1.1 设备身份鉴权认证
(1) 直连设备一机一密接入认证
以MQTT设备直连接入为例:
(1) 用户在物联网平台创建产品、设备后获得productKey、deviceKey、deviceSecret;
(2) 将productKey、deviceKey、deviceSecret鉴权信息烧录到设备中;
(3) 按照一定规则使用productKey、deviceKey、deviceSecret生成设备上线所需ClientId、username、password参数,其中clientId和password均需通过hmac_sha256或SM3加密算法进行加密;
(4) 设备上电后,使用(3)中参数,调用平台提供的MQTT设备登录地址,由平台进行校验,校验通过时允许设备接入,否则拒绝连接;
(5) 设备接入成功后,可进行设备数据上报、命令下发、设备离线等操作。
(2) 直连设备一型一密接入认证
以MQTT设备直连接入为例:
(1)用户在物联网平台创建产品、设备后获得productKey、deviceKey、productSecret;
(2)将productKey、deviceKey、productSecret鉴权信息烧录到设备中;
(3)按照一定规则使用productKey、deviceKey、productSecret生成设备上线所需ClientId、username、password参数,其中clientId和password均需通过hmac_sha256或SM3加密算法进行加密;
(4)设备上电后,使用(3)中参数,调用平台提供的MQTT设备登录地址,由平台进行校验,校验通过时允许设备接入,否则拒绝连接;
(5)设备接入成功后,订阅“设备订阅主题”后,平台将设备密钥deviceSecret下发给设备,设备保存deviceSecret后下线;
(6)设备重新使用productKey、deviceKey、deviceSecret生成接入信息(ClientId、username、password参数,其中clientId和password均需通过hmac_sha256或SM3加密算法进行加密)后上线,由平台进行校验,校验通过时允许设备接入,否则拒绝连接;
(7)设备接入成功后,可进行设备数据上报、命令下发、设备离线等操作。
(3) 网关子设备一机一密接入认证
网关获取子设备的设备鉴权信息,由网关代子设备向平台上报子设备鉴权信息(productKey、deviceKey和deviceSecret)。
接入步骤:
(1)在平台创建网关产品和设备,创建产品时,设备类型需选择为网关设备;
(2)在平台创建子设备产品和设备,创建产品时,设备类型需选择为网关子设备;
(3)网关通过直连方式连接到平台,子设备连接网关后,网关查询是否与当前子设备建立拓扑关系,如果没有建立,则通过拓扑关系添加主题,将子设备加入拓扑;
(4)加入拓扑成功后,网关通过子设备上线主题,将子设备上线,平台进行校验后返回结果;
(5)校验成功后,子设备将数据上报到网关后,网关可通过“”子设备上报主题”将设备数据上报至平台;
(6)可通过网关调用“平台子设备下线主题”,将子设备下线。
(4) 网关子设备一型一密接入认证
(1)一型一密动态注册
需登录平台,在产品详情页打开子设备的动态注册开关。网关获取子设备的productKey和deviceKey后,由网关代子设备进行一型一密动态注册,平台校验网关和子设备的拓扑关系及子设备的身份信息。校验通过后,动态下发deviceSecret。网关代理子设备通过子设备鉴权信息(productKey、deviceKey和deviceSecret)接入平台。
(2)一型一密动态免预注册
需登录平台,在产品详情页打开子设备的动态注册开关。用户烧录子设备的deviceId、deviceKey后,通过订阅“添加子设备到拓扑”主题 ,由网关代子设备进行一型一密动态注册。校验通过后,平台会动态创建子设备,并添加拓扑关系;注册成功平台会动态下发子设备的token值。由网关代理子设备通过子设备鉴权信息(productKey、deviceKey和token)接入平台。
(5) MQTT 协议直连设备使用X.509证书的设备认证方式
(1) 设备首次连接
设备请求建立TLS连接,平台下发平台证书,设备校验平台证书,设备上传设备证书,平台校验设备证书,通过后协商加密算法,完成TLS连接;
设备登录时校验ClientID,username是否存在非法字符;
平台校验ClientID,即ClientID是否按照“deviceId|productKey|0|3|1”的格式进行命名,productKey是否存在,签名算法标识符及认证方式标识符是否在取值范围内;
设备首次接入时记录ClientID中的deviceId,作为该设备的身份标识,设备后续接入会校验deviceId,同时平台提供deviceId解绑功能;
校验username,是否为deviceKey|productKey;
输出:
设备端:平台证书若未通过,设备放弃请求;
平台端:设备证书若未通过,平台拒绝请求;
物联网平台返回CONNECT ACK,返回0,则表示建立连接成功。建立连接失败,则需根据 ACK中返回的错误码,确定错误原因。
(2) 设备非首次连接
设备请求建立TLS连接,平台下发平台证书,设备校验平台证书,设备上传设备证书,平台校验设备证书,通过后协商加密算法,完成TLS连接;
1) 设备登录时校验ClientID,username是否存在非法字符;
2) 平台校验ClientID,即ClientID是否按照“deviceId|productKey|0|0”的格式进行命名,productKey是否存在,签名算法标识符及认证方式标识符是否在取值范围内;
3) 校验username,只需校验不为空以及满足协议长度限制即可;
输出:
设备端:平台证书若未通过,设备放弃请求;
平台端:设备证书若未通过,平台拒绝请求;
物联网平台返回CONNECT ACK。返回0,则表示建立连接成功。建立连接失败,则需根据 ACK中返回的错误码,确定错误原因。
2.1 第三方平台对接安全认证机制
(1) AK/SK 认证方式
实现原理:物联网平台作为服务端,通过使用Access Key/ Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key(AK)用于标识第三方平台,Secret Access Key(SK)是第三方平台用于加密认证字符串和物联网平台用来验证认证字符串的密钥,其中SK必须保密。 AK/SK原理使用对称加解密。
物联网平台颁发Access Key和Secret Access Key给对接的第三方平台, 并约定认证字符串Authorization生成规则和对称加密算法,Secret Access Key和生成规则必须严格保密;
第三方平台向物联网平台发起http请求,将Access Key、Authorization作为请求参数(一般Authorization放在header请求头中);
物联网平台收到请求后,基于请求参数中的Access Key获取平台中存储的Secret Access Key,基于与第三方平台相同算法,生成sign字符串,将sign与请求中的Authorization进行比较,两者相同则认证成功,否则认证失败。
(2) Token 认证方式
平台支持以token认证方式与第三方平台对接。
2. 数据传输安全
2.1 数据安全传输
支持基于TLS/DTLS数据传输通道,保持数据的机密性和完整性,基于TCP的协议推荐使用TLS加密传输通道,从平台下载证书配置在设备上,即可实现。基于UDP的协议,如Coap、LwM2M,推荐使用DTLS加密传输通道,从平台下载证书配置在设备上,即可实现。
在设备接入侧,平台支持用指定的国产算法对设备的加密数据进行解密后存储。在北向应用侧,平台支持用指定的国产加密算法对数据进行加密后传输。
2.2 安全防护
三位一体异常流量清洗解决方案,满足对大型 Anti-DDoS 系统“可管理、可运营”的需求。该方案由网络流量分析系统( NTA)、抗拒绝服务系统( ADS)及抗拒绝服务系统管理中心 ADS-M)组成。
【ADS】提供单台超百 G 的 DDoS 防护性能。在清洗网络中 DDoS 流量的同时,保证正常流量请求。集群模式下快速实现 T 级防护扩容。
【NTA】主要用于异常流量监控和检测。通过采集 flow数据对网络流量进行建模和分析,实时监控业务流量趋势,利用动态告警基线准确识别行为。当 NTA 发现 DDoS 等异常时,产生告警,记录详情,并与 ADS 智能联动,对流量展开牵引和清洗。
【ADS-M】抗拒绝服务系统管理中心可以同一监控和管理检测设备 NTA 和清洗设备 ADS,实现设备集中管理、策略批量下发、数据汇总整合等。通过联合各部件的能力,简化运维,增强数据关联分析和集中呈现。
2.3 异常检测
平台支持对设备接入鉴权失败次数的阈值配置,达到阈值后设备即被加入到黑名单进行管控,待修复后可以手动从黑名单拉出。
同时支持对北向API调用失败次数进行阈值配置,达到阈值后应用即被加入到黑名单进行管控,待修复后可以手动从黑名单拉出。
