IT管理員可以根據延遲和數據需求，確定哪種物聯網身份驗證和授權類型(例如單向或三向)將為他們提供最佳服務。

物聯網身份驗證和授權是網絡安全的重要組成部分，無論消費者是在智能家居設備上實現它們還是在數百個跟蹤和監視大規模工作流和資源的物聯網設備上實現企業。

[[375554]]

物聯網設備的核心只是連接即可共享數據。在使用大量設備的情況下，確保這些連接的安全至關重要。物聯網身份驗證和授權可以做到這一點。鑒于連接到組織網絡的設備數量眾多，IT管理員無法忘記安全策略的這一部分。

物聯網授權和認證策略始于了解組織如何使用物聯網設備以及設備如何與其網絡進行通信。

什么是身份驗證和授權?

身份驗證是設備標識的過程，而授權則提供權限。物聯網設備使用這些過程進行基于角色的訪問控制，并確保設備僅具有訪問和許可權才能完全執行所需的操作。只有授權的設備才能與其他設備，應用程序，云帳戶和網關進行交互。

管理員在將每個設備部署到系統上時對其進行注冊。當設備連接并共享數據時，系統會對其進行驗證。許多組織使用公共密鑰基礎結構(PKI)將設備與來自證書頒發機構的公共密鑰證書鏈接在一起，以分配和驗證設備身份。PKI在網絡上建立物聯網設備的合法性以共享數據。

強大的物聯網身份驗證可防止來自未授權用戶或試圖通過目標設備訪問網絡的外部設備的控制命令。該安全措施可防止攻擊者聲稱其行為來自網絡上的物聯網設備，因此無法訪問更廣泛網絡中的數據。

組織有多種方法來驗證和授權物聯網設備，這取決于設備，設備所發送或接收的數據的位置和性質。

了解三種身份驗證和授權模型

安全分為兩大類：分布式和集中式。在分布式模型中，設備存儲證書和身份并驗證授權。在集中式模型中，集中式服務器或受信任的第三方應用程序分發和管理物聯網設備的身份驗證證書。當設備連接到網絡時，證書的中央存儲庫將執行驗證和身份驗證。

根據物聯網設備的性質，分布式和集中式模型的組合可以確保最有效和安全的管理。

取決于組織的物聯網設備的性質，分布式和集中式模型的組合可以確保最有效和安全的管理。

管理員可以部署三種主要的物聯網身份驗證和授權安全協議和選項：

(1) 分布式單向身份驗證。

每當有兩個設備決定連接時，例如物聯網傳感器和網關，該協議便會指示只有一個設備向另一個設備進行身份驗證，而第二個設備未經過身份驗證。一臺設備通過密碼哈希或數字證書向第二臺設備注冊為有效。當第一臺設備嘗試連接時，第二臺設備檢查密碼或證書，并將其與存儲的信息進行比較。如果信息匹配，則設備授權連接。

單向身份驗證最適合僅連接到另一設備的設備。這些設備仍需要安全機制，但不需要持續監視。

(2) 分布式雙向認證。

也稱為相互身份驗證，當兩個設備在通信之前互相進行身份驗證時使用此協議。每個設備必須為另一個設備存儲一個唯一的數字身份，然后比較身份。僅當第一臺設備信任第二臺設備的數字證書時，設備才能連接，反之亦然。傳輸層安全協議交換并比較證書。

在線電子商務交易和高度敏感的數據傳輸通常使用此協議。

(3) 集中式三向身份驗證。

在這種方法中，管理員向中央機構或服務器注冊設備，并將設備與有效的數字證書關聯。中央權威機構促進了希望通信的兩個設備之間的安全握手。在三向身份驗證中，安全證書不會存儲在設備上，也不會被犯罪分子竊取，但是設備仍然具有很強的安全性。

這種方法最適合始終連接的設備或按需訪問互聯網設備，因為它消除了任何身份驗證延遲。證書和密鑰生命周期管理服務可以集中管理證書，并連接到網絡上任何需要驗證的設備。

考慮用于物聯網身份驗證和授權的通信協議

為了選擇正確的物聯網身份驗證和授權策略方法，組織必須考慮用于保護數據和機器標識的技術。

IT管理員必須監視網絡中的計算機身份，以確保只有授權的設備才能連接網絡并與之通信。當未經授權的設備嘗試連接時，管理員還可以獲得警報。

網絡用于連接和共享數據的通信協議對于物聯網設備安全性也至關重要。例如，X.509證書可為證書提供安全性，但可能會使用過多的計算能力，互聯網帶寬和電力，因此無法用于物聯網設備。

當系統對設備進行身份驗證和授權時，網絡使用的PKI可能會導致連接問題。使用鏈接的數字證書的設備可能需要更多帶寬來驗證自己并允許通信。

消息隊列遙測傳輸(MQTT)是一種更加高效，占用空間較小的協議，該協議已迅速成為物聯網安全標準。作為一種集中式的物聯網安全方法，MQTT將客戶端(例如物聯網設備)連接到存儲數字身份和證書的代理。

組織將消息隊列遙測傳輸(MQTT)集成到各種網絡監視和管理系統中，從而使IT專業人員能夠以可擴展的方式監視數千個物聯網設備。該協議為設備之間的通信帶寬提供了自定義選項，并確保數據在設備之間順暢安全地傳輸。