Поделиться через

Модули защиты

  • Статья

Внимание

Это документация по Azure Sphere (устаревшая версия). Служба Azure Sphere (устаревшая версия) выходит на пенсию 27 сентября 2027 г., и к этому времени пользователи должны перейти в Azure Sphere (интегрированная). Используйте селектор версий, расположенный над toC, чтобы просмотреть документацию по Azure Sphere (интегрированная).

Модуль защиты является дополнительным оборудованием, которое включает в себя микросхему Azure Sphere и физически подключается к порту на существующем устройстве, которое, возможно, уже используется.

С помощью модуля защиты вы можете добавлять безопасные возможности Интернета вещей к оборудованию, которое либо не поддерживает подключение к Интернету, либо поддерживает небезопасное подключение. Если кратко, модуль защиты позволяет реализовать безопасное подключение к имеющимся устройствам без предоставления доступа к этим устройствам через Интернет. Так как это устройство Azure Sphere, на нем доступны все функции безопасности и подключения Azure Sphere: все данные шифруются, обновления ОС и приложений доставляются безопасным образом, а проверка подлинности гарантирует, что модуль обменивается данными только с доверенными узлами.

Вот как работает модуль защиты:

  • Модуль защиты подключается к устройству браунфилда, как описано в разделе "Подключение " этого раздела. Само существующее устройство не подключается к сети.

  • ОС Azure Sphere работает на модуле защиты с настраиваемым высокоуровневым приложением и любыми другими приложениями Azure Sphere, которые требуются в сценарии.

  • Модуль защиты использует службу безопасности Azure Sphere для проверки подлинности на основе сертификатов, создания отчетов о сбоях и обновления программного обеспечения по беспроводной сети.

  • Существующее устройство взаимодействует с модулем защиты, который может ответить, выполнив локальное действие или отправив отчеты в облако, например в Azure IoT Central.

Вы можете приобрести модули защиты у поставщика и дополнительно настроить их для своего сценария использования или же создать собственный модуль защиты, возможно, работая с партнером по оборудованию. Дополнительные сведения о поставщиках оборудования см. на веб-сайте Azure Sphere.

Применение модуля защиты

Модуль защиты может сделать что-либо другое устройство Azure Sphere, а также выступать в качестве безопасного интерфейса между существующим оборудованием и внешней сетью. Возможные способы использования модуля защиты:

  • Сбор данных с устройства браунфилда, обработка данных и безопасное передача данных в облачную конечную точку
  • Отправка данных в несколько конечных точек, при условии, что она может пройти проверку подлинности каждой конечной точки
  • Сбор дополнительных данных, недоступных на устройстве brownfield; Например, датчики на модуле защиты могут предоставлять экологические данные для использования с операционными данными с устройства браунфилда
  • Сохранение данных с устройства браунфилда в случае потери подключения

Репозиторий примеров Azure Sphere включает два примера, демонстрирующие, как устройство Azure Sphere может использоваться в качестве модуля защиты:

  • Устройство в Облако показывает, как устройство Azure Sphere может использоваться для сбора данных, обеспечивая безопасный доступ к Интернету для устройства браунфилда, подключенного к нему через последовательный интерфейс.
  • Частные сетевые службы показывают, как устройство Azure Sphere может обеспечить безопасный доступ к Интернету для устройства браунфилда, подключенного к нему через интерфейс TCP/IP.

Подключение

Существует несколько поддерживаемых механизмов подключения между модулем защиты и сетью, а также между модулем защиты и устройством браунфилда. Общие сведения о решениях по подключению Azure Sphere см. в разделе " Общие сведения о подключении" и "Требования к сети".

Высокоуровневое приложение модуля защиты взаимодействует с сетью, включая службу безопасности Azure Sphere и другие облачные службы, а также внизу с устройством браунфилда:

  • Для исходящих подключений между модулем защиты и сетью можно использовать Ethernet, Wi-Fi или сотовой связи.

  • Для подчиненных подключений между модулем защиты и оборудованием браунфилда можно использовать следующее:

    • Любой последовательный интерфейс, например UART, RS-485 или SPI, который предоставляет устройство браунфилда.
    • Частный Ethernet, который не предоставляет устройство браунфилда для общедоступной сети
    • Беспроводной, например Bluetooth или ZigBee

Разработка и развертывание приложений

Разработка и развертывание приложения для модуля защиты отличается от разработки и развертывания приложения для любого другого устройства Azure Sphere. Дополнительные сведения см. в разделе "Общие сведения о приложениях Azure Sphere" и основах развертывания. Как и в случае с любым устройством Azure Sphere, модуль защиты должен иметь по крайней мере одно высокоуровневое приложение Azure Sphere, а также может иметь приложения с поддержкой реального времени.

Вам потребуется доступ к UART службы, который является основным интерфейсом программирования и отладки между MT3620 и средой разработки, работающей на главном компьютере. Если вы разрабатываете собственный модуль защиты, необходимо убедиться, что сигналы UART службы предоставляются и поддерживаются способом взаимодействия со службой UART в самом модуле защиты или отдельном оборудовании. Если вы приобретаете модули у поставщика, он должен предоставить решение, которое активирует это подключение.

Если поставщик или другая третья сторона создаст приложение, вам может потребоваться предоставить доступ к своему клиенту Azure Sphere, чтобы разработчик приложения мог загрузить и протестировать приложение и создать развертывание.

Высокоуровневые приложения

Высокоуровневое приложение модуля защиты должно быть написано для устройств браунфилда каждой организации. Если поставщик модуля защиты предоставляет приложение, убедитесь, что вы получите высокоуровневый исходный код и библиотеки приложений, чтобы можно было изменить или обновить приложение по мере необходимости.

Как и в любом приложении устройства Azure Sphere, сведения о конкретных устройствах и приложениях должны быть перечислены в манифесте приложения. Например, подключения модуля защиты — это сведения, относящиеся к устройству, которые должны быть включены в манифест.

Высокоуровневое приложение, работающее в модуле защиты, отвечает за следующее:

  • Создание и поддержание связи с оборудованием браунфилда
  • Создание и поддержание подключения к Интернету, включая службу безопасности Azure Sphere и другие облачные службы
  • Обработка данных, полученных от устройства браунфилда— распаковка и хранение данных, при необходимости и взаимодействие с узлами Интернета в соответствии с соответствующими параметрами
  • Обработка данных, полученных от узла Интернета— распаковка и хранение данных, при необходимости и взаимодействие с оборудованием браунфилда в соответствии с соответствующим образом

Данные, передаваемые в восходящем направлении, могут включать отчеты об ошибках, рабочие параметры или общую телеметрию. Azure Sphere гарантирует, что все эти данные зашифрованы. Приложение может подключаться к веб-службам и использовать взаимную проверку подлинности для таких подключений.

Данные, передаваемые в нисходящем направлении, могут включать в себя обновленное программное обеспечение либо изменения настроек или параметров существующего устройства. Чтобы избежать потенциальных нарушений безопасности, приложение должно проверить входящие данные, прежде чем передавать его вниз на устройство браунфилда.

Рекомендации по приложению

При создании приложения следует учитывать доступные периферийные устройства, требования к хранилищу и потребление энергии.

Периферийные устройства

Как и другие устройства Azure Sphere, модули защиты отличаются в периферийных устройствах, которые они предоставляют. Выберите модуль защиты, который обеспечивает возможности подключения и обнаружения, необходимые для сценария.

В зависимости от аппаратной архитектуры модуля защиты, то есть от того, как он предоставляет возможности микросхемы Azure Sphere, вы можете определить, в каком виде должно быть реализовано программное обеспечение для доступа к отдельным функциям: в виде высокоуровневого приложения или приложения, поддерживающего режим реального времени.

Требования к системе хранения данных

Azure Sphere имеет ограниченное хранилище, поэтому тщательно рассмотрим, сколько памяти требуется для приложений и данных. Дополнительные сведения см. в разделе " Доступная память ".

При отправке данных из облака на устройство браунфилда убедитесь, что модуль защиты имеет достаточно места для хранения данных. Может потребоваться отправить данные в блоки, как показано в примере HTTPS_Curl_Multi в репозитории примеров Azure Sphere GitHub.

При отправке данных из устройства браунфилда в модуль защиты убедитесь, что приложение может обрабатывать сбои подключения вышестоящего трафика. Если устройство браунфилда предоставляет текущую телеметрию, необходимо учитывать, какие данные и сколько из них следует хранить и позже отправлять в облако при восстановлении подключения. См. пример коллекции хранилища и пересылки, в котором показано, как использовать локальное хранилище для временного кэширования данных перед отправкой.

Энергопотребление

Существует множество приложений, в которых модуль защиты неактивен большую часть времени. Например, рассмотрим устройство Azure Sphere, которое каждые час собирает данные из сети датчиков и отправляет эти данные в облако — операцию, которая может занять минуту или две минуты. В этом случае большая часть электроэнергии, потребляемой устройством, расходуется.

Вы можете значительно сократить потребление энергии и, таким образом, увеличить время работы батареи, разместив устройство в состоянии Power Down, если оно неактивно или задав профиль питания. Дополнительные сведения см. в разделе "Управление состоянием Power Down" и "Настройка профилей питания".