开发者学堂课程【物联网平台实操入门:IoT设备接入基础(三)】学习笔记与课程紧密联系,让用户快速学习知识
课程地址:https://developer.aliyun.com/learning/course/1031/detail/15122
IoT设备接入基础(三)
三.设备安全
平台身份体系问题讲解完后,介绍一下平台的安全架构。安全架其实也分成几层,左边是设备,之后就是一个流量记录,就当成统一接入层,那么针对安全是怎么来做的?平台测针对安全做了四层的防护,第一层主要是用来防止一些黑客流量通过DDOS来攻击,有高防可以清洗几百G的流量,一般来说,如果用户自建平台要去清洗几百G流量可能性就比较小,最底层就是安全防御的能力。
再上一层就是做了一个安全通道,安全通道分成几种通道,一种是TLS,就是单向的TLS认证,还有X509,X509既是一个身份又是一个通道,ID2也是一样,既是一个身份也是个通道。通过这三种加密方式来保证数据在互联网上传输的过程当中数据的安全。再上一层是身份安全,身份安全是就是前面介绍到的三种平台身份差,每个设备都有一个身份,在建立安全通道以后,下一步要做的就是身份认证。每个设备在平台上都有一个唯一的身份,通过身份认证以后才能真正的上传数据。
上传数据时又对数据做了一些数据方面的安全策略,比如会针对每个用户的数据做逻辑上的一些隔离,包括一些实例,也会对它做一些逻辑上的隔离。同时还支持,比如接入层有连接性实力,连接性实力就是支持物理的隔离,就是一个设备买了连接性实例,那设备上来以后,就有专门的物理接入层的集群。自己的设备跟别人的设备相当于是区分开来,完全在接入层上,在物理上就已经隔离了。这是平台的四层安全防护机制。
包括后面的一些大数据的分析,会对设备的认证行为或者包括它的通道的TLS版本或者是身份做安全分析,防止用户做一些暴力破解。比如有些用户没有加密,就会通过大数据分析后做一些预警,通知用户设备连接未加密。如果你的设备是TLS版本比较,因为TLS版本,比如1.0这种就是有很多安全漏洞,同时还会有一些实时的处理,针对平台发现有一些数据,比如在做一些暴力认证,或者做一些攻击行为,会有一个实时处理的程序,可以快速的将这个设备拦截。这就是整个安全平台,简单来说就是一个平台支持四层架构,四层的安全防护机制,再加上右边的大数据的分析,再根据大数据分析的结果再来做拦截,通过这套安全机制来保障设备和平台的安全性。
来介绍一下设备怎么来做全球接入,因为很多厂商可能设备卖出去,它一开始在设备生产时不知道要卖到哪里,所以怎么来支持这种情况?如果设备卖到美国,欧洲,日本或者新加坡,那怎么来解决设备接入平台的一个稳定性,网络的稳定性和消息延迟的问题?首先最下面是一个底座,就相当于阿里云IOT支持了八个region,比如上海,深圳,北京,新加坡,包括其他几个国家。比如国内有三个大region,国外有五个region,总共有八个region,可以选择任意一个region接入,但是region与region中间数据是隔离的,就是一个设备不能同时接入两个region。这就是八大region的底座。
第二步中间这一层是干什么的?如果有一个全球分发中心,分发的能力,这个能力就是用来解决这个设备到底要归属到哪里,比如设备最终要去欧洲还是去新加坡,这个解决的是设备的分发问题,用户可以自己在控制台上将设备,比如卖出去以后,有些硬件厂商在生产时,不知道归属机,但是卖出去以后有些人还是知道这个设备是卖到哪里的,再卖出去时将这个设备分发到某一个Rregion。
比如这一批设备都是卖到欧洲去的,那就把这些设备在控制台上分发到德国,就相当于把设备的原数据写到德国这里。写到德国后就相当于把设备分发到全球的某一个region,分发完以后在设备接入时,它第一步不是直接入,而是去获取这个设备到底在哪里,设备属于哪里,由于分发中心已经已经把这个问题处理掉了,所以它就会通过就近接入,通过智能DNS,如果是在国内就比较简单,因为国内网络全球分化中心在上海,它基本上都不会有什么网络问题。
国内直接通过BGP网络到达上海,分化中心能确定这个国内设备在上海,深圳,或者北京。全球分发中心会把设备所在的接入点的地址发给你,设备就把这个地址存起来。下次连接时就不用走设备,就可以直接连到对应的最近的接入点上,比如上海深圳或者北京。针对国外的设备是这样做的,就相当于设备首先通过DNS,DNS能解析出来这个设备在美国。因为这个全球风化中心在上海,所以知道所有数据源,这个设备在德国还在美国,只有全球分化中心知道。
那用户怎么知道?因为设备在国外,如果要连国内肯定会有网络问题。所以在中间支持了一个全球加速的通道,可以认为这就是阿里云的全球加速能力,就是通过一个专线,比如在美国就可以在美国的一个全球加速的接入点,接入点接入以后通过内部走专线直接走到国内,这样保证国外设备就近接入点能够快速稳定的获取。最近接入点主要做的就是全球加速专线。通过这三块内容,一个是region,一个是分发,再加一个加速,来解决所有设备的全球就近接入的能力。
