物联网身份验证和授权是网络安全的重要组成部分,无论消费者是在智能家居设备上实现它们还是在数百个跟踪和监视大规模工作流和资源的物联网设备上实现企业。
物联网设备的核心只是连接即可共享数据。在使用大量设备的情况下,确保这些连接的安全至关重要。物联网身份验证和授权可以做到这一点。鉴于连接到组织网络的设备数量众多,IT管理员无法忘记安全策略的这一部分。
物联网授权和认证策略始于了解组织如何使用物联网设备以及设备如何与其网络进行通信。
什么是身份验证和授权?
身份验证是设备标识的过程,而授权则提供权限。物联网设备使用这些过程进行基于角色的访问控制,并确保设备仅具有访问和许可权才能完全执行所需的操作。只有授权的设备才能与其他设备,应用程序,云帐户和网关进行交互。
管理员在将每个设备部署到系统上时对其进行注册。当设备连接并共享数据时,系统会对其进行验证。许多组织使用公共密钥基础结构(PKI)将设备与来自证书颁发机构的公共密钥证书链接在一起,以分配和验证设备身份。PKI在网络上建立物联网设备的合法性以共享数据。
强大的物联网身份验证可防止来自未授权用户或试图通过目标设备访问网络的外部设备的控制命令。该安全措施可防止攻击者声称其行为来自网络上的物联网设备,因此无法访问更广泛网络中的数据。
组织有多种方法来验证和授权物联网设备,这取决于设备,设备所发送或接收的数据的位置和性质。
了解三种身份验证和授权模型
安全分为两大类:分布式和集中式。在分布式模型中,设备存储证书和身份并验证授权。在集中式模型中,集中式服务器或受信任的第三方应用程序分发和管理物联网设备的身份验证证书。当设备连接到网络时,证书的中央存储库将执行验证和身份验证。
根据物联网设备的性质,分布式和集中式模型的组合可以确保最有效和安全的管理。
取决于组织的物联网设备的性质,分布式和集中式模型的组合可以确保最有效和安全的管理。
管理员可以部署三种主要的物联网身份验证和授权安全协议和选项:
(1) 分布式单向身份验证。
每当有两个设备决定连接时,例如物联网传感器和网关,该协议便会指示只有一个设备向另一个设备进行身份验证,而第二个设备未经过身份验证。一台设备通过密码哈希或数字证书向第二台设备注册为有效。当第一台设备尝试连接时,第二台设备检查密码或证书,并将其与存储的信息进行比较。如果信息匹配,则设备授权连接。
单向身份验证最适合仅连接到另一设备的设备。这些设备仍需要安全机制,但不需要持续监视。
(2) 分布式双向认证。
也称为相互身份验证,当两个设备在通信之前互相进行身份验证时使用此协议。每个设备必须为另一个设备存储一个唯一的数字身份,然后比较身份。仅当第一台设备信任第二台设备的数字证书时,设备才能连接,反之亦然。传输层安全协议交换并比较证书。
在线电子商务交易和高度敏感的数据传输通常使用此协议。
(3) 集中式三向身份验证。
在这种方法中,管理员向中央机构或服务器注册设备,并将设备与有效的数字证书关联。中央权威机构促进了希望通信的两个设备之间的安全握手。在三向身份验证中,安全证书不会存储在设备上,也不会被犯罪分子窃取,但是设备仍然具有很强的安全性。
这种方法最适合始终连接的设备或按需访问互联网设备,因为它消除了任何身份验证延迟。证书和密钥生命周期管理服务可以集中管理证书,并连接到网络上任何需要验证的设备。
考虑用于物联网身份验证和授权的通信协议
为了选择正确的物联网身份验证和授权策略方法,组织必须考虑用于保护数据和机器标识的技术。
IT管理员必须监视网络中的计算机身份,以确保只有授权的设备才能连接网络并与之通信。当未经授权的设备尝试连接时,管理员还可以获得警报。
网络用于连接和共享数据的通信协议对于物联网设备安全性也至关重要。例如,X.509证书可为证书提供安全性,但可能会使用过多的计算能力,互联网带宽和电力,因此无法用于物联网设备。
当系统对设备进行身份验证和授权时,网络使用的PKI可能会导致连接问题。使用链接的数字证书的设备可能需要更多带宽来验证自己并允许通信。
消息队列遥测传输(MQTT)是一种更加高效,占用空间较小的协议,该协议已迅速成为物联网安全标准。作为一种集中式的物联网安全方法,MQTT将客户端(例如物联网设备)连接到存储数字身份和证书的代理。
组织将消息队列遥测传输(MQTT)集成到各种网络监视和管理系统中,从而使IT专业人员能够以可扩展的方式监视数千个物联网设备。该协议为设备之间的通信带宽提供了自定义选项,并确保数据在设备之间顺畅安全地传输。