Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27071:建立设备与服务之间可信连接的安全建议
在物联网时代构建信任基础
引言:超连接世界中的信任
ISO/IEC 27071 解决了连接时代最紧迫的安全挑战之一:在设备和服务之间建立可信连接。随着物联网扩展到涵盖数百亿台设备——从工业传感器和医疗植入物到智能家居设备和自动驾驶汽车——在先前未知的端点之间建立和维护信任的需求变得至关重要。该标准提供了覆盖整个信任生命周期的安全建议:设备身份配置、基于硬件的信任根建立、证明和验证、安全通信通道建立以及信任撤销和更新。这些建议适用于多种部署场景,包括企业物联网、消费设备、工业控制系统和关键基础设施。
信任不是二元的。ISO/IEC 27071 认可适用于不同风险上下文的信任级别——智能灯泡需要的信任模型与医疗胰岛素泵不同。该标准提供了一个将信任机制与风险匹配的框架,而不是一刀切的方法。
硬件信任根与设备身份
任何可信连接的基础都是可验证的、植根于硬件的设备身份。ISO/IEC 27071 为硬件信任根的实施提供了详细建议,包括安全元件集成、可信平台模块(TPM)的利用以及物理不可克隆函数(PUF)技术。该标准强调,设备身份必须在受控的制造环境中配置,证书或密钥注入应在硬件验证之后、设备进入供应链之前进行。建议涵盖安全密钥存储(防篡改、防侧信道攻击)、唯一设备密钥生成以及大规模制造中的证书生命周期管理——可能涉及数百万台设备。
| 信任机制 | 安全属性 | 每台设备成本 | 最适用于 |
|---|---|---|---|
| 硬件安全模块(HSM)+证书 | 最高保证;FIPS 140-2/3认证;抗物理和侧信道攻击 | 高(5-25美元) | 关键基础设施、医疗设备、支付终端 |
| 可信平台模块(TPM)2.0 | 强保证;标准化接口;支持远程证明和度量启动 | 中(2-8美元) | 企业物联网网关、工业控制器、边缘服务器 |
| 物理不可克隆函数(PUF) | 唯一设备指纹;无需密钥存储;抗侵入式攻击 | 低(0.10-0.50美元) | 大批量消费类物联网、传感器网络、一次性设备 |
| 纯软件密钥存储 | 基本保证;易受OS入侵;对低风险应用可能足够 | 极低(纯软件) | 非关键消费应用、开发/测试设备 |
大规模部署基于硬件的信任根的组织发现,单位成本溢价被设备入网的操作开销减少、密钥管理简化以及设备物理受损时事件响应成本的大幅降低所抵消。当生命周期成本被纳入考量时,ROI计算会发生巨大变化。
远程证明与验证协议
建立可信连接不仅需要拥有设备身份——依赖方必须验证设备在连接时处于已知的可信状态。ISO/IEC 27071 涉及远程证明协议,使设备能够提供其当前软件状态、硬件配置和安全态势的加密证据。该标准涵盖了静态证明(系统启动时的度量启动状态)和动态证明(运行时完整性度量),并提供了关于证明频率、通过基于随机数的挑战实现新鲜度保证以及隐私保护证明技术的建议,以减少设备内部状态信息的披露。
验证基础设施——包括证明验证服务器、证书撤销状态检查和设备健康评分——必须根据部署的规模和延迟要求进行设计。该标准涉及验证缓存策略、适用于间歇性连接设备的离线证明支持,以及基于证明置信水平的分级信任决策。如果设备未能通过证明,该标准建议分级响应,从受限网络访问(隔离VLAN)到在完全访问前进行强制软件更新,再到对具有严重安全违规的设备完全拒绝连接。
远程证明协议可能因泄露有关设备软件配置和补丁状态的详细信息而引入隐私风险。该标准建议实施仅披露建立信任所需的最低限度信息的证明机制,在适当情况下使用零知识证明技术来验证安全属性而不披露底层状态细节。
安全通道建立与生命周期管理
一旦通过身份验证和证明建立了信任,设备和服务必须建立安全通信通道。ISO/IEC 27071 提供了针对资源受限设备优化的TLS 1.3部署建议,包括会话恢复技术、证书固定考虑以及平衡安全性与计算开销的密码套件选择。对于资源极度受限的设备,该标准涵盖了替代安全通道协议,如用于UDP通信的DTLS、用于CoAP环境的OSCORE,以及适用于处理能力和内存有限的微控制器的轻量级密码原语。
信任生命周期管理包括证书更新、设备退役和信任撤销。该标准建议使用自动化证书注册协议(EST、CMP或ACME)进行设备证书更新,在证书有效期的50%时触发主动更新,以避免因凭证过期导致连接中断。信任撤销——无论是由于设备受损、生命周期终止还是安全策略变更——都需要一个及时可靠的机制来向依赖方分发撤销信息。该标准涉及在线撤销状态协议(用于性能受限环境的OCSP装订)、用于批量场景的撤销列表,以及在断开连接或间歇性连接的部署环境中撤销的关键考虑。
物联网环境中的证书撤销与传统的Web PKI撤销有根本不同。许多物联网设备离线或间歇性连接运行,无法在每次连接前检查撤销状态。该标准建议将短生命周期证书(数小时到数天)作为物联网部署中撤销列表的实用替代方案,并在有连接时更新本地撤销缓存。
常见问题解答
问:ISO/IEC 27071 是否适用于缺乏硬件安全能力的现有棕地设备?
答:适用,该标准包括棕地部署的过渡性指导。基于软件的信任机制可应用于现有设备,硬件安全升级优先用于高风险设备。该标准建议基于风险的迁移规划和对无法满足硬件信任根要求的设备的补偿控制措施。
答:适用,该标准包括棕地部署的过渡性指导。基于软件的信任机制可应用于现有设备,硬件安全升级优先用于高风险设备。该标准建议基于风险的迁移规划和对无法满足硬件信任根要求的设备的补偿控制措施。
问:该标准如何处理设备身份配置的供应链信任?
答:该标准专门关注身份配置的供应链安全,包括安全制造设施、经审计的密钥注入过程、防篡改包装以及设备激活前的制造后身份验证的建议。
答:该标准专门关注身份配置的供应链安全,包括安全制造设施、经审计的密钥注入过程、防篡改包装以及设备激活前的制造后身份验证的建议。
问:ISO/IEC 27071 与 Matter / FIDO / GlobalPlatform 标准的关系是什么?
答:ISO/IEC 27071 是一个框架级标准,不替代而是补充行业特定标准。实施 Matter、FIDO 或 GlobalPlatform 规范的组织可以将27071作为总体信任架构指南,具体协议则提供实施细节。
答:ISO/IEC 27071 是一个框架级标准,不替代而是补充行业特定标准。实施 Matter、FIDO 或 GlobalPlatform 规范的组织可以将27071作为总体信任架构指南,具体协议则提供实施细节。
问:组织应如何处理跨制造商信任互操作性?
答:该标准建议建立所有生态系统参与者公认的公共信任锚层次结构(设备信任根CA),结合标准化的证明格式(例如EAT / 实体证明令牌)和互操作性测试计划。跨制造商信任需要超出任何单个组织范围的治理结构。
答:该标准建议建立所有生态系统参与者公认的公共信任锚层次结构(设备信任根CA),结合标准化的证明格式(例如EAT / 实体证明令牌)和互操作性测试计划。跨制造商信任需要超出任何单个组织范围的治理结构。
