连接未来，安富利端到端解决方案赋能物联网安全

作者：安富利全球物联网战略经理Guillaume Crinon

在离散制造、交通运输、物流和公用事业等行业的带动下，全球物联网市场规模在2021年将达到3.9万亿美元，市场前景广阔。随着物联网市场的规模化快速发展，物联网安全变得日益凸显，成为行业持续关注的重点。据Gartner预测，到2021年，全球物联网安全支出将达到31亿美元。

然而，没有任何一种普适性技术可以解决所有的物联网安全问题。定制的物联网解决方案也带来了许多重大的安全挑战，例如数据泄露等安全事件频发，且速度更快。正因如此，一项调查研究发现，只有40%的服务提供商表示已准备在未来两年应对数据泄露的威胁。也就是说，每10家服务提供商中就有6家没有真正进行防御系统入侵的准备。

网络之所以安全性不足，原因在于它只负责确保各次访问的成功接入。作为互联网用户，我们非常清楚这一点：当通过公共WiFi访问网络时，浏览器会确保我们以HTTPS 或 FTTPS连接跳转到正在访问的URL，否则URL一栏中会出现一个红色标志。

正如HTTPS协议一样，我们需要在互连设备和数据库之间实现端到端的安全，从而提供高于网络安全等级的保护机制，这样我们就不必关注和担心哪个网络正在运行什么内容。传输层安全协议（TLS）及其衍生工具是实现这一目标的最佳协议。该协议可以适用于HTTP、FTTP、MQTT并分别将它们转换成HTTPS、FTTPS和MQTTS，这正是我们在复杂的物联网安全领域所需要的。

三大功能实现端到端的物联网安全

- 双向认证：设备和服务器应该并且能够相互证明彼此身份的真实性和独特性

- 信息的完整性：设备和服务器之间能够安全地发送消息，使得干扰方无法对其进行攻击或更改

- 信息的保密性：还应该能够对信息进行编码，只有被授权接收信息的各方才能阅读消息的内容。这也是数据隐私保护的核心。

我们希望互连设备的通信和运行能够自动化，可以不再需要人类的参与，且越来越具有主动性。

互连设备需要一种更简单的自动化方式与远程服务器进行双向认证，如同人与人之间的互动一样。并且，在万物互联的世界中，这种双向认证需要比以往任何时候都快，因为终端用户需要随时随地访问信息。单向认证（通过设备认证目标服务器）是远远无法满足需求的，必须采用双向身份认证，这种方式服务器也需要能够自动验证请求连接的设备。目前唯一可行且得到广泛认可的解决方案是，采用基于证书的公钥基础架构（PKI），并在工厂和目标服务器的安全元件及安全处理器中进行安全配置。

物联网安全归根结底在于身份认证

在物联网世界，安全可以归结为身份认证。人类通过验证相关机构出具的证明文件来判断我们所不认识的人或者机器是否可信。在物联网世界中，相同的概念也同样适用，只不过进行通信的是机器而已。如果每台机器都有唯一的可信身份和证明身份的适当文件，它们就可以像人类一样安全地交换信息。

在全面部署物联网的过程中，设备将跨越应用程序、公司和服务之间的界限，身份需要实现标准化。因此，安富利建议采用X.509证书格式。无论IP通信是由TLS、非IP蓝牙、Zigbee技术还是其他系统处理，PKI、IT和这些设备最终连接的物联网平台实际所采用的标准都是X.509。

安全解决方案的关键在于完整、可升级的安全堆栈

事实上，可靠的服务提供商通过提供完整的安全堆栈，对整个生命周期管理产生影响，从而在企业物联网项目的部署中发挥着关键作用。完整的安全堆栈包括：证书签发服务，如同护照签发一样；证书注册服务，如同社会保障系统数据库维护；证书管理服务，如按需进行的有效性检查、撤销、续订等，相当于每次我们用信用卡付款时银行系统后台所进行的操作； 密钥管理服务，例如用适当的方式向远程工厂和现场设备分发密钥，相当于通过邮件将Visa或手机SIM卡的 PIN码发送给终端用户。安全解决方案的关键在于安全堆栈。更重要的是，当且仅当设备的单片机（MCU）或处理器运行授权软件和固件时，整个堆栈才能合成在一起。

不同于视频或者连接，安全系统还没有完善的标准。无论是视频还是连接标准，都能够伴随着技术的提升、创新和突破不断发展，提高自身的兼容性，并确保不被时代所淘汰。尤其在终端用户看来，安全性必须具备这样与时俱进的能力。

这要求安全设备必须具有非常重要的特性：无论是嵌入式安全芯片还是一个独特的安全元件，都需要嵌入一种机制，以支持应用软件或固件以及操作系统、内核系统和安全子系统的升级。此外，必须通过高度安全的管理平台中的非常安全的通道进行此类升级，而且可以凭借管理权限和证明文件追踪现场的每台设备。要在物联网解决方案中实现真正的安全，需要提供覆盖物理层1层到7层的全方位安全，同时协调和维系与众多合作伙伴的合作关系，以便能够长久地将所有的架构整合在一起。

物联网这个规模近5,000亿的市场将继续增长。企业若想让自己的物联网解决方案在当下和未来都保持竞争力，需要创建一个不仅能够在每个物理层提供安全保障而且可以确保物联网解决方案在生命周期维护过程中能够经受住时间检验的系统。

建立端到端安全系统的难度很大。从芯片到身份管理，以及选择合作伙伴和协商业务模式，期间有很多环节需要管理。因此，安富利鼓励那些希望部署该系统的企业，对比建立内部物联网基础架构和从经验丰富的技术解决方案提供商那里购买的利与弊。例如，安富利的客户告诉我们，直到最近，他们才获得了之前仅对特定市场开放的所有此类服务。

咨询-开发-部署流程，对于创建一个能够促使新物联网解决方案取得成功的环境至关重要。安富利作为端到端合作伙伴，希望利用最新的技术和最佳的实践用例，与领先的供应商合作，为企业提供最优质的电子元器件和服务，以及所需的解决方案，为企业解除繁难，让他们专注于自己最擅长的业务。