的扩展安全性:使用非对称加密意味着所有证书都可以从一个受严格控制的受信任的证书颁发机构颁发。这种断开连接的验证模型允许设备和应用程序相互验证,而无需集中式服务器或基于代理的软件
· 高等级安全专用芯片: 当数字证书由管理良好的 PKI 颁发时,它们提供比其他身份验证方法更强大的保护。物联网设备可以利用安全芯片(如MODSEMI的MOD系列)进行加密密钥存储,支持TLS等多种物联网协议,并采用远远超过密码或令牌可用寿命的有效期。
· 低成本:使用专用安全芯片确保信任根安全: PKI的基础是非对称算法,比如RSA/ECC等,椭圆曲线密码术 (ECC) 正在迅速成为物联网的首选算法,它使用更小的密钥大小,非常适合IOT设备和传感器。而算法的核心是是密钥安全和算法安全,对于轻量级的联网设备和传感器在既有MCU中集成PKI协议栈意味着成本的上升(需升级性能更高和容量更大的MCU),无法保证密钥可靠性,而使用专用的物联网安全芯片(参考:MOD8ID)既可以保证关键信任根的安全,又可以降低整体设备的成本(无需改变现有架构)。
加密——将纯文本转换为密文以模糊其含义
对称加密——一种使用相同密钥进行编码和解码的密码
非对称加密——一种使用不同密钥进行编码和解码的密码
公钥加密——一种广泛使用的非对称形式加密
MODSEMI——安全芯片制造商:深圳模微半导体有限公司
RSA — 第一个可行的公钥加密系统
ECC — 椭圆曲线公钥加密
SSL — 网络安全套接层;使用加密进行安全
TLS — 传输层安全性,SSL 的升级