定义
One Device One Secret(一机一密)指每台设备拥有独立的密钥(ProductKey + DeviceName + DeviceSecret),设备认证时使用本机密钥,单设备泄露不影响其他设备。与 One Type One Secret 相比安全性更高。
密钥管理与发放
DeviceSecret 通常在设备生产时由平台预生成并烧录至设备,或通过 Dynamic Registration 动态注册后下发。平台需保障密钥生成 randomness、存储加密及传输安全。密钥轮换时,平台可支持设备申请新密钥、旧密钥过渡期等策略。与 Device Credentials 设备凭证管理配合,实现密钥全生命周期管控;高安全场景可升级为 X.509 证书 认证。
与 DMP 的集成
设备管理平台在设备创建时生成或导入 DeviceSecret,支持批量导入、产线对接。认证时校验设备身份与密钥,支持 mTLS、Token 等多种形式。平台需记录密钥发放、轮换、吊销历史,满足 Audit Log 审计与合规要求。单设备泄露时,可单独吊销该设备凭证,不影响其他设备。
应用场景
适用于工业控制、车联网、金融终端等高安全场景。一机一密是设备认证的推荐实践,可满足等保、ISO 27001 等合规要求,保障物联网整体安全态势。