本文档详细介绍了IDaaS的M2M联邦凭证能力中PCA、OIDC、PKCS#7联邦信任源的主要功能、使用场景和配置流程。
PCA联邦信任源
PCA(Private Certificate Authority,私有证书颁发机构)是一种完全托管的私有证书授权管理服务,专为企业内部使用的私有数字证书创建和管理而设计。
核心功能
物联网(IoT)与车联网设备安全:为设备预置唯一数字证书,实现设备身份认证与双向安全通信(如MQTT平台通信),有效防止未授权访问和数据篡改。
软件与固件签名:为软件/固件签发签名证书,确保合法性校验与防篡改能力(例如,道通科技的充电桩设备固件验证)。
企业内部资源保护:保护服务器、应用程序、容器等内部资源,满足监管合规要求(如金融、医疗行业的数据安全需求)。
跨账户与区域证书管理:支持跨账户共享根CA和区域发布CA,简化大规模证书部署(例如,StubHub云迁移中的PKI架构重构)。
应用场景
PCA联邦凭证在M2M场景中,通过统一设备身份管理与跨域信任机制,解决了异构系统间的安全互操作难题。特别适用于:
大规模设备互联场景。
跨组织协作环境。
高合规要求行业。
配置流程
若企业或机构拥有自建PCA,可选择创建联邦信任源。通过PCA的签名能力对JWT Token进行签名,调用IDaaS的授权服务器Token端点时,选择PCA的联邦凭证能力,提供对应的根证书、中间证书列表和客户端证书,即可完成整个调用链路,获取IDaaS颁发的Access Token。
OIDC联邦信任源
OIDC是OpenID Connect协议的简称,广泛应用于单点登录(SSO)、跨组织身份联合、第三方身份提供者集成、API安全调用等场景。
核心功能
OIDC协议提供了一种基于OAuth 2.0的身份验证层,允许客户端服务安全地验证用户身份,并获取用户信息。
应用场景
在M2M场景中,若用户的客户端服务部署在以下环境:
Kubernetes POD。
阿里云ACK集群(支持RRSA模式)。
GitHub workflow。
CI/CD流水线。
Azure VM。
Google Cloud Compute Engine。
配置流程
从容器或云服务器获取OIDC Token。
调用IDaaS授权服务器Token端点时选择OIDC联邦凭证能力。
提供对应的验签公钥。
完成调用链路获取Access Token。
PKCS#7联邦信任源
PKCS#7是公钥基础设施(PKI)中的基础标准,广泛应用于需要数据完整性和机密性的场景。
核心功能
金融交易安全:用于银行交易数据的签名与加密,确保交易指令的真实性和完整性(例如,银行通过PKCS#7保护转账、支付等敏感操作)。
电子政务文件签署:政府机构利用PKCS#7对电子文件进行数字签名,赋予其法律效力,等同于实体签章(如电子公文、法律合同及身份认证)。
数据签名与加密:PKCS#7支持对消息进行数字签名和加密,广泛应用于需要验证数据来源及防止篡改的场景(如企业间文件交换、软件分发)。其格式(如.p7b/.p7c)可包含多个签名和证书,适用于复杂信任链管理。
应用场景
适用于以下云服务器环境中的客户端服务:
阿里云ECS/ECI。
亚马逊云EC2。
配置流程
从云服务器元数据签名端点获取PKCS#7签名。
调用IDaaS授权服务器Token端点时选择PKCS#7联邦凭证能力。
提供对应的验签根证书。
完成调用链路获取Access Token。
总结
IDaaS提供的三种联邦信任源能力可满足不同场景下的M2M安全认证需求,企业可根据自身业务场景和技术架构选择最适合的联邦凭证方案。