Was ist starke Authentifizierung und warum sind mit dem Netzwerk verbundene Geräte darauf angewiesen?
Autor: Héctor Tejero Arrow Electronics
Einführung
Die Authentifizierung ist für Unternehmensanwendungen unerlässlich. Durch die Überprüfung der Identität von Benutzern, Geräten und Systemeinheiten stellen Anwendungen sicher, dass nur autorisiertes Personal, Geräte oder Systeme Zugriff auf vertrauliche Informationen und Ressourcen haben, wodurch das Risiko von Datenschutzverletzungen verringert wird.
Im Kontext des IoT lohnt es sich, verschiedene Authentifizierungsmethoden zu erkunden, beispielsweise die zertifikatbasierte Authentifizierung und die tokenbasierte Authentifizierung. Das von IoT-Geräten verwendete Authentifizierungsmaterial ist normalerweise in einem Hardware-Root of Trust (RoT) geschützt, der von einer vertrauenswürdigen Ausführungsumgebung verwaltet wird. RoT ist eine Komponente oder ein Satz von Komponenten, die eine sichere Grundlage für die Sicherheitsmechanismen eines Systems bilden. RoT ist von entscheidender Bedeutung, um Vertrauen in ein System aufzubauen und seinen sicheren Betrieb zu gewährleisten.
RoT stellt eine Reihe kryptografischer/Vertrauensdienste und kryptografischer Operationen bereit, die als Bausteine eines Vertrauensgeräts implementiert sind. Es muss unbedingt sichergestellt werden, dass nicht autorisierter Geräte-Bootcode und Gerätesoftwarekomponenten nicht dazu verwendet werden können, sich beim Netzwerk als authentische Geräte zu authentifizieren, vertrauliche Daten zu stehlen oder zu kompromittieren und das Netzwerk anzugreifen.
Zertifikatbasierte Authentifizierung
Die zertifikatbasierte Authentifizierung ist eine Authentifizierungsmethode, die digitale Zertifikate verwendet, um die Identität eines Benutzers oder Geräts zu überprüfen. Ein digitales Zertifikat ist eine digitale Datei, die Informationen über den Benutzer oder das Gerät sowie einen öffentlichen Schlüssel enthält, der zur Verschlüsselung und Überprüfung digitaler Signaturen verwendet werden kann.
Bei der zertifikatbasierten Authentifizierung legt ein Benutzer oder Gerät einem Server ein digitales Zertifikat vor, um seine Identität zu authentifizieren. Der Server verifiziert das Zertifikat, indem er seine digitale Signatur mit einer vertrauenswürdigen Zertifizierungsstelle vergleicht, die das Zertifikat ausgestellt hat. Wenn das Zertifikat gültig ist, gewährt der Server dem Benutzer oder Gerät Zugriff. Auch eine Zwei-Wege-Authentifizierung ist üblich.
Die zertifikatbasierte Authentifizierung gilt als sicherer als die herkömmliche passwortbasierte Authentifizierung, da es schwieriger ist, einen privaten Schlüssel zu stehlen oder zu erraten als ein Passwort. Darüber hinaus werden digitale Zertifikate in der Regel für eine bestimmte Gültigkeitsdauer ausgestellt. Sie können widerrufen werden, wenn das Zertifikat kompromittiert wird oder der Benutzer oder das Gerät nicht mehr berechtigt ist, auf das System zuzugreifen.
Die zertifikatbasierte Authentifizierung wird häufig in sicheren Webanwendungen, virtuellen privaten Netzwerken und anderen Systemen verwendet, die eine starke Authentifizierung erfordern. Es wird auch häufig im IoT verwendet, um die Kommunikation zwischen Geräten und dem Netzwerk oder der Cloud zu sichern.
Um eine zertifikatbasierte Authentifizierung zu implementieren, muss ein Benutzer oder Gerät ein digitales Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erhalten. Das Zertifikat wird normalerweise auf dem Gerät des Benutzers installiert oder auf einer Smartcard oder einem anderen sicheren Hardwaregerät wie RoT gespeichert. Wenn der Benutzer oder das Gerät eine Verbindung zum Server herstellt, legt er das Zertifikat als Nachweis seiner Identität vor. Der Server überprüft das Zertifikat und gewährt Zugriff, wenn es gültig ist. Die zertifikatbasierte Authentifizierung ist in viele IoT-Protokolle integriert, einschließlich des weit verbreiteten SSL/TLS-Protokolls.
Tokenbasierte Authentifizierung
Authentifizierungstoken hingegen werden in Cloud-Anwendungen zur Authentifizierung und Autorisierung von IoT-Geräten verwendet. Wenn ein Gerät versucht, eine Verbindung zu einem Cloud-Dienst herzustellen, generiert der Authentifizierungsserver ein Token und sendet es an den Client zurück, um damit auf die Verbindungsanfrage an den Server zu antworten. Das Token ist normalerweise eine Zeichenfolge, die für das IoT-Gerät und die aktuelle Sitzung spezifisch ist.
Das Gerät speichert das Token, normalerweise in einem lokal gesicherten Speicher mit Hardware-Isolierung, und sendet es zusammen mit nachfolgenden Kommunikationsanfragen an den Server. Der Server überprüft dann das Token, um festzustellen, ob der Benutzer authentifiziert und berechtigt ist, auf die angeforderte Ressource zuzugreifen.
Authentifizierungstoken können mithilfe verschiedener Protokolle implementiert werden, darunter OAuth 2.0 und JSON Web Tokens (JWT). Die konkrete Implementierung hängt von den Anwendungsanforderungen und Systemsicherheitsanforderungen ab.
Message Queuing Telemetry Transport (MQTT) ist eines der am weitesten verbreiteten Machine-to-Machine-Netzwerkprotokolle für die Datentelemetrie. MQTT bietet keine integrierte Unterstützung für tokenbasierte Authentifizierung, bietet jedoch einen Mechanismus zur Implementierung benutzerdefinierter Authentifizierungsmethoden.
Zur Implementierung der tokenbasierten Authentifizierung in MQTT wird ein JWT verwendet. Wenn der Client eine Verbindung zum Authentifizierungsserver herstellt, überprüft der Authentifizierungsserver die Identität des Clients und stellt dem Client ein JWT-Sitzungstoken aus. Der Client verwendet dieses temporäre JWT-Token, um eine Verbindung zum MQTT-Broker herzustellen, der prüft, ob das JWT-Token gültig ist, bevor er Zugriff gewährt. Es ist wichtig, das JWT-Token im geschützten Speicher des Geräts aufzubewahren, denn wenn es von einem potenziellen Angreifer gestohlen wird, könnte es dazu verwendet werden, Zugriff auf den MQTT-Broker zu erhalten.
Die Verwendung von Authentifizierungstokens hat seine Vorteile. Authentifizierungstoken sind zustandslos, was bedeutet, dass der Server keinen Sitzungsstatus auf der Serverseite aufrechterhalten muss. Token können widerrufen oder abgelaufen werden, was zusätzliche Sicherheit und Kontrolle über den Zugriff auf die Anwendung bietet.
Fazit
Viele zukunftsorientierte Unternehmen haben auf dienstleistungsbasierte Geschäftsmodelle umgestellt, um in der digitalen Wirtschaft erfolgreicher zu sein. Und es ist klar, dass starke Authentifizierungsmethoden und robuste Sicherheit weiterhin eine entscheidende Rolle bei der Unterstützung der Bereitstellung und Nutzung sicherer Dienste spielen werden, jetzt und in Zukunft.
Dies ist der dritte Teil einer Artikelserie von Arrow Electronics, die sich mit den wünschenswerten Eigenschaften sicherer vernetzter Systeme befasst.
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die Speicherung oder der technische Zugang ist für den legitimen Zweck unbedingt erforderlich, um die Nutzung eines bestimmten Dienstes zu ermöglichen, der ausdrücklich vom Abonnenten oder Benutzer angefordert wurde, oder zum alleinigen Zweck der Übermittlung einer Mitteilung über ein elektronisches Kommunikationsnetz.
Vorlieben
Die Speicherung oder der technische Zugriff sind für den legitimen Zweck der Speicherung von Präferenzen erforderlich, die vom Abonnenten oder Benutzer nicht angefordert wurden.
Statistiken
Die Speicherung oder der technische Zugriff dient ausschließlich statistischen Zwecken.Speicherung oder technischer Zugriff, der ausschließlich zu anonymen Statistikzwecken dient. Ohne eine Anforderung, die freiwillige Zustimmung Ihres Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können Informationen, die ausschließlich zu diesem Zweck gespeichert oder abgerufen werden, nicht dazu verwendet werden, Sie zu identifizieren.
Marketing
Die Speicherung oder der technische Zugriff ist erforderlich, um Benutzerprofile zu erstellen, um Werbung auszuliefern, oder um den Benutzer für ähnliche Marketingzwecke über eine oder mehrere Websites hinweg zu verfolgen.
