IT管理员可以根据延迟和数据需求确定哪种物联网身份验证和授权类型(例如单向或三向)最适合他们。物联网身份验证和授权是网络安全的重要组成部分,无论是消费者在智能家居设备上实施它们,还是企业在数百个物联网设备上大规模跟踪和监控工作流程和资源。物联网设备的核心是简单地连接以共享数据。在使用大量设备的情况下,确保这些连接的安全至关重要。IoT身份验证和授权可以做到这一点。考虑到连接到组织网络的设备数量,IT管理员不能忘记他们安全策略的这一部分。IoT授权和身份验证策略首先要了解组织如何使用IoT设备以及设备如何与其网络通信。什么是认证和授权?认证是设备识别的过程,而授权提供权限。IoT设备使用这些过程进行基于角色的访问控制,并确保设备仅具有完全执行所需操作的访问权限和权限。只有授权的设备才能与其他设备、应用程序、云帐户和网关进行交互。管理员在系统上部署每个设备时对其进行注册。设备在连接和共享数据时经过身份验证。许多组织使用公钥基础设施(PKI)将设备与来自证书颁发机构的公钥证书链接在一起,以分配和验证设备身份。PKI建立网络上物联网设备共享数据的合法性。强大的物联网身份验证可防止未经授权的用户或外部设备尝试通过目标设备访问网络的控制命令。该安全措施可防止攻击者声称他们的行为来自网络上的物联网设备,因此无法访问更广泛网络中的数据。组织有多种方法来验证和授权IoT设备,具体取决于设备、设备发送或接收的数据的位置和性质。了解三种身份验证和授权模型安全分为两大类:分布式和集中式。在分布式模型中,设备存储证书和身份并验证授权。在集中式模型中,集中式服务器或受信任的第三方应用程序分发和管理物联网设备的身份验证证书。当设备连接到网络时,证书的中央存储库会执行验证和身份验证。根据物联网设备的性质,分布式和集中式模型的组合可以确保最有效和安全的管理。根据组织物联网设备的性质,分布式和集中式模型的组合可以确保最高效和安全的管理。管理员可以部署三种主要的物联网身份验证和授权安全协议和选项:(1)分布式单向身份验证。每当两个设备决定连接时,例如物联网传感器和网关,该协议仅指示一个设备向另一个设备进行身份验证,而第二个设备则不进行身份验证。一台设备通过密码哈希或数字证书向另一台设备注册为有效。当第一台设备尝试连接时,第二台设备会检查密码或证书并将其与存储的信息进行比较。如果信息匹配,则设备授权连接。单向身份验证最适合仅连接到另一台设备的设备。这些设备仍然需要安全机制,但不需要持续监控。(2)分布式双向认证。也称为相互身份验证,当两个设备在通信之前相互验证时使用此协议。每个设备都必须为对方存储一个唯一的数字身份,然后比较身份。只有当第一台设备信任第二台设备的数字证书时,设备才能连接,反之亦然。TLS交换和比较证书。在线电子商务交易和高度敏感的数据传输通常使用此协议。(3)集中式三向认证。在这种方法中,管理员将设备注册到中央机构或服务器,并将设备与有效的数字证书相关联。中央机构促进希望通信的两个设备之间的安全握手。在三向认证中,安全凭证不存储在设备上,不法分子无法窃取,但设备仍然具有很高的安全性。此方法最适合始终连接的设备或按需访问互联网的设备,因为它消除了任何身份验证延迟。证书和密钥生命周期管理服务可以集中管理证书并连接到网络上任何需要认证的设备。考虑用于物联网身份验证和授权的通信协议为了选择正确的物联网身份验证和授权策略方法,组织必须考虑用于保护数据和机器身份的技术。IT管理员必须监控网络上的计算机身份,以确保只有授权的设备才能连接到网络并与之通信。管理员还可以在未经授权的设备尝试连接时收到警报。网络用于连接和共享数据的通信协议对于物联网设备安全也至关重要。例如,X.509证书为证书提供安全性,但可能会占用过多的计算能力、互联网带宽和电力,无法用于物联网设备。当系统对设备进行身份验证和授权时,网络使用的PKI可能会导致连接问题。使用链式数字证书的设备可能需要更多带宽来验证自身并允许通信。消息队列遥测传输(MQTT)是一种更高效、占用空间更小的协议,已迅速成为物联网安全标准。作为IoT安全的集中式方法,MQTT将客户端(例如IoT设备)连接到存储数字身份和凭证的代理。组织将消息队列遥测传输(MQTT)集成到各种网络监控和管理系统中,使IT专业人员能够以可扩展的方式监控数以千计的物联网设备。该协议为设备之间的通信带宽提供了自定义选项,并确保设备之间的数据传输顺畅和安全。
