使用SSL /保护物联网(IoT)的安全TLS

介绍

从家庭安全摄像机和门锁到机顶盒,恒温器,厨房用具,医疗设备和交通信号灯,自2000年代初以来,与互联网连接的设备数量一直以惊人的速度增长。 估计有所不同,但根据 信息图表 物联网由英特尔发布,物联网在2年包括2006亿个“智能”对象,预计到200年,物联网将增加2020倍,达到XNUMX亿个设备。 地球上每个人的26种物联网设备.

物联网的爆炸性增长伴随着严重的安全漏洞和痛苦。 一个 2017年Altman Vilandrie&Company对大约400位IT高管的调查 表示几乎一半的受访公司都经历了至少一项与物联网相关的安全漏洞,漏洞的成本占“小公司总收入的13.4%,大公司总收入的亿万美元。”

对于大多数消费者而言,离家更近,令人恐惧的新闻故事 监控摄像头 智能锁越来越普遍。 在DEF CON 2016上,来自Merculite Security的研究人员 突出显示了常用智能锁中的多个安全漏洞,包括 四个使用明文密码的制造商发货锁。 使用这种锁监视网络通信的任何人都可以轻松检索密码,这对于旨在保护家庭,房屋和财产安全的设备而言是不可接受的。

SSL /TLS 用于物联网

随着社会越来越依赖于他们的产品并意识到漏洞,互联网连接的智能设备的制造商和销售商不再对安全性沾沾自喜。 物联网企业可以采取的重要步骤之一是安装公共信任的SSL /TLS 在其设备上进行身份验证和加密的证书。

SSL /TLS 协议用途 非对称加密 保护Internet上两台计算机之间共享的数据。 此外,SSL /TLS 确保验证服务器和/或客户端的身份。 在最常见的情况下,HTTPS服务器为访问者的浏览器提供了 证书 已由公众信任的数字签名 证书颁发机构 (CA)喜欢 SSL.com。 SSL /背后的数学TLS 确保在密钥足够大的情况下,几乎不可能伪造CA的数字签名证书。 公共CA在颁发证书之前会验证申请人的身份。 他们还受到操作系统和Web浏览器提供商的严格审核,以接受并维护。 信托商店 (受信任的列表 根证书 已安装浏览器和OS软件)。

简而言之,如果一个网站具有由公共信任的CA签名的证书,则Web浏览器和操作系统可以相信该网站的所有者实际上就是他们声称的身份。 尝试访问提供证书的网站的用户 不能 受到严厉的安全警告和必须点击的障碍将使公众信任。 通过x.509证书进行身份验证的相同基本原理可以应用于 电子邮件通讯, 电脑代码以及IoT设备。

SSL /TLS 也可以用来验证 客户. 例如,公司可能希望仅允许某些员工访问基于Web的应用程序,并且通过向这些员工颁发客户端证书,可以将这些证书用作访问凭证。

都SSL /TLS 客户端和服务器身份验证对物联网具有重要的意义和用途。 我们大多数人都看到过类似 Free Introduction 在尝试使用自签名证书连接到家用无线路由器之前:

Chrome信任警告

使用公共信任的SSL /TLS 证书,您的客户将永远不会在设备的管理界面上遇到类似的消息。 返回上面的示例,SSL /TLS 通过以下方式,可以使用证书来大大增强该互联网连接的“智能”门锁的安全性:

  • 安装一个 公众信任的服务器证书 处于锁定状态,因此连接到其基于Web的界面的用户将不必单击安全警告和/或为自签名证书添加安全例外;
  • 要求一个 客户证书 在用户的智能手机上访问锁的界面; 和/或
  • 加密 客户端与锁之间,或锁与其提供者的服务器之间的任何通信。 没有更多的纯文本密码!

制造商还可以在其设备中安装公共信任的客户端证书,以向第三方提供商进行身份验证。 例如,连接互联网的机顶盒制造商可以使用SSL /TLS 连接到流音频和视频提供程序时用于相互认证的证书。

性能问题

集成互联网的一个共同关注点 PKI 物联网是SSL /TLS 对于小型低功耗设备而言,它在计算上过于昂贵,对于某些较旧的旧设备而言,这可能是正确的。 但是,SSL /TLS 相对于首先传输数据的成本,特别是随着事务量的增加,协议不一定具有足够的意义。 一个 2011年研究使用移动设备消耗的能源 TLS 表示SSL /TLS 对于小于10KB的非常小的事务,开销非常大,“对于大于500KB的事务,传输实际数据所需的能量显然超过了 TLS 能源开销。”

当前,存在多种轻量级实现 TLS 可用协议来满足低功耗IoT设备的约束。 开源 TLS 工具包 (以前的MatrixSSL)可以配置为仅66KB的代码占用空间,而通过手动优化甚至可以占用更小的占用空间。 狼SSL,另一个开源SSL /TLS 库,广告的最小占用空间为20-100KB,运行时内存使用量为1-36KB。 显然,即使对于规格非常适中的设备,也已经可以实现这些数字,并且可以预见的是,嵌入式设备将进一步优化软件,并以更低的成本获得更高的性能。

SSL.com如何帮助物联网制造商

SSL.com 在物联网领域为我们的商业客户提供这些世界一流的服务和优势:

  • 定制解决方案: 作为SSL /的专家TLS, SSL.com 与物联网制造商合作,以优化其设备证书的生成,安装和生命周期。
  • 下级CA: 一个托管 下属CA (也称为 发行CA) 从 SSL.com 使制造商可以完全控制其设备的公共信任终端实体证书的颁发,而建立自己的根CA和私有CA的成本却很小 PKI 基础设施。
  • 管理工具: SSL.com的在线管理工具使设备制造商可以轻松颁发大量证书并管理其生命周期。
  • API:物联网制造商可以通过以下方式自动化证书颁发和生命周期 SSL.comSSL Web服务(SWS) API。
  • ACME: 使用自定义管理IoT设备上的证书生命周期 启用ACME的发行CA。 ACME是用于证书管理的已建立的标准协议,具有许多开源客户端实现。

随着物联网设备的数量呈指数增长, SSL.com 拥有所需的所有工具和专业知识,可以帮助制造商和供应商即使在性能最受限制的硬件上,也可以管理公共信任的安全证书的安装和生命周期。 如果已连接到Internet,我们可以帮助您保护它的安全! 请通过电子邮件与我们联系 Support@SSL.com 或有任何疑问或想了解更多信息,请致电1-SSL证书(1-775-237-8434) SSL.com的物联网解决方案。 和往常一样,感谢您的选择 SSL.com!

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。