本文檔詳細介紹了IDaaS的M2M聯邦憑證能力中PCA、OIDC、PKCS#7聯邦信任源的主要功能、使用情境和配置流程。
PCA聯邦信任源
PCA(Private Certificate Authority,私人憑證授權單位)是一種完全託管的私人認證授權管理服務,專為企業內部使用的私人數位憑證建立和管理而設計。
核心功能
物聯網(IoT)與車連網裝置安全:為裝置預置唯一數位憑證,實現裝置身份認證與雙向安全通訊(如MQTT平台通訊),有效防止未授權訪問和資料篡改。
軟體與韌體簽名:為軟體/韌體簽發籤名認證,確保合法性校正與防篡改能力(例如,道通科技的充電樁裝置韌體驗證)。
企業內部資源保護:保護伺服器、應用程式、容器等內部資源,滿足監管合規要求(如金融、醫學行業的資料安全需求)。
跨賬戶與地區認證管理:支援跨賬戶共用根CA和地區發布CA,簡化大規模認證部署(例如,StubHub雲遷移中的PKI架構重構)。
應用情境
PCA聯邦憑證在M2M情境中,通過統一裝置身份管理與跨域信任機制,解決了異構系統間的安全互操作難題。特別適用於:
大規模裝置互聯情境。
跨組織協作環境。
高合規要求行業。
配置流程
若企業或機構擁有自建PCA,可選擇建立聯邦信任源。通過PCA的簽名能力對JWT Token進行簽名,調用IDaaS的授權伺服器Token端點時,選擇PCA的聯邦憑證能力,提供對應的根憑證、中間認證列表和用戶端認證,即可完成整個調用鏈路,擷取IDaaS頒發的Access Token。
OIDC聯邦信任源
OIDC是OpenID Connect協議的簡稱,廣泛應用於單點登入(SSO)、跨組織身份聯合、第三方身份提供者整合、API安全調用等情境。
核心功能
OIDC協議提供了一種基於OAuth 2.0的身分識別驗證層,允許用戶端服務安全地驗證使用者身份,並擷取使用者資訊。
應用情境
在M2M情境中,若使用者的用戶端服務部署在以下環境:
Kubernetes POD。
阿里雲ACK叢集(支援RRSA模式)。
GitHub workflow。
CI/CD流水線。
Azure VM。
Google Cloud Compute Engine。
配置流程
從容器或雲端服務器擷取OIDC Token。
調用IDaaS授權伺服器Token端點時選擇OIDC聯邦憑證能力。
提供對應的驗簽公開金鑰。
完成調用鏈路擷取Access Token。
PKCS#7聯邦信任源
PKCS#7是公開金鑰基礎設施(PKI)中的基礎標準,廣泛應用於需要資料完整性和機密性的情境。
核心功能
金融交易安全:用於銀行交易資料的簽名與加密,確保交易指令的真實性和完整性(例如,銀行通過PKCS#7保護轉賬、支付等敏感操作)。
電子政務檔案簽署:政府機構利用PKCS#7對電子檔案進行數位簽章,賦予其法律效力,等同於實體簽章(如電子公文、法律合約及身份認證)。
資料簽名與加密:PKCS#7支援對訊息進行數位簽章和加密,廣泛應用於需要驗證資料來源及防止篡改的情境(如企業間檔案交換、軟體分發)。其格式(如.p7b/.p7c)可包含多個簽名和認證,適用於複雜信任鏈結管理。
應用情境
適用於以下雲端服務器環境中的用戶端服務:
阿里雲ECS/ECI。
亞馬遜雲EC2。
配置流程
從雲端服務器中繼資料簽名端點擷取PKCS#7簽名。
調用IDaaS授權伺服器Token端點時選擇PKCS#7聯邦憑證能力。
提供對應的驗簽根憑證。
完成調用鏈路擷取Access Token。
總結
IDaaS提供的三種聯邦信任源能力可滿足不同情境下的M2M安全認證需求,企業可根據自身業務情境和技術架構選擇最適合的聯邦憑證方案。