AWS IoT 物聯網系列部落格

當前物聯網環境中，裝置型別多種多樣，連線方式不一而足。為了幫助讀者更好的理解並運用 AWS IoT 相關服務，我們提供了一個完整的 IoT 起步指南，包含裝置的註冊及上線、裝置管理、使用者身份及許可權管理以及成本控制，通過這一系列的起步指南，也可以快速瞭解到 AWS IoT 服務如何與 Amazon Alexa 語音助手進行整合。AWS IoT 物聯網系列共8篇，本篇是該系列的第一篇，其他篇連結請在本文結尾處檢視。

背景介紹

為了保證通訊的安全性，IoT 裝置與 AWS IoT 平臺的 MQTT 通訊使用基於證書的 TLS 1.2雙向認證體系。所謂的雙向認證，即意味著 IoT 裝置端需安裝 IoT 裝置證書，並且，該證書應該由 IoT 平臺所使用的 CA 證書進行簽發，從而完成 IoT 平臺對 IoT裝置端的認證，反之亦然。

為了保證 IoT 裝置和 IoT 平臺的安全對接，對於 IoT 裝置端，需要安裝2類證書：

1. IoT 裝置證書
2. IoT 平臺 CA 證書

何時應當使用 Certificate Vending Machine？

對於部分已經出廠的 IoT 裝置，可能在生產過程中沒有預裝任何證書，但是又希望這些裝置連線至 AWS IoT 平臺。此時，Certificate Vending Machine (簡稱 CVM) 可以作為給 IoT 裝置寫入相關證書的可行方案，讓 IoT 裝置自行向 CVM 伺服器申請 AWS IoT 平臺 CA 根證書與 IoT 裝置證書，並且通過 AWS IoT 管理平臺控制裝置證書許可權，確保物聯網通訊安全。

通過此文件的設計思想和相關原始碼，開發者可以快速開發出符合自己專案需求的 CVM 系統。但是需要注意，由於預設情況下，原裝置沒有任何證書進行申請證書階段的 TLS 認證，所以使用 CVM 的過程中需要注意三點：

1. IoT 裝置與 CVM 系統通訊時，原生並沒有安全保護手段，所以需要在受信的 DNS 環境下進行，以防中間人攻擊。或者採用其他安全連結的方式，例如使用 HTTPS 與 CVM 伺服器互動（需要額外證書）。
2. IoT 裝置在利用 CVM 系統申請證書時， IoT 裝置本身應該具備唯一識別符號用於裝置的身份標識，例如序列號，client ID 或者 product ID 等，通過該身份識別符號進行證書申請及策略繫結。
3. 所有通過 CVM 系統申請獲發的 IoT 裝置證書的 CA 根證書，只可以為 AWS IoT 平臺預設使用的 CA 根證書（VeriSign Class 3 Public Primary G5 證書）。如果需要使用自定義的 CA 根證書來進行 IoT 裝置證書的簽發，請參考另一篇文件 – JITR 證書註冊方式，即，為每個裝置在出廠前寫入獨立的 IoT 裝置證書和 CA 根證書。

CVM 實現原理

整個 CVM 實現可以分為三個部分： IoT 裝置端、CVM 系統和 AWS IoT 平臺

A. IoT 裝置端需要完成的:

• 通過 HTTPS 請求證書。
• 請求時攜帶裝置序列號以及金鑰。

B. CVM 系統需要完成的:

• 向 IoT 裝置提供遠端訪問 API 介面。
• CVM 系統作為代理向 IoT 平臺申請每一個 IoT 裝置的證書。
• 通過校驗裝置的請求資訊與資料庫是否一致再決定是否為當前 IoT 裝置申請證書， CVM 使用內部 Node.js 語言實現。
• 使用 AWS 高效能的 NoSQL 資料庫 DynamoDB 做為後臺使用者資料庫。該資料庫用來儲存 IoT 裝置出廠時註冊的裝置 ID、金鑰和 IoT 平臺 CA 根證書等資訊。
• CVM 系統通過查詢 DynamoDB 資料中的關聯關係，將 IoT Thing Name，Certificate Policy以及 Certificate ID 關聯至一起。同時，修改 DynamoDB 裡的證書狀態識別符號，避免同一臺裝置遭到攻擊後，重複向 IoT 平臺大量申請證書的可能性，從而保證證書與裝置的關聯唯一性。

CVM 系統的基本工作流程如下:

CVM 系統的具體架構如下：

為了使 CVM 服務端更具穩定與擴充套件性，可以使用 AWS API Gateway 和 Lambda 來部署 CVM。通過這種方式，不需要長時間維護和管理部署在 EC2 上的 CVM，而是通過 IoT 裝置的證書申請的需求，靈活的調配 AWS 上的服務資源。

具體如下:

1)  IoT 裝置傳送相應 API 請求到 API Gateway 申請 IoT 證書

2)  AWS API Gateway 呼叫申請證書的 Lambda 向 IoT 平臺發起證書申請

3)  Lambda 接收到請求後， 查詢 DynamoDB 校驗請求合法性

4)  確認當前請求合法之後，通過 API 的形式，向 IoT 平臺申請證書

5)  IoT 平臺返回新建立的 IoT 裝置證書，以及 IoT 裝置證書對應的 Certificate ID

6)  通過查詢 DynamoDB 中預先建立的對應關係，根據產品序列號，為當前申請到的證書附加對應的 Thing Name（裝置屬性）以及 Policy（許可權）

7)  利用 Lambda 進行 IoT 裝置證書的策略的繫結以及 DynamoDB 關聯關係表裡的證書狀態識別符號更新

8)  最終 CVM 將 IoT 平臺 CA 根證書和 IoT 裝置證書返回給 IoT 裝置

使用 EC2 替代 API Gateway 與 Lambda 的解決方案，其工作流程與搭建 lambda 的模式基本一致，僅在 IoT 裝置與 CVM 系統通訊時的呼叫關係上有所區別

1)   IoT 裝置向 CVM 伺服器申請 IoT 裝置證書

2)  EC2 接收到請求後，訪問 MySQL 校驗請求合法性

3)  確認當前請求合法之後，CVM 通過 API 的形式，向 IoT 平臺發起獲取 IoT 裝置證書的請求

4)  IoT 平臺返回當前 IoT 裝置對應的證書，以及當前證書的 Certificate ID

5)  通過查詢 MySQL 中預先建立的對應關係，根據產品序列號，為當前證書附加對應的 Thing Name（產品屬性） 以及 Policy（許可權）

6)  CVM 更新 MySQL 的關聯關係表中的當前裝置的所有關聯資訊以及證書狀態識別符號

7)  最終 CVM 將 IoT CA 根證書和裝置證書返回給 IoT 裝置

目前 AWS IoT 平臺預設所用的根證書（VeriSign Class 3 Public Primary G5）可以到這裡下載。

安全性說明

為了保證 CVM 系統的安全性，EC2 或者 Lambda 函式需要賦予合適的 IAM 角色， 使得 CVM 系統只能進行其授予的工作許可權，以下用 lambda 舉例如何為 CVM 系統分配正確的 IAM 角色許可權。

首先，需要明確 CVM 系統需要具備以下 IAM 許可權才能完成證書的申請及頒發過程:

√ 訪問 AWS DynamoDB，用於查詢、修改、更新 DynamoDB 中的裝置關聯表

√ 訪問 IoT 平臺，用於申請 IoT 裝置證書

除 IAM 進行許可權劃分之外，需要在 DynamoDB 上建立一張關聯關係表，用於裝置、證書及策略的繫結關係，具體來說，需要在 DynamoDB 中建立如下資料庫欄位:

• productid : IoT 裝置 ID
• accessToken: IoT 裝置 Token
• timestamp : 證書申請時間戳
• applyState : 申請狀態（如果申請過證書設定為-1，標記此裝置已經註冊過證書了）
• certID : 裝置關聯的證書 ID

核心程式碼說明

以下的 CVM server 程式碼使用了 AWS Node.js SDK 提供的 IoT 介面完成證書申請以及附加對應的 Thing Name 和 Policy。

//使用 createKeysAndCertificate 介面建立證書，此介面返回建立後的證書 ID 以及證書

iot.createKeysAndCertificate (params = {}, callback) ⇒ AWS.Request

# 如果需要使用 CSR 進行證書生成，可以使用以下介面

# iot.createCertificateFromCsr(params = {}, callback) ⇒ AWS.Request

 //為證書附加策略，傳入上述介面返回的證書 ID

iot.attachPrincipalPolicy(params = {}, callback) ⇒ AWS.Request

//為證書新增 thing，同樣是傳入上述返回的證書 ID

iot.attachThingPrincipal(params = {}, callback) ⇒ AWS.Request

CVM 系統原始碼請點選這裡。

參考連結

本篇作者