Identita a zabezpečení zařízení

Důležité

Toto je dokumentace k Azure Sphere (starší verze). Azure Sphere (starší verze) se vyřazuje 27. září 2027 a uživatelé musí do této doby migrovat do Azure Sphere (integrované). K zobrazení dokumentace k Azure Sphere (integrované) použijte selektor verzí umístěný nad obsahem.

Najednou můžete nasadit a spravovat celou řadu zařízení. Správa zařízení je založená na schopnosti identifikovat a přistupovat ke každému zařízení jednotlivě v případě potřeby. Aby to bylo možné provést, každé zařízení Azure Sphere má jedinečné interní ID zařízení, které se udržuje prostřednictvím všech aktualizací zařízení, včetně operací obnovení.

V digitálních systémech ale id zařízení může být snadno zpochybněno, zkřetěno nebo zneužito. V důsledku toho byste měli povolit pouze zařízení, jejichž identity je možné ověřit a ověřit pro přístup k vysoce cenným datům a připojovat se k vašim službám.

Azure Sphere poskytuje proces, který umožňuje zařízení identifikovat sebe sama (ověřování) a potvrzení identity zařízení (ověření identity). Proces ověřování a ověření identity, který používá služba zabezpečení Azure Sphere, používá k potvrzení identity zařízení předem známé klíče, zabezpečenou komunikaci a specializovaný hardware. Pokud ověřování zařízení a ověření identity proběhne úspěšně, certifikát se pro zařízení vydá. Platný certifikát označuje, že:

• Identita zařízení byla ověřena.
• Zařízení může být důvěryhodné.

S Azure Sphere se certifikáty zařízení nejprve zřetědí s certifikátem na úrovni tenanta (což organizaci usnadňuje důvěřovat pouze zařízením z vlastních tenantů) a pak k certifikátu Microsoftu, který odráží, že Microsoft ověřil, že tento hardware je ověřenou instancí certifikovaného čipu Azure Sphere, na kterém běží zabezpečený operační systém Microsoftu.

Následující koncepty můžou pomoct používat identitu zařízení nejbezpečnějšími a nejúčinnějšími způsoby:

• Vztah důvěryhodnosti je přechodný.
  Důvěryhodnost v systému může být ztracena a lze ji znovu získat. Princip implementace architektury nulová důvěra (Zero Trust) v systému IoT je explicitně ověřit. To znamená, že pokaždé a pokaždé, když máte interakci se zařízením, explicitně určete pravost zařízení a prokázat, že datová transakce je důvěryhodná. Zařízení Azure Sphere automaticky provádějí proces ověřování a ověření identity každých 24 hodin pomocí služeb cloudového zabezpečení Azure Sphere. Označení, že identita zařízení byla úspěšně ověřena, je přítomnost kryptograficky podepsaného certifikátu, který je rootem ve službě Microsoft Azure Sphere Cloud Security Service.

• Identita = identifikátory + ověření identity
  Identifikátory lze zkopírovat a duplikovat. V důsledku toho nemůže zařízení jednoduše znát jeho identifikátor. Identita zařízení (nebo identita uživatele) musí být považována za kombinaci identifikátoru i ověření identity, že takový identifikátor je platný v určitém kontextu. Identifikátory byste neměli přiřazovat zařízením a používat je nezávisle na procesu ověření identity. Pokud je to možné, zkombinujte identifikátory s důkazy o ověření na každé vrstvě interakce v rámci vašich systémů.

• Identifikátory + důvěryhodné certifikáty
  Identifikátor by neměl být považován za více než odkaz. Samotná by neměla být považována za označení čehokoli o důvěryhodnosti objektu, na který odkazuje. Můžete například použít identifikátor k přihlášení k odběru zpráv MQTT, použít identifikátor k seskupení důvěryhodných dat na portálu a pomocí identifikátorů směrovat provoz a data v systému. Pokud ale jde o vztah důvěryhodnosti, nevěřte identifikátoru, věřte kryptograficky podepsaný a zřetězený certifikát. Certifikáty jsou zvláště přínosné pro tok dat bez hesla mezi systémovými komponentami a jsou důkazem o identifikaci, která byla testována a ověřena jako důvěryhodná v určitém kontextu.

Pokud používáte Azure IoT Hub, pokud je nakonfigurovaný podle zdokumentovaných doporučení, tyto koncepty jsou už začleněné a zjednodušují nasazení zabezpečeného a odolného systému.

Tyto koncepty musíte použít také při připojování ke koncovým bodům nebo službám mimo Azure, které přímo řídíte. Pokud například používáte MQTT, zařízení může jako součást tématu MQTT, do něhož se publikuje, zahrnout vlastní identitu. Než ale ze zařízení přijmete aktualizaci tématu, musí server MQTT ověřit, že certifikát, který zařízení poskytuje, ověří jeho publikování do tohoto konkrétního tématu.

Přístup k certifikátu zařízení Azure Sphere a ID zařízení

• Pokud chcete získat přístup k certifikátu zařízení ve vaší aplikaci, použijte funkci DeviceAuth_GetCertificatePath .

• Pokud chcete získat přístup k jedinečnému ID zařízení, parsujte předmět z certifikátu poskytovaného funkcí DeviceAuth_GetCertificatePath() pomocí funkce wolfSSL_X509_get_subject_name .

Fragment kódu Get Azure Sphere Device ID ukazuje, jak získat ID zařízení Azure Sphere v aplikaci vysoké úrovně. Vrátí ID zařízení jako vyrovnávací paměť znaků 128 znaků. Tento fragment kódu příkazy wolfSSL k otevření relace s certifikátem, vyžádání kontextu a certifikátu, parsování ID subjektu certifikátu, což je ID zařízení pro zařízení Azure Sphere, a vrátit ji jako char ukazatel.