物聯(lián)網(wǎng)（IoT）世界的一大特征就是有大量的設備需要從它們操作的環(huán)境中采集數(shù)據(jù)，并將這些信息上傳到網(wǎng)絡中或云端的分析系統(tǒng)。這些設備分布在整個網(wǎng)絡的邊緣，有時它們具備通信的能力，在其他一些情況下它們則是通過邊緣節(jié)點將數(shù)據(jù)上傳給分析系統(tǒng)。創(chuàng)建的數(shù)據(jù)是關于環(huán)境的（比如溫度、速度等），也可以是設備或系統(tǒng)操作的原始數(shù)據(jù)。

分析應用程序會處理大量的數(shù)據(jù)，它們根據(jù)這些數(shù)據(jù)做出決策，這些決策將會影響系統(tǒng)以及用戶的安全，決策背后的財務考慮可能是相當重要的。數(shù)據(jù)起著關鍵性的作用，它是信任的基礎，如果數(shù)據(jù)不可靠的話那么也就沒有多大價值。昂貴且復雜的系統(tǒng)在做出安全或操作的決策時需要信任它們處理的數(shù)據(jù)，對數(shù)據(jù)的信任會給所有系統(tǒng)帶來價值。對物聯(lián)網(wǎng)設備數(shù)據(jù)的有效依賴是建立在從設備開始的安全框架的基礎上，可信任設備才會上傳可信任的數(shù)據(jù)。

安全，身份認證以及服務提供商提供高價值成功服務是建立在穩(wěn)健的安全模型上的，它們會平衡安全成本和服務的需求，平衡用戶以及需要處理的數(shù)據(jù)。身份認證似乎總是攻擊的目標，比如用戶、應用或者設備的身份認證。身份的竊取不僅限于消費者，它會影響物聯(lián)網(wǎng)系統(tǒng)的多個方面。 身份認證是安全系統(tǒng)的基本組成部分，它是一個復雜的概念，必須要從多個維度來實現(xiàn)。它是整個生態(tài)系統(tǒng)中各個角色間建立信任的方式，推動著供應鏈以及產(chǎn)品操作安全的發(fā)展。

建立設備的身份認證物聯(lián)網(wǎng)設備的身份認證是所有組件的聚合信息，一個設備通常包括多個構(gòu)建模塊，一些是物理存在的，一些則是邏輯的。整個板卡由主要的應用處理器以及其他組件（比如DSP、GPU、NNA）組成，因此很多這些模塊將嵌套在其他模塊中。 板卡作為一個整體具有一個身份，單個的應用程序處理器也具備一個身份。軟件包括設備驅(qū)動、管理程序、運行操作系統(tǒng)和應用的虛擬機，這些組件都分別具備一個身份。

身份是一個綜合性的標識——基于設備的所有功能模塊

分布式——包括供應鏈內(nèi)的所有參與者，直到結(jié)束

設備中的每個組件，無論是物理的還是邏輯的都有自己的屬性，它可能已經(jīng)獲得認證，也可能依賴其他組件，它包含的數(shù)據(jù)可能表示標準的身份認證，比如IP地址或者MAC地址。在某些情況下該組件是一個非常安全的容器，比如SIM或eSIM，它代表蜂窩網(wǎng)絡運營商的身份以及特定的權(quán)限在規(guī)定的頻譜內(nèi)實現(xiàn)通信。 這些組件的身份可能隨著時間發(fā)生變化，IP地址和eSIM信息根據(jù)服務提供商的不同而不同，服務提供商擁有物聯(lián)網(wǎng)設備需要訪問的資源。該設備會更新它的軟件，新的應用將會被安裝，并且在新的硬件或軟件功能框架內(nèi)推出新版本，同時會具備自己的身份標識和認證。這些新組件提供了新的屬性標識，這有助于完善整個設備的身份標識。 整個設備是所有組件構(gòu)成的網(wǎng)絡，每個組件都有自己的身份憑證，從而參與設備身份標識的整體定義，并且可能有不同的第三方來驗證其身份標識和屬性。 設備和組件的認證是身份認證的一個關鍵功能。認證的應用程序需要有一個身份標識來使用安全應用程序?qū)ψ约哼M行身份驗證，并且需要第三方對其聲明進行身份驗證。然后該設備就變成了一個復雜組件的系統(tǒng)，依賴于第三方進行身份驗證。建立身份認證面臨的挑戰(zhàn)身份認證的主要挑戰(zhàn)是多樣化。有幾種標準的身份認證方案（比如MAC地址（IEEE）、IP地址（IETF、蜂窩網(wǎng)絡SIM（GSMA），TCG/TPM）。還有一些事實上的行業(yè)標準，比如安卓，一家公司可以強加在整個生態(tài)系統(tǒng)上的身份認證框架。然而當涉及到應用程序、虛擬機和各種硬件組件時卻沒有標準，行業(yè)內(nèi)標準的多樣化使得定義的一致性變得極具挑戰(zhàn)性。供應鏈中的身份認證沒有了身份認證那么系統(tǒng)間的信任就不能建立，通過跟蹤板卡上硬件和軟件的身份標識客戶可以獲取其來源。在生產(chǎn)時設計了身份標識，那么在整個供應量以及操作過程中都可以完全追溯。一個設備的所有組件都能在一致性的方案中被認證而且在供應鏈中是可追溯的都是可以被信任的。

遠程設備認證是一項基本服務，允許設備（比如物聯(lián)網(wǎng)設備）或其他終端向依賴方、服務器或服務來驗證自身。這使得依賴方能夠了解設備的特性并判斷其可靠性。這個概念適用于設備中的所有子組件。 遠程認證是其他協(xié)議和服務的基礎，這些協(xié)議和服務需要了解設備的可靠性。一個例子是在設備上進行生物匹配認證。依賴方需要知道設備能否進行安全和正確的匹配，另一個例子是內(nèi)容保護，依賴方希望知道設備將會保護的數(shù)據(jù)。在允許設備訪問公司數(shù)據(jù)之前企業(yè)需要知道該設備是否值得信任。認證的概念包括：

設備硬件制造和型號的認證

處理器制造和型號的認證，特別是面向安全的芯片組

設備上運行軟件的檢測

設備的配置和狀態(tài)

設備的環(huán)境特征，比如GPS定位

為了在物聯(lián)網(wǎng)市場上實現(xiàn)統(tǒng)一的身份認證，這個行業(yè)定義了實體認證令牌（EAT），這個概念正在被國際互聯(lián)網(wǎng)工程任務小組（IETF）標準化。身份認證格式的標準化合作是解決這個問題的關鍵，幾乎沒有行業(yè)的參與者能夠成功的將自己的身份認證規(guī)范強加于某個行業(yè)。參與到標準化組織中來是成功的關鍵，通過公開透明的合作可以定義經(jīng)過驗證的、符合全球標準并且滿足安全需求的方案。 實體認證令牌（EAT）的概念是基于二進制對象表示（CBOR）令牌的規(guī)則，這個規(guī)范在國際互聯(lián)網(wǎng)工程任務小組（IETF）的RFC 77049條款中是經(jīng)過標準化的，它支持多種數(shù)據(jù)類型，這種格式非常的緊湊，可以在小型物聯(lián)網(wǎng)設備中實現(xiàn)。認證部分可以在聲明中定義，設備級別的實體認證令牌（EAT）由設備的子模塊EAT組成。每個可以創(chuàng)建EAT的模塊都可以通過專屬的信任權(quán)限來實現(xiàn)這一點。認證部分應該由EAT用戶（通常是依賴方）通過密碼來驗證。 然而EAT的概念只定義了一個高級的架構(gòu)來描述一個組件的身份標識以及屬性。認證特定的用例和場景并且為EAT概念建立標準化規(guī)范變得非常的重要，這種方法消除了多樣化，它將整個行業(yè)歸結(jié)到一種身份標識格式（EAT）規(guī)范下，并讓各個行業(yè)定義特定的標準化配置文件。行業(yè)內(nèi)此類活動的一個例子就是FIDO聯(lián)盟的成立，該聯(lián)盟致力于物聯(lián)網(wǎng)設備認證規(guī)范的制定，從而實現(xiàn)依賴方與物聯(lián)網(wǎng)設備之間的互操作性。 標準化的身份認證將會大大提高物聯(lián)網(wǎng)系統(tǒng)的安全性，它將使得設備內(nèi)的所有組件都是可追溯的，它們將貫穿整個供應鏈，一直到最終用戶和消費者。這也有助于進行數(shù)據(jù)分析，操作期間可以不用重復輸入密碼，此外還將支持一些高級的功能，比如動態(tài)登錄、設備與應用程序的綁定。設備的登錄和綁定可信任的數(shù)據(jù)采用標準化的身份認證格式，并且遵循一定的安全機制實現(xiàn)設備與分析應用程序間的綁定。

實現(xiàn)設備與應用程序綁定的可信的安全機制是給分析系統(tǒng)提供可信任數(shù)據(jù)的基礎，F(xiàn)IDO聯(lián)盟則致力于設計這些協(xié)議，目的是將整個物聯(lián)網(wǎng)市場標準化，采用一種共同的身份格式以及綁定機制?？偨Y(jié)和建議身份認證是物聯(lián)網(wǎng)系統(tǒng)中安全和可信任數(shù)據(jù)的基礎。 建議行業(yè)內(nèi)提倡采用如下措施：

標準化的身份認證格式：IETF/EAT

標準化的登錄和綁定協(xié)議：FIDO聯(lián)盟/IETF

標準化的云服務API，實現(xiàn)設備身份以及所有權(quán)的可追溯性