阿里云Link ID²设备身份认证平台

63 阅读 0 评论 42 点赞

我是靠谱客的博主畅快哑铃，最近开发中收集的这篇文章主要介绍阿里云Link ID²设备身份认证平台，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

ID²(Internet Device ID)，是一种物联网设备的可信身份标识，具备不可篡改、不可伪造、全球唯一的安全属性，是实现万物互联、服务流转的关键基础设施。

ID²设备身份认证平台由互联网设备，ID²分发中心，云端ID²认证中心和部署在本地或者云端的互联网服务组成。芯片厂商产线通过调用提供的ID²产线烧录SDK（可集成到厂商的烧录工具）完成向ID²分发中心在线的ID²申请，获取和烧录。烧录完成后，可通过调用烧录回执相关的API来确认是否已经成功烧录到芯片。具体产线烧录ID²过程可参考：ID²申请和产线烧录。

烧录ID²的同时也会将相应的私钥（private key）烧录到芯片内，公钥（public key）会上传给云端ID²认证中心，该私钥可用于解密由云端ID²认证中心下发的加密数据，这种模式可用于实现应用层协议的通道认证或者秘钥协商。ID²的一个重要应用场景就是连接协议的安全性增强，ID²和各种连接协议（如MQTT，CoAP）结合，为连接提供设备认证和密钥协商等基础能力，为整个IoT管理系统提供基础的安全保障。后面也会介绍利用该安全特性将ID²设备身份认证平台与AliOS Things自组织网络节点安全入网相结合。ID²认证平台系统架构如下：

ID²设备身份认证平台提供了两种认证模式：基于挑战应答模式（challenge-response Based）和基于时间戳（Timestamp-Based），可防止重放（replay）攻击。以挑战应答认证模式为例，sp server（业务服务器）作为消息代理（proxy），转发设备节点和云端ID²认证中心之间的交互消息（默认设备节点已经预置烧录ID²）。具体认证消息交互流程图如下：

设备端发送认证请求给sp server，向云端ID²认证中心申请挑战随机数（challenge）
sp server调用POP SDK Java API：getServerRandom()从云端ID²认证中心获取到挑战随机数并转发给终端设备节点
设备节点获取到挑战随机数后，根据预置根ID²，challenge，extra data（可选）作为计算auth code的参数，调用端上提供的TFS API：tfs_id2_get_challenge_auth_code()计算auth code
设备节点将计算出的auth code发送给sp server, 将帮助转发给云端ID²认证中心
sp server调用POP SDK Java API：VerifyRequest() 与云端ID²认证中心做认证
sp server最后将根据云端ID²认证中心返回的认证结果做相应的业务处理
此外，对于允许接入该sp server服务的设备，ID²能够确保设备和server之间的双向认证。即，不仅sp server需要确认该拥有ID²身份信息的设备是否允许接入，同时接入设备也需要确认该sp server是否具有提供认证服务的合法性。通过双向认证的方式从而可以过滤掉那些虽拥有合法的ID²身份信息，但不属于sp server所提供服务的范畴内的一些接入设备。不同的厂商可自行定义设备具体的接入sp server方式，这一部分暂时不在本文讨论范围之内。

具体认证过程中sp server所用到的POP SDK API用法可参考相应的sample code：获取随机数; 认证请求; 认证请求并加密。终端节点上调用的TFS API可参考相应的API说明，tfs静态库的路径:AliOS-Things/security/tfs/lib.

AliOS Things自组织网络的安全认证架构
传统的AAA（Authentication、Authorization、Accounting）服务在部署和配置上都需要额外的专业IT人员操作，而对于像物联网这样拥有大量设备节点的场景，手动的为每一个设备节点生成证书显然有些不切实际。此外，x.509证书不仅需要出厂预置占用较多的flash资源，并且在ASN.1解析和认证过程中的消息传递也会消耗大量的MCU资源（根据不同的签名算法，密钥协商算法，加密算法而生成的证书的大小各不相同，大一点的证书可能会超过1KBytes），因此对于资源受限的嵌入式设备节点，基于证书的认证方式可能不是一个最优选择。

ID²设备身份认证平台是一个更为轻量级的基于身份信息的双向认证服务平台，尤其适合硬件资源不足的嵌入式设备的认证方式。认证服务中心云端化也省去大量IT人员的时间来重复相同的部署和配置过程，客户所需要做的仅仅是调用相应的SDK对接云端ID²认证中心。基于这个优势，设计自组织网络（uMesh）的设备节点端安全认证过程时也依托于上述ID²设备身份认证平台的挑战应答认证模式。目前新加入的设备节点和已经入网节点之间的认证通信协议兼容标准的IEEE802.1x和EAP扩展认证协议，利用IEEE802.11 WiFi协议标准进行数据传输。EAP扩展协议也为后续扩展和兼容多种标准认证方式（如MD5, OTP, TLS等）提供了基本协议框架。