物联网身份验证是一个框架,用于在物联网机器和设备的识别中建立确定性,以在数据通过不安全的网络(例如互联网)传输时保护数据并控制访问。需要安全的物联网身份验证,以便可以信任连接的物联网设备和机器,以防止来自未经认证的用户或设备的控制命令。
身份验证还有助于防止攻击者声称自己是物联网设备,以获取服务器上的数据,例如记录的对话、图像和其他潜在的易失性数据。
IT 管理员必须了解哪些身份验证框架可以保护数据并防止未经授权的用户访问,这一点非常重要。
识别现有的物联网设备身份验证方法
IT 专业人员可以选择各种 IoT 身份验证方法,包括数字证书、硬件信任根 (RoT) 和可信执行环境 (TEE)、双因素身份验证。
- 单向认证: 在这种情况下,当两个实体希望彼此交互时,只有一方会向另一方验证自己。
- 双向认证: 这种情况也称为相互认证,其中两个实体相互验证。
- 三向认证: 在这种情况下,中央机构对两个实体进行身份验证并协助它们相互验证。
- 分散式: 利用实体之间的分布式直接身份验证方法进行通信。
- 集中: 利用集中式服务器或受信任的第三方来分配和处理所使用的身份验证证书。
决定正确的物联网身份验证模型
如果物联网设备仅能够与经过身份验证的服务器交互,则任何外部通信都将被忽略。 根据 2018 赛门铁克威胁报告600 年至 2016 年间,物联网攻击数量增加了 2017%。
因此,当物联网设备安装在企业网络中时,需要更加关注安全性。为了解决这个问题,必须利用强大而有效的加密解决方案来规范机器之间的安全通信。
不过,为这项工作确定确切的物联网身份验证模型并不是一个容易的决定。在选择哪种架构模型最终是最佳的物联网身份验证之前,您需要考虑各种因素,例如能源资源、硬件能力、财务预算、安全专业知识、安全要求和连接性。
硬件安全模块 (HSM)
硬件安全模块用于安全的、基于硬件的设备秘密存储,是最安全的秘密存储类型之一。硬件 ROT 安全模型是一种不同的计算引擎,用于控制设备的可信计算平台加密处理器。在物联网设备中,这些限制可以保护设备免遭黑客攻击,并使其锁定在合适的网络上。硬件 RoT 可保护设备免受硬件干扰,并自动记录未经授权的活动。
可信平台模块
TEE(可信执行环境)身份验证方法通过更高级别的加密将身份验证数据与物联网设备主处理器的其余部分分开。有必要检查与物联网身份验证部署中的消息网关交互的设备的规格。一般方法是为设备启动密钥对,然后使用该密钥对来验证和加密流量。然而,基于磁盘的密钥对很容易被篡改。
TPM 分为多种形式,包括:
- 固件和软件的实现
- 离散硬件设备
- 嵌入式硬件设备
尽管典型的 TPM 具有各种加密功能,但三个关键功能与 IoT 身份验证相关:
- 安全启动
- 建立信任根 (RoT)
- 设备识别
当设备尝试连接到网络时,芯片会传递适当的密钥,并且网络会尝试将它们等同于已知的密钥。如果它们满足并且没有改变,则网络允许访问。如果不满足某些要求,设备会锁定,网络会将通知共享给合适的监控软件
TPM 还可以在供应链上的多个点使用,以确认设备没有被错误地调整。
TPM 能够将密钥安全地保留在防篡改硬件中。密钥是在 TPM 本身内生成的,因此可以防止被外部程序恢复。即使不利用可信硬件根和安全启动的功能,TPM 作为硬件密钥存储也已变得越来越重要。
使用 TPM,您无法在不破坏芯片识别并为其提供新芯片的情况下旋转密钥。尽管物理芯片保持不变,您的物联网解决方案却获得了新的认可。 TPM 认证比基于 SAS 令牌的对称密钥认证更安全,而且 TPM 芯片也可以恢复 X.509 证书。这些是使它们不同于对称密钥的几个特征。
解读物联网身份验证方法的陷阱
物联网行业目前尚无规范 物联网认证 方法,它仍然瓦解。一般来说,制造商对硬件、软件和通信协议使用不同的身份验证策略。以前,制造商并不总是在物联网设备设计和部署中遵守安全性,但他们已经开始将其作为设计过程的一个组成部分。
他们将这些方法集成到设备中,并使它们与其他安全和分析技术兼容。 物联网身份验证的深入实施对物联网安全有多种影响。尽管选择准确的方法可能具有挑战性,但不准确的选择可能会使风险成倍增加。
来源:https://www.hiotron.com/iot-device-authentication-methods/
