裝置接入物聯網平台之前,需通過身份認證。目前,物聯網平台支援使用裝置密鑰、ID²認證、X.509認證進行裝置身份認證。
裝置密鑰認證
建立產品時,認證方式選擇為裝置密鑰,然後在該產品下添加裝置,擷取物聯網平台頒發的ProductSecret、DeviceSecret等密鑰。裝置接入物聯網平台時,會使用物聯網平台頒發的密鑰資訊,進行身份認證。
針對不同的使用環境,物聯網平台提供以下四種裝置密鑰認證方案。
一機一密:每台裝置燒錄自己的裝置認證(ProductKey、DeviceName和DeviceSecret)。
一型一密預註冊:同一產品下裝置燒錄相同產品認證(ProductKey和ProductSecret)。開通產品的動態註冊功能,裝置通過動態註冊擷取DeviceSecret。
一型一密免預註冊:同一產品下裝置燒錄相同產品認證(ProductKey和ProductSecret)。開通產品的動態註冊功能,通過動態註冊,裝置不擷取DeviceSecret,而是擷取ClientID與DeviceToken的組合。
子裝置動態註冊:網關串連上雲後,子裝置通過動態註冊擷取DeviceSecret。
四種方案在易用性和安全性上各有優勢,您可以根據裝置所需的安全等級和實際的產線條件靈活選擇。方案對比,如下表所示。
對比項 | 一機一密 | 一型一密預註冊 | 一型一密免預註冊 | 子裝置動態註冊 |
裝置端燒錄資訊 | ProductKey、DeviceName、DeviceSecret | ProductKey、ProductSecret | ProductKey、ProductSecret | ProductKey |
雲端是否需要開啟動態註冊 | 無需開啟,預設支援。 | 需開啟動態註冊開關。 | 需開啟動態註冊開關。 | 需開啟動態註冊開關。 |
是否需要提前在物聯網平台建立裝置,註冊DeviceName | 需要,產品下DeviceName唯一。 | 需要,產品下DeviceName唯一。 | 不需要。 | 需要,確保產品下DeviceName唯一。 |
產線燒錄要求 | 逐一燒錄裝置認證,需確保裝置認證的安全性。 | 批量燒錄相同的產品認證,需確保產品認證的安全儲存。 | 批量燒錄相同的產品認證,需確保產品認證的安全儲存。 |
|
安全性 | 較高 | 一般 | 一般 | 一般 |
是否有配額限制 | 有,不同維度(產品、執行個體和阿里雲帳號)下裝置接入配額的限制不同。詳細說明,請參見裝置接入的使用限制。 | 有,單個網關最多可註冊1500個子裝置。 | ||
其他外部依賴 | 無。 | 依賴網關的安全性保障。 | ||
X.509認證認證
X.509是由國際電信聯盟(ITU-T)制定的數位憑證標準,具有通訊實體鑒別機制。目前物聯網平台僅尊享型企業版執行個體的雲網關功能支援使用X.509認證進行裝置身份認證。
使用X.509認證的操作流程,請參見使用X.509認證認證。
ID²認證
阿里雲提供IoT裝置身份認證ID²(Internet Device ID)。ID²是一種物聯網裝置的可信身份標識,具備不可篡改、不可偽造、全球唯一等安全屬性。
在建立產品時,認證方式選擇為ID²,裝置接入物聯網平台時,使用ID²身份認證。
使用ID²認證,需購買ID²服務。
目前,僅日本(東京)地區的企業版執行個體下,支援使用ID²認證認證。
連網方式選擇為LoRaWAN的產品不支援ID²認證。
使用MQTT的簽名參數認證
裝置通過您自研的MQTT接入工具串連物聯網平台時,需使用MQTT的簽名認證參數username、passwd和mqttClientId進行裝置身份認證。您可使用裝置密鑰計算MQTT串連的簽名參數值,具體內容,請參見如何計算MQTT簽名參數。