ممارسات الأمان للشركات المصنعة لأجهزة Azure IoT

نظرا لأن المزيد من الشركات المصنعة تصدر أجهزة IoT، فمن المفيد تحديد الإرشادات حول الممارسات الشائعة. تلخص هذه المقالة ممارسات الأمان الموصى بها التي يجب مراعاتها عند تصنيع الأجهزة للاستخدام مع خدمة توفير أجهزة Azure IoT (DPS).

  • تحديد خيارات مصادقة الجهاز
  • تثبيت الشهادات على أجهزة IoT
  • دمج وحدة النظام الأساسي الموثوق به (TPM) في عملية التصنيع

تحديد خيارات مصادقة الجهاز

الهدف النهائي من أي مقياس أمان لجهاز IoT هو إنشاء حل IoT آمن. ولكن تؤثر مشكلات مثل قيود الأجهزة والتكلفة ومستوى الخبرة الأمنية على الخيارات التي تختارها. علاوة على ذلك، يؤثر نهجك في الأمان على كيفية اتصال أجهزة IoT بالسحابة. في حين أن هناك العديد من عناصر أمان IoT التي يجب مراعاتها، فإن العنصر الرئيسي الذي يواجهه كل عميل هو نوع المصادقة الذي يجب استخدامه.

ثلاثة أنواع مصادقة مستخدمة على نطاق واسع هي شهادات X.509 ووحدات النظام الأساسي الموثوق بها (TPM) والمفاتيح المتماثلة. بينما توجد أنواع مصادقة أخرى، يستخدم معظم العملاء الذين ينشئون حلولا على Azure IoT أحد هذه الأنواع الثلاثة. تستعرض بقية هذه المقالة إيجابيات وسلبيات استخدام كل نوع مصادقة.

شهادة X.509

شهادات X.509 هي نوع من الهوية الرقمية التي يمكنك استخدامها للمصادقة. تم توثيق معيار شهادة X.509 في IETF RFC 5280. في Azure IoT، هناك طريقتان لمصادقة الشهادات:

  • بصمه الابهام. يتم تشغيل خوارزمية بصمة الإبهام على شهادة لإنشاء سلسلة سداسية عشرية. السلسلة التي تم إنشاؤها هي identifer فريد للشهادة.
  • مصادقة المرجع المصدق استنادا إلى سلسلة كاملة. سلسلة الشهادات هي قائمة هرمية لجميع الشهادات اللازمة لمصادقة شهادة الكيان النهائي (EE). لمصادقة شهادة EE، من الضروري مصادقة كل شهادة في السلسلة بما في ذلك المرجع المصدق الجذري الموثوق به.

إيجابيات X.509:

  • X.509 هو نوع المصادقة الأكثر أمانا المدعوم في Azure IoT.
  • يسمح X.509 بمستوى عال من التحكم لأغراض إدارة الشهادات.
  • يتوفر العديد من الموردين لتوفير حلول المصادقة المستندة إلى X.509.

سلبيات X.509:

  • قد يحتاج العديد من العملاء إلى الاعتماد على موردين خارجيين للحصول على شهاداتهم.
  • يمكن أن تكون إدارة الشهادات مكلفة وتضيف إلى التكلفة الإجمالية للحل.
  • يمكن أن تكون إدارة دورة حياة الشهادة صعبة إذا لم تكن الخدمات اللوجستية مدروسة جيدا.

الوحدة النمطية للنظام الأساسي الموثوق به (TPM)

TPM، المعروف أيضا باسم ISO/IEC 11889، هو معيار لإنشاء مفاتيح التشفير وتخزينها بأمان. يشير TPM أيضا إلى جهاز إدخال/إخراج ظاهري أو فعلي يتفاعل مع الوحدات النمطية التي تنفذ المعيار. يمكن أن يوجد جهاز TPM كأجهزة منفصلة أو أجهزة متكاملة أو وحدة نمطية تستند إلى البرامج الثابتة أو وحدة نمطية تستند إلى البرامج.

هناك اختلافان رئيسيان بين TPMs والمفاتيح المتماثلة:

  • يمكن أيضا لشرائح TPM تخزين شهادات X.509.
  • يستخدم إثبات TPM في DPS مفتاح مصادقة TPM (EK)، وهو شكل من أشكال المصادقة غير المتماثلة. باستخدام المصادقة غير المتماثلة، يتم استخدام مفتاح عام للتشفير، ويتم استخدام مفتاح خاص منفصل لفك التشفير. في المقابل، تستخدم المفاتيح المتماثلة المصادقة المتماثلة، حيث يتم استخدام المفتاح الخاص لكل من التشفير وفك التشفير.

إيجابيات TPM:

  • يتم تضمين TPMs كأجهزة قياسية على العديد من أجهزة Windows، مع دعم مضمن لنظام التشغيل.
  • يعد إثبات TPM أسهل في التأمين من إثبات المفتاح المتماثل المستند إلى الرمز المميز لتوقيع الوصول المشترك (SAS).
  • يمكنك بسهولة انتهاء صلاحية بيانات اعتماد الجهاز وتجديدها أو لفها. يقوم DPS تلقائيا بطرح بيانات اعتماد IoT Hub كلما كان جهاز TPM مستحقا لإعادة التوفير.

سلبيات TPM:

  • TPMs معقدة ويمكن أن يكون من الصعب استخدامها.
  • يعد تطوير التطبيقات باستخدام TPMs أمرا صعبا ما لم يكن لديك TPM فعلي أو محاكي جودة.
  • قد تضطر إلى إعادة تصميم لوحة جهازك لتضمين TPM في الجهاز.
  • إذا قمت بتدحرج EK على TPM، فإنه يدمر هوية TPM وينشئ واحدة جديدة. على الرغم من أن الشريحة المادية تظل كما هي، إلا أنها تتمتع بهوية جديدة في حل IoT الخاص بك.

مفاتيح متماثلة

باستخدام مفاتيح متماثلة، يتم استخدام نفس المفتاح لتشفير الرسائل وفك تشفيرها. ونتيجة لذلك، يعرف نفس المفتاح لكل من الجهاز والخدمة التي تصادق عليه. يدعم Azure IoT اتصالات المفاتيح المتماثلة المستندة إلى رمز SAS المميز. تتطلب مصادقة المفتاح المتماثل مسؤولية كبيرة للمالك لتأمين المفاتيح وتحقيق مستوى متساو من الأمان باستخدام مصادقة X.509. إذا كنت تستخدم مفاتيح متماثلة، فإن الممارسة الموصى بها هي حماية المفاتيح باستخدام وحدة أمان الأجهزة (HSM).

إيجابيات المفتاح المتماثل:

  • استخدام المفاتيح المتماثلة هو أبسط وأقل طريقة تكلفة للبدء في المصادقة.
  • يؤدي استخدام مفاتيح متماثلة إلى تبسيط العملية الخاصة بك لأنه لا يوجد شيء إضافي لإنشاءه.

سلبيات المفتاح المتماثل:

  • تستغرق المفاتيح المتماثلة درجة كبيرة من الجهد لتأمين المفاتيح. تتم مشاركة نفس المفتاح بين الجهاز والسحابة، ما يعني أنه يجب حماية المفتاح في مكانين. وفي المقابل، فإن التحدي مع شهادات TPM وX.509 يثبت حيازة المفتاح العام دون الكشف عن المفتاح الخاص.
  • تجعل المفاتيح المتماثلة من السهل اتباع ممارسات الأمان السيئة. الاتجاه الشائع مع المفاتيح المتماثلة هو ترميز المفاتيح غير المشفرة على الأجهزة. في حين أن هذه الممارسة مريحة، فإنها تترك المفاتيح عرضة للخطر. يمكنك التخفيف من بعض المخاطر عن طريق تخزين المفتاح المتماثل بشكل آمن على الجهاز. ومع ذلك، إذا كانت أولويتك هي الأمان في النهاية بدلا من الراحة، فاستخدم شهادات X.509 أو TPM للمصادقة.

مفتاح متماثل مشترك

هناك تباين في مصادقة المفتاح المتماثل المعروفة باسم المفتاح المتماثل المشترك. يتضمن هذا الأسلوب استخدام نفس المفتاح المتماثل في جميع الأجهزة. التوصية هي تجنب استخدام مفاتيح متماثلة مشتركة على أجهزتك.

Pro للمفتاح المتماثل المشترك:

  • بسيطة للتنفيذ وغير مكلفة لإنتاج على نطاق واسع.

سلبيات المفتاح المتماثل المشترك:

  • عرضة بشدة للهجوم. ففائدة سهولة التنفيذ تفوقها إلى حد بعيد المخاطر.
  • يمكن لأي شخص انتحال هوية أجهزتك إذا حصل على المفتاح المشترك.
  • إذا كنت تعتمد على مفتاح متماثل مشترك يتم اختراقه، فمن المحتمل أن تفقد التحكم في الأجهزة.

اتخاذ الخيار الصحيح لأجهزتك

لاختيار أسلوب مصادقة، تأكد من مراعاة فوائد وتكاليف كل نهج لعملية التصنيع الفريدة. بالنسبة لمصادقة الجهاز، عادة ما تكون هناك علاقة عكسية بين مدى أمان نهج معين ومدى سهولة استخدامه.

تثبيت الشهادات على أجهزة IoT

إذا كنت تستخدم شهادات X.509 لمصادقة أجهزة IoT الخاصة بك، يقدم هذا القسم إرشادات حول كيفية دمج الشهادات في عملية التصنيع الخاصة بك. ستحتاج إلى اتخاذ العديد من القرارات. وتشمل هذه القرارات حول متغيرات الشهادة الشائعة، ومتى يتم إنشاء الشهادات، ومتى يتم تثبيتها.

إذا كنت معتادا على استخدام كلمات المرور، فقد تسأل لماذا لا يمكنك استخدام الشهادة نفسها في جميع أجهزتك، بنفس الطريقة التي يمكنك بها استخدام كلمة المرور نفسها في جميع أجهزتك. أولا، استخدام نفس كلمة المرور في كل مكان أمر خطير. وقد عرضت هذه الممارسة الشركات لهجمات DDoS الكبرى، بما في ذلك تلك التي أسقطت DNS على الساحل الشرقي للولايات المتحدة قبل عدة سنوات. لا تستخدم كلمة المرور نفسها في كل مكان، حتى مع الحسابات الشخصية. ثانيا، الشهادة ليست كلمة مرور، إنها هوية فريدة. كلمة المرور مثل رمز سري يمكن لأي شخص استخدامه لفتح باب في مبنى آمن. إنه شيء تعرفه، ويمكنك إعطاء كلمة المرور لأي شخص للدخول. الشهادة تشبه رخصة القيادة مع صورتك وتفاصيل أخرى، والتي يمكنك إظهارها لحارس للوصول إلى مبنى آمن. إنها مرتبطة بمن أنت. شريطة أن يطابق الحارس بدقة الأشخاص الذين يستخدمون تراخيص القيادة، يمكنك فقط استخدام ترخيصك (الهوية) للحصول على الدخول.

المتغيرات المتضمنة في قرارات الشهادة

ضع في اعتبارك المتغيرات التالية، وكيف يؤثر كل منها على عملية التصنيع الشاملة.

من أين يأتي جذر الشهادة للثقة

يمكن أن تكون إدارة البنية الأساسية للمفتاح العام (PKI) مكلفة ومعقدة. خاصة إذا لم يكن لدى شركتك أي خبرة في إدارة PKI. الخيارات الموجودة لديك هي:

  • استخدم PKI لجهة خارجية. يمكنك شراء شهادات توقيع وسيطة من مورد شهادات تابع لجهة خارجية. أو يمكنك استخدام مرجع مصدق خاص (CA).
  • استخدم PKI مدار ذاتيا. يمكنك الحفاظ على نظام PKI الخاص بك وإنشاء شهاداتك الخاصة.
  • استخدم خدمة أمان Azure Sphere. ينطبق هذا الخيار فقط على أجهزة Azure Sphere.

مكان تخزين الشهادات

هناك بعض العوامل التي تؤثر على القرار بشأن مكان تخزين الشهادات. تتضمن هذه العوامل نوع الجهاز وهوامش الربح المتوقعة (ما إذا كان بإمكانك تحمل تكلفة التخزين الآمن) وقدرات الجهاز وتكنولوجيا الأمان الحالية على الجهاز الذي قد تتمكن من استخدامه. يجب مراعاة الخيارات التالية:

  • في وحدة أمان الأجهزة (HSM). يوصى بشدة باستخدام HSM. تحقق مما إذا كانت لوحة التحكم في جهازك مثبتة بالفعل على HSM. إذا كنت تعرف أنه ليس لديك HSM، فاعمل مع الشركة المصنعة للجهاز لتحديد HSM الذي يلبي احتياجاتك.
  • في مكان آمن على القرص مثل بيئة تنفيذ موثوق بها (TEE).
  • في نظام الملفات المحلي أو مخزن الشهادات. على سبيل المثال، مخزن شهادات Windows.

الاتصال في المصنع

تحدد الاتصال ivity في المصنع كيف ومتى ستحصل على الشهادات لتثبيتها على الأجهزة. فيما يلي خيارات الاتصال ivity:

  • قابلية التوصيل. وجود الاتصال هو الأمثل، فإنه يبسط عملية إنشاء الشهادات محليا.
  • لا يوجد اتصال. في هذه الحالة، يمكنك استخدام شهادة موقعة من المرجع المصدق لإنشاء شهادات الجهاز محليا وغير متصل.
  • لا يوجد اتصال. في هذه الحالة، يمكنك الحصول على الشهادات التي تم إنشاؤها مسبقا. أو يمكنك استخدام PKI غير متصل لإنشاء الشهادات محليا.

متطلبات التدقيق

اعتمادا على نوع الأجهزة التي تنتجها، قد يكون لديك متطلبات تنظيمية لإنشاء سجل تدقيق لكيفية تثبيت هويات الأجهزة على أجهزتك. يضيف التدقيق تكلفة إنتاج كبيرة. لذلك في معظم الحالات، لا تفعل ذلك إلا إذا لزم الأمر. إذا لم تكن متأكدا مما إذا كان التدقيق مطلوبا، فتحقق من القسم القانوني لشركتك. خيارات التدقيق هي:

  • ليست صناعة حساسة. لا يلزم إجراء تدقيق.
  • صناعة حساسة. يجب تثبيت الشهادات في غرفة آمنة وفقا لمتطلبات شهادة التوافق. إذا كنت بحاجة إلى غرفة آمنة لتثبيت الشهادات، من المحتمل أن تكون على دراية بكيفية تثبيت الشهادات في أجهزتك. وربما لديك بالفعل نظام تدقيق في مكانه.

مدة صلاحية الشهادة

مثل رخصة القيادة، الشهادات لها تاريخ انتهاء صلاحية يتم تعيينه عند إنشائها. فيما يلي خيارات مدة صلاحية الشهادة:

  • التجديد غير مطلوب. يستخدم هذا الأسلوب فترة تجديد طويلة، لذلك لن تحتاج أبدا إلى تجديد الشهادة خلال مدة بقاء الجهاز. في حين أن مثل هذا النهج مناسب، إلا أنه محفوف بالمخاطر أيضا. يمكنك تقليل المخاطر باستخدام التخزين الآمن مثل HSM على أجهزتك. ومع ذلك، فإن الممارسة الموصى بها هي تجنب استخدام شهادات طويلة الأمد.
  • التجديد مطلوب. ستحتاج إلى تجديد الشهادة خلال مدة بقاء الجهاز. يعتمد طول صلاحية الشهادة على السياق، وستحتاج إلى استراتيجية للتجديد. يجب أن تتضمن الاستراتيجية المكان الذي تحصل فيه على الشهادات، ونوع الوظائف عبر الهواء التي يجب أن تستخدمها أجهزتك في عملية التجديد.

متى يتم إنشاء الشهادات

ستؤثر قدرات الاتصال بالإنترنت في المصنع على عملية إنشاء الشهادات. لديك العديد من الخيارات حول وقت إنشاء الشهادات:

  • الشهادات المحملة مسبقا. يقدم بعض موردي HSM خدمة متميزة يقوم فيها مورد HSM بتثبيت الشهادات للعميل. أولا، يمنح العملاء مورد HSM حق الوصول إلى شهادة توقيع. ثم يقوم مورد HSM بتثبيت الشهادات الموقعة بواسطة شهادة التوقيع هذه على كل HSM يشتريه العميل. كل ما على العميل القيام به هو تثبيت HSM على الجهاز. في حين أن هذه الخدمة تضيف تكلفة، فإنها تساعد على تبسيط عملية التصنيع الخاصة بك. ويحل مسألة متى يتم تثبيت الشهادات.
  • الشهادات التي تم إنشاؤها بواسطة الجهاز. إذا كانت أجهزتك تنشئ شهادات داخليا، فيجب عليك استخراج شهادة X.509 العامة من الجهاز لتسجيلها في DPS.
  • الاتصال المصنع. إذا كان المصنع الخاص بك لديه اتصال، يمكنك إنشاء شهادات الجهاز كلما احتجت إليها.
  • مصنع دون اتصال مع PKI الخاص بك. إذا لم يكن لدى المصنع اتصال، وكنت تستخدم PKI الخاص بك مع دعم دون اتصال، يمكنك إنشاء الشهادات عندما تحتاج إليها.
  • مصنع دون اتصال مع PKI تابع لجهة خارجية. إذا لم يكن لدى المصنع اتصال، وكنت تستخدم PKI تابعا لجهة خارجية، فيجب عليك إنشاء الشهادات مسبقا. وسيكون من الضروري إنشاء الشهادات من موقع لديه اتصال.

متى يتم تثبيت الشهادات

بعد إنشاء شهادات لأجهزة IoT الخاصة بك، يمكنك تثبيتها في الأجهزة.

إذا كنت تستخدم شهادات محملة مسبقا مع HSM، يتم تبسيط العملية. بعد تثبيت HSM في الجهاز، يمكن للتعليمات البرمجية للجهاز الوصول إليه. ثم ستستدعي واجهات برمجة تطبيقات HSM للوصول إلى الشهادة المخزنة في HSM. هذا النهج هو الأكثر ملاءمة لعملية التصنيع الخاصة بك.

إذا لم تستخدم شهادة محملة مسبقا، فيجب تثبيت الشهادة كجزء من عملية الإنتاج. أبسط نهج هو تثبيت الشهادة في HSM في نفس الوقت الذي تومض فيه صورة البرنامج الثابت الأولية. يجب أن تضيف العملية خطوة لتثبيت الصورة على كل جهاز. بعد هذه الخطوة، يمكنك تشغيل فحوصات الجودة النهائية وأي خطوات أخرى، قبل حزم الجهاز وشحنه.

هناك أدوات برامج متوفرة تتيح لك تشغيل عملية التثبيت وفحص الجودة النهائية في خطوة واحدة. يمكنك تعديل هذه الأدوات لإنشاء شهادة، أو لسحب شهادة من مخزن شهادات تم إنشاؤه مسبقا. ثم يمكن للبرنامج تثبيت الشهادة حيث تحتاج إلى تثبيتها. تمكنك أدوات البرامج من هذا النوع من تشغيل تصنيع جودة الإنتاج على نطاق واسع.

بعد تثبيت الشهادات على أجهزتك، فإن الخطوة التالية هي معرفة كيفية تسجيل الأجهزة باستخدام DPS.

دمج TPM في عملية التصنيع

إذا كنت تستخدم TPM لمصادقة أجهزة IoT الخاصة بك، يقدم هذا القسم إرشادات. تغطي الإرشادات أجهزة TPM 2.0 المستخدمة على نطاق واسع والتي تحتوي على دعم مفتاح رمز مصادقة الرسائل المستند إلى التجزئة (HMAC). مواصفات TPM لرقائق TPM هي معيار ISO تحتفظ به مجموعة الحوسبة الموثوق بها. لمزيد من التفاصيل حول TPM، راجع مواصفات TPM 2.0 و ISO/IEC 11889.

أخذ ملكية TPM

خطوة هامة في تصنيع جهاز باستخدام شريحة TPM هي الحصول على ملكية TPM. هذه الخطوة مطلوبة حتى تتمكن من توفير مفتاح لمالك الجهاز. الخطوة الأولى هي استخراج مفتاح المصادقة (EK) من الجهاز. الخطوة التالية هي المطالبة بالملكية فعليا. تعتمد كيفية إنجاز ذلك على نظام TPM ونظام التشغيل الذي تستخدمه. إذا لزم الأمر، فاتصل بالشركة المصنعة ل TPM أو مطور نظام تشغيل الجهاز لتحديد كيفية المطالبة بالملكية.

في عملية التصنيع الخاصة بك، يمكنك استخراج EK والمطالبة بالملكية في أوقات مختلفة، ما يضيف مرونة. تستفيد العديد من الشركات المصنعة من هذه المرونة عن طريق إضافة وحدة أمان الأجهزة (HSM) لتحسين أمان أجهزتهم. يوفر هذا القسم إرشادات حول وقت استخراج EK، ومتى المطالبة بملكية TPM، واعتبارات دمج هذه الخطوات في مخطط زمني للتصنيع.

هام

تفترض الإرشادات التالية أنك تستخدم TPM منفصلا أو ثابتا أو متكاملا. في الأماكن التي يمكن تطبيقها فيها، تضيف الإرشادات ملاحظات حول استخدام TPM غير منفصل أو برنامج. إذا كنت تستخدم برنامج TPM، فقد تكون هناك خطوات إضافية لا يتضمنها هذا التوجيه. تحتوي برامج TPMs على مجموعة متنوعة من التطبيقات التي تتجاوز نطاق هذه المقالة. بشكل عام، من الممكن دمج برنامج TPM في المخطط الزمني للتصنيع العام التالي. ومع ذلك، في حين أن برنامج محاكي TPM مناسب للنماذج الأولية والاختبار، فإنه لا يمكنه توفير نفس مستوى الأمان مثل TPM منفصل أو ثابت أو متكامل. كممارسة عامة، تجنب استخدام برنامج TPM في الإنتاج.

المخطط الزمني للتصنيع العام

يوضح المخطط الزمني التالي كيفية مرور TPM خلال عملية إنتاج وينتهي به الأمر في جهاز. كل عملية تصنيع فريدة من نوعها، ويظهر هذا المخطط الزمني الأنماط الأكثر شيوعا. يقدم المخطط الزمني إرشادات حول وقت اتخاذ إجراءات معينة باستخدام المفاتيح.

الخطوة 1: يتم تصنيع TPM

  • إذا قمت بشراء TPMs من شركة مصنعة لاستخدامها في أجهزتك، فتحقق مما إذا كانت ستقوم باستخراج مفاتيح المصادقة العامة (EK_pubs) نيابة عنك. من المفيد إذا كانت الشركة المصنعة توفر قائمة EK_pubs مع الأجهزة المشحونة.

    إشعار

    يمكنك منح الشركة المصنعة TPM حق الوصول للكتابة إلى قائمة التسجيل باستخدام نهج الوصول المشتركة في خدمة التزويد الخاصة بك. يتيح لهم هذا الأسلوب إضافة TPMs إلى قائمة التسجيل نيابة عنك. ولكن هذا في وقت مبكر من عملية التصنيع، ويتطلب الثقة في الشركة المصنعة TPM. قم بذلك على مسؤوليتك الخاصة.

  • إذا قمت بتصنيع TPMs لبيعها إلى الشركات المصنعة للأجهزة، ففكر في منح عملائك قائمة EK_pubs جنبا إلى جنب مع وحدات TPM الفعلية الخاصة بهم. تزويد العملاء EK_pubs يحفظ خطوة في عمليتهم.

  • إذا قمت بتصنيع TPMs لاستخدامها مع أجهزتك الخاصة، فحدد النقطة في العملية الأكثر ملاءمة لاستخراج EK_pub. يمكنك استخراج EK_pub في أي من النقاط المتبقية في المخطط الزمني.

الخطوة 2: يتم تثبيت TPM في جهاز

في هذه المرحلة من عملية الإنتاج، يجب أن تعرف مثيل DPS الذي سيتم استخدام الجهاز معه. ونتيجة لذلك، يمكنك إضافة أجهزة إلى قائمة التسجيل للتزويد التلقائي. لمزيد من المعلومات حول تزويد الجهاز التلقائي، راجع وثائق DPS.

  • إذا لم تكن قد استخرجت EK_pub، فهذا هو الوقت المناسب للقيام بذلك.
  • اعتمادا على عملية تثبيت TPM، هذه الخطوة هي أيضا الوقت المناسب للحصول على ملكية TPM.

الخطوة 3: يحتوي الجهاز على برامج ثابتة وبرامج مثبتة

في هذه المرحلة من العملية، قم بتثبيت عميل DPS جنبا إلى جنب مع نطاق المعرف وعنوان URL العمومي للتزويد.

  • الآن هي الفرصة الأخيرة لاستخراج EK_pub. إذا كانت جهة خارجية ستقوم بتثبيت البرنامج على جهازك، فمن المستحسن استخراج EK_pub أولا.
  • هذه النقطة في عملية التصنيع مثالية للحصول على ملكية TPM.

    إشعار

    إذا كنت تستخدم برنامج TPM، يمكنك تثبيته الآن. استخراج EK_pub في نفس الوقت.

الخطوة 4: يتم حزم الجهاز وإرساله إلى المستودع

يمكن للجهاز في بعض الأحيان الجلوس في مستودع لمدة تصل إلى عام قبل توزيعه وتوفيره مع DPS. إذا كان الجهاز يجلس في مستودع لفترة طويلة قبل النشر، فقد يحتاج العملاء الذين ينشرون الجهاز إلى تحديث البرنامج الثابت أو البرنامج أو بيانات الاعتماد منتهية الصلاحية.

الخطوة 5: تم تثبيت الجهاز في الموقع

بعد وصول الجهاز إلى موقعه النهائي، يمر بالتزويد التلقائي مع DPS.

لمزيد من المعلومات، راجع التزويد وإثبات TPM.

الموارد

بالإضافة إلى ممارسات الأمان الموصى بها في هذه المقالة، يوفر Azure IoT موارد للمساعدة في تحديد الأجهزة الآمنة وإنشاء عمليات نشر إنترنت الأشياء الآمنة: