华为云IoT物联网平台安全性如何?
随着物联网业务越来越多的进入落地运营阶段,客户也明显认识到物联网安全的重要性,全球各行业在物联网安全的支出也越来越高。由于不同的商业应用面临的安全威胁差异巨大,物联网安全也从单一的产品安全,逐步走向端到端解决方案,并从端到端解决方案安全提升到整个架构的安全。通过不断演进的安全架构,来满足未来更多新的商业场景,如智慧农业、智慧城市、智慧交通等。因此,华为凭借在互联网、运营商网络多年的安全技术和经验积累,围绕端、管、云和应用构筑领先的物联网安全解决方案防护体系架构。今天我们就将为大家详细讲述其中的几种安全方案。
一机一密设备安全接入
一机一密安全接入方案适用于MQTT设备的接入鉴权。所谓一机一密,即物联网平台会为每一个MQTT设备分配唯一的密钥信息,设备在烧录时,将该密钥信息提前烧录到设备中。当设备与物联网平台进行连接时,物联网平台对设备接入时携带的密钥信息进行认证,认证通过后,设备与物联网平台之间才能建立连接和传输数据。
DTLS+数据安全传输
DTLS+加密方案,适用于建立NB-IoT设备的安全传输通道。在与物联网平台之间进行消息交互时,会在设备与平台之间建立DTLS+(Datagram Transport Layer Security,数据报传输层安全性协议)通道,对设备与物联网平台之间的数据传输通道进行加密。相比传统的DTLS协议,DTLS+在会话协商等方面做了优化,减少了终端与物联网平台通信过程中的握手次数,从而延长终端电池的使用寿命。
X.509数字证书安全认证
数字证书是由CA(Certificate Authority)机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了一种在计算机网络上验证网络用户身份的方式。数字证书可以校验对方身份的合法性,还可以协商数据加密密钥,对交换的数据进行加密,同时还可以通过数字摘要校验数据的完整性。在物联网平台中,数字证书校验用户身份主要用于以下场景:
1、MQTT设备接入:MQTT设备接入时,采用加密的MQTTS协议,设备侧需要校验物联网平台的合法性,同时协商数据传输的加密密钥。
2、应用调用API接口:应用调用物联网平台的API接口时,采用加密的HTTPS协议,应用需要校验物联网平台的合法性,同时协商数据传输的加密密钥。
3、设备数据推送:物联网平台向应用推送订阅的设备数据时,采用加密的HTTPS协议,物联网平台需要校验应用的合法性,同时协商数据传输的加密密钥。
平台数据隐私保护处理
华为物联网平台依据个人数据处理基本原则进行用户数据、设备数据的采集、存储、处理和销毁,满足GDPR(General Data Protection Regulation)法规对个人数据处理的要求。
(1)数据主体的“知情权”
(2)数据主体的“更正权”
(3)数据主体的“可删除、被遗忘权”
(4)提供适当的安全保护措施
物联网平台的安全能力构筑是一个端到端的系统工程,华为正在围绕端、管、云和应用,不断构筑和提升端到端的安全架构和能力,如DICE安全设备接入、HIDS主机安全、异常设备检测/隔离等安全能力。
华为云IoT常见应用场景
行业痛点
工业制造步入智能化时代,而当前生产工艺无法匹配下游客户对于产品质量的个性化需求。
大量不同类型的工业生产设备如何实现智能化生命周期管理,生产过程如何实现自动化,实现节能、降本、增效,都依赖于大量设备数据的低时延传输和本地智能化分析。
服务优势
适配多种工业协议,实现生产设备统一接入管理,快速采集工业数据,并进行本地智能解析和自动化数据清洗;
边缘和云端系统统一部署、运维、业务管理,支持第三方服务的集成,提供丰富的应用生态,匹配个性化需求;
抽象屏蔽硬件接口,不同场景(大计算、设备接入)支持选用不同边缘硬件;
实时数据质量监控和工艺参数监控、告警,提升设备运维效率和生产效率。
行业痛点
· 园区管理涉及管理设备种类众多,协调困难并且复杂。如何数字化高效运营,一直是园区管理者的痛点。
· 针对集团化园区,用户隐私数据往往存在数据圈地化管理的诉求,如何做到云端高效统一管理的同时又兼顾用户隐私,也是园区管理的核心重点。
服务优势
· 隐私数据本地自闭环管理,所有数据采集、处理及存储都在本地节点闭环;
· 数据清洗,机器学习,非隐私数据清洗汇总后,上传云端机器学习,持续优化本地智能算法;
· 接口多样化,支持园区各类子系统/设备完成对接管理;
· 摄像头管理、视频分析、入侵智能检测能力,除了满足园区安防需求,还能做到业·务联动及编排,多样化管理。
行业痛点
· 在自动驾驶大力发展的时代,智慧交通与道路感知的高效协同是实现安全自动驾驶的基石。
· 如何让自动驾驶实时感知复杂的路面情况?
· 如何让自动驾驶根据不同场景,迅速计算出相应对策?
· 如何让自动驾驶车辆针对紧急场景,做到毫秒级的响应?
服务优势
· 提供高精度定位及地图服务;
· 多源融合感知,智能化算法检测道路交通事件(算法云端训练、边缘执行),有效实时提供碰撞告警,红绿灯相位推送,车流量感知及控制等智能服务;
· 提供高可靠低时延通信。
业务挑战
· 一个电梯需要配置3-5种不同类型的传感器,适配开发量大
· 设备长时间连接平台,在设备上量后,对平台性能和扩展性要求高
客户收益
· 多种传感器基于边缘网关接入,边缘网关预集成平台Device SDK,简化接入难度
· 平台支持亿级海量连接和百万级高并发,可保证大量设备接入和设备长时间连接
· 企业可以随时随地查看电梯数据和使用情况,及时了解电梯维保信息,也便于统一监管
· 可通过手机APP、小程序召唤电梯,实现无接触智能乘梯,提升公共卫生安全
华为云物联网平台概念全景
华为云IoT云服务包括应用管理、设备管理、系统管理等能力,实现统一安全的网络接入、各种终端的灵活适配、海量数据的采集分析,从而实现新价值的创造。
华为云IoT云服务不仅可以简化各类终端厂家的开发,屏蔽各种复杂设备接口,实现终端设备的快速接入;同时面向各行业提供强大的开放能力,支撑各行业伙伴快速实现各种物联网业务应用,满足各行业客户的个性化业务需求。
了解一下华为云IoT的各种概念
固件
固件是指设备内部保存的设备“驱动程序”,是一个系统最基础最底层工作的软件。
项目
项目指物联网平台的资源空间。开发者在基于设备接入服务进行物联网开发时,需要根据行业属性创建独立的项目,并在该项目空间内建设物联网产品和应用。
产品
某一类具有相同能力或特征的设备的集合称为一款产品。除了设备实体,产品还包含该类设备在物联网能力建设中产生的产品信息、产品模型(Profile)、插件、测试报告等资源。
产品模型
产品模型(也称Profile)用于描述设备具备的能力和特性。开发者通过定义Profile,在物联网平台构建一款设备的抽象模型,使平台理解该款设备支持的服务、属性、命令等信息。
编解码插件
物联网平台和北向应用使用JSON格式进行通信,所以当设备使用二进制格式上报数据时,开发者需要在物联网平台上开发编解码插件,帮助物联网平台完成二进制格式和JSON格式的转换。
设备
归属于某个产品下的设备实体,每个设备具有一个唯一的标识码。设备可以是直连物联网平台的设备,也可以是代理子设备连接物联网平台的网关。
网关
具有子设备管理功能,并代理子设备连接物联网平台的设备实体。
子设备
不与IoT平台直连,通过网关连接物联网平台的设备实体。
规则
物联网平台根据用户设置的规则和设备上报的数据,当设备满足设置的条件时,即触发对应动作,给设备下发命令或将数据转发给公有云其他服务进行进一步整合利用。
应用
物联网平台中,应用包括用户在物联网平台上创建的行业应用和用户自行开发的北向应用。行业应用是用户在物联网平台上的项目实体,每个行业应用会分配一个应用ID和应用密匙,用于北向应用接入鉴权。北向应用是用户自行的开发的物联网应用,可接入物联网平台进行设备的管理。
SDK(Software Development Kit)
软件开发工具包,是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具集合。一般而言,SDK即开发Windows平台下的应用程序所使用的SDK。它可以简单的为某个程序设计语言提供应用程序接口的一些文件,但也可能包括能与某种嵌入式系统通讯的复杂的硬件。
我们会为开发者提供应用侧SDK和设备侧SDK,帮助开发者快速实现应用或设备与物联网平台的集成对接。
Agent Lite SDK
应用场景为面向运算、存储能力较强的嵌入式设备,例如工业网关、采集器等。支持的物联网通信协议为HTTP+MQTT。
Agent Tiny SDK
应用场景为面向对功耗、存储、计算资源有苛刻限制的终端设备,例如单片机、芯片、模组。支持的物联网通信协议为LWM2M over CoAP 、MQTT。
MQTT(Message Queue Telemetry Transport)
MQTT是一个物联网传输协议,被设计用于轻量级的发布/订阅式消息传输,旨在为低带宽和不稳定的网络环境中的物联网设备提供可靠的网络服务。MQTTS指MQTT+SSL/TLS,在MQTTS中使用SSL/TLS协议进行加密传输。
CoAP(Constrained Application Protocol)
受约束的应用协议(CoAP)是一种软件协议,旨在使非常简单的电子设备能够在互联网上进行交互式通信。CoAPS指CoAP over DTLS,在CoAPS中使用DTLS协议进行加密传输。
LWM2M(lightweight Machine to Machine)
LWM2M是由OMA(Open Mobile Alliance)定义的物联网协议,主要使用在资源受限(包括存储、功耗等)的NB-IoT终端。
Huawei LiteOS
Huawei LiteOS 是华为面向IoT领域,构建的轻量级物联网操作系统,遵循BSD-3开源许可协议,可广泛应用于智能家居、个人穿戴、车联网、城市公共服务、制造业等领域,大幅降低设备布置及维护成本,有效降低开发门槛、缩短开发周期。
AT指令
AT指令集是从终端设备(Terminal Equipment,TE)或数据终端设备(Data Terminal Equipment,DTE)向终端适配器(Terminal Adapter,TA)或数据电路终端设备(Data Circuit Terminal Equipment,DCE)发送的。
端云互通组件
端云互通组件是华为物联网解决方案中,资源受限终端对接到华为云IoT云服务的重要组件。
华为云IoT最佳实践
通过业务场景示例呈现平台能力和价值 体验更多
-
设备模拟器快速接入
以设备接入模拟器为例,介绍以MQTT原生协议接入物联网平台。
以设备接入模拟器为例,介绍以MQTT原生协议接入物联网平台。
-
恒温空调
通过恒温控制系统,不论空调是否开机,都可以调整空调默认温度,待空调上电开机后,自动按默认温度调节。
通过恒温控制系统,不论空调是否开机,都可以调整空调默认温度,待空调上电开机后,自动按默认温度调节。
-
设备通过微信小程序接入到平台
通过微信小程序模拟设备,带您体验设备通过MQTT over WebSocket协议连接到物联网平台、上报数据和接收命令的全过程。
通过微信小程序模拟设备,带您体验设备通过MQTT over WebSocket协议连接到物联网平台、上报数据和接收命令的全过程。
-
零代码搭建物联网监控大屏
设备上报数据到物联网平台,将数据以CSV格式存储到对象存储服务(OBS),DLV从OBS文件读取数据并展现为多个维度的报表。
设备上报数据到物联网平台,将数据以CSV格式存储到对象存储服务(OBS),DLV从OBS文件读取数据并展现为多个维度的报表。
-
设备触发告警并邮件或短信通知
本示例为设备上报的电池电量小于20%时,物联网平台会上报告警并发送邮件或短信通知给指定的手机号码。
本示例为设备上报的电池电量小于20%时,物联网平台会上报告警并发送邮件或短信通知给指定的手机号码。
-
基于NB-IoT小熊派开发智慧路灯
带您体验十分钟快速上云,现智慧路灯检测并上报光照强度,显示在IoTDA控制台,并在IoTDA控制台远程控制LED灯开关的功能。
带您体验十分钟快速上云,实现智慧路灯检测并上报光照强度,显示在IoTDA控制台,并在IoTDA控制台远程控制LED灯开关的功能。
