是时候认真掌握了东西的时候了

为什么pki？

基于相同的PKI标准，数以百万计的网站每天依赖于安全连接，PKI提供了一个理想的框架，在物联网中相互信任和认证。除了加密敏感流量之外，PKI还验证物联网设备——以及与它们通信的任何用户、设备或系统——是否是它们所声称的那样。当物联网通信各方都有信任时数字证书凭借其合法性，恶意演员变得更加困难，例如，劫持设备或将恶意软件注入固件。

PKI是爆炸物联网扇区的完美匹配，因为它可以以传统的认证方法（如令牌和密码）的方式在大规模秤上提供信任和控制。PKI提供：

• 强大的数据保护：PKI可以加密传输给IOT设备的所有数据，从而即使设备受到损害，攻击者也无法对数据执行任何操作。
• 最小的用户交互:使用数字证书，PKI会自动验证场景后面的用户和设备 - 没有密码和令牌策略所需的中断或用户交互。通过包括设备序列号等信息，证书还提供了更强的身份。
• 安全代码：使用代码签名证书，公司可以签署设备固件上的所有代码，确保仅可信代码可以在设备上运行。这可以防止恶意软件，并支持对设备的安全无线更新。
• 轻松可伸缩性:PKI最初是为拥有大量用户的大型网络和web服务设计的，可以轻松扩展到数百万个物联网设备。

公司通常从两种部署PKI中进行选择：实施和操作自己的私人PKI框架内部房屋，或者从公共证书颁发机构使用托管的PKI服务。哪种方法适合您的组织？让我们评估四个C的。

PKI的四个C

考虑＃1：控制
您需要在多大程度上控制您的证书基础设施?这通常取决于你的行业。在监管严格、合规要求复杂的行业中，许多公司把所有事情都放在内部。这确实提供了细粒度的控制和全面的审计功能。但它也需要大量的时间、金钱和专业知识。公司中的某些人必须“拥有”确保框架符合行业标准的流程，执行策略以建立可信的角色，管理关键仪式和数据存储策略，确保可靠的证书更新和撤销，等等。在内部正确地进行PKI所需的资源——以及错误地进行并造成重大破坏的可能性——往往超出了公司想要承担的范围。

这不是一小段努力，而不是适合业余爱好者。这就是为什么许多公司在不太受监管的行业，甚至许多受管制的公司，更喜欢托管解决方案，让公共证书机构处理所有复杂性。如果您需要控制本地系统，但您不希望管理头痛，一些PKI提供商提供混合模型。这些组合本地系统，可以通过直接与可伸缩的云发布平台通信的安全网关来发布公共信任的证书。

考虑＃2：成本
当您部署和管理您自己的私有PKI框架时，您可以构建您想要的系统。但别指望它的价格便宜。建立一个内部认证机构需要初始的硬件和软件采购，通常还需要在培训和人员方面进行大量投资。

除了初始实施之外，预计将携带持续的资源来维护本地PKI框架：跟踪审核，跟踪不断发展的行业标准，更新硬件和软件，以及确保整个生命周期的设备完整性。总体拥有成本可能很重要。这就是为什么大多数拥有选项的公司选择托管的PKI产品，具有更具可管理的可预测的经济学。

考虑＃3：密码敏捷性
如果您的PKI真的要保护您的物联网足迹——以及您的利益相关者或客户的数据——它需要使用最新的加密技术。这不是自动发生的。任何拥有PKI框架的人都需要监控和参与标准组，以在不断变化的威胁和实现不断发展的协议之前保持领先地位。如果您正在运行自己的本地证书颁发机构，请确保将正在进行的工作构建到PKI预算中。

在这里，董事会的公司越来越多地选择云托管的PKI。当标准换档或加密属性更改时，托管的PKI提供商 - 其核心业务需要投资PKI员工和架构 - 已准备好。在广泛知名或实施之前，领先的公共证书颁发机构通常会预计曲线，算法和哈希的变化。超越量子计算威胁到今天的加密算法看起来是下一个边界。

考虑#4:证书管理
跨大量设备(甚至数百万或数十亿设备)管理证书的完整生命周期并不是一项容易的内部运行任务。这需要一个技术堆栈和强大的策略和过程来发布、安装、更新和撤销证书。许多供应商都依赖具有自动产品的可信第三方来发现和管理证书，特别是那些已经为数十亿连接设备提供了基于证书的身份验证的第三方。

不要推迟IOT安全

在没有可靠战略来验证设备、确保数据和系统完整性的情况下，就可以启动物联网计划的时代已经过去了。物联网是网络犯罪分子非常关注的对象。反应性的事后安保成本很容易攀升至数千万美元。另一方面，那些做好物联网安全工作的公司可以获得重大利益。贝恩公司发现企业会买更多IOT设备 - 平均为他们支付高达22％的人，如果他们更有信心他们是安全的。

在启动任何新的IOT应用程序之前，请确保您将基于标准的PKI安全性和身份验证构建为架构的基本设计。无论您是如何管理证书或与托管证书颁发机构一起工作，您将更好地睡眠了解您的IOT占地面积不能轻易损害。您的业​​务将能够利用IOT的全部权力和潜力。

所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者，不一定能够传达物联盟议程的思想。