可编程选项可能对供应链准备工作产生重大影响。
安全凭证传统上是在芯片制造过程中提供的,通常是测试过程的最后一部分。这种情况正在开始改变。
物流管理可以通过将这一过程推后来改善——甚至是在入职过程中。更简单的入职培训可以向用户隐藏大部分细节。
“提供物联网设备的IT方法主要是手动的,或者需要多次人工操作,”at的营销主管西蒙·兰斯(Simon Rance)说ClioSoft.“但多点触控登陆并不能让我们在2020年达到承诺的500亿台连接设备,这个目标已经实现了。回顾一下为什么,它迫切需要一种安全和隐私驱动的零接触登机方法物联网设备。”
入职可能涉及到接入网络和应用程序,不同的方法对它们的处理不同。有些方案是专用于网络或特定的安全芯片。其他国家则更加开放。目前还不清楚哪个版本会流行。
“越来越多的物联网芯片制造商在供应链中安全地提供设备密钥和证书,并在设备数据和用于验证设备的密钥之间建立强大的绑定,”英特尔公司产品管理高级总监Joe Gow说Rambus.“虽然这为设备的身份保证提供了基础,但它也要求物联网服务提供商在向其平台提供用于设备上的令牌和证书之前,管理安全服务以验证设备。”
供应和入职
连接设备的制造、运输和部署已经变得比安装和运行旧的未连接设备所需的简单得多的过程更加复杂。连接的设备需要打电话到某个服务器,以宣布它们的存在,证明它们是合法的,并设置正在进行的操作所需的安全通信路径。
虽然具体的术语和解释可能有所不同,但传统上,在建立第一个联系方面有两个重要步骤:
•配置是指将安全凭证注入到设备中。从历史上看,这是在芯片制造中完成的,在设备发货之前。
•On-boarding指终端用户安装新设备。它利用已提供的凭据。一些业内人士将此称为最终用户“声称”特定设备或“调试”设备。
这种入职过程通常很麻烦,而且容易出错。英特尔工业控制和机器人总经理、FIDO联盟FIDO物联网工作组联合主席Richard Kerslake指出:“在物联网世界中,最突出的一点是设备之间的差异有多大。”“你有各种各样的硬件,各种各样的操作系统,而这些东西中的大多数甚至没有显示器。”
找到适应应用范围和价格点的方法是具有挑战性的。Actility标准和先进技术开发高级总监、LoRa联盟技术委员会主席和董事会副主席Alper Yegin表示:“在没有用户界面的设备上,凭据管理成为一个挑战。”
这在一定程度上是因为on-boarding可以指两件独立但重要的事情——加入本地访问网络以进入云,然后向托管在云服务器上的应用程序和服务注册。从技术上讲,这是两个不同的过程。但目前正在努力向用户隐藏这些细节。
虽然这对家庭用户来说可能是一个激励的方面,但对于所谓的“大规模物联网”安装来说,这是一个巨大的生产力问题。一个城市可能会安装大量的停车计时器,而公用事业公司可能会安装大量的水表、电表或煤气表。
克斯莱克指出,这些设备平均需要20分钟才能安装好。他说:“根据2017年的分析,如果你拿1万台设备,需要两年的时间。”对于数以百万计或数十亿计的设备来说,这种计算并不适用。
LoRa联盟还指出,过去安装设备所需的凭据都是通过电子邮件或其他方式发送的,安装人员需要手动输入。这需要时间,而且容易出错。只要设备不能正常工作,安装人员就会试图找出问题出在哪里,很可能会有很大的延迟。
更大的供应链灵活性
物联网设备制造商面临的另一个挑战是有限的灵活性和生态系统搭配。早期的实现专注于以最简单的方式将设备推向市场。这意味着要在系统中使用特定的芯片,选择单一的云提供商,并绑定一些固定的服务。这导致了封闭的生态系统。
为多个生态系统创建设备是可能的,但为了做到这一点,制造商必须在工厂配置他们的设备。例如,用于使用AWS进行云计算的生态系统A的设备将配备与生态系统A的要求一致的凭据和软件。同样的设备也可以用于可能使用Azure的生态系统B,但它需要不同的凭据和略有不同的软件才能使用Azure API而不是AWS API。
这两个原本完全相同的设备一旦供应,就必须被视为单独的库存单位(sku),使库存和物流复杂化。人们希望能够提供“通用”设备,可以在购买后进行配置。
高通首席安全架构师、FIDO联盟FIDO物联网工作组联合主席Giridhar Mandyam表示:“我们正试图解决物联网设备的低价格点,而不必为每个封闭的生态系统开发特定于生态系统的sku。”
所有这些都为更容易的入职过程创造了动力——支持者称之为“零接触”。这个想法是,安装程序几乎不需要做任何实质性的事情来设置一个新设备。
但是安全性和广泛的用例可能会使其具有挑战性。在什么时候注入哪些凭证有不同的想法。关于不同的数据中心服务器在这个过程中做什么和存储什么,也有不同的想法。
对于任何希望营销物联网设备的公司来说,从零开始发明这些东西都是困难的。相反,正在开发和提供的服务包含了这种功能。例子包括:
云的作用
On-boarding有一个设备在云服务中签到。在这种情况下,“云”可以是公共的或私有的,也可以是内部的或外部的。“在工业世界的许多地方,数据离开工厂的想法会让人心悸,”克斯莱克说。“所以我们需要一个两种方式都适用的解决方案。如果你想把它完全锁在一个设施里,它需要起作用。如果你有云接入,它就需要工作。”
不同系统的不同之处在于,当设备加入网络时,服务器之间的连接和通信方式不同。“在我们的核心网络中,我们区分了网络服务器和连接服务器,”Yegin说。“网络服务器是LoRaWAN链路层运行的地方。”
设备通过连接服务器签入,连接服务器检查凭证。然后,它将连接转交给网络或应用程序服务器,后者对用户了解更多。Yegin说:“应用程序负载将带有一个设备ID,该设备ID由网络验证,并与本地数据库进行比较,以找到匹配的设备上下文。”
与此同时,FDO方法在服务器中有一个“集合服务”。它在第一次上电时对设备进行身份验证,然后将其转发到适当的应用服务器。然后,应用服务器为将来绕过会合服务的连接进行设置。
因为这些服务器有很多秘密,所以它们必须非常安全。但尽量减少秘密及其扩散也会有所帮助。例如,FDO的交会服务不太可能是一个有吸引力的目标。高通的Mandyam说:“我们希望为集合服务器提供最少的信息。”“它确定设备是真实的,并将其重定向给设备所有者。就是这样。”
图1:物联网设备中使用的芯片最终可能与各种云中的任何一种进行通信。配置和软件堆栈必须在使用哪些云服务方面提供灵活性。来源:NXP
供应不是全有或全无的事件。对于身份、网络访问和应用程序平台访问,可以有各种各样的凭证。但重要的是要知道各种凭证何时被注入芯片或系统。有四种可能的事件是可能的供应-在芯片制造,在系统制造,在系统出货,和在上机。
芯片工厂的供应
传统的配置使用硬件安全模块(HSM)或其他高度安全的平台将凭据注入芯片,并将凭据和芯片标识一起转发到数据库,当设备最终检入时,可以在数据库中检索信息。
芯片本身可能是一个安全元件,或者其他一些独立的硬件信任的根源(HRoT),或内置HRoT的微控制器。设备标识可以被注入,或者根密钥可以在硬件中通过物理上不可克隆的函数(PUF)。但关键是身份必须是唯一的。
此场景将芯片发送到具有适当凭据的系统构建器。这就是SKU负担的来源。如果设备只能在制造的这个阶段提供,那么他们必须获得所有所需的凭证,这就注定了设备只能由单个系统构建器和最终使用生态系统提供。对于不同的系统构建器或生态系统,相同的设备必须使用自己的SKU分别进行供应、存储、运输和跟踪。
图2:如果在芯片制造过程中注入了完整的凭证,那么针对不同生态系统的不同芯片必须作为单独的sku进行跟踪。资料来源:Bryon Moyer/Semiconductor Engineering
这导致人们希望推迟全额供应。在后期配置(或“后期绑定”)场景中,标识仍将提前加载。但是面向网络和/或应用程序的键可能会延迟到以后。
系统构建时的供应
传统上,当订购预先配置的芯片时,系统构建者将需要“注册”这些芯片的身份。这是通过一个通常称为“清单”的文件来完成的。
例如,Microchip通过其电子商务网站提供舱单。它也可能对分销商可见,或者,如果系统制造商决定,对合同制造商可见。
1万台设备的订单将附带一个包含1万个序列号的清单,然后可以将其上传到云端。“这被称为多账户注册,”Xavier Bignalet说,他是微软安全产品业务部门的产品营销经理微芯片.它允许您获取证书列表并将它们重新打包到清单文件中。亚马逊将这些信息输入到他们的服务器中。”
在系统构建时进行配置意味着芯片本身在发货时可以是“通用的”。凭证集的完成不会使芯片库存物流复杂化。但是,如果在系统构建时加载所有凭据,事情就会变得更加复杂,因为一个系统可以用于多个生态系统。因此,以不同方式配置的系统必须配备自己的sku,以确保将正确的系统分配给正确的用户。
图3:如果在系统构建时注入了完整的凭证,那么针对不同生态系统的不同系统必须作为单独的sku进行跟踪。资料来源:Bryon Moyer/Semiconductor Engineering
系统发货时的供应
如果在发布之前加载了针对特定生态系统的凭据,那么这些系统可以一般地存储在仓库中。只有当它们被发送到商店或出于特定目的订购它的用户时,它们才会获得最终的个性。
这是最新的设备绑定到服务之前,最终在用户的手中。即便如此,它也不需要该服务的所有凭据。例如,FDO凭证在装运前装载,并将副本发送到集合服务。凭证在概念上可能与清单相似,但清单是由系统构建者使用的。凭证对于系统是唯一的,由安装程序使用。
这种方法允许sku的数量保持较小。等到系统构建时才注入应用程序凭据,这样单个芯片就可以填充许多不同的系统,而不必分别跟踪芯片或系统sku。
图4:如果凭证的注入被推迟到发货时,那么可以使用临时凭证,在与目标生态系统建立连接后加载完整凭证。资料来源:Bryon Moyer/Semiconductor Engineering
入职时的供应
On-boarding是指设备第一次被引入网络。对于较旧的系统,设备将拥有与云中凭据进行比较的凭据。如果匹配,则设备被接受。但是,如果某些凭证被推迟,情况就不一样了。
现在的趋势是通过空中提供最终凭据,包括在入职阶段和生命周期的后期(如果需要的话)。如果处理得当,入职过程的要素可以与最终申请证书的细节分离开来。
这意味着,在收到消息时,系统将拥有一组简单的身份凭据,可能还有一些允许系统第一次进入网络的临时凭据。连接并经过身份验证后,最终的应用服务器可以下载设备所需的任何操作凭据。
这些操作凭据可能因应用程序而有很大差异,但如果通过某种间接方式完成,则入库基础设施不需要操心这些细节。例如,使用FDO方法,集合服务只需要知道裸露的身份和目标生态系统。在对其进行身份验证并将其转发到应用程序服务器之后,它将离开该进程,并且不需要知道届时将注入哪些具体的凭据。
英特尔的Kerslake解释说:“我们建立了一个安全的隧道,然后各种凭证都可以通过隧道发送。”
更容易加载
简化入职流程的努力也在进行中。“无论物联网设备是什么,它是如何连接的,然后如何将其连接到目标云或平台?克斯莱克问道。“我该如何以一种自动化且尽可能安全的方式做到这一点?”
这些零接触的方法可能包括消费设备上的二维码。在许多情况下,QR格式是由系统构建者或销售者设置的。LoRaWAN有一个标准的公共QR码格式,系统建造者可以使用,而不是自己发明。“任何人都可以创建一个QR阅读器应用程序,”Yegin说。“然后提取的信息可以注入到任何网络服务器。”
图5:使用安全元件的系统的LoRaWAN上机程序。标准的二维码格式简化了消费者的流程。来源:LoRa联盟
Zigbee联盟也在考虑简化入职流程。Zigbee联盟的解决方案架构师Chris LaPré表示:“CHIP项目团队专注于开发尽可能简单无缝的供应方法,包括二维码、蓝牙和软AP (WiFi接入点)等方法。”
在与基础设施相关的安装中,QR码似乎不那么普遍。以FDO为例,设备在第一次上电时立即联系会合服务。配置是通过空气静默进行的,安装程序甚至可以在前一个安装完成之前开始一个新的安装。他们的目标是每次安装大约一分钟。
当然,系统必须首先连接到网络,而FDO并没有显式地处理这个问题。它的运作方式取决于交通网络。Mandyam说:“某些类别的设备将在第一次通电时连接(例如蜂窝支持的物联网设备)。“对于缺乏开箱即用连接的设备,希望制造商或第三方能够提供一个应用程序,帮助用户管理连接。此外,连接可以通过使用现有的互补和标准化解决方案进行管理,例如Easy Connect,它使用QR码将WiFi设备连接到接入点。
图6:FDO供应和入职过程。操作凭证在最后一步之后加载。资料来源:FIDO联盟
NXP支持早期或后期绑定。对于后者,云将预先配置设备凭证。因为这是一个受控系统,所以设备也可以预装注册URL。因此,设备将检入并与服务器中已经存在的凭据进行匹配。然后可以将其他凭据加载到设备中。
“当你第一次打开设备电源时,它就会连接到我们的服务,”at的副总裁、安全边缘识别总经理Philippe DuBois说NXP.“然后我们可以配置不同的云、应用程序、声音和动作、证书,甚至更改身份。”设备ping入的确切时间取决于系统软件。“开机是由设备上的一个简单API调用触发的,所以设备软件可以决定何时触发这个API调用,”他补充道。
图7:NXP的EdgeLock 2Go上板过程。供应可早可晚。来源:NXP
LoRaWAN还使用网络身份验证在应用程序级别为设备提供担保,从而节省了一个步骤。Yegin说:“我们能够从网络层访问身份验证引导应用层安全。”
在此模型中,身份验证仅用于保证登录者的身份。是否允许它们连接到特定的应用程序是一个授权问题。Yegin解释道:“你有一个访问控制列表,它基于我用来进行身份验证的设备ID来标识我的设备。
生命周期中的供应:无线更新
FIDO试图覆盖更广泛的用例。三个例子是:
这些都涉及到在整个系统生命周期内空中注入新的凭证,这是面向未来的实现的一个常见主题。DuBois说:“当必须启用新服务时,可以在设备的整个生命周期中添加新的凭据,更新现有凭据,或者管理所有权变更或设备退役。”
无线更新通常被吹捧为添加新功能、改进设备工作方式以及通过更新代码提高安全性的重要手段。但他们确实可以改变设备的身份,这取决于身份是如何得到的。即使身份没有改变(因为它可能来自PUF),凭证也可以完全更新或替换。这提供了一种从受损的凭据中恢复或为新用户刷新系统的方法。
OTA安全注意事项
但OTA更新并非没有挑战,最近的SolarWinds漏洞就是明证。
“在部署之前,需要对代码进行某种类型的验证。OneSpin解决方案.“通常的做法是将更新放在某种类型的沙盒环境中,让用户测试新的更新,并在将其发布到实时环境之前在隔离的环境中运行。太阳风有两周的时间。对于这种情况应该持续多长时间,并没有一个标准的时间表,各个公司的情况也不尽相同。但是能够在部署之前进行透明、独立的评估是非常关键的。”
但即使这样也不完美。“通过这次攻击,他们实际上侵入了SolarWinds,并在更新中植入了恶意代码,”SolarWinds的首席技术官杰森·奥伯格(Jason Oberg)说龟岛的逻辑.“这是一件很难防止的事情,因为它实际上是从源头上利用了这个问题。所以整个基础设施都在验证它,而且似乎是有效的。”
解决这个问题并不简单,在安全领域,没有什么是永恒的。但新技术正在被应用,比如使用人工智能来识别畸变。“人工智能将帮助优化特定问题,它可以自我学习,”Rambus的安全技术研究员海伦娜·汉德舒(Helena Handschuh)说。“它可以决定一个行为是否正常。”
无论采用何种方式,OTA问题都会影响设备,但了解所有这些问题所涉及的风险是至关重要的。
结论
在这些方法中,FDO似乎提供了最广泛的覆盖范围。FIDO联盟执行董事兼首席营销官Andrew Shikiar说:“这是一个真正的开放行业标准,现在得到了地球上所有主要平台和操作系统的支持。”
此外,Linux基金会在LF Edge伞下有一个名为“安全板载设备”的项目,或SDO(使用英特尔创造的名称)。FIDO负责规范,而SDO是软件实现。Kerslake说:“我们希望在4月份有一个alpha版本的代码,大约在今年夏天发布一个生产质量的版本。”
这些方法中的每一种都有其独特的细节,但它们都趋向于一种更灵活的方式来管理凭据和库存,同时简化安装。这些步骤可能有助于消除一些阻碍物联网发展的摩擦。
Gow说:“随着物联网生态系统的成熟,我们看到了向标准的转变,这些标准可能会更广泛地采用身份保证、供应链完整性保证和物联网平台凭证的安全供应。”“随着服务提供商继续将物联网设备的数据货币化,以及安全漏洞的风险和相关成本继续增长,这种平台验证的方法似乎将以某种形式继续下去。”
|
|
|
|
|
|
|
|
留下回复