设备接入物联网平台之前,需通过身份认证。目前,物联网平台支持使用设备密钥、ID²和X.509证书进行设备身份认证。

设备密钥认证

在创建产品时,认证方式选择为设备密钥,设备接入物联网平台时,需使用密钥进行身份认证。

物联网平台使用ProductKey标识产品,DeviceName标识设备。ProductSecret和DeviceSecret分别是产品和设备的密钥。设备证书(ProductKey、DeviceName和DeviceSecret)用于校验设备合法性。认证通过后,方可接入物联网平台。针对不同的使用环境,物联网平台提供了使用密钥认证的三种认证方案。

  • 一机一密:每台设备烧录自己的设备证书(ProductKey、DeviceName和DeviceSecret)。
  • 一型一密:同一产品下设备烧录相同产品证书(ProductKey和ProductSecret)。需开通产品的动态注册功能,设备通过动态注册获取DeviceSecret。
  • 子设备动态注册:网关连接上云后,子设备通过动态注册获取DeviceSecret。

三种方案在易用性和安全性上各有优势,您可以根据设备所需的安全等级和实际的产线条件灵活选择。方案对比,如下表所示。

表 1. 认证方案对比
对比项 一机一密 一型一密 子设备动态注册
设备端烧录信息 ProductKey、DeviceName、DeviceSecret ProductKey、ProductSecret ProductKey
云端是否需要开启动态注册 无需开启,默认支持。 需打开动态注册开关。 需打开动态注册开关。
是否需要预注册DeviceName 需要,确保产品下DeviceName唯一。 需要,确保产品下DeviceName唯一。 需要,确保产品下DeviceName唯一。
产线烧录要求 逐一烧录设备证书,需确保设备证书的安全性。 批量烧录相同的产品证书,需确保产品证书的安全存储。
  • 网关可以本地获取子设备ProductKey。
  • 将子设备ProductKey烧录在网关上。
安全性 较高 一般 一般
是否有配额限制 有,单个产品50万上限。 有,单个产品50万上限。 有,单个网关最多可注册1500个子设备。
其他外部依赖 依赖网关的安全性保障。

ID²认证

阿里云提供IoT设备身份认证ID²(Internet Device ID)。ID²是一种物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一等安全属性。

在创建产品时,认证方式选择为ID²,设备接入物联网平台时,使用ID²身份认证。

使用ID²认证,需购买ID²服务。ID²服务购买方式和使用指南,请参见IoT设备身份认证(ID²)用户手册

说明
  • 目前仅华东2(上海)地域支持ID²认证。
  • 连网方式选择为LoRaWAN的产品不支持ID²认证。

X.509证书认证

X.509是由国际电信联盟(ITU-T)制定的数字证书标准,具有通信实体鉴别机制。目前物联网平台华东2(上海)地域支持使用X.509证书进行设备身份认证。

使用X.509证书的操作流程:

  1. 在创建产品时,认证方式选择为X.509证书
  2. 在该产品下创建设备,物联网平台会为设备颁发X.509证书和密钥。
  3. 开发设备端,将X.509数字证书和密钥烧录到设备上。

    设备端上身份认证配置,请参见使用X.509证书认证

说明
  • 仅MQTT协议直连的设备可使用X.509证书认证。
  • 目前仅华东2(上海)地域支持X.509证书认证。
  • 连网方式为LoRaWAN的产品不支持X.509证书认证。