一機(jī)一密安全接入方案適用于MQTT設(shè)備的接入鑒權(quán)。所謂一機(jī)一密，即物聯(lián)網(wǎng)平臺(tái)會(huì)為每一個(gè)MQTT設(shè)備分配唯一的密鑰信息，設(shè)備在燒錄時(shí)，將該密鑰信息提前燒錄到設(shè)備中。當(dāng)設(shè)備與物聯(lián)網(wǎng)平臺(tái)進(jìn)行連接時(shí)，物聯(lián)網(wǎng)平臺(tái)對(duì)設(shè)備接入時(shí)攜帶的密鑰信息進(jìn)行認(rèn)證，認(rèn)證通過后，設(shè)備與物聯(lián)網(wǎng)平臺(tái)之間才能建立連接和傳輸數(shù)據(jù)。

DTLS+加密方案，適用于建立NB-IoT設(shè)備的安全傳輸通道。在與物聯(lián)網(wǎng)平臺(tái)之間進(jìn)行消息交互時(shí)，會(huì)在設(shè)備與平臺(tái)之間建立DTLS+（Datagram Transport Layer Security，數(shù)據(jù)報(bào)傳輸層安全性協(xié)議）通道，對(duì)設(shè)備與物聯(lián)網(wǎng)平臺(tái)之間的數(shù)據(jù)傳輸通道進(jìn)行加密。相比傳統(tǒng)的DTLS協(xié)議，DTLS+在會(huì)話協(xié)商等方面做了優(yōu)化，減少了終端與物聯(lián)網(wǎng)平臺(tái)通信過程中的握手次數(shù)，從而延長(zhǎng)終端電池的使用壽命。

數(shù)字證書是由CA（Certificate Authority）機(jī)構(gòu)發(fā)行的一種電子文檔，是一串能夠表明網(wǎng)絡(luò)用戶身份信息的數(shù)字，提供了一種在計(jì)算機(jī)網(wǎng)絡(luò)上驗(yàn)證網(wǎng)絡(luò)用戶身份的方式。數(shù)字證書可以校驗(yàn)對(duì)方身份的合法性，還可以協(xié)商數(shù)據(jù)加密密鑰，對(duì)交換的數(shù)據(jù)進(jìn)行加密，同時(shí)還可以通過數(shù)字摘要校驗(yàn)數(shù)據(jù)的完整性。在物聯(lián)網(wǎng)平臺(tái)中，數(shù)字證書校驗(yàn)用戶身份主要用于以下場(chǎng)景：

1、MQTT設(shè)備接入：MQTT設(shè)備接入時(shí)，采用加密的MQTTS協(xié)議，設(shè)備側(cè)需要校驗(yàn)物聯(lián)網(wǎng)平臺(tái)的合法性，同時(shí)協(xié)商數(shù)據(jù)傳輸?shù)募用苊荑€。

2、應(yīng)用調(diào)用API接口：應(yīng)用調(diào)用物聯(lián)網(wǎng)平臺(tái)的API接口時(shí)，采用加密的HTTPS協(xié)議，應(yīng)用需要校驗(yàn)物聯(lián)網(wǎng)平臺(tái)的合法性，同時(shí)協(xié)商數(shù)據(jù)傳輸?shù)募用苊荑€。

3、設(shè)備數(shù)據(jù)推送：物聯(lián)網(wǎng)平臺(tái)向應(yīng)用推送訂閱的設(shè)備數(shù)據(jù)時(shí)，采用加密的HTTPS協(xié)議，物聯(lián)網(wǎng)平臺(tái)需要校驗(yàn)應(yīng)用的合法性，同時(shí)協(xié)商數(shù)據(jù)傳輸?shù)募用苊荑€。

華為物聯(lián)網(wǎng)平臺(tái)依據(jù)個(gè)人數(shù)據(jù)處理基本原則進(jìn)行用戶數(shù)據(jù)、設(shè)備數(shù)據(jù)的采集、存儲(chǔ)、處理和銷毀，滿足GDPR（General Data Protection Regulation）法規(guī)對(duì)個(gè)人數(shù)據(jù)處理的要求。

（1）數(shù)據(jù)主體的“知情權(quán)”

（2）數(shù)據(jù)主體的“更正權(quán)”

（3）數(shù)據(jù)主體的“可刪除、被遺忘權(quán)”

（4）提供適當(dāng)?shù)陌踩Ｗo(hù)措施

物聯(lián)網(wǎng)平臺(tái)的安全能力構(gòu)筑是一個(gè)端到端的系統(tǒng)工程，華為正在圍繞端、管、云和應(yīng)用，不斷構(gòu)筑和提升端到端的安全架構(gòu)和能力，如DICE安全設(shè)備接入、HIDS主機(jī)安全、異常設(shè)備檢測(cè)/隔離等安全能力。