PKI:帮助物联网设备制造商信任他们的供应链

如何在制造过程中实现PKI保护物联网设备制造商

随着物联网市场相对较新，某些设备制造商对制造过程不熟悉，这并不罕见。设备设计师很少制造自己的产品。在大多数情况下，他们通常最终使用原始设计制造商（ODM），例如Flextronics，或电子制造服务（EMS）提供商，如Foxconn或Celestica。

物联网设备一旦建成，通常由制造商运送到设备制造商或直接运送给客户。但是，在整个过程中可能会发生一些可疑的事情，因为在构建所有这些设备的过程中，ODM或EMS现在已经有了所有的计划、蓝图和设计规范。这对设备制造商来说是一个巨大的风险。对于一个邪恶的公司或员工来说，将这些计划拿到黑市上以比设备制造商低得多的价格出售是相对容易的。此外，某些地区对这些设计规范的所有权有更宽松或更严格的控制，这可能会给设备制造商带来更多问题。更糟糕的是，设备制造商可能需要数年时间才能意识到某些违法行为的发生。虽然有保护IP的检查和安全措施，但这确实是小型设备制造商需要应对的一个问题。

幸运的是，物联网设备制造商有很多方法可以缓解这类问题。例如，您可以将证书合并到每个设备中，使您能够通过拥有您的证书颁发机构(CA)只提供与你想要制造的设备数量一样多的证书。另一个步骤是验证证书请求的来源，即一个特定的位置，因此指定的ODM或EMS必须提供某些凭据来验证是谁请求了证书。您甚至可以根据用户身份验证和IP地址限制对这些证书的访问。

此外，使用PKI使您可以在制造过程期间或之后验证，其实际使用该证书。理想情况下，“谁”应该是设备。这可以通过使设备联系A信任的第三方服务器也称为注册权限来确定。这可以由CAS管理，谁将验证设备颁发的证书和设备在使用中是否链接到正确的PKI层次结构，属于特定的设备制造商。此外，CA可以采用额外的步骤，以撤消IOT设备上的先前证书并发出新证书。此过程称为重新注册。或者，可以使用两种类型的证书：形成设备“标识的”出生“证书，以及可用于执行某些操作的”操作“证书。

通过采取这些步骤，PKI使物联网设备制造商能够防止过度生产和假冒，确保只有正确的设备才能获得正确的证书。即使是在日后发现制造商是靠不住的,更多的设备比原订单要求生产,设备将无法使用,因为出生证明已经被撤销,和设备不再能操作证书。

上述情况的担忧是定期发生。事实上，在3月，iPhone供应商纬创资通被指控苹果在中国生产iPhone 8时使用了未经授权的零部件。这就是为什么在制造过程中为物联网设备实施PKI是一个聪明的想法。

为供应链提供PKI

PKI拒绝成为确保供应链内设备的真实性的最佳技术之一，包括验证物联网设备内的所有组件。例如，当IOT设备制造商设计设备时，她使用来自不同制造商的组件。这些组件来自世界各地，由经销商携带，并通过EMS或ODM与其他组件组装在一起。

一旦这些组件到达分销商，实际上它们可以在仓库中存放很长一段时间。最后，设备被制造出来，然后进行测试，然后卖方就可以把它提供给客户。通常，这些组件由第三方安装程序安装并部署在远程位置。最终客户或买家甚至可能看不到这些设备。

平均IOT设备具有非常复杂的路由，多次更改所有权。当然，卖家希望确保设备是真实的，并且通过供应链的各个阶段，这种真实性得到了维持。这个现实世界的问题很难解决。我们越来越多，听听故事供应链内的违规如纬创通。你有来自不同国家的制造商，他们的供应商不一定遵循安全和隐私方面的最佳实践，因此很难信任一个组件的来源。因此，一些公司的物联网设备可能会同时拥有真假(或修改过的)组件。但是，如果一个设备的功能如预期的那样，可能很难知道真相。然而，也有可能是某个不法分子在追踪和拦截数据的设备软件中嵌入了额外的代码。这可能是在设备的制造过程中注射的，或者是它的一个部件。这也是PKI可以帮助消除或至少显著减少这些场景的另一个原因。

身份是安全的基础

在当今这个过度消费的时代，人们对新技术和创新技术的渴望是无法满足的。专注于硬件的技术初创公司大幅增加，它们通过将网络和智能集成到设备中，提供现实世界的解决方案。这在Kickstarter和Indiegogo等众筹网站上尤为常见。然而，这些设备设计者和制造商的关注点都在功能上，而安全性很少在他们的计划中。这是很危险的，可能会在以后导致问题，如下面所示最近的IOT僵尸网络攻击。

有一个好的开端是很重要的，如果我们能在设备的起点、制造工厂和相关的供应链上就把安全集成到设备中，那么我们就有了一个强大的基础。从强标识开始，我们可以引导到其他安全功能，如身份验证和授权。这应该不难——而PKI使这变得特别容易。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。