周邊設定鎖定
重要
這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。
周邊組態是周邊與核心的對應。 Azure Sphere 晶片現在能夠鎖定周邊設定,以提供額外的安全性。 所有未來的 Azure Sphere 晶片也會有周邊設定鎖定。
在系統啟動期間,Azure Sphere 執行時間會讀取應用程式指令清單,藉由設定硬體防火牆,確定應用程式允許使用哪些周邊,並將周邊指派給核心。 未鎖定周邊組態時,攻擊者可能會重新設定周邊的核心指派,並存取任意外圍設備。 不過,當周邊組態遭到鎖定時,即使程序代碼遭到入侵,攻擊者也無法重新指派周邊。
當周邊設定鎖定時
如果下列兩個條件成立,Azure Sphere 執行時間會在系統啟動期間鎖定周邊組態,在所有應用程式初始化之後:
- 裝置 製造狀態 設定為 DeviceComplete。
- 裝置上沒有 appDevelopment 裝置功能。
周邊設定鎖定為深度防禦增加了另一層安全性,這是高度安全裝置所需的七個屬性之一。 一旦周邊組態鎖定,在裝置重新啟動之前,就無法修改它。
應用程式更新和裝置重新啟動
需要周邊組態變更的應用程式更新會在周邊設定鎖定時觸發裝置重新啟動。 鎖定組態之後,裝置必須先重新啟動,才能據此修改應用程式更新的周邊設定。
當應用程式更新需要釋放或取得周邊時,就會發生周邊設定的變更。 以下是應用程式更新的範例,這些更新會在周邊設定鎖定時觸發裝置重新啟動:
- 使用周邊的新應用程式會安裝為雲端更新或側載的一部分。 在此情況下,必須取得新的核心和周邊。
- 更新的應用程式需要與舊版不同的周邊集。 在此情況下,必須釋放某些周邊,而且必須取得其他周邊。
- 使用周邊的應用程式會在雲端更新時刪除。 在此情況下,應用程式所使用的所有周邊都必須釋放。
以下是不會觸發裝置重新啟動的應用程式更新範例,因為周邊設定保持不變:
- 未使用周邊的新應用程式會安裝為雲端更新或側載的一部分。
- 不使用周邊的應用程式會在雲端更新時刪除。
- 更新的應用程式需要其舊版所使用的一組確切周邊。