IT管理員可以根據(jù)延遲和數(shù)據(jù)需求，確定哪種物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)類(lèi)型(例如單向或三向)將為他們提供最佳服務(wù)。

物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)是網(wǎng)絡(luò)安全的重要組成部分，無(wú)論消費(fèi)者是在智能家居設(shè)備上實(shí)現(xiàn)它們還是在數(shù)百個(gè)跟蹤和監(jiān)視大規(guī)模工作流和資源的物聯(lián)網(wǎng)設(shè)備上實(shí)現(xiàn)企業(yè)。

[[375554]]

物聯(lián)網(wǎng)設(shè)備的核心只是連接即可共享數(shù)據(jù)。在使用大量設(shè)備的情況下，確保這些連接的安全至關(guān)重要。物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)可以做到這一點(diǎn)。鑒于連接到組織網(wǎng)絡(luò)的設(shè)備數(shù)量眾多，IT管理員無(wú)法忘記安全策略的這一部分。

物聯(lián)網(wǎng)授權(quán)和認(rèn)證策略始于了解組織如何使用物聯(lián)網(wǎng)設(shè)備以及設(shè)備如何與其網(wǎng)絡(luò)進(jìn)行通信。

什么是身份驗(yàn)證和授權(quán)?

身份驗(yàn)證是設(shè)備標(biāo)識(shí)的過(guò)程，而授權(quán)則提供權(quán)限。物聯(lián)網(wǎng)設(shè)備使用這些過(guò)程進(jìn)行基于角色的訪問(wèn)控制，并確保設(shè)備僅具有訪問(wèn)和許可權(quán)才能完全執(zhí)行所需的操作。只有授權(quán)的設(shè)備才能與其他設(shè)備，應(yīng)用程序，云帳戶和網(wǎng)關(guān)進(jìn)行交互。

管理員在將每個(gè)設(shè)備部署到系統(tǒng)上時(shí)對(duì)其進(jìn)行注冊(cè)。當(dāng)設(shè)備連接并共享數(shù)據(jù)時(shí)，系統(tǒng)會(huì)對(duì)其進(jìn)行驗(yàn)證。許多組織使用公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)將設(shè)備與來(lái)自證書(shū)頒發(fā)機(jī)構(gòu)的公共密鑰證書(shū)鏈接在一起，以分配和驗(yàn)證設(shè)備身份。PKI在網(wǎng)絡(luò)上建立物聯(lián)網(wǎng)設(shè)備的合法性以共享數(shù)據(jù)。

強(qiáng)大的物聯(lián)網(wǎng)身份驗(yàn)證可防止來(lái)自未授權(quán)用戶或試圖通過(guò)目標(biāo)設(shè)備訪問(wèn)網(wǎng)絡(luò)的外部設(shè)備的控制命令。該安全措施可防止攻擊者聲稱其行為來(lái)自網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備，因此無(wú)法訪問(wèn)更廣泛網(wǎng)絡(luò)中的數(shù)據(jù)。

組織有多種方法來(lái)驗(yàn)證和授權(quán)物聯(lián)網(wǎng)設(shè)備，這取決于設(shè)備，設(shè)備所發(fā)送或接收的數(shù)據(jù)的位置和性質(zhì)。

了解三種身份驗(yàn)證和授權(quán)模型

安全分為兩大類(lèi)：分布式和集中式。在分布式模型中，設(shè)備存儲(chǔ)證書(shū)和身份并驗(yàn)證授權(quán)。在集中式模型中，集中式服務(wù)器或受信任的第三方應(yīng)用程序分發(fā)和管理物聯(lián)網(wǎng)設(shè)備的身份驗(yàn)證證書(shū)。當(dāng)設(shè)備連接到網(wǎng)絡(luò)時(shí)，證書(shū)的中央存儲(chǔ)庫(kù)將執(zhí)行驗(yàn)證和身份驗(yàn)證。

根據(jù)物聯(lián)網(wǎng)設(shè)備的性質(zhì)，分布式和集中式模型的組合可以確保最有效和安全的管理。

取決于組織的物聯(lián)網(wǎng)設(shè)備的性質(zhì)，分布式和集中式模型的組合可以確保最有效和安全的管理。

管理員可以部署三種主要的物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)安全協(xié)議和選項(xiàng)：

(1) 分布式單向身份驗(yàn)證。

每當(dāng)有兩個(gè)設(shè)備決定連接時(shí)，例如物聯(lián)網(wǎng)傳感器和網(wǎng)關(guān)，該協(xié)議便會(huì)指示只有一個(gè)設(shè)備向另一個(gè)設(shè)備進(jìn)行身份驗(yàn)證，而第二個(gè)設(shè)備未經(jīng)過(guò)身份驗(yàn)證。一臺(tái)設(shè)備通過(guò)密碼哈?；驍?shù)字證書(shū)向第二臺(tái)設(shè)備注冊(cè)為有效。當(dāng)?shù)谝慌_(tái)設(shè)備嘗試連接時(shí)，第二臺(tái)設(shè)備檢查密碼或證書(shū)，并將其與存儲(chǔ)的信息進(jìn)行比較。如果信息匹配，則設(shè)備授權(quán)連接。

單向身份驗(yàn)證最適合僅連接到另一設(shè)備的設(shè)備。這些設(shè)備仍需要安全機(jī)制，但不需要持續(xù)監(jiān)視。

(2) 分布式雙向認(rèn)證。

也稱為相互身份驗(yàn)證，當(dāng)兩個(gè)設(shè)備在通信之前互相進(jìn)行身份驗(yàn)證時(shí)使用此協(xié)議。每個(gè)設(shè)備必須為另一個(gè)設(shè)備存儲(chǔ)一個(gè)唯一的數(shù)字身份，然后比較身份。僅當(dāng)?shù)谝慌_(tái)設(shè)備信任第二臺(tái)設(shè)備的數(shù)字證書(shū)時(shí)，設(shè)備才能連接，反之亦然。傳輸層安全協(xié)議交換并比較證書(shū)。

在線電子商務(wù)交易和高度敏感的數(shù)據(jù)傳輸通常使用此協(xié)議。

(3) 集中式三向身份驗(yàn)證。

在這種方法中，管理員向中央機(jī)構(gòu)或服務(wù)器注冊(cè)設(shè)備，并將設(shè)備與有效的數(shù)字證書(shū)關(guān)聯(lián)。中央權(quán)威機(jī)構(gòu)促進(jìn)了希望通信的兩個(gè)設(shè)備之間的安全握手。在三向身份驗(yàn)證中，安全證書(shū)不會(huì)存儲(chǔ)在設(shè)備上，也不會(huì)被犯罪分子竊取，但是設(shè)備仍然具有很強(qiáng)的安全性。

這種方法最適合始終連接的設(shè)備或按需訪問(wèn)互聯(lián)網(wǎng)設(shè)備，因?yàn)樗巳魏紊矸蒡?yàn)證延遲。證書(shū)和密鑰生命周期管理服務(wù)可以集中管理證書(shū)，并連接到網(wǎng)絡(luò)上任何需要驗(yàn)證的設(shè)備。

考慮用于物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)的通信協(xié)議

為了選擇正確的物聯(lián)網(wǎng)身份驗(yàn)證和授權(quán)策略方法，組織必須考慮用于保護(hù)數(shù)據(jù)和機(jī)器標(biāo)識(shí)的技術(shù)。

IT管理員必須監(jiān)視網(wǎng)絡(luò)中的計(jì)算機(jī)身份，以確保只有授權(quán)的設(shè)備才能連接網(wǎng)絡(luò)并與之通信。當(dāng)未經(jīng)授權(quán)的設(shè)備嘗試連接時(shí)，管理員還可以獲得警報(bào)。

網(wǎng)絡(luò)用于連接和共享數(shù)據(jù)的通信協(xié)議對(duì)于物聯(lián)網(wǎng)設(shè)備安全性也至關(guān)重要。例如，X.509證書(shū)可為證書(shū)提供安全性，但可能會(huì)使用過(guò)多的計(jì)算能力，互聯(lián)網(wǎng)帶寬和電力，因此無(wú)法用于物聯(lián)網(wǎng)設(shè)備。

當(dāng)系統(tǒng)對(duì)設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)時(shí)，網(wǎng)絡(luò)使用的PKI可能會(huì)導(dǎo)致連接問(wèn)題。使用鏈接的數(shù)字證書(shū)的設(shè)備可能需要更多帶寬來(lái)驗(yàn)證自己并允許通信。

消息隊(duì)列遙測(cè)傳輸(MQTT)是一種更加高效，占用空間較小的協(xié)議，該協(xié)議已迅速成為物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。作為一種集中式的物聯(lián)網(wǎng)安全方法，MQTT將客戶端(例如物聯(lián)網(wǎng)設(shè)備)連接到存儲(chǔ)數(shù)字身份和證書(shū)的代理。

組織將消息隊(duì)列遙測(cè)傳輸(MQTT)集成到各種網(wǎng)絡(luò)監(jiān)視和管理系統(tǒng)中，從而使IT專(zhuān)業(yè)人員能夠以可擴(kuò)展的方式監(jiān)視數(shù)千個(gè)物聯(lián)網(wǎng)設(shè)備。該協(xié)議為設(shè)備之間的通信帶寬提供了自定義選項(xiàng)，并確保數(shù)據(jù)在設(shè)備之間順暢安全地傳輸。