跳至主要内容

工业物联网设备的不可克隆机器身份

作者:物联网安全全球总监Kamal Khan | 最初发表于 Venafi博客

活跃的物联网(IoT)设备超过30亿,并且这个数字正以惊人的速度增长。 根据 麦肯锡每秒有127个新的IoT设备连接到Web。 每个设备都带有新漏洞,并增加了攻击面。 工业物联网机器的网络分布在不同的组织和地理位置,导致网状结构复杂,从而带来严重的安全问题。 问题的根源在于机器身份。 每个设备都需要一个强大的唯一身份,以便对其进行身份验证并与其他设备安全地通信。 只有这样,许多设备才能安全地传输和管理数据。

如今,没有标准接口可使用MQTT(消息队列遥测传输)和其他协议来获取IoT机器身份。 通常,制造商或IoT平台默认设置用于机器标识。 这些默认值的使用使黑客可以轻松地破坏身份并以深远的影响触发网络中断。 当计算机标识过期或管理不当时,也会发生类似的漏洞。 最重要的是, 即使 创建并更新了强大的机器身份后,设备身份验证(验证其身份的能力)仍然难以捉摸。

为了使IoT成功,需要一种安全解决方案,该解决方案应为所有IoT设备提供可验证的安全机器身份,并在设备的整个生命周期中对这些身份进行身份验证。 此外,该解决方案需要具有物联网感知能力,提供应对物联网设备存在的所有风险所需的可见性,智能性和自动化性。

设备身份可以通过强大的公钥基础设施 (PKI) 中的设备证书进行管理。 使用 PKI,每个设备身份都是由芯片独有的强大的公私加密密钥对构建的。 虽然可以共享公共部分以建立身份,但用于验证身份的私有部分必须始终保密,并应绑定到设备。 一个非常方便的方法是使用物理不可克隆函数或 的PUF. 例如,Intrinsic ID 的 SRAM PUF 解决方案采用芯片独有的物理特性,可用作创建加密密钥对的信任根。 使用 PUF 是保密私钥的一种非常安全的方法,因为密钥永远不会被存储,而是在需要时从 PUF 中重新生成。

为了加速基于 SRAM PUF 技术的不可克隆设备身份的部署,Intrinsic ID 在 Venafi 平台和 Intrinsic ID 密钥配置工具之间创建了一个接口。 半导体供应商和 OEM 可以使用这种组合解决方案来提供部署 Intrinsic ID SRAM PUF 产品的设备 安全密钥存储 和管理如下图所示。 Intrinsic ID BK 嵌入式软件 IP 用于根据设备芯片中 SRAM 的独特物理特性生成强大且独特的加密密钥对。 然后将公钥作为证书签名请求 (CSR) 导出到 Venafi 后端,以将其转换为数字证书。 证书从 Venafi 后端检索并安装在设备上。 该设备现在拥有与云建立安全通信所需的所有凭据。

不可克隆的机器身份

与云连接后(例如,如图所示与Amazon云连接),设备将使用证书显示其身份。 根据证书,云可以验证物联网设备的身份。 该设备将需要与云的身份验证协议中的私有(秘密)密钥来证明其身份。 现在,由于没有其他方知道或无法访问私钥,因此可以保证设备的真实性。 私钥是从芯片的SRAM PUF即时重建的。

Venafi的信任保护平台用于设备的日志记录,监视和生命周期管理。 Venafi平台为机器身份管理和库存提供可见性和智能性,并且可以轻松地进行大规模扩展。 任何证书颁发机构(CA)均可在此过程中使用,并且系统与所使用的CA无关。 通过以这种方式设置系统,我们可以自动跟踪和监视证书状态。 生成证书后,可以将设置连接到云网络。 Venafi提供了完整的证书生命周期支持,包括设备证书的吊销和续订。

固有ID SRAM PUF技术为每个IoT设备提供了强大且设备唯一的加密密钥对,这构成了设备数字身份的基础。 通过让受信方根据设备的唯一公钥生成数字证书来牢固地建立此数字身份,并利用Venafi平台后端的功能有效地控制管理并将其管理扩展到大量设备。 结果是用于保护和管理机器身份的高度安全,可靠的解决方案。

内部ID是机器身份管理开发基金会的一部分。 庞大的合作伙伴生态系统和现成的集成可帮助Venafi客户保护所有机器身份并在其整个安全基础架构中对它们进行编排。 想了解更多? 访问 Venafi市场上的内部ID.

在我们的合作伙伴Venafi的网站上了解有关机器身份管理的更多信息。

获取 SRAM PUF 白皮书 此处

这篇文章有0评论

发表评论

您的电子邮件地址将不会被公开。

回到顶部