Share via

Identita a zabezpečení zařízení

  • Článek

Můžete nasadit a spravovat řadu zařízení najednou. Správa zařízení je založená na schopnosti identifikovat a přistupovat k jednotlivým zařízením v případě potřeby. Abyste to mohli udělat, každé zařízení Azure Sphere dostane jedinečné interní ID zařízení, které se zachová prostřednictvím všech aktualizací zařízení, včetně operací obnovení.

V digitálních systémech ale může být ID zařízení snadno zfalšované, zfalšované nebo zneužité. V důsledku toho byste měli povolit přístup k vysoce cenným datům a připojení k vašim službám pouze zařízením, jejichž identity je možné ověřit a ověřit.

Azure Sphere poskytuje proces, který umožňuje zařízení identifikovat se (ověřování) a potvrzení identity zařízení (ověření identity). Proces ověřování a ověření identity používaný službou zabezpečení Azure Sphere používá k potvrzení identity zařízení předem známé klíče, zabezpečenou komunikaci a specializovaný hardware. Pokud ověřování zařízení a ověření identity proběhne úspěšně, vydá se mu certifikát. Platný certifikát označuje, že:

  • Identita zařízení byla ověřena.
  • Zařízení může být důvěryhodné.

V Azure Sphere se certifikáty zařízení nejprve zřetězí s certifikátem na úrovni katalogu (což organizaci usnadňuje důvěřovat pouze zařízením z vlastních katalogů) a pak k certifikátu Microsoftu, což odráží, že Microsoft ověřil, že tento hardware je ověřenou instancí certifikovaného čipu Azure Sphere se zabezpečeným operačním systémem Microsoft.

Následující koncepty vám můžou pomoct používat identitu zařízení nejbezpečnějším a nejefektivnějším způsobem:

  • Vztah důvěryhodnosti je přechodný.
    Důvěra v systém může být ztracena a může být znovu obnovena. Princip implementace architektury nulová důvěra (Zero Trust) v systému IoT je explicitní ověření. To znamená, že při každé interakci se zařízením explicitně určete pravost zařízení a prokažte, že datová transakce je důvěryhodná. Zařízení Azure Sphere automaticky provádějí proces ověřování a ověření identity každých 24 hodin pomocí cloudových služeb zabezpečení Azure Sphere. Důkazem úspěšného ověření identity zařízení je přítomnost kryptograficky podepsaného certifikátu, který má kořen ve službě microsoft Azure Sphere Cloud Security Service.

  • Identita = identifikátory + ověření identity
    Identifikátory je možné kopírovat a duplikovat. V důsledku toho nemůže být zařízení jednoduše známé podle jeho identifikátoru. Identita zařízení (nebo identita uživatele) musí být považována za kombinaci identifikátoru i ověření, že tento identifikátor je platný v konkrétním kontextu. Identifikátory byste neměli přiřazovat zařízením a používat je nezávisle na procesu ověření identity. Pokud je to možné, zkombinujte identifikátory s důkazy o ověření identity na každé vrstvě interakce v rámci vašich systémů.

  • Identifikátory a důvěryhodné certifikáty
    Identifikátor by se neměl považovat za více než odkaz. Samostatně by se nemělo předpokládat, že značí cokoli o důvěryhodnosti objektu, na který odkazuje. Můžete například použít identifikátor k odběru zpráv MQTT, použít identifikátor k seskupení důvěryhodných dat v rámci portálu a použít identifikátory ke směrování provozu a dat v systému. Pokud však jde o důvěryhodnost, místo důvěryhodnosti identifikátoru důvěřujte kryptograficky podepsanému a zřetězenýmu certifikátu. Certifikáty jsou zvláště užitečné pro tok dat bez hesla mezi součástmi systému a jsou důkazem identifikace, která byla testována a prokázáno, že je důvěryhodná v určitém kontextu.

Pokud používáte Azure IoT Hub a konfigurují se podle zdokumentovaných doporučení, jsou tyto koncepty již začleněné, což zjednodušuje nasazení zabezpečeného a odolného systému.

Tyto koncepty musíte použít také při připojování ke koncovým bodům mimo Azure nebo službám, které přímo řídíte. Pokud například používáte MQTT, zařízení může jako součást tématu MQTT, do něhož publikuje, zahrnout vlastní identitu. Než ale server MQTT přijme aktualizaci tématu ze zařízení, musí ověřit, že certifikát, který zařízení poskytuje, ho ověřuje pro publikování do tohoto konkrétního tématu.

Přístup k certifikátu zařízení Azure Sphere a ID zařízení

  • Pokud chcete získat přístup k certifikátu zařízení ve vaší aplikaci, použijte funkci DeviceAuth_GetCertificatePath .

  • Pokud chcete získat přístup k jedinečnému ID zařízení, parsujte předmět z certifikátu poskytnutého funkcí DeviceAuth_GetCertificatePath() pomocí funkce wolfSSL_X509_get_subject_name .

Fragment kódu Get Azure Sphere Device ID ukazuje, jak získat ID zařízení Azure Sphere v aplikaci vysoké úrovně. Vrátí ID zařízení jako vyrovnávací paměť 128 znaků. Tento fragment kódu nařizuje wolfSSL, aby otevřel relaci s certifikátem, vytáhl kontext a certifikát, parsuje ID subjektu certifikátu, kterým je ID zařízení Azure Sphere, a vrátil ho char jako ukazatel.