课时1：IoT设备接入基础（三）

阿里云物联网平台入门训练营：课时1：IoT设备接入基础（三）

课程地址：https://developer.aliyun.com/trainingcamp/5fe77ddd74f743ebad9dbc8c5f47be9a?spm=a2c6h.26142516.J_2566289780.2.37c67cbd7bCsFs

课时1：IoT设备接入基础（三）

平台的设备身份体系

你可以通过烧录这三种身份直接登录到我们平台来。

第一个身份是lOT平台身份获取，平台身份就是指的是我们平台上面的一个PK加DN加DS这三个加起来就是我们一个平台的一个身份，每个设备在平台上面是唯一的。

第二个身份x509，它既是一种双向通道，就是说x509证书可以在设备上面不用烧录平台身份，只烧录x509证书。

然后在我们平台上面把x509证书跟平台的身份在控制台上面做一个绑定，绑定以后就相当于你就可以通过x509证书的模式登录到我们就是设备只烧录x509，然后登陆到我们平台，我们平台会给你做一些身份的转换，就说平台内部实际上还是通过平台身份来做一些数据流转。

第三个身份是 ID2 ， ID2 是我们阿里云IoT安全团队自己推出的，它的作用是跟x509一样都是双向认证，但是他一个好处在他把双向认证的过程当中的一个证书，因为双向认证TOS双向认证的时候会包括服务端向设备传证书， ID2 他把这个证书的流程相当于是把它直接优化掉了，既可以保障平台设备的安全性，又可以减少你在设备接连的时候传输证书的流量消耗问题。

这三种身份在平台基本上都是可以获取。

lOT平台身份获取

平台身份是有三种方案可以获取

单个设备创建：在控制台上面你直接创建单个设备就可以了。

批量设备创建：一般厂商可能设备会量产，量产的话，我们也提供了批量创建，创建设备都是可以在控制台上面直接创建。

云端API创建：如果有开发能力比较好的企业可以直接通过云端我们提供了API ，可以通过API直接快速的创建设备。

X509 身份获取

X509身份获取有两种方式

第一种是阿里云平台lOT平台直接X509颁发证书：X509证书拿到以后直接去设备上面烧录就可以，这个X509证书会在平台上面自动跟平台身份去做一个绑定，然后绑定完以后你就直接拿X509证书就可以通讯了。

第二种方式是用户自己颁发的x509证书：这种相当于在我们平台上面注册一下你自己颁发的X509证书也是可以的。

ID2 身份的获取

ID2获取其实就是我们专门有一个ID2控制台，可以在这个控制台上面开启ID2能力以后直接购买License的数量。比如说我购买ID2数量，我就购买1000个ID2它就可以给你1000个ID2限额，然后你通过一线一密（一线一密后面会讲到）通过设备DN然后动态来创建这个设备，ID2也有专门的控制台来获取ID2的一个身份，这个的话就是我们平台的一个身份体系。身份体系讲完以后，再讲一下我们平台的一些安全架构。

接入安全架构

安全架构的话也分成四层。上图左边是设备，右边就是一个流量接入就当做统一接入层。其实我们是平台测的话，针对安全做了四层的防护如下图。

主要是平台用来做一些流量的防治，防治黑客做一些流量攻击，我们有高防这种可以清洗几百G的一个流量，一般用户如果自建平台的话，要几百G流量基本上可能性就比较小。

最底层第一层

是一个安全防御的能力。

第二层安全通道

安全通道我们分成三种通道。一种是TLS就是单向的TLS认证还X509，其实x 509既是一个身份，又是一个通道。

D2也是一样，既是一个身份也是个通道，我们通过这三种加密方式，来保证数据在物联网上传输的过程当中的一个数据的安全。

第三层身份安全

身份安全是平台身份，X509，ID2，就是每个设备都有一个身份。建立安全通道以后，下一步要做的就是身份认证，每个设备在我们平台上面都有一个唯一的身份，你通过身份认证以后才能真正的上传数据。

第四层数据安全

上传数据的时候，我们又对数据做了一些数据方面的安全的一些策略。比如说会针对每个用户的数据做逻辑上面的一些隔离，包括一些实例也会做一些逻辑上面的隔离。

同时我们还支持连接层我们有连接性实例，连接性实例就是支持物理的隔离，就是如果你的设备你买了连接实例，那你的设备上来以后你能有专门的一个物理隔集合层，形成成了一个集群，你的设备的就跟别人的设备相当于是区分开来了，相当于是完全在在接入层上面，因为在物理上面就已经给你隔离了。

上图是我们平台的4层安全防护机制，然后包括后面的一些大数据的一些分析，我们会对设备的认证行为或者包括他的通道的一个DDOS的版本或者是身份做一些安全分析，就是防止用户做一些暴力破解。比如说有些用户没有加密，我们都会就是通过大数据分析以后做一些预警，比如说通知用户你的设备没有加密，你的设备TOS版本比较低。因为TLS版本比如说像1.0这种的话，就是有很多安全漏洞。

然后同时我们还会有及时的处理，比如针对平台我们发现有一些数据在做一些暴力认证，或者做一些攻击行为，我们会有一个实时处理的程序可以快速把这个设备拦截掉。

这个就是我们整个安全平台，其实就是平台支持四层架构四层的安全防护机制，然后再加上图右边的一些大数据分析，然后根据大数据分析的结果再来做一些拦截，通过这么一个安全机来保障我们的设备在平台的一个安全性。

设备接入--全球接入

接下来说一下设备怎么来做全球接入，因为很多厂商在设备生产的时并不知道要卖到哪里，那么怎么来支持这种情况呢？如果你设备已经卖到美国去了，卖到欧洲去了，或者卖到日本去了，卖到新加坡去了，那你怎么来解决你设备接入平台的一个稳定性，网络的稳定性和一个消息的延迟的问题。

如上图

首先我们这下面是一个底座，相当于我们是支持region，八个region是指上海，深圳，北京，新加坡这个，包括其他几个国家。就是我们在国内有三个region然后国外有五个region就总共有八个region，你可以选择任意一个region接入。

但是我们region之间数据是隔离的，就是一个设备不能同时到两个region。这个就是底座有八个region。

第二步就是我们中间这层我们有一个全球分发中心就是有分发的能力，比如说我设备最终我要放到去欧洲还是去新加坡，就是这个解决的是设备的一个分发的问题。就说我们可以用户可以自己在控制台上面把设备分发。

比如卖出去以后，有些硬件厂商在生产的时候不知道归属地，但是卖出去以后有SDN还是知道这个设备是卖到哪里的，然后在卖出去的时候我把这个设备分发到某一个region。