定义
Device Authentication(设备认证)用于验证终端身份,防止非法设备接入。支持 一机一密(预烧录 Device Credentials)、一型一密+Dynamic Registration、X.509 证书(mTLS)等多种方式。
认证方式对比
一机一密:每台设备预烧录唯一 ProductKey+DeviceName+DeviceSecret,安全等级高,适合对安全要求严格的场景,但产线需管理每台设备的凭证。一型一密:同型号设备共享 ProductSecret,通过 Dynamic Registration 动态注册获取设备级凭证,产线简化,需保障 ProductSecret 不泄露。X.509+mTLS:基于证书的双向认证,适合工业、车联网等高安全场景。
与接入层协同
设备认证是 Device Access 接入层的第一道关口。MQTT 连接时通过 Username/Password 或证书校验;LwM2M 通过 Pre-Shared Key 或证书。认证通过后,平台建立设备会话,分配 Topic 权限,允许上报数据与接收指令。认证失败可记录审计日志,支持黑名单与限流防暴力破解。
最佳实践
生产环境务必使用 TLS 加密传输;定期轮换凭证或证书;对异常认证尝试(如频繁失败)告警;结合 Device Lifecycle 生命周期,对已报废设备吊销凭证,防止遗留设备被滥用。