安全通服务器 服务器安全服务
LwM2M 架构 -OMA-AD-LightweightM2M-V1_0-20170208-A
本文对于LwM2M架构【OMA-AD-LightweightM2M-V1_0-20170208-A】进行说明, 多谢!
创新互联公司专业为企业提供梁山网站建设、梁山做网站、梁山网站设计、梁山网站制作等企业网站建设、网页设计与制作、梁山企业网站模板建站服务,十余年梁山做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
1. 范围
本文档包含OMA DM轻量级M2M enabler的体系结构图,协议端点描述,接口定义和详细描述。 该体系结构图显示了此enabler中的客户端和服务器组件以及这两个组件之间的接口。 此外,它给出了这些接口功能的简短描述。 为了帮助人们全面了解架构,附录B中介绍了一些详细信息。
2 参考文献
2.1 规范性参考文献
[LwM2M-RD] “Lightweight Machine to Machine Requirements”, Open Mobile Alliance™, OMA-RD-LightweightM2M-V1_0, URL:
[RFC2119] “Key words for use in RFCs to Indicate Requirement Levels”, S. Bradner, March 1997, URL:
2.2 信息性参考文献
[OMADICT] “Dictionary for OMA Specifications”, Version 2.9, Open Mobile Alliance™, OMA-ORG-Dictionary-V2_9, URL:
3 术语和惯例
Bootstrap Provisioning 引导配置
在LwM2M设备上提供初始参数和/或应用程序的过程,以便可以对其进行管理
Client Registration 客户注册
将LwM2M客户端的信息添加到LwM2M服务器以实现对LwM2M客户端的远程访问和管理的过程
Information Reporting 信息报告
LwM2M客户端通过该接口将定期或事件触发的信息发送到LwM2M服务器。
LwM2M Client LwM2M客户端
LwM2M Device中的逻辑组件符合此enabler中指定的LwM2M Client的要求。该LwM2M客户端作为LwM2M协议的终点,并与LwM2M服务器通信以执行设备和服务管理的LwM2M服务器的操作
LwM2M Device LwM2M设备
LwM2M设备是运行(a)LwM2M客户端并通过网络服务提供商网络进行通信的设备。
LwM2M Server LwM2M服务器
位于M2M服务提供商或网络服务提供商内的逻辑组件,用作LwM2M协议的终点。 LwM2M服务器提供以下高级功能:发现和注册,引导配置以及设备和服务管理
M2M Application M2M应用
与LwM2M服务器交互以实现M2M服务的应用程序。 M2M服务提供商可以利用M2M应用向M2M用户提供M2M服务。
M2M Service Provider M2M服务提供商
M2M服务提供商通过与LwM2M客户端通过网络服务提供商的网络进行通信来向M2M用户提供(a)M2M服务。
M2M Service Subscriber M2M服务订户
M2M服务订户是与M2M服务提供商具有合约关系以使用M2M服务的M2M用户。
M2M User M2M用户
M2M用户使用由M2M服务提供商提供的服务。
LwM2M LightweightM2M
4.介绍
4.1版本1.0
该enabler定义LwM2M服务器和放置在LwM2M设备中的LwM2M客户端之间的应用层通信协议。 OMA轻量级M2M启用器包括LwM2M设备的设备管理和服务启用。 该enabler的LwM2M器件目标主要是资源受限设备。 因此,这个enabler提供了一个简洁而紧凑的协议以及一个高效的资源数据模型。
客户端 - 服务器架构是为LwM2M enabler引入的。 LwM2M enabler有两个组件,LwM2M服务器和LwM2M客户端。 这两个组件之间设计了四个接口,如下所示:
Bootstrap
客户注册
设备管理和服务支持
信息报告
5.架构模型
5.1依赖性
Lightweight M2M enabler v1.0没有任何依赖关系。
5.2架构图
5.3功能部件和接口/参考点定义
5.3.1协议端点
5.3.1.1 LwM2M客户端
LwM2M客户端是在enabler中指定符合要求的LwM2M设备中的逻辑组件[LwM2M-RD]
。 这个LwM2M客户端作为LwM2M协议的一个端点,并与之通信
LwM2M服务器执行LwM2M服务器中的操作以进行设备管理和服务启用。
5.3.1.2 LwM2M服务器
LwM2M服务器作为LwM2M协议的一个端点,是驻留在M2M服务提供商或网络服务提供商内的逻辑组件。
5.3.1.3 LwM2M引导服务器
LwM2M引导服务器是在客户端注册之前通过无线方式执行引导配置的逻辑组件。
5.3.1.4智能卡
也被称为UICC(咨询[OMADICT])。 智能卡是一种具有嵌入式微处理器芯片的便携式防篡改设备。 它可以存储数据和应用程序以及安全功能和机制。
5.3.2接口
5.3.2.1 LwM2M-1 Bootstrap
该接口用于LwM2M服务器向LwM2M客户端提供引导信息。
5.3.2.2 LwM2M-2客户端注册
此接口用于将LwM2M客户端的信息添加到LwM2M服务器,以实现对LwM2M客户端的远程访问和管理.
5.3.2.3 LwM2M-3设备管理和服务启用
该接口用于设备管理和M2M服务启用。 该接口可传达LwM2M服务器和LwM2M客户端之间命令和响应或命令的状态。 该接口不依赖于传输,并且与底层网络无关。
5.3.2.4 LwM2M-4信息报告
该接口用于LwM2M客户端向LwM2M服务器报告资源信息。 此信息报告可以定期触发或通过事件触发。
5.4安全考虑
轻量级M2M启用器支持LwM2M客户端和LwM2M服务器之间的安全通信。 此安全通信包含身份验证,授权,数据完整性,机密性和重播附加保护。
附录说明
5.2节中图1所示的体系结构仅显示了该enabler的基本实体,包括LwM2M协议的两个端点:LwM2M客户端和LwM2M服务器。 但是,描述这两个实体如何与其他实体(如M2M用户,M2M服务提供商和M2M应用程序)相关并且超出此启用程序的范围可能很有用。 这可以帮助读者全面了解LwM2M协议如何适应整个M2M部署方案。 这些示例从基本场景开始,并提供了一些高级场景,涵盖真正的M2M部署中的有用案例。
LwM2M实体关系概述
本章描述了使能器中的实体之间的关系,以便读者轻松理解LwM2M使能器的实体。
图2和图3显示了LwM2M实体的典型部署。 根据M2M服务提供商的范围,有两种关系类型。 图2显示了M2M服务提供商同时拥有LwM2M服务器和M2M应用程序,网络服务提供商仅在LwM2M客户端和LwM2M服务器之间提供网络通信。 图3显示了网络服务提供商拥有LwM2M服务器并且LwM2M服务器连接到具有M2M应用程序的M2M服务提供商。 位于M2M服务提供商内的一个M2M应用可以与多个LwM2M客户端连接以提供M2M服务。 通过这三个实体,M2M应用,LwM2M服务器和LwM2M客户端,M2M服务提供商可以为M2M用户提供M2M服务。 M2M用户可以通过连接M2M服务提供商获得M2M服务。
多个服务器连接示例
本章介绍LwM2M客户端和多个LwM2M服务器的连接。
图4显示了两个LwM2M服务器与一个LwM2M客户端进行通信。
利用这种环境,M2M用户可以从连接到其自己的LwM2M服务器的每个M2M应用获取M2M服务。 因此,M2M用户可以订阅运行LwM2M服务器的不同M2M服务提供商。 它可以通过选择多个M2M服务提供商并从中获得M2M服务来丰富M2M用户体验。
日本泛在识别uid标准体系中采用什么识别码
日本泛在识别(Ubiquitous ID, UID)标准体系是射频识别三大标准体系之一。UID 制定标准的思路类似于 EPCglobal, 其目标也是推广自动识别技术, 构建一个完整的编码体系, 组建网络进行通信。与EPC系统不同的是, UID信息共享尽量依赖于日本的泛在网络, 它可以独立于互联网实现信息共享。
UID标准体系主要包括泛在编码体系、泛在通信、泛在解析服务器和信息系统服务器4部分。UID编码体系采用Ucode 识别码, Ucode 识别码是识别目标对象的唯一手段。UID 积极参加空中标准的制定工作, 泛在通信除了提供读写器与标签的通信外, 还提供3G、PHS 和802. 11等多种接人方式。在信息共享方面, Ucode解析服务器通过Ucode 识别码提供信息系统服务器的地址,信息系统服务器存储并提供与Ucode 识别码相关的各种信息。
1 、泛在识别码
Ucode 标签中存储着泛在识别码(Ucode 识别码)。Ucode 识别码采用128位记录信息, 并能够以128为单元进一步扩展到256位、384位或512位。
Ucode 识别码能包容现有的编码体系, 通过使用128位这样一个庞大的号码空间, 可以兼容多种国外编码, 包括ISO/IEC和EPCglobal 的物品编码, 甚至是兼容电话号码。
2 、泛在通信
泛在通信是一个识别系统, 由标签、读写器和无线通信设备等构成, 主要用于读取物品标签的Ucode 识别码信息, 并将获取的Ucode识别码信息传送到Ucode 解析服务器。
1. Ucode标签
Ucode 标签泛指所有包含 Ucode 识别码的设备。Ucode 标签具有多个性能参数, 包括成本、安全性能、传输距离和数据空间等。在不同的应用领域对Ucode 标签的性能参数要求也不相同,有些应用需要成本低廉, 有些应用需要牺牲成本来保证较高的安全性, 因此需要对 Ucode 标签进行分级。目前Ucode标签主要分为9类。
(1)光学性ID标签(Class0)。
光学性ID标签是指可通过光学手段读取的ID标签, 相当于目前的条码。
(2)低档RFID标签(Classl)。
低档 RFID 标签的代码在制造时已经被嵌入在商品内, 由于结构的限制, 其是不可复制的标签, 同时标签内的信息不可改变。
(3)高档RFID标签(Class2)。
高档 RFID 标签具有简单认证功能和访问控制功能, Ucode 识别码必须通过认证, 并具有可写入功能, 而且可以通过指令控制工作状态。
(4)低档RFID智能标签(Class3)。
低档RFID 智能标签内置CPU内核, 具有专用密匙处理功能, 通过身份认证和数据加密来提升通信的安全等级, 具有抗破坏性, 并具有端到端访问保护功能。
(5)高档RFID智能标签(Class4)。
高档 RFID智能标签内置CPU 内核, 具有通用密匙处理功能, 通过身份认证和数据加密来提升通信的安全等级, 并具有端访问控制和防篡改功能。
(6)低档有源标签(Class5)。
低档有源标签内置电池, 访问网络时能够进行简单的身份认证, 具有可写人功能, 可以进行主动通信。
(7)高档有源标签(Class6)。
高档有源标签内置电池, 具有抗破坏性, 它通过身份认证和数据加密来提升通信的安全等级,
并具有端到端访问保护的功能, 可以进行主动通信, 且可以进行编程。
(8)安全盒(Class7)。
安全盒是可以存储大量数据、安全可靠的计算机节点, 安全盒安装了实时操作系统内核(TRON), 可以有效地保护信息安全, 同时具有网络通信功能。
(9)安全服务器(Class8)。
安全服务器除具有Class7安全盒的功能外, 还采用了更加严格的通信保密方式。
2. 泛在通信器
泛在通信器(Ubiquitous Communicator, UC)是UID泛在通信的一种终端, 是泛在计算环境与人进行通信的接口。泛在通信器可以和各种形式的 Ucode 标签进行通信, 同时还具有与广域网络通信的功能, 可以与3G、PHS和802. 11等多种无线网络连接。
(1)多元通信接口。
泛在通信器能够提供Ucode标签的读写功能, 具有可同时读取多个不同公司、不同种类标签的功能。在泛在识别中心, 可以利用无线和宽带通信手段, 为具有Ucode识别码的物品提供信息服务。
(2)无缝通信。
泛在通信器具有多个通信接口, 不仅可以使用不同的通信方式, 还可以在两种通信方式之间进行无缝切换。例如, 泛在通信器具有WLAN接口和第三代手机的 WCDMA接口, 在建筑物中使用泛在通信时, 可以利用 WLAN 接口, 在从室内走到室外的过程中, 泛在通信可自动切换到WCDMA接口, 在通信接口切换时, 仍然可以为用户提供高质量的通信服务。这种可自动切换通信接口的技术, 被称为无缝通信技术。
(3)安全性。
在泛在环境下, 安全威胁主要来自窃听和泄密, 关于网络安全和保护个人隐私问题, UID中心提出了多种防范措施。在通信过程中, 为了对个人隐私进行有效保护, 防止其信息不被恶意攻击或读取, 在使用泛在识别技术通信时, 首先需要认证物品的 Ucode 识别码, 同时也需要认证物品的信息密码, 这样即使获得了物品信息, 没有密码也无法读懂物品信息的内容。
3 、泛在解析服务器和信息系统服务器
1. Ucode解析服务器
由于分散在世界各地的 Ucode 标签和信息服务器数量非常庞大, 为了在泛在计算环境下获得实时物品信息, Ucode 解析服务器的巨大分散目录数据库与Ucode识别码之间保持着信息服务的对应关系。
Ucode解析服务器以Ucode 识别码为主要线索, 具有对泛在识别信息服务系统的地址进行检索的功能, 可以确定与 Ucode 识别码相关的信息存放在哪个信息系统服务器, 是分散型、轻量级目录服务系统。Ucode 解析服务器特点如下。
(1)分散管理。
Ucode 解析服务器不是由单一组织实施控制, 而是一种使用分散管理的分布式数据库, 其方法与因特网的域名管理(Domain Name Service, DNS)类似。
(2)与已有的ID服务统一。
在对UID信息服务系统的地址进行检索时, 可以使用某些已有的解析服务器。
(3)安全协议。
Ucode 识别码解析协议规定, 在TRON结构框架内进行eTP(entity Transfer Protocol)话, 需要进行数据加密和身份认证, 以保护个人信息安全。此外, 通过在物品的 RFID 标签上安装带有 TRON 的智能芯片, 可以保护存储在芯片中的信息。
(4)支持多重协议。
使用的通信基础设施不同, 检索出的地址种类也不同, 而不仅仅局限于检索IP地址。
(5)匿名代理访问机制。
UID中心可以提供 Ucode 解析代理业务, 用户通过访问一般提供商的 Ucode 解析服务器, 可获得相应的物品信息。
2. 信息系统服务器
信息系统服务器存储并提供与Ucode识别码相关的各种信息。由于采用TRON实时操作系统,从而保证了数据信息具有防复制、防伪造的特性。信息服务系统具有专业的抗破坏性, 通自带的TRON ID 实时操作系统识别码, 信息系统服务器可以与多种网络建立通信连接。
为保护通信过程中的个人隐私, UID技术中心使用密码通信和通信双方身份认证的方式确保通信安全。TRON的硬件(节点)具有抗破坏性, 要保护的信息存储在TRON的节点中, 在TRON节点间进行信息交换时, 通信双方必须进行身份认证, 且通信内容必须使用密码进行加密, 即使恶意攻击者窃取了传输数据, 也无法解译具体的内容
TLS安全通信
TLS其实是SSL,可能更正式的说法已经不用SSL了。TLS是一套基于非对称加密算法的安全传输协议,更严格来说,TLS先是通过非对称加密方式交换对称加密秘钥,然后采用对称加密算法进行安全传输。
非对称加密是这样的一把锁,有两把钥匙,任意一把钥匙可以把锁锁上,只有另一把钥匙才能将锁打开。这两把钥匙是成对的,可以互相解密。其中一把是公开的公钥,另一把是服务器持有的私钥。
任何人都可以用公钥加密一段消息发送给服务器,做到安全发送。另一方面,服务器可以用私钥加密一段消息,将消息明文和密文发送给接收者,以此证明自己的真实身份,这叫做签名。当然,现实中,是对消息的摘要进行签名加密,因为摘要比较小。
TLS的第一步,就是让发送者持有服务器的公钥。通常获得服务器公钥的方式,都是向服务器进行询问,然后由服务器明文发送过来的。为了保证这一步的安全性,确保明文发送过来的公钥没有被串改,我们又发明了证书。
证书由服务器名称信息和服务器公钥组成,然后加上证书签发机构CA和签发机构对前面信息的签名。改用证书机制后,服务器以明文发送自己的证书信息,使用者用CA的公钥验证证书签名,核对相关的服务器信息,然后就可以信任服务器的公钥了。
至于CA公钥的传递方式,一般是内置的或者通过实体进行传递。
一般服务器是不限制使用者访问的,所以服务器配置了证书和私钥,让发送者能够安全的从第一步开始建立加密通信机制。即使使用者不验证服务器证书,TLS仍旧是以加密方式进行,虽然安全度不是最高,但是屏蔽掉无聊的阿猫阿狗访问已经足够了。
更进一步,服务器可以配置双向认证,配置CA证书并要求认证使用者的证书。那么使用者在访问前就要配置由CA签发的个人证书和私钥,在第一步开始时把自己的证书和随机签名发过去让服务器进行认证。
使用双向认证的时候,通信的安全性已经足够高了:消息是加密的,并且不太容易在某个环节被串改,而使用者必须经过服务器用自己的CA签发授权证书后才能访问服务。
TLS的运用其实应该非常广,只要不是内网服务,而是向不安全的互联网公开的服务,并且在通信上没有使用任何加密手段,也没有特别有效的客户鉴权,都应该使用TLS。
比如有时候因为某种原因,不得不向互联网暴露mysql,redis或者其他开源软件的服务端口,这种大作死的行为,软件自带的脆弱的客户鉴权机制就跟杂草一样一踩就倒,已经是业界人尽皆知的情形。
如果能为这些开放的服务端口加上TLS双向认证通信,基本能把侵害排除99%了吧。那如何给这些服务增加TLS安全通信呢?
首先, 把公开的服务改成内网服务 。
第二, 在服务器和客户端之间配置TLS tunnel ,通过tunnel转发客户端和服务器之间流量。有很多TLS tunnel客户端可以使用,这种方式也不会对原系统造成任何改动,所谓各司其职。
在网站上启用安全通道(ssl)有什么作用?
一、通俗角度来说,启用安全通道后,网站的域名会和普通网站的域名不一样,
如:普通网站的域名开头为:http:// ,启用安全通道(ssl)后就为:https:// 。举个实际例子:在百度上输入“支付宝”,登录支付宝网站后看看域名的开头。
这是因为SSL采用了不同的协议,即https与http为两个不同的协议。而https协议相较http老说要更安全,因为它支持“数字证书”认证,客户通过认证服务器的“数字证书”可以防止被服务器欺骗,服务器通过认证客户的“数字证书”可以阻止假冒的客户进行访问。
二、专业角度来说,安全通道(ssl)是运行在传输层上的一个协议,全称为“安全套接层协议”。
它通过底层和上层两层协议实现两个应用实体之间安全可靠的通信,如客户机和服务器之间。SSL(安全套接层)通常是与HTTP协议一起使用,通过在客户机与Web服务器之间实行加密和交换密钥(数字证书)从而实现双方的安全通信。由于采用了SSL,HTTPS的端口为443,与HTTP的80端口不同,这样也保证了Web服务器的安全。
这里只是,详细的资料可以在百度百科中查到。
当前名称:安全通服务器 服务器安全服务
当前网址:http://scyanting.com/article/dopsdes.html