Подключение устройства к облаку
Хранение защищенной информации, такой как пароль или сертификат на устройстве, может сделать устройство уязвимым для раскрытия. Утечка пароля — это верный способ компрометации устройства или всей системы. В семействе Windows технология, которая поддерживает безопасность операционной системы, реализована через доверенный платформенный модуль (TPM).
Устройство доверенного платформенного модуля (TPM) — это микроконтроллер, который может хранить данные и выполнять вычисления. Это может быть дискретная микросхема, впаянная в материнскую плату компьютера, или модуль, встроенный в систему на микросхеме (SoC) производителем.
Что под капотом TPM
Ключевой особенностью TPM является память, доступная только для записи. На основе данных TPM также может вычислять криптографический хэш (например, HMAC). Раскрыть секрет на основе хэша невозможно, но если секрет известен обеим сторонам, обменивающимися данными, можно определить, был ли получен хэш от другой стороны на основе этого секрета.
Основная идея использования криптографических ключей заключается в том, что секрет (также называемый общим ключом доступа) устанавливается и совместно используется устройством Интернета вещей и облаком в процессе подготовки устройства. С этого момента для проверки подлинности устройства Интернета вещей будет использоваться HMAC на основе этого секрета.
Подготовка устройств
Средство подготовки для устройств Windows 10 IoT Базовая называется панелью мониторинга. Его можно легко скачать и настроить.
Панель мониторинга создает образ ОС и безопасно подключает ваше устройство к Azure. Для этого необходимо связать физическое устройство с идентификатором устройства в Центре Интернета вещей Azure и предоставить TPM устройства ключ общего доступа устройства.
Для устройств, у которых нет микросхемы TPM, средство может установить программно-имитируемый TPM. Это не обеспечивает безопасность, но позволяет разрабатывать приложение с помощью определенного устройства (например, Raspberry Pi 2 или 3) и включать безопасность на устройстве с аппаратным TPM без необходимости изменять приложение.
Чтобы подключить устройство к Azure, перейдите на вкладку "Подключение к Azure":
Вам будет предложено войти в учетную запись Azure. Выберите нужный экземпляр Центра Интернета вещей Azure и свяжите с ним физическое устройство. Если в вашей подписке Azure нет экземпляров Центра Интернета вещей, это средство позволит создать бесплатный экземпляр.
Когда вы выберете Центр Интернета вещей и идентификатор устройства для связывания с вашим устройством, вы можете предоставить своему TPM общий ключ доступа этого устройства:
Теперь ваше устройство готово к подключению к Azure безопасным способом.
Вы также можете использовать портал устройств Windows для динамического получения строки подключения Центра Интернета вещей при первом подключении к Интернету после подготовки. Это можно сделать на вкладке "Клиенты Azure" на портале устройств.
