Перевірка справжності пристрою на основі сертифікату X.509

У кожній мережі є суб'єкти двох типів: люди і машини, і обидва вони повинні бути захищені. Люди покладаються на імена користувачів і паролі, але машини використовують ключі та сертифікати для зв'язку між машиною й аутентифікацією. Мільярди щорічно витрачаються на управління посвідченнями і доступом, але практично всі вони витрачаються на забезпечення безпеки імен користувачів і паролів, і майже ніхто не захищає ключі та сертифікати. Незахищені ідентифікатори машин є приманкою для кіберзлочинців. Вони використовують незахищені ключі та сертифікати для підслуховування приватних повідомлень, роблять фішингові сайти або шкідливий код дійсними і приховують свою нечесну активність в зашифрованому трафіку, в результаті чого шкідлива програма і конфіденційні дані виходять з неї.

Використання сертифікату X.509 на основі пристрою і пов'язаної з ним пари закритого і відкритого ключа дозволяє виконувати додаткову перевірку справжності на фізичному рівні. Закритий ключ зберігається в захищеному сховищі на пристрої. Його виявлення за межами пристрою неможливо. Сертифікат X.509 містить відомості про пристрій (ідентифікатор пристрою та інші організаційні дані). Підпис сертифіката створюється за допомогою закритого ключа. Спілкування речей відбувається приблизно так:

• Налаштування зв'язку ідентифікатора з фізичним посвідченням «пристрій - пристрій» і (або) сертифікатом Х.509, який зіставлений з пристроєм ще на етапі виготовлення або пусконалагоджувальних робіт.
• Створення відповідного запису посвідчення в посвідченні «IoT Hub - пристрій» і додавання даних про пов'язаний пристрій до реєстру пристроїв IoT Hub.ния
• Захищене зберігання відбитка сертифіката Х.509 в реєстрі пристрою IoT Hub.

Кореневий сертифікат на пристрої IoT

В процесі установки захищеного з'єднання TLS зі службою IoT Hub пристрій IoT виконує перевірку справжності служби за допомогою кореневого сертифіката, який входить в пристрій. Сертифікат знаходиться в корені репозиторія. Ці кореневі сертифікати видаються на певний час, термін їх дії може закінчитися або вони можуть бути відкликані. Якщо сертифікат неможливо оновити на пристрої, то наступне підключення пристрою до IoT Hub або іншої хмарної служби може також бути недоступним. Ці ризики можна зменшити завдяки ефективним інструментам для поновлення кореневих сертифікатів після розгортання пристрою IoT.

Ринок IoT сильно фрагментований: виробництвом підключених пристроїв займаються тисячі виробників, які не домовляються один з одним про будь-яки стандарти: на якій платформі працювати, які частоти використовувати, як підключатися до інтернету і так далі ... це міна уповільненої дії, яку необхідно своєчасно знешкодити ...