直接回答

为每个设备分配唯一凭据。当委托信任、互操作的双向 TLS 或独立的验证方关系需要公钥基础设施时使用证书。当设备与一个严格受控的服务共享更简单的信任域,且受限硬件使公钥操作不切实际时使用唯一的对称密钥。决定性问题不是凭据格式,而是在集群规模下的安全配置、硬件保护、轮换、吊销、恢复和退役。

范围与边界

本比较覆盖设备认证凭据。它不决定用户身份、负载加密、固件签名或授权。有效证书证明持有私钥并按策略绑定属性;它不自动授予主题或租户访问权限。

对称密钥模型

唯一的对称密钥可以支持挑战-响应或通过定义的协议建立安全通道。它避免了证书解析,可以适配受限的安全元件。验证方必须拥有或派生密钥材料,这集中了风险。绝不能使用一个集群级的共用密钥:一个设备的攻破会冒充所有同行设备,并使选择性吊销不可能。

定义后端是存储每个密钥、从受保护的主密钥派生还是将验证委托给 HSM。派生设计需要域分离以及在不暴露主密钥的情况下吊销单个设备的能力。运维人员和应用数据库不应读取原始密钥。

证书模型

每个设备持有一个私钥和由可信签发方签名的证书。验证方可以在不知道私钥的情况下认证,证书链支持制造或产品下级签发。证书携带签发方、主体或设备标识符、有效期、密钥用法和策略约束。它们增加了 CA 治理、注册、链验证、时间处理和信任库生命周期。

对于没有可靠时钟的设备,应有计划地处理证书有效期检查而非禁用它们。轮换可以使用重叠信任和现有密钥证明或注册机构。将 CA 密钥与在线注册服务分开保护,并按产品和用途约束下级签发方。

决策准则

评估硬件密钥保护、制造环境、独立验证方数量、离线验证、支持的 TLS 协议栈、消息和握手开销、设备生命周期、归属转移、监管需求和事件响应。在目标硬件上测量确切的算法和证书链;避免泛泛地声称某种方案总是更轻量。

生命周期流程

  1. 在受控的配置边界内创建唯一身份和凭据材料。
  2. 将其绑定到硬件、产品和制造证据。
  3. 在硬件支持的情况下使私钥或对称密钥不可导出。
  4. 将归属激活与不可变的产品身份分离。
  5. 从服务端设备和租户记录授权,而非仅凭证书文本。
  6. 在过期或密码学弃用之前以重叠和回滚方式轮换。
  7. 在文档化的执行窗口内吊销被攻破的设备。
  8. 恢复出厂、转移和退役设备时不复活旧的归属。

失败模式

复制的出厂密钥会产生克隆。证书可能有效但映射到错误的租户。验证方从不刷新时吊销列表无效。时钟错误的设备可能拒绝每个续订的证书。恢复凭据与主密钥存储在一起可能同时失效。CA 攻破的影响范围比单个设备密钥更大,而对称验证方泄露可能暴露多个设备密钥。

实施清单

  • 每个设备都有唯一的、与资产清单绑定的凭据。
  • 密钥在文档化的信任边界内生成和存储。
  • 认证和授权映射分离。
  • 轮换、重叠、吊销、归属转移和退役已经过测试。
  • CA 或对称主密钥材料受 HSM 保护且严格治理。
  • 时钟丢失和长时间离线有明确的策略。
  • 算法和证书链大小在目标硬件和网络上经过测试。
  • 攻破演练证明选择性遏制。

配置与事件证据

保留按批次的配置系统版本、签发方或派生域、硬件密钥槽、身份绑定和验证结果记录,不导出密钥材料。抽样成品设备以证明身份唯一且后端将其映射到正确的产品记录。测试失败的配置以使部分创建的身份不能在之后激活。

为事件准备就绪,测量阻止一个凭据、一个制造批次和一个签发层级所需的时间,同时未受影响的设备继续运行。排练设备在超出正常续订窗口的离线后的轮换。记录哪些服务缓存了认证或吊销决策及其最大过期时间。有意义的安全属性是整个生命周期的遏制攻破,而非简单的一次双向认证成功。

审查密码敏捷性但不承诺轻松的算法替换。记录支持的密码原语、密钥大小、安全元件限制、协议协商和更新依赖。未来的迁移需要重叠信任和经过测试的设备代码;一个名为 algorithm 的数据库字段不是集群迁移计划。

主要参考来源

NISTIR 8259A定义了设备标识和配置能力。NIST SP 800-57 Part 1涵盖密码密钥管理原则,RFC 5280定义了 Internet X.509 证书和 CRL 配置文件。实现时使用适用的协议配置文件和硬件厂商文档。