物联网安全基础知识——设备身份与上云
扫描二维码
随时随地手机看文章
实现物联网安全,真正的难题在于如何找到一种低成本途径,在“消费级”产品中实现“企业级”安全性。本文中,来自赛普拉斯半导体公司的 Sree Harsha Angara 将与您探讨 “设备身份”话题以及如何将其运用于云提供商。
输入,公共密钥基础架构(PKI)
网络安全的基本要求之一是能够在向某个实体传递任何有价值的信息之前,确定其身份的真实性。PKI 的基本概念源于非对称密钥加密法,它能够“签署”给定的数据对象,并能够在无需知晓任何秘密的情况下验证“签字”的真实性。
非对称密钥加密采用“密钥对”的概念,含一个公钥和一个私钥。公钥可以安全地共享给任何想验证数据的人,而私钥则被安全地存放。这种属性使得非对称密钥方案特别适用于验证来自(或委托给)给定实体的大量数据的真实性。
PKI 与物联网设备有什么关系?
假设您是智能设备的制造商,在使用其中一家主流提供商提供的云服务,现在希望将物联网设备连接到云服务。如何确保只有您的设备实现了上云?
“知道正确的服务器地址”并进行常规数字测试的做法并不能绝对保障安全,因为信息保密性取决于是否能够同时在设备内部以及在前往制造设施的途中对它进行保护。
使用 PKI,您可以让每部设备都拥有唯一的公钥/私钥对并携带相关证书。在公钥被验证为可信后,您就可以核实私钥的所有人。私钥(如果您操作正确)只会被您的智能设备知晓,这在功能上等效于我们进行个人身份的验证。
在设备上云之前进行设备身份验证的流程显示如下:
设备身份验证流程
在生产制造环境中的设备身份信息
实现 PKI 方案的方式取决于硬件技术以及在最终产品中选择的厂商类型。从纯粹的功能角度来看,要验证物联网设备的身份,同时需要密钥对和相关证书。
为此您可以:
预先生成一套公钥/私钥对及其相关证书,并将它们放入生产制造流程的每个设备中。
预生成密钥和证书的制造流程
采用基于硬件的安全性,即让设备生成唯一密钥对并只导出公钥,在生产制造流程中生成证书并将其放回设备(例如,您的生产制造流程有某种设备能生成根认证机构-或更有可能生成中级认证机构)。
设备生成密钥的制造流程
第一种选项看似最简单,但它要求您将私钥“公开”,这样您就面临着密钥被恶意攻击者读取/重复使用的风险。
后一种选项一般更加安全,因为只有设备知晓自己的私钥而且永远不会被暴露。然而,由于设备公钥必须逐个设备签署,这就要求您使用硬件安全模块(HSM)之类的工具在制造流程中签发相关证书。
在过去,生成密钥对完全由“安全组件”负责,但现在许多安全 MCU 厂商也能提供。
仅有身份并不意味着设备是“安全的”, 现仍存在大量其他类型的攻击,例如旁路攻击以及针对密钥存储的运行时攻击。本文为您介绍了构建安全系统所需了解的基础知识, 希望有助于您了解如何使用加密技术构建设备身份,以及如何验证它们的真实性。