本站微信 收藏本站 设为首页
 找回密码
 注册
关于网站域名变更的通知
EDA365电子论坛网»电子社区 研发技术版块 物联网技术 IoT物联网设备数据安全解决方案
返回列表 发新帖
查看: 782|回复: 3
打印 上一主题 下一主题

IoT物联网设备数据安全解决方案

[复制链接]
embnn

该用户从未签到
跳转到指定楼层
1#
发表于 2021-6-28 09:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

EDA365欢迎您登录!

您需要 登录 才可以下载或查看,没有帐号?注册

x
随着越来越多的设备需要被远程管理,在带来了便捷性的同时, 也对设备的安全性带来了挑战。设备连接到互联网后,通过服务器,接收和处理设备数据。攻击者如果在数据转发路径中截获数据,并解析出数据的业务含义,就会导致用户机密数据的泄漏。



如果攻击者,使用虚假设备连接用户的云端应用服务器,发送构造的数据,可能导致用户业务系统工作异常,严重的会导致重大经济损失。



阿里云物联网平台提供端到端的安全机制来保障用户业务的安全。



对于数据窃听而言,阿里云物联网平台在设备与物联网平台、物联网平台与用户的云端应用之间,都设计了可靠的安全机制,从而避免攻击者通过监听数据的方式来窃取用户业务机密数据:



物联网平台为每个账号分配安全的身份标识与密码,且二者通信使用TLS加密。




对于构造虚假设备对业务进行攻击的方式,物联网平台为每个设备分配单独的证书,攻击者的设备由于没有合法的设备证书,无法连接到物联网平台,因此攻击者虚构的数据不会被发送给用户的云端应用。



同时物联网平台在设计时,考虑了黑客恶意攻击的情况,因此即使黑客发起大面积的DoS攻击,也会被拦截,避免用户云端应用性能变差。



设备身份证书

1.设备秘钥

物联网平台为每个设备创建一个证书,其中包括:



使用设备密钥的操作流程:

1.在物联网平台创建设备,获取证书。



2.通过产线烧录或者动态获取的方式,将设备证书存放到设备上。



3.设备连接时,将通过ProductKey、DeviceName、DeviceSecret签名的认证数据,发送到物联网 平台。



4.物联网平台收到设备认证信息后,使用该设备的DeviceSecret,计算签名是否正确。

  * 是 => 连接合法,物联网平台转发数据给用户的云端应用服务器进行处理。

  * 否 => 断开连接,避免接收攻击数据。

说明:

设备的DeviceName、DeviceSecret长度均为32个字符,可避免攻击者通过穷举方式对设备进行攻击。



设备的ProductKey、DeviceName、DeviceSecret是设备的机密数据。在设备上保存该数据时, 需要对其进行加密存储,避免攻击者通过读取设备存储芯片的方式来获取设备证书,继而连接物联 网平台,攻击业务系统。



通过运营商蜂窝网络接入的设备,由于运营商保证了设备与运营商之间的数据安全性,黑客比较难 截取到,运营商与阿里云物联网平台之间的通信数据,所以在设备的RAM、ROM、计算能力有限 的情况下,可以关闭TLS功能。


2.X.509证书

X.509是由国际电信联盟制定的数字证书标准,具有通信实体鉴别机制。其对设备端的内 存、计算能力均有要求,在应用时需要进行评估。物联网平台华东2(上海)地域支持使用X.509证书进行设备身份认证。



3.ID2身份认证

阿里云提供IoT设备身份认证ID2(Internet Device ID)方案,可在银行、政府、军工等要求高安 全的场景可以使用。ID2是一种物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一等安全属性。



在设备硬件无法修改的情况下,设备可以集成ID2的设备端安全库,用于对机密数据进行安全存储。



在可以设计新硬件的情况下,设备上可以集成ID2安全芯片,从而彻底消除用户通过反向编译等 非常规手段,手动破译设备身份的可能。



ID2提供了iTLS机制,用来保障数据传输的安全性,同时还可以减少对设备端内存、CPU资源的消耗。



云上数据安全

在阿里云控制台,为云端应用创建AccessKey和AccessKeySecret后,云端应用才能与物联网平台进行通信。不同企业账号之间的AccessKey不同。



1.设备上行数据流转业务系统

阿里云物联网平台将来自设备的消息通过AMQP转发给企业的云端业务系统。



云端应用首先需要建立与物联网平台的TCP连接,然后使用TLS对数据进行加密,之后通过AccessKey签名对云端应用进行身份验证。



云端应用通过认证之后才能接收到来自物联网平台的设备数据。



2.云端下行控制指令到设备

当云端应用需要对设备进行管理时,阿里云物联网平台提供了RESTful API供云端应用调用。通信过程同样使用TLS对数据进行加密,并通过AccessKey签名对云端应用进行身份验证。

下载资料威望不够?点击查看获取威望的N种方法>>
回复

举报

EDA365微信号及QQ群号!
wushy

该用户从未签到
2#
发表于 2021-6-28 10:25 | 只看该作者
对于构造虚假设备对业务进行攻击的方式,物联网平台为每个设备分配单独的证书,攻击者的设备由于没有合法的设备证书,无法连接到物联网平台,因此攻击者虚构的数据不会被发送给用户的云端应用。

下载资料威望不够?点击查看获取威望的N种方法>>
回复 支持 反对

举报

keep
  • TA的每日心情
    开心
    2020-7-28 15:35

    • 签到天数: 2 天

    [LV.1]初来乍到
    3#
    发表于 2021-6-28 13:56 | 只看该作者
    阿里云提供IoT设备身份认证ID2(Internet Device ID)方案,可在银行、政府、军工等要求高安 全的场景可以使用。ID2是一种物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一等安全属性。

    下载资料威望不够?点击查看获取威望的N种方法>>
    回复 支持 反对

    举报

    bow

    该用户从未签到
    4#
    发表于 2021-6-28 14:07 | 只看该作者
    云端应用首先需要建立与物联网平台的TCP连接,然后使用TLS对数据进行加密,之后通过AccessKey签名对云端应用进行身份验证。

    下载资料威望不够?点击查看获取威望的N种方法>>
    回复 支持 反对

    举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    推荐内容上一条 /1 下一条

    EDA365公众号

    关于我们|手机版|EDA365电子论坛网 ( 粤ICP备18020198号-1 )

    GMT+8, 2025-7-29 05:47 , Processed in 0.109375 second(s), 24 queries , Gzip On.

    深圳市墨知创新科技有限公司

    地址:深圳市南山区科技生态园2栋A座805 电话:19926409050

    快速回复 返回顶部 返回列表