首页 IoT设备身份认证 最佳实践 使用ID²-SE将设备接入阿里云物联网平台(LP)

使用ID²-SE将设备接入阿里云物联网平台(LP)

本文介绍了设备如何通过更安全的身份认证方式(ID²)连接到阿里云物联网平台,并建立安全传输通道。适用于集成了ID²安全芯片的设备。

1. 术语

  1. Soft-KM(Key Management)密钥管理,由阿里提供的软件安全沙箱,基于软件加固和虚拟化技术提供对密钥(IoT ID²)的安全保护。

  2. OSA(Operation System Abstractor Layer)操作系统抽象层,定义内存申请和释放、日志打印、系统时间、网络通信等接口,非遵循POSIX标准的OS,需重新适配这些接口。

  3. HAL(Hardware Abstractor Layer)硬件抽象层,根据设备硬件特性,完成对加解密算法、设备唯一ID、密钥管理和数据安全存储的接口适配。

  4. TLS(Transport Layer Security)安全传输层协议, 用于两个通信实体之间,保护通信数据的私密性和完整性。

  5. IoT(Internet of things)物联网,基于互联网实现万物互联。

  6. 阿里云物联网平台 LP(Link Platform)阿里云物联网平台,提供物联网的设备管理。

  7. SE(Secure Element)安全元件,也称安全芯片,单独的防篡改硬件,专门用于存储和数据加密。

  8. AT指令,终端设备和外设模块之间的连接和通信的指令。

  9. ID²安全芯片,或ID²-SE芯片,在安全芯片生产时烧录ID²密钥,基于安全芯片的物理防护特性保护ID²密钥的存储和运行安全,通过SE AT指令提供ID²密钥的基础运算。

2. 产品架构

  1. ID²控制中心:

  • ID²的Web控制台,提供对ID²产线灌装、ID²产品和配额申请、以及ID²使用统计的管理。

  1. ID²服务中心:

  • ID²在云端的应用,提供ID²的各种安全能力,包括ID²密钥安全分发、设备认证、基于ID²的安全连接协议等;同时,提供各种能力的云端接口,支持业务平台的二次开发,支持不同的安全业务需求和场景。

  1. ID² Client SDK(ID²设备端SDK):

  • ID²在设备端的功能组件和软件开发框架,可支持不同操作系统和不同硬件,为IoT设备提供基于ID²的端到端的设备认证、数据加解密等各种安全能力。

3. ID²接入流程

3.1 概述

  • 阿里云物联网平台接入的方式,ID²已默认同物联网平台打通,因此不需要进行服务端对接。

  • 设备建连的过程,IoT设备通过物联网设备端Linkkit SDK调用ID²-iTLS,进行设备认证和会话密钥协商,最后建立数据安全传输通道。

  • 设备建连成功后,IoT设备和物联网平台,通过安全通道进行应用数据的安全传输。

  • ID²对接步骤如下:

3.2 创建产品

  1. 登录物联网平台控制台

  2. 点击选择的实例,在左侧导航栏,选择设备管理 > 产品,单击创建产品:

  1. 填写产品信息,认证方式选择ID²:

3.3 购买ID²安全芯片

  1. 购买ID²安全芯片:

3.4 设备端对接

3.4.1 ID² Client SDK框架

image.png
  1. IoT Application:

  • 设备端的应用程序,负责业务数据处理,包括设备认证、设备建连和数据收发等。

  1. IoT Linkkit:

  • 阿里云物联网平台的接入SDK,提供IoT设备安全连接到阿里云IoT平台,提供数据连云的安全通道,以及业务数据的管理。

  1. ID² Client SDK:

  • iTLS:轻量的安全连接协议TLS,基于ID²完成TLS的握手认证和密钥协议,提供应用数据的收发。

  • ID²:IoT设备认证的对外接口,上层应用/协议基于此接口进行开发。

  • KM:密钥管理模块,支持不同形式的载体:

  • Soft-KM:软件沙箱,基于软件加固和虚拟化技术提供对ID²密钥的安全保护。

  • SE:安全芯片,基于物理防护机制,提供对ID²密钥的安全保护,通过AT指令对设备提供ID²的运算。

  • Crypto:提供统一的加解密算法接口。

  • OSA:操作系统适配接口,厂商需根据使用的OS,重新进行接口适配。

  • HAL:硬件适配接口,提供算法库和Soft-KM的适配接口,厂商需根据选择的硬件平台,重新进行接口适配。

3.4.2 ID² 设备端 SDK获取

  1. ID² 设备端 SDK下载:

  1. ID² Release Package目录:

目录/文件

说明

modules

核心模块代码

include

头文件

app

测试代码,可用于集成调试

sample

ID²的示例代码

doc

文档

make.settings

ID² 设备端 SDK统一配置文件:

  • CONFIG_LS_ID2_DEBUG:调试开关

  • CONFIG_LS_ID2_ROT_TYPE:ID²安全载体,SE-安全芯片,MDU-安全模组

  • CONFIG_LS_ID2_KEY_TYPE:ID²的密钥类型

make.rules

编译系统配置文件,可配置编译工具链和编译参数

makefile

编译脚本

3.4.3 ID² 设备端 SDK对接

  1. 设备端适配:

根据选择的OS和硬件平台,完成ID² 设备端 SDK的移植。

  • 基于ID² 开源SDK进行移植,OSA和IROT HAL需进行重新适配。

第一步:OSA接口适配:

  • 实现src/osa/ls_osa.c中的接口:

  • 已提供Linux系统的参考实现可只实现其中的基础接口和网络接口。

第二步:IROT HAL接口适配:

  • 进入modules/irot/se目录。

  • 在chipset目录, 创建新增安全芯片的目录(如fm1280),复制template中全部文件到新增的目录,并修改makefile指定到新建的目录。

  • 打开chipset/fm1280/se_driver/se_driver.c, 适配SE芯片驱动接口:

  • se_open_session - SE初始化

  • se_transmit - 发送APDU指令,并获取response。

  • se_close_session - SE关闭。

第三步:ID² 设备端 SDK编译:

  • 修改ID² 设备端 SDK根目录make.rules的编译脚本:

  • CROSS_COMPILE设置对应的编译工具链。

  • CFLAGS设置编译的配置参数。

  • 修改ID² 设备端 SDK根目录make.settings的统一配置:

  • CONFIG_LS_ID2_ROT_TYPE :配置为SE。

  • CONFIG_LS_ID2_KEY_TYPE:配置为ID²安全芯片中的密钥类型。

  • CONFIG_LS_ID2_ECDP_TYPE:如ID²密钥类型为ECC时,配置对应的椭圆曲线参数。

  1. 设备端集成:

调用设备端ID²的接口,完成相应的设备认证、数据加密等安全功能。

第一步:下载Linkkit代码:

第二步:在Linkkit根目录,新建libs目录,并将已适配好的ID²静态库拷贝到libs目录:

第三步:修改Linkkit 配置:

  • 在Link_SDK目录内, 打开./core/sysdep/core_adapter.c, 关闭宏CORE_ADAPTER_MBEDTLS_ENABLED。

  • 第四步:修改Linkkit Makefile,链接ID²静态库:

第五步:修改示例代码中的产品信息:

  • demos/mqtt_id2_demo.c:

第六步:固件编译:

  • 根目录重新执行编译,正确编译,可生成output/mqtt-id2-demo可执行文件。

第七步:固件运行:

  • 正确运行mqtt-id2-demo,可得到如下日志:

image.png

3.5 调试验证

  1. ID²建连错误调试:

  • ID²-iTLS建连失败时,首先可以通过查看消息警告(alert message)进行问题排查:

image.png
  • 上面的消息警告中,2 - FATAL类型的警告;172 - 消息警告类型,ID²-iTLS常见的错误警告类型如下:

错误码

错误信息

评论

160

ID² generic error

通用错误,检查Product Secret是否正确

161

ID² no quota

ID²配额不足,需先购买ID²

162

ID² is not exist

服务端识别不了此ID²,可删除设备上ID²(如KM载体)后,重新空发ID²

163

ID² authcode is invalid

ID²认证码错误,校验挑战字是否有效(ID²服务端申请&只使用一次)

164

ID² has not been activated

ID²已经激活

165

The timestamp used in authcode is expired

检查设备端时间是否同步

166

ID² challenge is invalid

ID²认证码中,挑战字非法(挑战字模式)

167

Not support this operation

不支持此操作

168

ID² has been suspended

ID²已暂停使用

169

ID² has been discarded

ID²已废弃

170

Permission denied, id2 has been blinded to other product key

ID²已绑定到其他产品,不容许在该产品使用,改回绑定的产品

171

Product key is invalid

ID²产品非法,如已废弃

172

Product key is not exist

ID²产品不存在,产品错误填入,或者申请产品时,没有选择"ID²认证"

  1. ID²设备上线验证:

  • 设备端ID²-iTLS建连成功后,在物联网管理平台,可看到新创建的设备和设备的上线信息。

  • 登录物联网平台控制台

  • 在左侧导航栏,选择设备管理 > 设备,DeviceName是ID²示例中设置的设备证书(ProductKey、DeviceName、DeviceSecret)设备名

image.png

阿里云首页 IoT设备身份认证 相关技术圈