亚马逊云科技助力 Aqara 构建 Matter PKI 体系,实现智能家居设备安全互联
Aqara 针对用户与设备厂商所面临的设备兼容性及安全性挑战,采用了亚马逊云科技 Amazon Private CA 证书服务来构建 Matter PKI 体系,为自身和其他厂商颁发符合 Matter 要求的设备认证数字证书,让不同类型的智能家居设备能够无缝连接和交互。同时,Aqara 还使用了 Amazon EC2、Amazon S3、Amazon RDS、Amazon ElastiCache、Amazon Lambda、Amazon CloudWatch、Amazon WAF、Amazon GuardDuty 等产品与服务,高效地部署和管理智能家居设备,为全球用户提供了更加优质、安全可靠的智能家居服务。
概述 | 机会 | 解决方案 | 成果 | 使用亚马逊云科技服务
强大的
安全性保障
0.01 元人民币
每个设备认证数字证书获取成本少于
全球业务
加速布局
概述
Aqara 是绿米联创的自有品牌和 IoT(物联网) 行业独角兽,截止到 2023 年 9 月份,全球激活设备超过 3600 万,覆盖全球国家和地区销售点 42 个,全球服务用户超过 1100 万。Aqara 在 CSA 联盟(连接标准联盟)公布 Matter 智能家居设备连接标准协议之前,便意识到用户与设备厂商所面临的设备兼容性及安全性挑战,为了给全球用户带来更加舒适安全的全屋智能生活,Aqara 采用了亚马逊云科技 Amazon Private Certificate Authority (Amazon Private CA) 服务来构建 Matter PKI(公钥基础设施)体系,为自身和其他厂商颁发符合 Matter 要求的设备认证数字证书,让不同类型的智能家居设备能够无缝连接和交互。同时,Aqara 还使用了 Amazon Elastic Compute Cloud (Amazon EC2) 、Amazon Simple Storage Service (Amazon S3) 、Amazon Relational Database Service (Amazon RDS) 、Amazon ElastiCache 、Amazon Lambda 、Amazon CloudWatch 、Amazon WAF 、Amazon GuardDuty 等产品与服务,高效地部署和管理智能家居设备,为全球用户了提供更加优质、安全可靠的智能家居服务。
机会 | Matter 认证改变智能家居行业游戏规则
Matter 是由 CSA 联盟以及成员发布的设备连接标准协议,依托 DAC(设备认证证书)的数字证书,来验证智能家居网络中的设备是否已通过 Matter 认证。通过 Matter 认证的产品,会自然而然地与其他 Matter 产品和服务兼容,产业巨变就在此时此刻发生。
Aqara 作为全球技术领先的无线全屋智能品牌,希望通过 Matter 认证,让不同厂商的智能设备进行无缝连接,并可以为自身和其他厂商颁发符合 Matter 要求的 DAC 证书。然而,如果自建传统的证书签发体系也会面临重重挑战:
- 维护自建的传统证书签发体系昂贵且耗时,需要很强的专业技能。
- 企业需要耗费大量人力和财力负责证书签发体系的安全性、可审计性和可用性。
- 自建的传统证书签发体系无法提供便捷的自动化或可扩展性。
- 传统的证书签发体系不能灵活支持需要快速部署的云上资源。
亚马逊云科技拥有全球领先的技术和资源,通过使用 Amazon Private CA,我们能够为自身和其他厂商颁发符合 Matter 要求的 DAC 证书,我们用很低的成本就实现了不同类型智能设备间的无缝连接和交互。通过与亚马逊云科技的合作,不但提高了 Aqara 智能家居设备的安全性和稳定性,还为我们全球的用户提供了更加优质、可靠的智能家居服务。”
孔丽
Aqara 产品与研发高级副总裁
解决方案 | Amazon Private CA 助力 Aqara 构建安全合规的 Matter PKI 体系
在面临多重技术挑战之时,Aqara 选择使用了 Amazon Private CA 证书服务来构建 Matter PKI(公匙基础设施)体系。Amazon Private CA 已获得国际标准化组织 “ (ISO) 27001 认证” 和 “系统和组织控制 2 (SOC2) II 类认证”,符合 CSA 联盟的安全要求,快速帮助 Aqara 准备了 Matter PKI 评估测试流程以及向 CSA 联盟说明控制的实施方法。
Aqara IoT 架构师魏红生在提到 Matter PKI 证书体系建设的困难时说:“在建设 Matter PKI 上,我们完全是零基础的,由于有亚马逊云科技团队专业的经验和技术支持,才走到现在。”
Amazon Private CA 高度符合 Matter 安全合规要求,加速 Aqara 产品推向全球
为了符合 Matter 标准,智能家居设备必须满足多项安全要求。例如,每个设备都必须有自己的私有证书,利用私有证书来保证内部网络连接的安全。Aqara 利用 Amazon Private CA 将管理员和使用者账号分离,在不使用时,可以禁用根证书和中间证书。如果证书签发产生异常时,根证书还会自动发出告警。
与此同时,Amazon Private CA 是一项可扩展且高度可用的服务,Aqara 使用 Amazon Private CA 为智能家居设备生成和管理私有证书,只需要开发人员访问 API 以编程方式创建和部署即可,这样 Aqara 的技术人员就可以减少大量的运维工作,专注于产品的核心功能,加快产品推向全球的步伐。
Amazon Private CA 有效减轻 Aqara 运营负担
确保 Matter PKI 体系的安全性是 Aqara 和 Amazon Private CA 的共同责任。Amazon Private CA 服务运行所依托的设备物理安全性的各个环节,都由亚马逊云科技进行运营、管理和控制, Aqara 只承担使用 Amazon Private CA 的相关责任和管理工作,如逻辑访问控制和其他技术设置(比如加密、日志、日志数据备份)等。这种责任共担模型大幅简化和减轻了 Aqara 的运营负担。
成果 | 每个设备认证数字证书不到 0.01 元人民币,安全合规实现万物互联
Amazon Private CA 为 Aqara 提供了高效、经济和安全的 Matter PKI 服务,助力 Aqara 降低成本、加快全球业务的拓展,并为智能家居设备的 Matter 认证提供了可靠的支持和保障。
DAC 证书成本可控
Aqara 使用的 Amazon Private CA 服务可以按用量付费,这大幅降低了 Matter 认证所需的成本,每张 DAC 证书的价格也从原来超 1 元人民币降至不到 0.01 元人民币,而 Amazon Private CA 责任共担模型也大幅减少了 Aqara 在证书安全和管理上的工作量。
强大的安全性保障
Amazon Private CA 为 Aqara 提供了安全合规的托管服务,采用符合 Fips 140-2 标准的硬件加密机 (HSM) 来保护证书的私钥,确保证书的安全性。此外,它还提供了细粒度的权限管理和详尽的审计日志功能,帮助 Aqara 确保签发证书体系使用的安全性。
加速 Aqara 全球业务布局
Aqara 在很早之前就在使用 Amazon EC2、Amazon S3、Amazon RDS、Amazon ElastiCache、Amazon Lambda、Amazon CloudWatch、Amazon WAF、Amazon GuardDuty 等产品,为其合作的供应商和用户提供服务。基于亚马逊云科技引领行业的全球化安全合规理念和覆盖全球的云基础设施,Aqara 得以更加高效地在全球部署和管理智能家居设备,加速全球业务的布局。
“未来,我们会在安全合规和隐私安全方面进一步加强与亚马逊云科技的深度合作,期待与亚马逊云科技一起探索生成式 AI 在智能家居领域的创新解决方案,如设备配置的联动、设备智能推荐等。希望我们携手用数字科技,为全球用户打造一个安全、舒适、低碳的数字化可持续生活方式。”Aqara IoT 架构师魏红生表示。
关于 Aqara
绿米联创成立于 2009 年,是领先的智能家居和物联网解决方案提供商、国家高新技术企业。致力于构建以智能设备、大数据和增值服务为核心的智慧生活解决方案,让更多人享受智慧、科技、品质与舒适的生活。Aqara 作为绿米联创的自有品牌和 IoT 行业独角兽,是全球技术领先的无线全屋智能品牌,致力于以 “润物细无声” 的体验,打造 “千人千面” 的全屋智能生活方式,为全球用户带来个性化的全屋智能生活。Aqara 拥有众多智能家居产品,包括智能插座、灯控开关、温湿度检测、窗帘电机、智能门锁等 30 多个品类和 1000 多个 SKU,搭配互联便可完成全屋联动,实现丰富的智能场景。