今天的PKI是专门为物联网设计的

过度依赖攻击检测的缺点

对于许多网络安全团队来说，解决这个问题的方法是通过检测和根除可能表明设备已被恶意僵尸网络或其他入侵者破坏的异常情况来保护他们的设备。在这些设备上添加代码以帮助识别潜在的警告信号是解决问题的一种方法，但许多企业IT提供商发现，以这种方式将异常情况列入黑名单极其困难，而且往往无效。

事实仍然是，如果有人可以通过薄弱的身份验证控制进入设备，很难辨别根级别的用户实际上可能是一个入侵者。攻击者已经进入系统后发生的任何活动几乎都不可能被识别为合法的活动。

监管正在到来——但速度很慢

一个最近提出的联邦法规要求NIST提供物联网安全方面的指导，包括安全身份管理、固件补丁和配置管理。联邦政府似乎同意我们的观点，承认保护设备身份和固件的重要性，这是一个非常积极的信号——尽管NIST的指导不太可能是规范性的。

加州是目前拥有最强大的物联网保护的州这些规定让设备制造商承担大部分责任，要求他们为他们生产的每个设备分配唯一的凭据。不幸的是，许多人仍然没有，而且眼光不那么敏锐的买家可能没有意识到这些不安全的设备造成的漏洞。

其他的法规也在陆续出台，但推行的速度会比较缓慢。对于各机构来说，独立采取必要的措施保护自己是很重要的。

使用PKI保护连接的设备

那么，组织应该怎么做呢?事实上，我们早就知道PKI是这个问题的答案。PKI是一组用于创建、管理和分发(或撤销)数字证书和公钥加密的角色和策略。它的过程远远超出了简单的用户名和密码凭据。数字证书由单独的证书颁发机构颁发和验证，传入的请求由注册机构验证，从而创建了一个非常难以破坏的信任链。

为了提供有效的通信安全性，这些证书使用TLS加密协议，能够支持许多不同的方法来加密数据和验证消息的完整性。PKI是唯一一种可以为每个用例和所有平台的个人或设备提供单一强数字身份的身份验证方法。

物联网是PKI蓬勃发展的一个领域。虽然像Mirai这样的僵尸网络经常能够渗透到由简单的用户名和密码组合保护的设备，PKI提供了一种基于身份的安全机制，不容易被破坏。通过求助于可信的PKI供应商，组织还可以享受与其他验证过的第三方的互操作性。对于选择PKI的人来说，在不影响信息安全的情况下实现互操作性是一个主要的好处——特别是在物联网等新兴的高度交互前沿领域继续以指数级速度增长的情况下。

这不是你祖父的PKI

如果这一切听起来很好-它应该-为什么没有更多的公司采用PKI?当身份验证不足是造成入侵和僵尸网络接管的常见原因时，您可能会认为各组织会尽快采用PKI。

不幸的是，PKI这个术语有很多包袱。听起来很令人惊讶，这项技术的起源可以追溯到20世纪70年代，虽然PKI背后的基本思想一直保持一致，但它的实现并不总是那么简单。几年前，PKI的实现需要很长时间。这是有风险的。这是昂贵的。它需要高水平的专业知识才能运作。尽管从安全角度来看，PKI一直是最好的可用机制，但这个术语本身带有负面含义，事实证明很难消除。

一些行业比其他行业更快地认识到PKI的改进。早在2009年，汽车行业就开始意识到被黑客入侵的设备对他们构成了特别危险的威胁。如果手机或路由器被感染，没有人会死亡，但如果路上的一辆车被恶意软件侵入，那么现实生活中的人的生命可能会受到威胁。因此，许多汽车公司现在使用PKI来确保车辆、电话、服务器和其他连接设备之间的通信尽可能安全。这个行业是PKI面貌改变的一个极好的证明。

今天的PKI不是你祖父的PKI。专门构建的证书颁发机构和PKI管理系统降低了成本，实现也大大简化。现在已经具备了用户友好性和编程能力，包括使用EST和REST等协议。但是有一点是相同的:PKI是对设备之间的通信进行身份验证的最佳技术。在当今日益相互联系的世界中，现在是停止关注检测而开始强调预防的最佳时机。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。