热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

动态注册_阿里云接入的认证方式,一机一密一型一密动态注册

篇首语:本文由编程笔记#小编为大家整理,主要介绍了阿里云接入的认证方式,一机一密一型一密动态注册相关的知识,希望对你有一定的参考价值。

篇首语:本文由编程笔记#小编为大家整理,主要介绍了阿里云接入的认证方式,一机一密一型一密动态注册相关的知识,希望对你有一定的参考价值。






  设备接入阿里云物联网平台之前,需通过身份认证。目前,阿里云平台支持使用设备密钥、ID²和X.509证书进行设备身份认证。
  必须要明白产品和设备的关系,他们是从属关系,比如某个小区的水表就是一个产品,然后小区里面每户的水表就是设备,如果这个小区有1000户,那么这个产品下就有1000个设备。产品有一个ProductKey,每个设备有自己的DeviceName和DeviceSecret,当接入阿里云的时候,提供这3个字符串,就能把每个设备和平台上的设备一一对应起来,DeviceSecret用于鉴权,防止他人伪造ProductKey和DeviceName,恶意接入。因为他人很容易就能知道ProductKey和DeviceName。


设备密钥认证

  在创建产品时,认证方式选择为设备密钥,物联网平台会为设备颁发ProductSecret、DeviceSecret等密钥。设备接入物联网平台时,需使用密钥进行身份认证。

  针对不同的使用环境,物联网平台提供了使用密钥认证的四种认证方案。


  • 一机一密:每台设备烧录自己的设备证书(ProductKey、DeviceName和DeviceSecret)。
  • 一型一密预注册:同一产品下设备烧录相同产品证书(ProductKey和ProductSecret)。开通产品的动态注册功能,设备通过动态注册获取DeviceSecret。
  • 一型一密免预注册:同一产品下设备烧录相同产品证书(ProductKey和ProductSecret)。开通产品的动态注册功能,通过动态注册,设备不获取DeviceSecret,而是获取ClientID与DeviceToken的组合。
  • 子设备动态注册:网关连接上云后,子设备通过动态注册获取DeviceSecret。

  四种方案在易用性和安全性上各有优势,您可以根据设备所需的安全等级和实际的产线条件灵活选择。方案对比,如下表所示。


对比项一机一密一型一密预注册一型一密免预注册子设备动态注册
设备端烧录信息ProductKey、DeviceName、DeviceSecretProductKey、ProductSecretProductKey、ProductSecretProductKey
云端是否需要开启动态注册无需开启,默认支持。需打开动态注册开关。需打开动态注册开关。需打开动态注册开关。
是否需要提前在物联网平台创建设备,注册DeviceName需要,产品下DeviceName唯一。需要,产品下DeviceName唯一。不需要。需要,确保产品下DeviceName唯一。
产线烧录要求逐一烧录设备证书,需确保设备证书的安全性。批量烧录相同的产品证书,需确保产品证书的安全存储。批量烧录相同的产品证书,需确保产品证书的安全存储。网关可以本地获取子设备ProductKey。将子设备ProductKey烧录在网关上。
安全性较高一般一般一般
是否有配额限制有,单个产品50万上限。有,单个产品50万上限。有,单个产品50万上限。有,单个网关最多可注册1500个子设备。
其他外部依赖依赖网关的安全性保障。

一机一密

官方文档链接
  一机一密认证方法,即预先为每个设备烧录其唯一的设备证书(ProductKey、DeviceName和DeviceSecret)。当设备与物联网平台建立连接时,物联网平台对其携带的设备证书信息进行认证。认证通过,物联网平台激活设备,设备与物联网平台间才可传输数据。
  一机一密认证方式的安全性较高,推荐使用。

使用流程
在这里插入图片描述
操作步骤


  1. 创建产品。
    在物联网平台控制台创建产品。
  2. 添加设备。
    在已创建产品下添加设备,并获取设备证书信息。
  3. 产线烧录。
    开发设备端程序,把三元素(ProductKey、DeviceName和DeviceSecret)嵌入程序中或者保存到外部Flash中,每个设备保存自己的三元素。
  4. 设备联网。
    设备上电联网后,携带设备证书发起认证请求。
  5. 云端激活。
    物联网平台对设备证书进行校验。认证通过后,与设备建立连接,设备便可通过发布消息至Topic和订阅Topic消息,与物联网平台进行数据通信。

BC26连接阿里云,MQTT协议,AT流程和STM32代码实现


一型一密

官方文档链接
  一型一密认证方式下,同一产品下所有设备可以烧录相同的设备标志信息,即所有设备包含相同的产品证书(ProductKey和ProductSecret)。设备发送激活请求时,物联网平台会进行身份确认,认证通过后,下发设备接入所需信息。
  一型一密认证支持两种使用方式:一型一密免预注册、一型一密预注册,对比说明如下表所示。



注意


  • 采用一型一密认证方式,设备烧录相同的标志信息,存在产品证书泄露风险。您可以在物联网平台控制台的产品详情页面,手动关闭动态注册开关,拒绝新设备的认证请求。
  • 一型一密动态注册时必须使用TLS加密,如果您的设备端SDK无法运行TLS加密,则无法使用一型一密认证方式,请采用一机一密认证方式。


对比项一型一密免预注册一型一密预注册
接入协议MQTT协议HTTP协议、MQTT协议
支持地域华东2(上海)HTTP协议:除华北2(北京)、华南1(深圳)以外的所有地域。
MQTT协议:物联网平台支持的所有地域。
功能特点不需要在物联网平台预注册设备DeviceName。使用方法,请参见下文“操作步骤”。需要在物联网平台预注册设备DeviceName。使用方法,请参见下文“操作步骤”。
使用限制物联网平台允许最多5个物理设备使用同一组ProductKey、ProductSecret、DeviceName进行激活,并为不同物理设备下发不同的ClientID、DeviceToken。同一组设备证书只能用于激活一个物理设备。若DeviceName名下已激活物理设备A,但物理设备B需要使用该DeviceName,则您可以在物联网平台上删除设备A,使设备A的DeviceSecret作废,再使用原DeviceName重新添加设备,激活物理设备B。
若设备因丢失DeviceSecret等原因需要重新激活,需您调用ResetThing接口,重置设备状态为未激活,然后将设备重新联网激活。此时,物联网平台下发的DeviceSecret不变。

使用流程
在这里插入图片描述
操作步骤


  1. 创建产品:在物联网平台控制台创建产品。
  2. 开启动态注册:在已创建产品的产品详情页面,开启动态注册开关。物联网平台将进行短信验证,以确认是您本人操作。


说明 若设备发出激活请求时,物联网平台校验发现该开关未开启,将拒绝新设备的动态激活请求。已激活设备不受影响。


在这里插入图片描述


  1. 可选:批量添加设备或单个添加设备:若使用一型一密预注册认证方式接入设备,您需在已创建产品下添加设备。因设备激活时会校验DeviceName,建议您采用可以直接从设备中读取到的ID,如设备的MAC地址、IMEI或SN码等,作为DeviceName使用。
    添加设备成功后,物联网平台为设备颁发DeviceSecret。设备初始状态为未激活。

  2. 产线烧录:开发设备端程序,完成产线烧录。
    在设备端SDK中,填入产品证书(ProductKey和ProductSecret)。

  3. 设备联网。
    设备上电联网后,携带ProductKey、ProductSecret、DeviceName发起认证请求。请参见基于MQTT通道的设备动态注册、基于HTTP通道的设备动态注册。

  4. 物联网平台激活设备。
    一型一密预注册:物联网平台校验通过后,为实际物理设备下发步骤3中为该设备颁发的DeviceSecret。至此,物理设备获得连接物联网平台所需的设备证书(ProductKey、DeviceName和DeviceSecret),可以与物联网平台建立连接,进行数据通信。
    一型一密免预注册:物联网平台校验通过后,下发ClientID、DeviceToken。设备后续通过ProductKey、ProductSecret和下发的ClientID、DeviceToken与物联网平台建立连接,进行数据通信。
    当多个不同ClientID的物理设备共用一个DeviceName时,物联网平台控制台产品详情页将提示当前产品下有设备同时有两个ClientID。您可根据以下操作,指定保留唯一物理设备,或清除所有物理设备:


    • 在产品详情页,单击该提示后的查看,跳转到产品下的风险设备列表。
    • 在设备管理 > 设备,单击列表中设备对应的查看,进入设备详情页,页面显示当前连接的ClientID,单击ClientID右侧的切换或清除。
      切换:从下拉列表选择ClientID,通过该ClientID对应设备的首次连接时间,或者单击日志服务,通过该ClientID对应设备的云端运行日志,判断其是否为需要保留的物理设备。选择要保留的物理设备的ClientID,单击确认。未被选择的ClientID对应物理设备,将被禁止连接。
      有关云端运行日志说明,请参见云端运行日志。
      清除:所有物理设备都将被禁止连接。

EC20模块AT指令MQTT连接阿里云IoT,HTTP接口来实现一型一密动态注册的流程。


ID²认证

  阿里云提供IoT设备身份认证ID²(Internet Device ID)。ID²是一种物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一等安全属性。

  在创建产品时,认证方式选择为ID²,设备接入物联网平台时,使用ID²身份认证。

  使用ID²认证,需购买ID²服务。ID²服务购买方式和使用指南,请参见IoT设备身份认证(ID²)用户手册



说明
目前仅华东2(上海)地域支持ID²认证。
连网方式选择为LoRaWAN的产品不支持ID²认证。



X.509证书认证

  X.509是由国际电信联盟(ITU-T)制定的数字证书标准,具有通信实体鉴别机制。目前物联网平台华东2(上海)地域支持使用X.509证书进行设备身份认证。

使用X.509证书的操作流程:


  1. 在创建产品时,认证方式选择为X.509证书。
  2. 在该产品下创建设备,物联网平台会为设备颁发X.509证书和密钥。
  3. 开发设备端,将X.509数字证书和密钥烧录到设备上。设备端上身份认证配置,请参见使用X.509证书认证。


说明
仅MQTT协议直连的设备可使用X.509证书认证。
目前仅华东2(上海)地域支持X.509证书认证。
连网方式为LoRaWAN的产品不支持X.509证书认证。
设备身份认证方式设置后,不可更改。







推荐阅读
author-avatar
Hmily-西瓜先生
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有