在一型一密認證方式下,同一產品下所有設備可以燒錄相同的設備標志信息,即所有設備包含相同的產品證書(ProductKey和ProductSecret)。設備發送激活請求時,物聯網平臺會進行身份確認,認證通過后,下發設備接入所需信息。
背景信息
一型一密認證支持兩種使用方式:一型一密免預注冊、一型一密預注冊,對比說明如下表所示。
采用一型一密認證方式,設備燒錄相同的標志信息,存在產品證書泄露風險。您可以在物聯網平臺控制臺的產品詳情頁面,手動關閉動態注冊開關,拒絕新設備的認證請求。
一型一密動態注冊時必須使用TLS加密,如果您的設備端SDK無法運行TLS加密,則無法使用一型一密認證方式,請采用一機一密認證方式。
對比項 | 一型一密免預注冊 | 一型一密預注冊 |
接入協議 | MQTT協議 | HTTPS協議、MQTT協議 |
支持地域 | 華東2(上海)、華北2(北京) |
|
支持實例 | 企業版實例 | 企業版實例和公共實例 |
功能特點 | 不需要在物聯網平臺預注冊設備DeviceName。 | 需要在物聯網平臺預注冊設備DeviceName。 對于網關子設備,僅支持預注冊方式。 |
使用限制 | 物聯網平臺允許最多5個物理設備使用同一組ProductKey、ProductSecret、DeviceName進行激活,并為不同物理設備下發不同的ClientID、DeviceToken。 |
|
使用流程
一型一密認證流程示意圖如下。
直連設備動態注冊
直連設備動態注冊分為一型一密預注冊和一型一密免預注冊。
一型一密預注冊
創建產品:創建產品時,節點類型為直連設備。
開啟動態注冊:在已創建產品的產品詳情頁面,開啟動態注冊開關。
物聯網平臺將進行短信驗證,以確認是您本人操作。
說明若設備發出激活請求時,物聯網平臺校驗發現該開關未開啟,將拒絕新設備的動態激活請求。已激活設備不受影響。
批量添加設備或單個添加設備:使用一型一密預注冊認證方式接入設備,您需在已創建產品下添加設備。
因設備激活時會校驗
DeviceName,建議您采用可以直接從設備中讀取到的ID,如設備的MAC地址、IMEI或SN碼等,作為DeviceName使用。添加設備成功后,物聯網平臺為設備頒發
DeviceSecret。設備初始狀態為未激活。
產線燒錄:開發設備端SDK,完成產線燒錄。
選擇直連設備接入物聯網平臺的協議:MQTT協議和HTTPS協議。
注冊認證的開發方法如下:
MQTT:基于MQTT協議的設備動態注冊。
HTTPS:直連設備的HTTPS動態注冊。
根據實際業務需求,完成設備端SDK開發,例如設備物模型Topic通信、設備自定義Topic通信、OTA升級、設備影子等功能開發。
設備端開發,請參見使用設備端SDK接入。
重要如果使用物聯網平臺提供的C Link SDK,對于一型一密免預注冊方式,請在設備端使用4.X版C Link SDK。該SDK包含DAS(設備取證服務),可以對設備可能產生的安全事件進行風控。
物聯網平臺不承擔因設備端沒有使用4.X版C Link SDK而導致的安全風險。
在產線上,將已開發完成的設備SDK燒錄至設備中。
設備聯網:設備上電聯網后,攜帶
ProductKey、ProductSecret、DeviceName發起認證請求。在物聯網平臺激活設備。
物聯網平臺校驗通過后,為實際物理設備下發步驟3中為該設備頒發的
DeviceSecret。至此,物理設備獲得連接物聯網平臺所需的設備證書(ProductKey、DeviceName和DeviceSecret),可以與物聯網平臺建立連接,進行數據通信。
一型一密免預注冊
創建產品:創建產品時,節點類型為直連設備。
開啟動態注冊:在已創建產品的產品詳情頁面,開啟動態注冊開關。
物聯網平臺將進行短信驗證,以確認是您本人操作。
說明若設備發出激活請求時,物聯網平臺校驗發現該開關未開啟,將拒絕新設備的動態激活請求。已激活設備不受影響。
產線燒錄:開發設備端SDK,完成產線燒錄。
選擇直連設備接入物聯網平臺的協議:MQTT協議。
注冊認證的開發方法如下:基于MQTT協議的設備動態注冊。
根據實際業務需求,完成設備端SDK開發,例如設備物模型Topic通信、設備自定義Topic通信、OTA升級、設備影子等功能開發。
設備端開發,請參見使用設備端SDK接入。
重要如果使用物聯網平臺提供的C Link SDK,對于一型一密免預注冊方式,請在設備端使用4.X版C Link SDK。該SDK包含DAS(設備取證服務),可以對設備可能產生的安全事件進行風控。
物聯網平臺不承擔因設備端沒有使用4.X版C Link SDK而導致的安全風險。
在產線上,將已開發完成的設備SDK燒錄至設備中。
設備聯網:設備上電聯網后,攜帶
ProductKey、ProductSecret、DeviceName發起認證請求。在物聯網平臺激活設備。
物聯網平臺校驗通過后,下發
ClientID、DeviceToken。設備后續通過ProductKey、ProductSecret和下發的ClientID、DeviceToken與物聯網平臺建立連接,進行數據通信。當多個不同ClientID的物理設備共用一個
DeviceName時,物聯網平臺控制臺產品詳情頁將提示當前產品下有設備同時有兩個ClientID。您可根據以下操作,指定保留唯一物理設備,或清除所有物理設備:在產品詳情頁面,單擊該提示后的查看,跳轉到產品下的風險設備列表。
在頁面,單擊列表中目標設備對應的查看,進入設備詳情頁面,頁面顯示當前連接的
ClientID,單擊ClientID右側的切換或清除。切換:從下拉列表選擇
ClientID,通過該ClientID對應設備的首次連接時間,或者單擊日志服務,通過該ClientID對應設備的云端運行日志,判斷其是否為需要保留的物理設備。選擇要保留的物理設備的ClientID,單擊確認。未被選擇的ClientID對應物理設備,將被禁止連接。說明云端運行日志說明,請參見云端運行日志。
清除:所有物理設備都將被禁止連接。
網關子設備動態注冊
網關設備的動態注冊方法與直連設備動態注冊方法相同。網關子設備動態注冊只支持一型一密預注冊。
創建產品:為網關和子設備分別創建對應產品。網關對應產品的節點類型為網關設備,子設備對應產品的節點類型為網關子設備。
開啟動態注冊:在已創建網關與子設備對應產品的產品詳情頁面,開啟動態注冊開關。
物聯網平臺將進行短信驗證,以確認是您本人操作。
說明若設備發出激活請求時,物聯網平臺校驗發現該開關未開啟,將拒絕新設備的動態激活請求。已激活設備不受影響。
批量添加設備或單個添加設備:在已創建網關和子設備對應產品下添加設備。
因設備激活時會校驗
DeviceName,建議您采用可以直接從設備中讀取到的ID,如設備的MAC地址、IMEI或SN碼等,作為DeviceName使用。添加設備成功后,物聯網平臺為設備頒發
DeviceSecret。設備初始狀態為未激活。
產線燒錄。
基于MQTT協議的設備動態注冊和子設備的MQTT動態注冊:配置網關設備證書信息和接入域名,在網關設備的SDK中,初始化子設備管理實例,配置網關與子設備的拓撲關系和注冊認證。
網關與子設備拓撲關系管理的詳細內容,請參見管理拓撲關系。
根據實際業務需求,完成設備端SDK開發,例如網關設備代理子設備通信功能的開發。
設備端開發,請參見使用設備端SDK接入。
在產線上,將已開發完成的網關設備SDK和子設備的ProductKey燒錄至網關設備,將子設備的設備證書燒錄至子設備。
設備聯網:網關和子設備上電聯網后,網關設備攜帶子設備的ProductKey、DeviceName,發起認證請求。
物聯網平臺激活設備。