开发者学习笔记【阿里云物联网助理工程师认证(ACA):信息安全组件功能介绍(五)】
课程地址:https://edu.aliyun.com/course/3112060/lesson/18986
信息安全组件功能介绍(五)
七、IoT 区块链可信应用系统介绍
1.IoT 区块链可信应用系统,存证与溯源服务
(1)上链存证
LTL 系统以 API 形式向用户提供数据上链存取证服务,用户数据通过端到端的安全技术,以及区块链数据不可算改的特性,在区块链上进行可信存证
业务系统数据上链存证。操作步骤如下。
a.存证方向 LTL 业务管理方提供用于存证与溯源服务的阿里云RAM 用户 UID 信息。
b.LTL 业务管理方在 LTL 平台添加用于存证与溯源服务的用户。
c.LTL 业务管理方向存证方提供授权接入参数以及云云对接 SDK。
d.存证方的业务系统通过云云对接 SDK 进行对接集成。
e.存证方系统通过 SetData API 提交上链存证请求。
f.LTL 对存证方的身份以及存证数据格式进行验证无误后,对存证数据进行背书。
g.存证成功后,用户业务系统可根据该存证记录的唯一存证码,对原存证记录进行对比确认。
IoT 设备直采数据上链存证。操作步骤如下。
a.存证业务方与 LTL 业务管理方确认需要上链的物联网终端节点或边缘节点,并获取 LTL 云云对接 SDK。
b.物联网终端节点或边缘节点设备集成 LTL 云云对接 SDK,并在端侧处理上链数据。
c.LTL 对上链数据进行验证,验证通过后对数据进行存证背书并上链。
d.存证成功后,LTL 向客户端返回当前存证记录的唯一查询码。
e.用户业务系统将查询码与原存证记录在业务系统中进行关联绑定。
(2)上链溯源
LTL 系统以 API 形式向用户提供数据上链溯源服务,用户数据通过端到端的安全技术,以及区块链数据不可篡改的特性,在区块链上进行数据溯源。
业务系统数据上链溯源。操作步骤如下。
a.存证方向LTL业务管理方提供用于存证与溯源服务的阿里云 RAM用户 UID 信息。
b.LTL 业务管理方在 LTL 平台添加用于存证与溯源服务的用户。
c.LTL 业务管理方向存证方提供授权接入参数以及云云对接 SDK。
d.存证方的业务系统通过云云对接 SDK 进行对接集成。
e.存证方系统通过 AttachData API,对同一个数据标识,进行多次上链请求
f.LTL 对存证方的身份以及存证数据格式进行验证无误后,对存证数据进行背书。
g.存证成功后,用户业务系统可根据该存证记录的唯一存证码,对数据进行溯源。
IoT 设备直采数据上链溯源。操作步骤如下。
a.存证业务方与 LTL 业务管理方确认需要上链的物联网终端节点或边缘节点,并获取 LTL 云云对接 SDK。
b.物联网终端节点或边缘节点设备集成 LTL 云云对接 SDK,并在端侧处理上链数据。
c.LTL 对上链数据进行验证,验证通过后对数据进行存证背书并上链。
d.存证成功后,LTL 向客户端返回当前存证记录的唯一查询码。
e.用户业务系统将查询码与原存证记录在业务系统中进行关联绑定。
(3)存证查询
LTL 系统支持两个维度的存证信息查询:
区块链上已落盘的原始存证数据。
基于存证记录的查询码,返回该存证记录在区块链上的落盘信息
其中,落盘信息包括所在区块链的名称,存证记录所在区块的高度,区块链上的存证摘要,存证数据源 ID(仅涉及 IoT 设备)以及存证的背书方列表。落盘信息可以用于区块链存证证书的生成。
LTL 系统以 API 和控制台两种形式向用户提供存证查询服务。
(4)后续操作
存证查询方从 LTL 获得查询返回值后,可以:
校验从区块链上返回的存证原数据与待校验数据是否一致。
对待校验的数据进行摘要后,与从区块链上返回的存证摘要值比对,确认数据是否被篡改。
基于从区块链上查询的存证落盘信息,生成存证记录证书。
2.IoT 区块链可信应用系统,多方协同服务
业务链查询。用于查询自身所参与的业务链列表,包含业务链标识和名称。业务管理方的业务系统通过云云对接 SDK 进行对接集成,查询已经开通的业务链列表。
协同模型配置。用于创建和维护协同模型基本信息(包含协同模型标识和名称)。创建,修改,查询操作。
阶段配置。用于创建和维护阶段基本信息 (包含阶段标识和名称)。创建,修改,查询操作。
成员管理。用于创建和维护成员基本信息 (包含成员标识和名称)。添加,编辑,锁定,解锁成员。
阶段权限配置。用于配置业务使用方阶段权限,使得其拥有对该阶段的数据写入权限。阶段授权,阶段授权查询。
阶段数据上链。用于业务使用方在其被授权的阶段,对业务系统或 IoT 设备数据上链。分业务系统和设备数据上链。
阶段数据查询确认。用于通过数据唯一标识对上链的数据进行查询,以获取上链数据和区块链元信息。包括阶段数据查询及溯源。
3.安全网关方案-授权规格说明
RTU/DTU。每套方案支持1个网关设备的接入。包含1个 IoT 安全运营中心 (SOC-DAS) 的使用授权。包含1个 IoT 设备身份认证(基础版)的授权。授权年限与方案的有效期一致,支持1年、3年、5年。
接入网关。每套方案支持1个网关设备的接入。包含1个 IoT 安全运营中心 (SOC-DPS) 的使用授权。包含1个 IoT 设备身份认证(基础版)的使用授权。包含1个 IoT 可信执行环境 (TEE) 的使用授权。授权年限与方案的有效期一致,支持1年、3年、5年。
边缘服务器。每套方案支持1个网关设备的接入。包含1个 IoT 安全运营中心 (SOC-DPS Server) 的使用授权。包含1个 IoT 设备身份认证(基础版)的使用授权。包含1个 IoT 可信执行环境 (TEE) 的使用授权。授权年限与方案的有效期一致,支持1年3年、5年。
(1)IoT 安全网关安全方案
安全网关方案-规格说明。涉及产品。
产品名称 |
产品简介 |
IoT 设备身份认证 (ID²) |
Link ID²(Internet Device ID) 是面向物联网的设备身份认证服务为设备与云提供双向身份认证和链路加密功能。 |
IoT 安全运营中心 (SOC) |
Link SOC(Security Operations Center),帮助管理员识别和消除 IoT 系统潜在的安全风险,保障 IoT 系统运行过程中的安全性。
|
IoT 可信执行环境 (TEE) |
Link TEE (Trusted Execution Environment) 为物联网设备提供 TEE 安全框架和安全应用的全生命周期管理,提供符合 GlobalPlatform TEE 标准接口的安全、可信执行环境。 |
安全网关方案-规格说明。SOC 规格说明。
SOC 规格 |
安全检测 |
安全防护 |
Docker |
设备保护服务 DAS( Device Attestation Service) |
支持 |
无 |
无 |
设备取证服务 DPS(Device Protection Service ) |
支持 |
支持 |
无 |
DPS Server |
支持 |
支持 |
支持 |
(2)IoT 安全等宝2.0方案
等保2.0(物联网) |
覆盖控制层面和覆盖控制点 |
二级 |
覆盖2个核心的安全层面: 1.安全区域边界2.安全计算环境 覆盖6个控制点的要求: 1.入侵防范2.感知节点设备安全 3.抗数据重放4.网关节点设备安全5.数据融合处理 |
三级 |
|
三级(增强) |
|
咨询/测评 |
等保2.0的咨询和测评服务。 |
安全自检 |
固件安全检测。 |
(3)随堂思考
1.什么是 ID²?其功能特性是什么?
ID² 是 Internet DeviceID 的缩写,主要是向物联网的设备身份提供认证服务,为设备与云提供双向的身份认证和链路加密功能
2.IoT 固件安全检测典型应用场景?
IoT 固件安全检测典型的应用常见主要有三个,第一个是安全开发流程,IoT 设备厂商可将 FSS 嵌入在安全开发流程中,在设备固件发布前上传设备固件,导出安全检测报告,然后根据安全检测报告的建议完成修复更新设备固件。第二个场景是设备固件升级,IoT 设备厂商或 OTA 厂商创传设备固件升级包,固件检测服务检测并导出安全检测报告,然后根据安全检测报告的建议完成修复更新设备升级包。第三个是固件安全评估,安全检测机构或 IoT 供应链管理人员可以将固件提交 FSS 来获得安全检测报告,然后根据检测结果评估附件的安全风险等级。
