• [获奖公告] 【获奖公示】【HDC.Cloud2021】#专家何妙坐堂答疑#20年安全研发积淀,剑指DevSecOps未来,参与互动赢码豆
    【奖项公布】最优互动奖1名:32#考过IE励志当攻城狮 幸运奖5%2#顺延3#ZYX15%7#大脑斧25%12#garbersun35%17#yizhangl45%22# nukinsan55%27#Tianyi_Li65%32#顺延34#7f75%37#珍珠85%42#大姐夫GV95%47#holo.yh以上获奖信息公示至5月14日12:00,如有异议请与版主联系。【专家简介】何妙 华为技术有限公司 、华为云应用平台安全领域总监 【直播简介】     此次将分享华为20年的安全工具发展历程,以及在云原生加持下,安全工具如何融入DevOps流程中,支撑DevSecOps 理念落地。 【直播亮点】1、DevSecOps产生背景、华为安全研发工具20年发展历程,华为可信安全理念与实践加持; 2、华为自身的实践 ;3、华为安全工具的研发能力外溢。 【直播时间】2021年4月25日14:30-15:20直播链接:https://bbs.huaweicloud.com/live/HDC.cloud2021_live/202104251431.html 【互动方式】直播前您可以在本帖留下您感兴趣的问题,专家会在直播时为您解答。直播后您可以继续在本帖留言,与专家互动交流,我们会在全部活动结束后对参与互动的用户进行抽奖。 【活动时间】4月25日—5月9日  【奖励说明】1.最优互动奖1名:评奖规则:由专家在所有参与本帖互动的开发者选出1名最优互动进行奖励奖品:智能床头灯1个 2.幸运奖评奖规则在活动结束后(截止5月9日),在本帖所有盖楼的用户中抽取获奖楼层,获奖楼层=总楼层*中奖百分比,中奖百分比为5%、15%、25%、35%、45%、55%、65%、75%、85%、95%。例如:活动结束后总楼层为500,500*5%=25,即第25楼获奖,其他获奖楼层同理可得。如出现小数点,则四舍五入,例如:活动结束后总楼层为530,530*5%=26.5,即第27楼获奖。无效楼层不参与中奖,做顺延处理,例如:抽取获奖楼层为第5楼,但5楼为无效楼层,即顺延至第6楼获奖,若依然为无效楼层,则继续顺延,以此类推,请勿连续刷楼超过5层或回复无关内容,否则视为无效。奖品:每人奖励6000码豆。 【注意事项】1、为保证您顺利领取活动奖品,请您提前填写奖品收货信息,如您没有填写,视为放弃奖励【点击此处填写信息】。2、活动获奖信息填写时间截止2021年5月9日,如未填写视为弃奖。本次先发活动奖品将于2021年5月31日前统一发出,请您耐心等待。3、本次活动幸运奖将采用巨公摇号平台(https://www.jugong.wang/random-portal/)进行抽取,话题质量相关奖项将由华为云社区工作人员进行评选,如您对评奖方式有异议,请勿参加本次活动。4、如活动奖品出现没有库存的情况,华为云工作人员将会替换等价值的奖品,获奖者不同意此规则视为放弃奖品。5、其他事宜请参考【华为云社区常规活动规则】。 
  • [技术干货] k8s中哪些组件需要tls证书认证?
    kube-scheduler、kube-controller-manager 一般和 kube-apiserver 部署在同一台机器上,如果使用http与kube-apiserver通信,不用使用TLS证书。kubelet、kube-proxy、kubectl 部署在其它 Node 节点上,如果通过https访问 kube-apiserver,则必须先通过 TLS 证书认证,并且为提供 RBAC 授权支持。商用的环境中,k8s的所有组件之间通信都是通过https进行的,一般需要分别建立apiserver和Etcd两套根证书。如果不使用https,可以将k8s集群环境搭建起来,但是后续的RBAC没有办法完成授权。
  • [行业资讯] 物联网每个环节的安全,都值得被坚守
    全新的解决方案以新唐M2351SF物联网安全微控制器为基础,采用多芯片封装,整合M2351物联网安全微控制器和华邦W77Q TrustME安全闪存。其中,新唐M2351微控制器以Arm Cortex-M23安全处理器为核心,采用TrustZone技术。华邦W77Q安全闪存与M2351微控制器通过加密的SPI接口进行连接,可避免窃听攻击,确保数据传输的完整性与安全性。同时,为了提供可信执行环境(TEE)以确保安全的OTA固件更新与云端连接,青莲云推出的TinyTEE安全软件堆栈在受TrustZone保护的M2351内运行,通过华邦W77Q安全闪存提供的32Mb安全存储连接至青莲云的安全云服务器,可提供包括设备身份验证、安全存储、加密引擎、真随机数生成器等在内的完备的物联网设备管理功能,并符合国际标准组织GlobalPlatform的TEE安全评估认证。云到端的安全华邦电子安全解决方案行销处处长陈宏玮表示,华邦TrustME安全存储系列产品在设计过程中主要基于以下四个原则:安全认证。目前,华邦安全闪存产品均已通过国际相关机构的安全认证,具体应用时,会依据不同应用场景的安全要求,提供不同安全等级的安全认证。应用范围广泛。除了W77Q安全闪存外,华邦TrustME系列还包括其他高安全级别的产品,用以满足不同应用场景的需求。设计灵活。不是所有的SoC/MCU芯片都具备足够的安全设计,有些芯片使用的外挂闪存根本不具备任何安全功能。考虑到在很多远程攻击的案例当中,黑客更喜欢攻击闪存中的固件,所以华邦在设计中将重心转移到了如何保护闪存中的固件安全,从而开发出TrustME安全系列产品。可扩展性。众所周知,嵌入式闪存制程成本相对很高,其容量容易受到限制。而华邦使用的外挂式闪存在存储容量上比较有弹性,易于满足不同的应用需求。“常见的IoT领域攻击,大多数都是可扩展的远程攻击,其对应的应用安全级别认证标准通常是IEC62443、CC EAL2/3和ETSI 303645。同时,考虑到包括防止攻击、侦测攻击、以及如何从攻击中复原在内的平台分位恢复力(Resilience)也是当前业界讨论的热点,于是华邦也将上述众多因素融入到了W77Q安全闪存的产品设计中。”陈宏玮说。新唐科技MCU开发与应用事业群资深技术经理凌立民则指出,在未来的智能世界里,新型智能设备会被赋予收集/存储重要数据、联网、提供更多本地运算的能力。因此,微控制器及其具备的安全功能,最主要就是为产品开发与服务创新提供保障,“如何快速进行产品开发,并在保证成本优势的同时提供整个生命周期的数据安全”,将成为设计人员在进行微控制器与微处理器选择时最为看重的因素,而解决此问题的最好方式,就是设置一个独立的安全区。所以,新唐M235x系列除了拥有TrustZone外,还具备根信任(Root-of-Trust)、反固件版本回溯(anti-roll back feature)、产品安全相关的生命周期使用记录、以及合法联网身份确认(product lifecycle security and attestation)等关键特色。再搭配真实随机乱数产生器、唯一硬件识别码和软件开发套件,可确保无论是TrustZone中的闪存,还是华邦安全闪存,均可实现免费的安全启动与安全存储。在此前提下,类似青莲云这样的物联网安全软件开发商,就能利用上述所有安全要素,移植可信执行环境(Trusted Execution Environment, TEE) OS用于执行安全应用。新唐M235x系列关键特色凌立民特别强调称,新唐物联网PSA安全认证是在工信部信通院的泰尔实验室获得通过的,之所以没有选择美国、欧盟,目的就是为了面向庞大的中国市场提供有公信力的认证产品。也正是因为这样的机缘,新唐在认证过程中了解到国内的算法和安全机制需要,例如像SM2、SM3、SM4等,新唐也一并将其放进产品中,这就是所谓的弹性。“物联网应用是基于互联网的,所以,互联网安全领域存在的漏洞和攻击方式,物联网应用都存在。可以这样说,物联网安全是互联网安全的延伸,物联网只会带来新的安全风险。”青莲云联合创始人王科岩指出,以下三方面的风险,尤其需要引起物联网安全公司的警惕。一是物联网平台要负责设备通信和管理,它作为一个PaaS服务,会新开放一些端口和API等服务,而IaaS云安全并不了解这些新开放的端口和服务的用途是什么,所以安全策略难以覆盖。二是物联网的通信协议,诸如ZigBee、蓝牙、NB-IOT、2/3/4/5G等等,这些协议在互联网应用上并没有使用到,互联网安全策略也无法覆盖到这些协议,因而带来了新的安全风险。三是互联网时代更多的应用模式是C/S,即客户端/服务端模式。这种模式有非常清晰的“边界”,企业可以通过部署防火墙、IPS等网关类设备来提高企业服务的安全性。但在物联网时代,设备遍布全球各地,黑客可以直接对设备发起攻击,没有“边界”的存在了,传统网关类防护设备用处不大。他以手机可信执行环境作为类比,对物联网应用中的TEE做了进一步的解释。众所周知,手机可信执行环境运行在CPU安全区域中,用于储存人脸、指纹等重要的个人信息,而手机操作系统运行在非安全区环境中。这样,黑客即使攻破了非安全区里的操作系统,也拿不到安全区的隐私数据,从而保障了隐私数据的安全。同理,利用Arm的TrustZone隔离技术,MCU在硬件层也被分成了安全区和非安全区。青莲云的TinyTEE把敏感信息、商业保密算法存储在安全区,即使黑客攻击了设备硬件,拿到了非安全区的操作权限,能够读取非安全区的内存,看到操作系统的任务切换等行为,但是因为硬件隔离的原因,黑客同样无法拿到安全区的数据,这样就可以保障敏感信息或者安全数据的安全。青莲云物联网设备可信执行环境TinyTEE那么,可信执行环境有哪些特点呢? 王科岩认为,基于TrustZone硬件隔离技术的底层分区隔离和支持灵活的flash扩展最具代表性。正是得益于此,TinyTEE产品才能够提供可信应用校验、安全存储,并通过建立信任根和信任链,对固件和应用进行合法性、完整性的校验。同时,作为云计算公司,青莲云也能够天然地支持一些物联网安全应用,例如双向的身份认证、一机一密、密钥管理等。结语物联网安全是一个由合规性驱动的行业,目前国内市场还处于早期发展阶段,相应的法律法规一直在持续完善。随着网络安全等级保护(等保2.0)的正式发布,国家首次将物联网安全提升到一个新的高度,未来会有更多企业客户有相关的需求。如何结合不同行业的特殊要求,提供合适的解决方案,是相关企业亟待思考的问题。
  • [问题求助] 【IoTDA】使用【HTTP/HTTPS】订阅推送,【创建规则】没有生效。
    小弟看到了IoTDA中的用户指南,有关于HTTP/HTTPS订阅推送的章节。https://support.huaweicloud.com/usermanual-iothub/iot_01_0001.html但是由于自身水平较差,未能调通。我使用MQTT.fx向IOTDA发送了数据,并且IOTDA已经收到了数据。然后设置了几条数据转发的规则,并让规则运行。规则的收件地址是我用华为云服务搭建的Node-red服务器。(抱歉我也不会别的前端技术)我关掉了云服务中防火墙,确保了这个地址和端口是能够被访问的。直接使用浏览器能够打开node-red的地址然而,node-red却收不到任何数据。我怀疑我在IOTDA平台设置的规则是不正确的。因为在【监控运维】→【消息调试】界面下,只能看到设备至平台的数据,看不到平台数据转发。按照我的理解,如果规则生效了,平台应该会向node-red转发数据,而这个转发的数据,应该是能够消息调试界面下看到的。也有可能是因为我Node-red程序编写的不对。不知道该如何解决,请路过的大佬指点。或者发给我一些关于【HTTP/HTTPS】订阅推送或【创建规则】的教程。非常感谢
  • [技术干货] 【转载】浅谈对VLL、PWE3、VPLS三种L2VPN的认识
    1.1      VPN的简单分类首先说以下VPN的分类,VPN的分类有许多种方式。我们一般常接触的分类方式是按照运营模式进行分类:    1)、CPE-Based VPN:  设备放置在用户侧(Custom Premise Equipment)由用户管理或委托运营商进行管理;     2)、Network-Based VPN:  设备放置在运营商网络侧用户设备不需要感知VPN由运营商管理,又称为Provider Provide VPN。本文所讨论的三种L2VPN都是属于Network Base VPN。图1、 VPN技术的分类1.2      VLL、PWE3、VPLS三种L2VPN区别1.2.1     三种L2VPN的简介VLL( Virtual Leased Line,虚拟租用线,也被称为VPWS)是对传统租用线业务的仿真VLL技术是一种点到点的虚拟专线技术,能够支持几乎所有的链路层协议。VLL简单的理解就好比在客户之间拉了一条网线。分为Kompella和Martini两种实现方式,但Kompella工作组已经解散,Martini也更新为PWE3技术。PWE3(Pseudo-Wire Emulation Edge to Edge)是端到端仿真业务,PWE3是VLL的一种实现方式,是对Martini协议的扩展。PWE3扩展了新的信令,减少了信令的开销,规定了多跳的协商方式,使得组网方式更加灵活。在IPRAN网络大量使用PWE3来承载TDM等二层业务。VPLS(Virtual Private LAN Service)是一种基于MPLS和以太网技术的二层VPN技术。具体分为Juniper主导的Kompella方式和Cisco主导的Martini方式,是将公网模拟为二层交换机。适合于点到多点的业务,简单的说VPLS就是一个超级交换机。1.2.2     VLL、PWE3、VPLS实现方式的对比下面这张表是总结的VLL、PWE3、VPLS三种L2VPN的实现方式对比。分类实现方式信令协议备注VLLCCC手动配置支持本地连接MartiniLDP不支持本地连接,配置ldp remote-peerSVC内层标签手动配置,外层LDP看成是Martini方式的静版KompellaBGP使用vpn-target进行vpn路由的收发控制,支持本地和远程连接。PWE3VLL的Martini形式扩展LDP信令的扩展1、  增加了Notification方式2、  增加了多跳PW扩展3、  TDM接口扩展VPLSKompellaBGPPE端口绑定VSI(虚交换实例)进行VPLS转发MartiniLDP1.3      举例三种L2VPN实际配置对比只说这三种L2VPN不能很好的理解,下面就以一个Martini和Kompella两种方式实现VPN跨域Option C为例子,说说VLL和VPLS的区别(PWE3只是是VLL Maritni形式的一种扩展和演进,在这种场景下实现和VLL完全相同,后面会对PWE3进行单独的介绍)。Martini和Kompella的最主要区别是:1、使用Martini方式时,采用LDP信令分发标签,PE之间要建立mpls ldp remote-peer;2、采用Kompella方式时,采用BGP信令分发标签,PE之间建立MP-EBGP关系。1.3.1     Martini方式的VLL和VPLSMrtini形式的Option C实现时,典型组网如下图所示。首先在骨干网上运行IGP协议,使同一个AS域内的各设备能互通。在骨干网上节点使能MPLS,在PE与ASBR之间建立动态LSP隧道。同一AS的PE和ASBR之间建立IBGP,在各ASBR之间配置EBGP。在ASBR上需配置路由策略,使能标签路由功能。在PE1和PE2之间建立MPLS LDP远端对等体关系。图2、Martini方式实现跨域Option C的典型组网上图2中,PE1、ASBR1、ASBR2、PE2的loopback0 地址分别为1.1.1.1/32,2.2.2.2/32,3.3.3.3/32,4.4.4.4/32。1、  VLL形式在完成前面的基础配置后,检查PE1和PE2之间的remote-ldp peer建立起来,需要在mpls l2vpn试图下面配置动态VC的信令行为是非Notification方式,也就是Martini方式。如果不配置这条命令,默认是PWE3方式。这也是PWE3和VLL Martini的最主要区别。 mpls l2vpn  mpls l2vpn default martini在PE上面创建动态VLL链接mpls l2vc ip-address vc-id其中ip-address为PW对端设备的IP地址2、  VPLS形式VPLS形式的首先创建一个VSI,然后在连接CE的端口上绑定该vsi实例,这和L3VPN中绑定VPN-instance有点类似。    Martini方式的两种L2VPN配置实现差异如下表所示。Msrtini形式配置差异PE上的命令差异VLL1、  在mpls l2vpn试图下面配置动态VC的信令行为是Martini方式2、  在PE上面创建动态VLL链接mpls l2vpn  mpls l2vpn default martini#interface Serial0/0/1 link-protocol ppp undo shutdown mpls l2vc 4.4.4.4 100VPLS1、  建立一个VSI,PW信令设置为LDP;2、  在端口下绑定该VSI。mpls l2vpn#vsi a1 staticpwsignal  ldp  vsi-id 2  peer 4.4.4.4#interface GigabitEthernet0/0/1.1undo shutdownvlan-type dot1q 10l2 binding vsi v11.3.2     Kompella方式VLL和VPLSMrtini形式的Option C实现时,典型组网如下图所示。协议部署和Martini方式的基本一致,区别在于PE1和PE2之间建立的是MP-EBGP远端对等体关系。图3、 Kompella方式实现跨域Option C的典型组网图3中,PE1、ASBR1、ASBR2、PE2的loopback0 地址分别为1.1.1.1/32,2.2.2.2/32,3.3.3.3/32,4.4.4.4/32。Kompella方式的VLL和VPLS差异如下表Kompella方式配置差异PE上的命令差异VLL              创建l2vpn实例,创建CE连接mpls l2vpn#mpls l2vpn vpn1 encapsulation ppproute-distinguisher 100:1vpn-target 1:1 import-extcommunityvpn-target 1:1 export-extcommunityce ce1 id 1 range 10 default-offset 0connection ce-offset 2 interface Serial0/0/1VPLS1、 创建VSI虚交换实例,pw信令协议为bgp2、 在端口下绑定VSI实例mpls l2vpn#vsi v1 autopwsignal bgproute-distinguisher 100:1vpn-target 1:1 import-extcommunityvpn-target 1:1 export-extcommunitysite 1 range 5 default-offset 0#interface GigabitEthernet1/0/0.1undo shutdownvlan-type dot1q 10l2 binding vsi v11.3.3     PWE3形式的L2VPNPWE3相对VLL的Martini方式在以下几点进行了扩展。1、  信令扩展,LDP信令增加了Notification方式,只通告状态,不拆除信令,除非配置删除或者信令协议中断。这样能够减少控制报文的交互,降低信令开销,兼容原来的LDP和Martini方式。2、  多跳扩展,增加PW多跳功能,这点在IPRAN网络中应用十分广泛,对于TDM和ATM业务的承载都可以采用多条PW方式。在IPRAN中典型组网如下图所示:CSG和RSG之间部署多条PW,CSG、ASG、RSG之间建立MPLS LDP PEER,在CSG、RSG上配置业务PW,在主备ASG上配置交换PW,在主备RSG之间部署Bypass PW。图4、多条PW在IPRAN中的应用3、  TDM接口扩展支持更多的电信低速TDM接口。通过控制字CW(Control Word)及转发平面RTP(Real-time Transport Protocol)协议,引入对TDM的报文排序、时钟提取和同步的功能。1.4      总结这三种L2VPN理解起来容易搞混,简单的理解,VLL是点到点的业务,可以将整个网络看成一条网线;VPLS是点到多点业务,可将整个网络看成是一个交换机;PWE3是端到端的仿真,其实就是VLL的Martini形式扩展。理解这几点,再去看这三种L2VPN就容易很多了。
  • https://mirrors.huaweicloud.com/centos-vault/ 源怎么都失效了
    centos官方源有的
  • [新手课堂] Springboot配置https访问
    生成https证书要使用https,首先需要ssl证书,获取SSL证书有两种方式:自己通过keytool生成通过证书授权机构购买这里本地测试使用,通过keytool生成,方式如下C:%users\feifuzeng>keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048  -keystore keystore.p12 -validity 3650输入密钥库口令:密钥库口令太短 - 至少必须为 6 个字符输入密钥库口令:再次输入新口令:您的名字与姓氏是什么?  :  fei您的组织单位名称是什么?  :  test您的组织名称是什么?  :  test您所在的城市或区域名称是什么?  :  hefei您所在的省/市/自治区名称是什么?  :  anhui该单位的双字母国家/地区代码是什么?  :  CNCN=fei, OU=test, O=test, L=hefei, ST=anhui, C=CN是否正确?  [否]:  y会在当前目录下生成一个证书:keystore.p12,同时记住你在生成证书时候输入的密钥库口令。搭建一个简单的SpringBoot项目注意将生成的keystore.p12拷贝至resource目录下,我的工程结构和内容大致如下图Https相关配置application.propertiesserver.port: 8443server.ssl.key-store: classpath:keystore.p12server.ssl.key-store-password: 生成证书时候输入的密钥库口令server.ssl.keyStoreType: PKCS12server.ssl.keyAlias: tomcat验证启动工程,浏览器访问https://localhost:8443
  • [其他问题] ADC2.0调试出站REST接口调式显示配置了https协议却未配置对应的安全证书
    ADC2.0调试出站REST接口调式显示配置了https协议却未配置对应的安全证书 ,如何处理?
  • [其他] 【Mindspore产品】【源码安装】https://github.com/grpc/grpc/archive MD5错误
    【功能模块】Mindspore源码安装【操作步骤&问题现象】1、依照https://www.mindspore.cn/install/ 执行源码安装2、编译Mindspore:bash build.sh -e ascend以下错误重复出现后出错退出!file='/home/test_user03/mindspore/build/mindspore/_deps/grpc-subbuild/grpc-populate-prefix/src/v1.27.3.tar.gz'-- MD5 hash of    /home/test_user03/mindspore/build/mindspore/_deps/grpc-subbuild/grpc-populate-prefix/src/v1.27.3.tar.gz  does not match expected value    expected: '0c6c3fc8682d4262dd0e5e6fabe1a7e2'      actual: 'd41d8cd98f00b204e9800998ecf8427e'-- Hash mismatch, removing...CMake Error at grpc-subbuild/grpc-populate-prefix/src/grpc-populate-stamp/download-grpc-populate.cmake:159 (message):  Each download failed!    error: downloading 'https://github.com/grpc/grpc/archive/v1.27.3.tar.gz' failed【截图信息】【日志信息】(可选,上传日志内容或者附件)
  • [已解决问题归档] 关于AICC接口调试HTTPS请求Received fatal : protocol_version问题
    【问题来源】【必填】    【长沙银行】    【问题简要】【必填】    https请求调用接口报Received fatal alert: protocol_version 错误,【问题类别】【必填】    【CC-Gateway】【AICC解决方案版本】【必填】    【AICC可选择版本:AICC 8.13.0】【问题现象描述】【必填】   https请求调用接口报Received fatal alert: protocol_version 错误,修改协议为TLSv1.2后报错Received fatal alert: handshake_failure目前有的证书文件有一个truststore.jks目前具体要做什么样的配置才能调用接口呢, 是要jdk环境加载证书吗 tomcat需要配置吗?CC Gateway demo中的没有做其他处理。希望帮忙看下问题出在哪里 谢谢
  • [已解决问题归档] 关于AICC接口调试HTTPS请求Received fatal : protocol_version问题
    https请求调用接口报Received fatal alert: protocol_version 错误,修改协议为TLSv1.2后报错Received fatal alert: handshake_failure目前有的证书文件有一个truststore.jks目前具体要做什么样的配置才能调用接口呢, 是要jdk环境加载证书吗 tomcat需要配置吗?CC Gateway demo中的没有做其他处理。希望帮忙看下问题出在哪里 谢谢
  • [问题求助] 【ROMA产品】【APIC功能】清远项目-HTTPS的调用问题
    1,基本信息拓维信息 , 清远项目,其中有个模块是科研转化平台,和对方对接之后,对方提供了他们的服务地址,对于需求,就是通过ROMA的APIC能力,远程调用对方的公网接口,将数据采集过来,保存在项目中的数据库表中。其中以一个模块为例,他们的列表页接口采用 GET 访问(不支持POST), https 形式,具体地址是 :https://www.scnuqycgzh.com/hskjzh-gz-api/onlineApi/getDataList/getTechnologyLibraryList?column=stickie,sort_no,create_time&order=desc,asc,desc&pageSize=10&pageNo=1 然后通过列表页的ID,获取数据明细页接口采用 GET 访问(不支持POST), https 形式,具体地址是 :https://www.scnuqycgzh.com/hskjzh-gz-api/onlineApi/form/detail/viewTechnologyLibrary?id=13170615987140239372,postman工具验证列表页接口截图:  详情页接口截图: 3,ROMA - APIC 接口调用,返回 :{"requestId":"bc0241ce60fc4c4b5b5be4561a0b11f4703dc80018cbda5b48ce4150cd43d810","retCode":"500","retJSON":{"result":{"errMsg":"java.io.IOException: Cannot handshake with server"}}} 写法a:importClass(com.huawei.livedata.lambdaservice.livedataprovider.HttpClient);function excute(data) {  var httpExecutor = new HttpClient();  var result = httpExecutor.callGETAPI("https://www.scnuqycgzh.com/hskjzh-gz-api/onlineApi/getDataList/getTechnologyLibraryList?column=stickie,sort_no,create_time&order=desc,asc,desc&pageSize=10&pageNo=1");  return result;} 写法b:importClass(com.huawei.livedata.lambdaservice.livedataprovider.HttpClient);function excute(data) {var httpExecutor = new HttpClient();var obj = JSON.parse(data);var host = 'www.scnuqycgzh.com';var headers = {'clientapp' : 'FunctionStage'};var params = {'column' :'stickie,sort_no','order' :'desc,asc,desc','pageSize' :'10','pageNo' :'1',};var result = httpExecutor.callGETAPI(host,'/hskjzh-gz-api/onlineApi/getDataList/getTechnologyLibraryList',JSON.stringify(params),JSON.stringify(headers));return result;} 因为对方是一个 https ,GET 形式的访问,所以现在不知道怎么写这个livedata,但是对方的服务又没有问题。4,Curl 测试 - 列表页连接地址不适用 双引号 ,感觉已经到了对方的服务,但是接口中的问号之后的参数,对方无法正确解析,导致程序出错,返回了500,数据库查询错误,截图信息然后我们把整个地址,使用双引号 括起来,继续测试,可以观察到,地址就是完整,并且能够正常返回数据。,5,Curl 详情页地址带入一个参数ID由于他问号传参,只有一个ID参数,所以,不论地址是否使用 双引号 括起来,都能正常返回。6,问题我们的整体需求就是,通过APIC的能力,访问到对方的接口,然后拿到返回数据JSON,使用FDI数据的任务能力,把APIC返回的JSON数据,保存到数据库表。但是最近都是发现APIC测试返回500错误,对方的接口又没问题,所以急需支持。 我们自己通过FDI的任务迁移数据学习,发现上述需求中,存在一个问题,由于对方的接口使用了分页,每一页返回的条数有所限制,我们要如何通过任务调度,让任务自己可以循环 自增 pageNo,完成一次完整的调度?目前我们自己模拟,任务每次都只能执行固定的条数和页数,调度任务不能通过配置每次自增页数,把整个数据迁移完成。 3,现在我们自己分析,不排除问题大概有,请求地址中由于有 问号 和 &,但是转义存在,导致请求地址不完整;或者ROMA的HTTPS证书和对方的证书握手存在问题;或者测试环境的安全级别太高,导致网络不能正常通讯;或者双方的TSL版本彼此不兼容等,希望帮我们查看一下问题。
  • 推一个种豆得豆的机制嘛
    推一个种豆得豆的机制嘛
  • [技术干货] https://bbs.huaweicloud.com/forum/thread-13735-1-1.html
    https://www.huawei.com/minisite/ascend/cn/filedetail_1.html
  • [行业资讯] 物联网每个环节的安全,都值得被坚守
    全新的解决方案以新唐M2351SF物联网安全微控制器为基础,采用多芯片封装,整合M2351物联网安全微控制器和华邦W77Q TrustME安全闪存。其中,新唐M2351微控制器以Arm Cortex-M23安全处理器为核心,采用TrustZone技术。华邦W77Q安全闪存与M2351微控制器通过加密的SPI接口进行连接,可避免窃听攻击,确保数据传输的完整性与安全性。同时,为了提供可信执行环境(TEE)以确保安全的OTA固件更新与云端连接,青莲云推出的TinyTEE安全软件堆栈在受TrustZone保护的M2351内运行,通过华邦W77Q安全闪存提供的32Mb安全存储连接至青莲云的安全云服务器,可提供包括设备身份验证、安全存储、加密引擎、真随机数生成器等在内的完备的物联网设备管理功能,并符合国际标准组织GlobalPlatform的TEE安全评估认证。云到端的安全华邦电子安全解决方案行销处处长陈宏玮表示,华邦TrustME安全存储系列产品在设计过程中主要基于以下四个原则:安全认证。目前,华邦安全闪存产品均已通过国际相关机构的安全认证,具体应用时,会依据不同应用场景的安全要求,提供不同安全等级的安全认证。应用范围广泛。除了W77Q安全闪存外,华邦TrustMe系列还包括其他高安全级别的产品,用以满足不同应用场景的需求。设计灵活。不是所有的SoC/MCU芯片都具备足够的安全设计,有些芯片使用的外挂闪存根本不具备任何安全功能。考虑到在很多远程攻击的案例当中,黑客更喜欢攻击闪存中的固件,所以华邦在设计中将重心转移到了如何保护闪存中的固件安全,从而开发出TrustME安全系列产品。可扩展性。众所周知,嵌入式闪存制程成本相对很高,其容量容易受到限制。而华邦使用的外挂式闪存在存储容量上比较有弹性,易于满足不同的应用需求。“常见的IoT领域攻击,大多数都是可扩展的远程攻击,其对应的应用安全级别认证标准通常是IEC62443、CC EAL2/3和ETSI 303645。同时,考虑到包括防止攻击、侦测攻击、以及如何从攻击中复原在内的平台分位恢复力(Resilience)也是当前业界讨论的热点,于是华邦也将上述众多因素融入到了W77Q安全闪存的产品设计中。”陈宏玮说。新唐科技MCU开发与应用事业群资深技术经理凌立民则指出,在未来的智能世界里,新型智能设备会被赋予收集/存储重要数据、联网、提供更多本地运算的能力。因此,微控制器及其具备的安全功能,最主要就是为产品开发与服务创新提供保障,“如何快速进行产品开发,并在保证成本优势的同时提供整个生命周期的数据安全”,将成为设计人员在进行微控制器与微处理器选择时最为看重的因素,而解决此问题的最好方式,就是设置一个独立的安全区。所以,新唐M235x系列除了拥有TrustZone外,还具备根信任(Root-of-Trust)、反固件版本回溯(anti-roll back feature)、产品安全相关的生命周期使用记录、以及合法联网身份确认(product lifecycle security and attestation)等关键特色。再搭配真实随机乱数产生器、唯一硬件识别码和软件开发套件,可确保无论是TrustZone中的闪存,还是华邦安全闪存,均可实现免费的安全启动与安全存储。在此前提下,类似青莲云这样的物联网安全软件开发商,就能利用上述所有安全要素,移植可信执行环境(Trusted Execution Environment, TEE) OS用于执行安全应用。新唐M235x系列关键特色凌立民特别强调称,新唐物联网PSA安全认证是在工信部信通院的泰尔实验室获得通过的,之所以没有选择美国、欧盟,目的就是为了面向庞大的中国市场提供有公信力的认证产品。也正是因为这样的机缘,新唐在认证过程中了解到国内的算法和安全机制需要,例如像SM2、SM3、SM4等,新唐也一并将其放进产品中,这就是所谓的弹性。“物联网应用是基于互联网的,所以,互联网安全领域存在的漏洞和攻击方式,物联网应用都存在。可以这样说,物联网安全是互联网安全的延伸,物联网只会带来新的安全风险。”青莲云联合创始人王科岩指出,以下三方面的风险,尤其需要引起物联网安全公司的警惕。一是物联网平台要负责设备通信和管理,它作为一个PaaS服务,会新开放一些端口和API等服务,而IaaS云安全并不了解这些新开放的端口和服务的用途是什么,所以安全策略难以覆盖。二是物联网的通信协议,诸如ZigBee、蓝牙、NB-IOT、2/3/4/5G等等,这些协议在互联网应用上并没有使用到,互联网安全策略也无法覆盖到这些协议,因而带来了新的安全风险。三是互联网时代更多的应用模式是C/S,即客户端/服务端模式。这种模式有非常清晰的“边界”,企业可以通过部署防火墙、IPS等网关类设备来提高企业服务的安全性。但在物联网时代,设备遍布全球各地,黑客可以直接对设备发起攻击,没有“边界”的存在了,传统网关类防护设备用处不大。他以手机可信执行环境作为类比,对物联网应用中的TEE做了进一步的解释。众所周知,手机可信执行环境运行在CPU安全区域中,用于储存人脸、指纹等重要的个人信息,而手机操作系统运行在非安全区环境中。这样,黑客即使攻破了非安全区里的操作系统,也拿不到安全区的隐私数据,从而保障了隐私数据的安全。同理,利用Arm的TrustZone隔离技术,MCU在硬件层也被分成了安全区和非安全区。青莲云的TinyTEE把敏感信息、商业保密算法存储在安全区,即使黑客攻击了设备硬件,拿到了非安全区的操作权限,能够读取非安全区的内存,看到操作系统的任务切换等行为,但是因为硬件隔离的原因,黑客同样无法拿到安全区的数据,这样就可以保障敏感信息或者安全数据的安全。青莲云物联网设备可信执行环境TinyTEE那么,可信执行环境有哪些特点呢? 王科岩认为,基于TrustZone硬件隔离技术的底层分区隔离和支持灵活的flash扩展最具代表性。正是得益于此,TinyTEE产品才能够提供可信应用校验、安全存储,并通过建立信任根和信任链,对固件和应用进行合法性、完整性的校验。同时,作为云计算公司,青莲云也能够天然地支持一些物联网安全应用,例如双向的身份认证、一机一密、密钥管理等。结语物联网安全是一个由合规性驱动的行业,目前国内市场还处于早期发展阶段,相应的法律法规一直在持续完善。随着网络安全等级保护(等保2.0)的正式发布,国家首次将物联网安全提升到一个新的高度,未来会有更多企业客户有相关的需求。如何结合不同行业的特殊要求,提供合适的解决方案,是相关企业亟待思考的问题。
总条数:111 到第
上滑加载中