Autenticación del dispositivo

7

¿Cómo debo autenticar mi dispositivo? Tengo un arduino yun, ejecutando un "demonio" en el lado de OpenWRT. El daemon lee los comandos de mi agente de mensajes, los ejecuta y devuelve el valor.

Antes de comunicarse con el agente, el dispositivo debe ser autenticado (creo). ¿Cuál es el flujo correcto?

¿Necesito incluso autenticarlo? Si las credenciales del agente están integradas en el dispositivo, tal vez no necesite hacerlo. Pero no estoy muy seguro.

mqtt lucavallin
fuente

Respuestas:

4

MQTT admite autenticación de nombre de usuario / contraseña y certificados del lado del cliente para autenticar el cliente al intermediario.

El uso de certificados también le permite verificar que el agente no se está suplantando si utiliza la fijación de certificados.

hardillb
fuente
Tenga en cuenta que estos esquemas generalmente no protegen contra un cuadro de cliente originalmente auténtico pero ahora comprometido que espía el tráfico destinado a otros clientes propiedad de otros usuarios.
Chris Stratton
1
No, pero un árbol de temas bien construido y una ACL garantizarán que un cliente comprometido solo pueda ver el tráfico destinado a ese cliente y la capacidad de revocar un certificado lo cortará. Claves / Certs deben mantenerse en un elemento seguro siempre que sea posible
hardillb
Creo que necesita usar un complemento para proporcionar tal segregación, desafortunadamente no es una de las capacidades diseñadas. En términos de claves, realmente no importa si están en un elemento seguro: deben ser únicos por instancia del cliente, y prácticamente toda la capacidad del cliente es la superficie de ataque por la cual alguien podría potencialmente hacer el el cliente usa su clave para un propósito no intencionado por el fabricante, por lo que en lugar de confiar en evitar eso, debe limitar lo que puede hacer una clave.
Chris Stratton
No se necesita ningún complemento para nada de lo que he descrito (pero el complemento mosquitto puede facilitar la administración de las cosas). Y sí, una ACL estrechamente vinculada vinculada a la identidad del certificado / clave en el camino correcto, pero como la pregunta era increíblemente vaga, una respuesta de alto nivel probablemente fue lo suficientemente buena. Siéntase libre de agregar el suyo si lo desea.
hardillb