开发者学习笔记【阿里云物联网助理工程师认证(ACA):信息安全组件功能介绍(一)】
课程地址:https://edu.aliyun.com/course/3112060/lesson/18986
信息安全组件功能介绍(一)
内容介绍:
一、课程目标
二、IoT 设备身份认证 ID² 介绍
三、IoT 可信执行环境介绍
四、IoT 固件安全检测介绍
五、IoT 可信服务管理介绍
六、IoT 安全运营中心介绍
七、IoT 区块链可信应用系统介绍
一、课程目标
学习完本课程后能够:
(1)了解物联网平台信息安全组件相关概念
(2)了解 IoT 设备身份认证 ID²
(3)了解 IoT 可信执行环境
(4)了解 IoT 固件安全监测
(5)了解 IoT 可信服务管理
(6)了解 IoT 安全运营中心
(7)了解 IoT 区块链可信应用系统
二、IoT 设备身份认证 ID² 介绍
1.IoT 设备身份认证
IoT 设备身份认证 ID²(Internet DeviceID),是面向物联网的设备身份认证服务,为设备与云提供双向身份认证和链路加密功能。对物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性,是实现万物互联、服务流转的关键基础设施。
图为 IoT 设备身份认证的流程图,首先由 ID² 分发中心签发 ID² 到安全生产线,再将 ID² 烧录到安全的载体上,载体在与 IoT 相关应用集成到 IoT 设备上,后续 IoT 设备就可以通过 ID² 和 IoT 服务器进行认证,认证时 IoT 服务器接收 IoT 设备的认证请求,请求 ID² 认证中心认证服务,认证之后 IoT 服务器再将认证的结果反馈给 IoT 设备,这就是 ID² 大概的一个认证流程。
2.产品特点
1、轻量化:使用 ID² 代替 CA 证书,即节省了存储空间又节省了网络资源的消耗。仅连接握手阶段就可以节省70%的网络资源消耗。
在使用 CA 证书的时候,在连接握手阶段会进行多次使用通钥私钥进行交接传送来建立连接,并且还要投放双方的通钥密钥,对于硬件资源有限的物联网设备,是一项非常巨大的消耗,使用 ID² 来代替 CA 证书就减少了消耗。
2、高安全:为 IoT 设备提供云端可信根,基于可信根为上层业务提供可信服务,从源头确保 IoT 设备的合法性和数据的安全性。
因为揭露物联网的设备是通过 IoT 设备认证的,并且传输的数据也经过了相应的加密处理,所以从源头上就确保了物联网设备的合法性和数据的安全性。
3、广覆盖:适用于多种安全等级的 IoT 应用场景,支持不同安全等级的载体(SE、SIM、TEE、secureMCU、软件沙箱)。
3.功能特性
1、设备身份标识:为每个 IoT 设备提供唯一的身份标识,基于 ID² 提供双向身份认证服务,防止设备被篡改或仿冒。
2、安全连接:提供兼容 TLS 和 DTLS 的轻量级安全协议: ITLS/IDTLS。更适合物联网设备,在保障安全性的同时大幅减少 IoT 设备的资源消耗。
3、业务数据保护:基于设备可信根派生的秘钥支持多种加密算法,为设备固件、业务数据、应用授权等敏感数据提供安全防护。
4、密钥管理:为 IoT 系统中的设备、应用、业务所使用的密钥提供集中管理,包括密钥生成、密钥销毁、端到端的密钥安全分发。
4.ID² 的使用限制
ID² 是一款能够独立运行的面向 IoT 系统的安全产品,也可以与物联网平台搭配一起使用。
搭配物联网平台使用 ID²,可以获得轻量级安全连接 (ITLS/iDTLS)。
ID² 是基于产品型号进行授权的,您可以在 ID² 管理控制台创建多个产品,但是产品之间的 ID 授权额度不能共享、不能交叉使用。
同一个产品型号下所有的 ID,有效期必须一致。请在购买时按实际的生命周期选择相应年限的有效期。例如,产品 A 已经购买了1年期的 ID²,那么产品 A 续费时只能续费1年期的 ID²。
基础版 ID² 的限制:每个 ID 每天认证次数限制为10次。尽管现在超出认证次数后不会做限制,但是强烈建议您控制认证调用量。过高的、频繁的、超标的调用量在未来会受到严格的控制。
5.ID² 关联系统
(1)如果是芯片/模组厂商,需要在芯片/模组中烧录 ID²,请使用以下系统。
系统 |
功能 |
适用人群 |
ID² 芯片厂商入驻 |
ID 的芯片/模组对接。 |
芯片/模组商 |
ID² 烧录系统 |
申请可以烧录的 ID²,并将 ID² 烧录到芯片/模组中。 |
申请可以烧录的 ID²,并将 ID² 烧录到芯片/模组中。 |
(2)芯片入驻管理,对新的芯片进行烧录 ID² 的集成验证。
管理芯片和芯片产线。
芯片集成验证。
芯片产线的审核。
(3)ID² 烧录系统
如果将 ID² 烧录录到设备上,需要经过的流程第一个是申请企业入驻,等待审核通过之后在平台上新增产品,与此同时可以在线下来获取产线 SDK,获取产线 SDK 之后可以生成产线密钥对,产线密钥对用于线上申请烧录许可证,申请之后等待审核,申请烧录许可证审核通过之后,就可以在产线 SDK 与产线工具集成后,使用产线 SDK获取和烧录 ID² 。
6.计费说明
ID² 认证授权(基础版),按照可以激活 ID² 的最大数量和 ID² 的有效期收费。ID² 认证授权采用预付费(包年包月)方式。 ID² 认证授权(基础版)有效期默认为5年,5年后需要进行续购。
ID² 安全芯片,按照 ID² 安全芯片数量收费。每个 ID² 安全芯片中带1个 ID² 认证授权(基础版)。 ID² 安全芯片采用预付费(包年包月)方式。
7.ID² 有效期
从 ID² 激活成功时开始计算有效期。例如,您在2019年1月1日采购了10000个有效期为1年的 ID² 认证授权,分两批激活:2019年1月15日激活了其中1000个(到期日期为2020年1月16日);2019年1月20日激活了其中的9000个(到期日期为2020年1月20日)。
