信息化觀察網(wǎng)

在網(wǎng)絡(luò)和物聯(lián)網(wǎng)安全方面，您永遠(yuǎn)不會(huì)太小心。隨著越來越多的不同設(shè)備連接到企業(yè)和工業(yè)基礎(chǔ)設(shè)施，安全總比后悔好。

對于網(wǎng)絡(luò)管理員來說，它不再只是保護(hù)筆記本電腦和PC，而是管理由各種連接硬件(包括移動(dòng)和低成本物聯(lián)網(wǎng)設(shè)備)組成的網(wǎng)絡(luò)。但是，當(dāng)每個(gè)設(shè)備都按照自己的規(guī)則運(yùn)行時(shí)，您怎么可能保持網(wǎng)絡(luò)安全呢?答案是(相對)簡單：不要相信任何人!

這就是“零信任架構(gòu)”概念的用武之地，這是一個(gè)基于默認(rèn)情況下不信任設(shè)備的安全概念，僅僅因?yàn)樗悄W(wǎng)絡(luò)的一部分。相反，每個(gè)設(shè)備都需要為它想要建立的每個(gè)連接進(jìn)行身份驗(yàn)證。考慮到任何可能的連接至少涉及兩方，此處所需的身份驗(yàn)證稱為相互身份驗(yàn)證。

有使用相互身份驗(yàn)證的不同通信協(xié)議，例如SSH和TLS。但是這些協(xié)議的共同點(diǎn)是身份驗(yàn)證基于唯一的設(shè)備證書。如果沒有這樣的證書，設(shè)備就無法對自身進(jìn)行身份驗(yàn)證。

設(shè)備如何獲得證書?

這一切都始于設(shè)備擁有自己唯一的公私密鑰。要生成證書，第一步是與證書頒發(fā)機(jī)構(gòu)(CA)共享這對公鑰。CA將通過向它發(fā)送質(zhì)詢來驗(yàn)證公鑰是否屬于該設(shè)備。只有擁有相應(yīng)私鑰的設(shè)備才能成功應(yīng)對此挑戰(zhàn)?，F(xiàn)在CA知道公鑰屬于設(shè)備，它會(huì)為它創(chuàng)建一個(gè)證書。

創(chuàng)建后，證書可以發(fā)送到設(shè)備，設(shè)備現(xiàn)在可以在未來的網(wǎng)絡(luò)身份驗(yàn)證協(xié)議中使用它，這些網(wǎng)絡(luò)將創(chuàng)建證書的特定CA視為可信來源。這使得“零信任”一詞有點(diǎn)誤導(dǎo)。即使您不信任這些設(shè)備，您也需要信任一些東西。在這種情況下，信任基于證書和提供證書的機(jī)構(gòu)。

但是還有另一個(gè)重要的方面需要考慮：私鑰。私鑰是構(gòu)建所有安全性的基礎(chǔ)。這是將證書與設(shè)備聯(lián)系起來的原因，因?yàn)槿魏蜗胍獧z查證書真實(shí)性的人都可以通過挑戰(zhàn)私鑰來做到這一點(diǎn)。并且由于此私鑰非常重要，因此應(yīng)始終將其安全地存儲在設(shè)備內(nèi)。

攻擊者永遠(yuǎn)無法讀取、更改或復(fù)制此私鑰，因?yàn)檫@會(huì)危及設(shè)備所連接的整個(gè)網(wǎng)絡(luò)的安全性。保持私鑰私有應(yīng)該是任何設(shè)備的最高優(yōu)先級。并且網(wǎng)絡(luò)需要信任，設(shè)備才能這樣做。

私鑰如何安全地存儲在設(shè)備上?

有幾種方法可以做到這一點(diǎn)，首先是安全硬件的傳統(tǒng)使用，如安全元件或可信平臺模塊。這些都是需要添加到設(shè)備中的安全芯片，負(fù)責(zé)創(chuàng)建和安全存儲密鑰。對于昂貴的設(shè)備(如手機(jī)和筆記本電腦)來說，這是一種可接受的解決方案，但通常不能解決所有安全問題，因?yàn)橛邢薜母鞣娇梢栽L問它。然而，對于低成本物聯(lián)網(wǎng)設(shè)備，在材料清單中添加安全芯片會(huì)增加太多成本。

一種更實(shí)惠的解決方案是將密鑰對存儲在設(shè)備無論如何都需要的芯片之一的內(nèi)存中，例如微控制器。在這種情況下，密鑰對可以在制造過程中從外部提供，也可以在內(nèi)部生成(如果芯片具有內(nèi)部隨機(jī)數(shù)生成器)。此選項(xiàng)的主要缺點(diǎn)是物聯(lián)網(wǎng)設(shè)備的芯片不是為安全存儲密鑰而設(shè)計(jì)的。這意味著存在私鑰被有權(quán)訪問設(shè)備的堅(jiān)定攻擊者破壞的嚴(yán)重風(fēng)險(xiǎn)。最重要的是，當(dāng)從外部注入密鑰時(shí)，注入這些密鑰的一方是另一個(gè)需要信任以保密秘密的實(shí)體。

對于這些用于生成和存儲密鑰的傳統(tǒng)方法，還有另一種替代方法，它基于物理不可克隆功能(PUF)。

PUF在芯片制造過程中使用深亞微米變化來創(chuàng)建設(shè)備唯一標(biāo)識符。這意味著PUF可以從芯片硅生成加密密鑰(如我們需要的密鑰對)。這些密鑰對于每個(gè)芯片都是唯一的，它們永遠(yuǎn)不必存儲在內(nèi)存中，它們在每次需要時(shí)都簡單地(重新)生成。這消除了對外部供應(yīng)密鑰以及使用專用硬件來保護(hù)存儲的密鑰的需要。

這就是為什么PUF的部署迅速獲得關(guān)注的原因，特別是對于低成本的物聯(lián)網(wǎng)設(shè)備。使用PUF來創(chuàng)建和保護(hù)生成設(shè)備證書所需的密鑰提供了零信任架構(gòu)所需的信任類型。

結(jié)論

現(xiàn)在我們已經(jīng)看到了安全連接網(wǎng)絡(luò)中設(shè)備所需的所有不同的構(gòu)建塊。

這一切都始于設(shè)備級別，通過選擇正確的方式為設(shè)備提供作為其唯一證書基礎(chǔ)的密鑰，零信任架構(gòu)的基礎(chǔ)得以建立。選擇的方法會(huì)因個(gè)別設(shè)備的硬件而異。

不同的方法提供不同級別的安全性，但它們都有一個(gè)共同點(diǎn)，即他們需要灌輸適當(dāng)級別的信任，以便將私鑰保密。當(dāng)設(shè)備配備了公鑰-私鑰對時(shí)，CA可以通過為設(shè)備生成證書來提供下一個(gè)問題。一旦設(shè)備擁有此唯一證書，就可以進(jìn)行相互身份驗(yàn)證，允許以安全方式進(jìn)入建立在零信任架構(gòu)上的網(wǎng)絡(luò)。

將加密密鑰的存儲方式所提供的保證與需要放在CA中的信任結(jié)合起來，可以說，至少在這種情況下，沒有信任就沒有"零信任"。