跳至主要内容

工业物联网设备的不可克隆机器身份

Author: Kamal Khan, Global Director – IoT Security |作者:物联网安全全球总监Kamal Khan | Originally published on最初发表于 Venafi博客

活跃的物联网(IoT)设备超过30亿,并且这个数字正以惊人的速度增长。 根据 麦肯锡每秒有127个新的IoT设备连接到Web。 每个设备都带有新漏洞,并增加了攻击面。 工业物联网机器的网络分布在不同的组织和地理位置,导致网状结构复杂,从而带来严重的安全问题。 问题的根源在于机器身份。 每个设备都需要一个强大的唯一身份,以便对其进行身份验证并与其他设备安全地通信。 只有这样,许多设备才能安全地传输和管理数据。

如今,没有标准接口可使用MQTT(消息队列遥测传输)和其他协议来获取IoT机器身份。 通常,制造商或IoT平台默认设置用于机器标识。 这些默认值的使用使黑客可以轻松地破坏身份并以深远的影响触发网络中断。 当计算机标识过期或管理不当时,也会发生类似的漏洞。 最重要的是, 即使 创建并更新了强大的机器身份后,设备身份验证(验证其身份的能力)仍然难以捉摸。

为了使IoT成功,需要一种安全解决方案,该解决方案为所有IoT设备提供可验证的安全机器身份,并在设备的整个生命周期中对这些标识进行身份验证。 此外,该解决方案需要具有物联网感知能力,提供应对物联网设备存在的所有风险所需的可见性,智能和自动化。

设备身份可以通过功能强大的公钥基础结构(PKI)中的设备证书来管理。 使用PKI,每个设备标识都是由芯片独有的强大的公私密码密钥对构建的。 虽然可以共享公共部分以建立身份,但用于身份验证的私有部分必须始终保持秘密,并且应绑定到设备。 一种非常方便的方法是使用物理不可克隆功能或PUF。 例如,内在ID的SRAM PUF解决方案采用了芯片独有的物理属性,可以用作创建加密密钥对的信任根。 使用PUF是一种非常安全的私有密钥保密方法,因为密钥从不存储,而是在需要时从PUF重新生成。

为了加速基于SRAM PUF技术的不可克隆设备身份的部署,Intrinsic ID在Venafi平台和Intrinsic ID密钥配置工具之间创建了一个接口。 半导体供应商和OEM可以使用此组合解决方案来配置将本机ID SRAM PUF产品部署为安全密钥存储和管理的设备,如下图所示。 内在ID BK嵌入式软件IP用于根据设备芯片中SRAM的独特物理特性生成强大而独特的加密密钥对。 然后将公钥作为证书签名请求(CSR)导出到Venafi后端,以将其转变为数字证书。 该证书从Venafi后端检索并安装在设备上。 该设备现在具有与云建立安全通信所需的所有凭据。

不可克隆的机器身份| Venafi博客

与云连接后(例如,如图所示与Amazon云连接),设备将使用证书显示其身份。 根据证书,云可以验证物联网设备的身份。 该设备将需要与云的身份验证协议中的私有(秘密)密钥来证明其身份。 现在,由于没有其他方知道或无法访问私钥,因此可以保证设备的真实性。 私钥是从芯片的SRAM PUF即时重建的。

Venafi的信任保护平台用于设备的日志记录,监视和生命周期管理。 Venafi平台为机器身份管理和库存提供可见性和智能性,并且可以轻松地进行大规模扩展。 任何证书颁发机构(CA)均可在此过程中使用,并且系统与所使用的CA无关。 通过以这种方式设置系统,我们可以自动跟踪和监视证书状态。 生成证书后,可以将设置连接到云网络。 Venafi提供了完整的证书生命周期支持,包括设备证书的吊销和续订。

固有ID SRAM PUF技术为每个IoT设备提供了强大且设备唯一的加密密钥对,这构成了设备数字身份的基础。 通过让受信方根据设备的唯一公钥生成数字证书来牢固地建立此数字身份,并利用Venafi平台后端的功能有效地控制管理并将其管理扩展到大量设备。 结果是用于保护和管理机器身份的高度安全,可靠的解决方案。

内部ID是机器身份管理开发基金会的一部分。 庞大的合作伙伴生态系统和现成的集成可帮助Venafi客户保护所有机器身份并在其整个安全基础架构中对它们进行编排。 想了解更多? 访问 Venafi市场上的内部ID.

在我们的合作伙伴Venafi的网站上了解有关机器身份管理的更多信息。

发表评论

您的电子邮件地址将不会被公开。 必填 *

回到顶部