مفاهيم مصادقة الجهاز في IoT Central

توضح هذه المقالة كيفية مصادقة الأجهزة لتطبيق IoT Central. لمعرفة المزيد حول عملية الاتصال الإجمالية، راجع الاتصال جهاز.

تتم مصادقة الأجهزة باستخدام تطبيق IoT Central باستخدام رمز مميز لتوقيع الوصول المشترك (SAS) أو شهادة X.509. يوصى باستخدام شهادات X.509 في بيئات الإنتاج.

يمكنك استخدام مجموعات التسجيل لإدارة خيارات مصادقة الجهاز في تطبيق IoT Central.

توضح هذه المقالة خيارات مصادقة الجهاز التالية:

• مجموعة تسجيل X.509
• مجموعة تسجيل SAS
• التسجيل الفردي

مجموعة تسجيل X.509

في بيئة الإنتاج، يعد استخدام شهادات X.509 آلية مصادقة الجهاز الموصى بها لـ IoT Central. لمعرفة المزيد، راجع مصادقة الجهاز باستخدام شهادات المرجع المصدق X.509.

تحتوي مجموعة التسجيل X.509 على شهادة X.509 الجذر أو المتوسطة. يمكن للأجهزة المصادقة إذا كانت تحتوي على شهادة طرفية صالحة مشتقة من الشهادة الجذر أو الشهادة المتوسطة.

لتوصيل جهاز بشهادة X.509 بتطبيقك:

1. إنشاء مجموعة تسجيل تستخدم نوع الشهادة Certificates (X.509).
2. أضف شهادة X.509 وسيطة أو جذرية وتحقق منها في مجموعة التسجيل.
3. قم بإنشاء شهادة ورقية من الشهادة الجذرية أو المتوسطة في مجموعة التسجيل. قم بتثبيت الشهادة الطرفية على الجهاز لاستخدامها عند الاتصال بالتطبيق الخاص بك.

يجب أن تستخدم كل مجموعة تسجيل شهادة X.509 فريدة. لا يدعم IoT Central استخدام نفس شهادة X.509 عبر مجموعات تسجيل متعددة.

لمعرفة المزيد، راجع كيفية توصيل الأجهزة بشهادات X.509.

لأغراض الاختبار فقط

في بيئة الإنتاج، استخدم الشهادات من موفر الشهادة. للاختبار فقط، يمكنك استخدام الأدوات المساعدة التالية لإنشاء شهادات الجذر والمتوسطة والجهاز:

• أدوات Azure IoT Device Provisioning Device SDK: مجموعة من أدوات Node.js التي يمكنك استخدامها لإنشاء شهادات ومفاتيح X.509 والتحقق منها.
• إدارة شهادات CA الاختبارية للعينات والبرامج التعليمية: مجموعة من البرامج النصية PowerShell وBash من أجل:
  • إنشاء سلسلة شهادات.
  • احفظ الشهادات كملفات .cer لتحميلها إلى تطبيق IoT Central.
  • استخدم رمز التحقق من تطبيق IoT Central لإنشاء شهادة التحقق.
  • إنشاء شهادات طرفية لأجهزتك باستخدام معرفات جهازك كمعلمة للأداة.

مجموعة تسجيل SAS

تحتوي مجموعة تسجيل SAS على مفاتيح SAS على مستوى المجموعة. يمكن للأجهزة المصادقة إذا كان لديها رمز SAS مميز صالح مشتق من مفتاح SAS على مستوى المجموعة.

لتوصيل جهاز برمز SAS المميز للجهاز بتطبيقك:

1. إنشاء مجموعة تسجيل تستخدم نوع إثبات توقيع الوصول المشترك (SAS).

2. انسخ المفتاح الأساسي أو الثانوي للمجموعة من مجموعة التسجيل.

3. استخدم Azure CLI لإنشاء رمز مميز للجهاز من مفتاح المجموعة:

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

4. استخدم الرمز المميز للجهاز الذي تم إنشاؤه عند اتصال الجهاز بتطبيق IoT Central.

إشعار

لاستخدام مفاتيح SAS الموجودة في مجموعات التسجيل الخاصة بك، قم بتعطيل تبديل Auto generate keys وأدخل مفاتيح SAS يدويا.

إذا كنت تستخدم مجموعة التسجيل الافتراضية ل SAS-IoT-Devices ، فإن IoT Central ينشئ مفاتيح الجهاز الفردية لك. للوصول إلى هذه المفاتيح، حدد الاتصال في صفحة تفاصيل الجهاز. تعرض هذه الصفحة نطاق المعرف ومعرف الجهاز والمفتاح الأساسي والمفتاح الثانوي الذي تستخدمه في التعليمات البرمجية لجهازك. تعرض هذه الصفحة أيضا رمز الاستجابة السريعة الذي يحتوي على نفس البيانات.

التسجيل الفردي

عادة ما تتصل الأجهزة باستخدام بيانات الاعتماد المشتقة من شهادة X.509 أو مفتاح SAS لمجموعة التسجيل. ومع ذلك، إذا كان لكل من أجهزتك بيانات اعتماد خاصة بها، يمكنك استخدام التسجيلات الفردية. التسجيل الفردي هو إدخال لجهاز واحد يسمح له بالاتصال. يمكن أن تستخدم التسجيلات الفردية إما شهادات X.509 الطرفية أو رموز SAS المميزة (من وحدة النظام الأساسي الموثوق بها الفعلية أو الظاهرية) كآليات تصديق. لمزيد من المعلومات، راجع التسجيل الفردي ل DPS.

إشعار

عند إنشاء تسجيل فردي لجهاز، يكون له الأسبقية على خيارات مجموعة التسجيل الافتراضية في تطبيق IoT Central.

إنشاء عمليات تسجيل فردية

يدعم IoT Central آليات التصديق التالية لعمليات التسجيل الفردية:

• إثبات المفتاح المتماثل: يعد إثبات المفتاح المتماثل نهجا بسيطا لمصادقة جهاز باستخدام مثيل DPS. لإنشاء تسجيل فردي يستخدم مفاتيح متماثلة، افتح صفحة اتصال الجهاز للجهاز، وحدد التسجيل الفردي كنوع المصادقة، وتوقيع الوصول المشترك (SAS) كطريقة المصادقة. أدخل المفاتيح الأساسية والثانوية المشفرة base64، واحفظ التغييرات. استخدم نطاق المعرف ومعرف الجهاز والمفتاح الأساسي أو الثانوي لتوصيل جهازك.

  تلميح

  للاختبار، يمكنك استخدام OpenSSL لإنشاء مفاتيح مشفرة base64: openssl rand -base64 64

• شهادات X.509: لإنشاء تسجيل فردي بشهادات X.509، افتح صفحة الاتصال الجهاز، وحدد التسجيل الفردي كنوع المصادقة، والشهادات (X.509) كطريقة المصادقة. شهادات الجهاز المستخدمة مع إدخال التسجيل الفردي لها متطلبات أن يتم تعيين المُصدر والموضوع CN على معرّف الجهاز.

  تلميح

  للاختبار، يمكنك استخدام أدوات ل Azure IoT Device Provisioning Device SDK Node.js لإنشاء شهادة موقعة ذاتيا: node create_test_cert.js device "mytestdevice"

• إثبات الوحدة النمطية للنظام الأساسي الموثوق به (TPM):TPM هو نوع من وحدة أمان الأجهزة. يُعد استخدام TPM أحد أكثر الطرق أمانًا لتوصيل الجهاز. تفترض هذه المقالة أنك تستخدم وحدة TPM منفصلة أو ثابتة أو متكاملة. تعد وحدات TPM التي تمت مضاهاتها بالبرامج مناسبة تمامًا للنماذج الأولية أو الاختبار، ولكنها لا توفر مستوى الأمان نفسه مثل وحدات TPM المنفصلة أو الثابتة أو المتكاملة. لا تستخدم برامج TPM في الإنتاج. لإنشاء تسجيل فردي يستخدم TPM، افتح صفحة Device الاتصال ion، وحدد Individual enrollment كنوع المصادقة، وTPM كطريقة المصادقة. أدخل مفتاح مصادقة TPM واحفظ معلومات اتصال الجهاز.

تسجيل الأجهزة تلقائيا

يمكن هذا السيناريو OEMs من تصنيع الأجهزة التي يمكنها الاتصال دون تسجيلها أولا في أحد التطبيقات. تقوم الشركة المصنعة للمعدات الأصلية (OEM) بإنشاء بيانات اعتماد مناسبة للجهاز وتكوين الأجهزة في المصنع.

لتسجيل الأجهزة التي تستخدم شهادات X.509 تلقائيا:

1. إنشاء شهادات طرفية لأجهزتك باستخدام الشهادة الجذر أو الشهادة المتوسطة التي أضفتها إلى مجموعة التسجيل X.509. استخدم معرفات الجهاز كما في CNAME الشهادات الطرفية. يمكن أن يحتوي معرف الجهاز على أحرف وأرقام وحرف - .

2. كمعدات OEM، قم بوميض كل جهاز بمعرف جهاز، وشهادة X.509 الطرفية التي تم إنشاؤها، وقيمة نطاق معرف التطبيق. ينبغي أن يرسل رمز الجهاز أيضًا معرّف الطراز لطراز الجهاز الذي ينفذه.

3. عند تشغيل أحد الأجهزة، فإنه يتصل أولاً بـ DPS لاسترداد معلومات اتصال IoT Central الخاصة به.

4. يستخدم الجهاز المعلومات من DPS للاتصال والتسجيل في تطبيق IoT Central الخاص بك.

5. يستخدم تطبيق IoT Central معرف النموذج الذي أرسله الجهاز لتعيين الجهاز المسجل إلى قالب جهاز.

لتسجيل الأجهزة التي تستخدم رموز SAS المميزة تلقائيا:

1. انسخ المفتاح الأساسي للمجموعة من مجموعة تسجيل SAS-IoT-Devices :

   

2. az iot central device compute-device-key استخدم الأمر لإنشاء مفاتيح SAS للجهاز. استخدم المفتاح الأساسي للمجموعة من الخطوة السابقة. يمكن أن يحتوي معرف الجهاز على أحرف وأرقام وحرف - :

   az iot central device compute-device-key --primary-key <enrollment group primary key> --device-id <device ID>
   

3. كمعدات OEM، قم بوميض كل جهاز بمعرف الجهاز ومفتاح SAS للجهاز الذي تم إنشاؤه وقيمة نطاق معرف التطبيق. ينبغي أن يرسل رمز الجهاز أيضًا معرّف الطراز لطراز الجهاز الذي ينفذه.

4. عند تشغيل أحد الأجهزة، فإنه يتصل أولاً بـ DPS لاسترداد معلومات تسجيل IoT Central الخاصة به.

5. يستخدم الجهاز المعلومات من DPS للاتصال والتسجيل في تطبيق IoT Central الخاص بك.

6. يستخدم تطبيق IoT Central معرف النموذج الذي أرسله الجهاز لتعيين الجهاز المسجل إلى قالب جهاز.

الخطوات التالية

بعض الخطوات التالية المقترحة هي:

• راجع أفضل الممارسات لتطوير الأجهزة.
• راجع بعض نماذج التعليمات البرمجية التي توضح كيفية استخدام رموز SAS المميزة في البرنامج التعليمي: إنشاء تطبيق عميل وتوصيله بتطبيق Azure IoT Central
• تعرف على كيفية توصيل الأجهزة بشهادات X.509 باستخدام Node.js device SDK لتطبيق IoT Central
• تعرف على كيفية مراقبة اتصال الجهاز باستخدام Azure CLI
• اقرأ عن أجهزة Azure IoT Edge وAzure IoT Central