Sicherheit

Abhängig vom Funktionsumfang jedes Gates unterstützt der TC3 IoT Data Agent mehrere Sicherheitsmechanismen zur Sicherung der Datenübertragung, beispielsweise die Verschlüsselung von Nachrichten und Client/Server-Authentifizierung.

Die folgende Tabelle gibt einen Überblick über die verschiedenen Sicherheitsmechanismen in jedem unterstützten Gate.

Gate

Sicherheitsmechanismen

Beschreibung

ADS

keiner

ADS-Kommunikation sollte als nicht sicher behandelt werden.

OPC UA

Client/Server-Authentifizierung

Benutzername/Passwort-Authentifizierung

Autorisierung

Datenverschlüsselung

Abhängig vom Funktionsumfang des OPC UA-Servers, mit dem sich der TC3 IoT Data Agent verbinden soll, können die folgenden Sicherheitsmechanismen verwendet werden:

  • Client/Server-Authentifizierung kann über X.509-Zertifikate (öffentlicher/privater Schlüssel) und den Aufbau einer vertrauenswürdigen Beziehung zwischen den Kommunikationsteilnehmern verwendet werden.
  • Benutzername/Passwort-Authentifizierung kann von einem OPC UA-Client für die Verbindung mit einem OPC UA-Server verwendet werden.
  • Autorisierung kann auf dem Server verwendet werden, um Zugriffsebenen auf OPC UA-Nodes zu definieren, d. h. um zu konfigurieren, welche Benutzeridentität auf welche Nodes auf einem OPC UA-Server zugreifen darf.
  • Datenverschlüsselung kann für die Verschlüsselung von OPC UA-Nachrichten während der Übertragung verwendet werden.

MQTT

Client/Server-Authentifizierung

Benutzername/Passwort-Authentifizierung

Autorisierung

Datenverschlüsselung

Abhängig vom Funktionsumfang des MQTT-Message-Brokers, mit dem sich der TC3 IoT Data Agent verbinden soll, können die folgenden Sicherheitsmechanismen verwendet werden.

  • Client/Server-Authentifizierung kann über X.509-Zertifikate (öffentlicher/privater Schlüssel) und den Aufbau einer vertrauenswürdigen Beziehung zwischen den Kommunikationsteilnehmern (Client und Message-Broker) verwendet werden
  • Benutzername/Passwort-Authentifizierung kann von einem Client für die Verbindung mit dem Message-Broker verwendet werden
  • Autorisierung kann auf dem Message-Broker verwendet werden, um Zugriffsebenen auf Topics zu definieren, d. h. um zu konfigurieren, welche Benutzeridentität auf welches Topic auf dem Message-Broker zugreifen darf
  • Datenverschlüsselung kann für die Verschlüsselung von Nachrichten während der Übertragung verwendet werden.

Der TC3 IoT Data Agent verwendet TLS Version 1.2 für die Sicherung des Kommunikationskanals.

Microsoft Azure

IoT Hub

Geräteauthentifizierung

Datenverschlüsselung

Jeder Azure IoT Hub-Client muss auf der IoT Hub-Instanz als Gerät registriert werden. Während der Geräteregistrierung werden eine „DeviceId“ und ein „SharedAccessKey“ generiert, die während der Verbindungsherstellung zur Authentifizierung des Geräts bei der IoT Hub-Instanz verwendet werden müssen. Darüber hinaus werden Nachrichten während der Übertragung verschlüsselt.

AWS IoT

Geräteauthentifizierung

Autorisierung

Datenverschlüsselung

Jeder AWS IoT-Client muss als „Thing“ (Objekt) registriert werden. Ein Objekt/Gerät wird mit einem X.509-Zertifikat konfiguriert, das das Gerät beim AWS IoT authentifiziert, und kann auch mit Sicherheitsrichtlinien verknüpft werden, die das Gerät dazu autorisieren, bestimmte Aktionen durchzuführen. Darüber hinaus werden Nachrichten während der Übertragung verschlüsselt. Für die Sicherung des Kommunikationskanals wird TLS Version 1.2 verwendet.