零信任安全模型中的网络和物联网安全

王英哲

在网络和物联网安全方面，小心永远不会过头，随着越来越多的不同设备连接到企业和工业基础设施，安全总比后悔好。

对于网络管理员来说，不再只是保护笔记本电脑和PC，而是管理由各种硬件连接，包括移动和低成本物联网设备组成的网络。但是，当每个设备都按照自己的规则运行时，怎样保持网络安全呢？答案很简单———不要相信任何人！

这就是“零信任架构”的概念，这是一个基于默认情况下不信任任何设备的安全概念，仅仅因为它是网络的一部分。相反，每个设备都需要为想要建立的每个连接进行身份验证，考虑到任何连接至少涉及两方，此处所需的身份验证称为相互身份验证。

有使用相互身份验证的不同通信协议，例如SSH和TLS。但是这些协议的共同点是身份验证基于唯一的设备证书，如果没有这样的证书，设备就无法对自身进行身份验证。

设备如何获得证书

这一切都始于设备拥有自己唯一的公私密钥，要生成证书，第一步是与证书颁发机构（CA）共享这对公钥。CA将通过向它发送质询来验证公钥是否属于该设备，只有拥有相应私钥的设备才能成功应对此，如果CA知道公钥属于设备，它会为它创建一个证书。

创建后，证书可以发送到设备，设备现在可以在未来的网络身份验证协议中使用它，这些网络将创建证书的特定CA视为可信来源。这使得“零信任”一词有点误导，即使不信任这些设备，也需要信任一些东西，在这种情况下，信任基于证书和提供证书的机构。

还有另一个重要方面需要考虑：私钥。私钥是构建所有安全性的基础，这是将证书与设备联系起来的原因，因为任何想要检查证书真实性的人都可以通过验证私钥来做到这一点。由于此私钥非常重要，因此应始终将其安全地存储在设备内，使攻击者永远无法读取、更改或复制此私钥，因为这会危及设备所连接的整个网络的安全性，保持私钥私有应该是任何设备的最高优先级。

私钥如何安全地存储在设备上

有几种方法可以做到这一点，首先是安全硬件的传统使用，如安全元件或可信平台模块。这些都是需要添加到设备中的安全芯片，负责创建和安全存储密钥。对于昂贵的设备，如手机和笔记本电脑来说，这是一种可接受的解决方案，但通常不能解决所有安全问题，因为还有不止一个的使用方可以访问它。然而，对于低成本物联网设备，在材料清单中添加安全芯片会增加太多成本。

一种更实惠的解决方案是将密钥对存储在设备的内存中，例如微控制器。在这种情况下，密钥对可以在制造过程中从外部提供，也可以在内部生成（如果芯片具有内部随机数生成器）。此选项的主要缺点是物联网设备的芯片不是为安全存储密钥而设计的，这意味着存在私钥可能会被攻击者破坏的严重风险。最重要的是，当从外部注入密钥时，注入这些密钥的一方是另一个需要信任并保密的实体。

对于这些用于生成和存储密钥的传统方法，还有另一种替代方法，它基于物理不可克隆功能（PUF）。

PUF在芯片制造过程中使用深亚微米变化来创建设备唯一标识符。这意味着PUF可以从芯片生成加密密钥，这些密钥对于每个芯片都是唯一的，它们永远不必存储在内存中，它们在每次需要时都会简单地（重新）生成。这消除了对外部密钥以及使用专用硬件来保护存储密钥的需要。

这就是为什么PUF迅速获得关注的原因，特别是对于低成本的物联网设备，使用PUF来创建和保护生成设备证书所需的密钥，提供了零信任架构所需的信任类型。

现在我们已经看到了安全连接网络中设备所需的所有不同的构建块。这一切都始于设备级别，通过选择正确的方式为设备提供作为唯一证书基础的密钥，零信任架构的基础得以建立。

选择的方法会因个别设备的硬件而异，不同的方法提供不同级别的安全性，但它们都有一个共同点，即需要灌输适当级别的信任，以便将私钥保密。当设备配备了公钥-私钥对时，CA可以通过为设备生成证书来提供下一个问题，一旦设备拥有此唯一证书，就可以进行相互身份验证，允许以安全方式进入建立在零信任架構上的网络。