注意
Azure Sphere 将基于 PAPI 的接口称为 Azure Sphere(旧版),将集成的 Azure 资源管理器 接口称为 Azure Sphere(集成)。
应用程序功能
应用程序访问资源所需的权限。 例如,应用程序需要能够使用外围设备(如 GIO(常规用途 I/O)和 UART(通用异步接收器-发送器),连接到 Internet 主机,并更改 Wi-Fi 配置。
应用程序容器
多层 Azure Sphere OS 体系结构的顶级(第四个)级别,它为敏捷、安全且可靠的高级应用程序提供动态隔离舱。
应用程序库 (applib)
Microsoft 编写的支持高级应用程序开发的自定义库。
应用程序清单
一个文件,其中指定了应用程序所需的功能,并包含应用程序元数据。 每个应用程序都必须有一个名为app_manifest.json的应用程序清单。
证明
客户端向远程服务器证实其配置的过程。 在 Azure Sphere 上下文中,Azure Sphere 设备向 Azure Sphere 安全服务(AS3)证明,以便该服务可以确定设备的信任和完整性级别。
Azure Sphere 芯片
与 Azure Sphere 兼容的 MCU(微控制器单元)。
Azure Sphere 设备
与 Azure Sphere 芯片整合的设备,或 Azure Sphere 芯片本身。
Azure Sphere 操作系统 (OS)
Microsoft 定制的基于 Linux 的微控制器操作系统,设计为在 Azure Sphere 芯片上运行,并连接到 Azure Sphere 安全服务。
Azure Sphere 项目
通常组织成单个目录及其子目录的文件集合,用于创建 Azure Sphere 应用程序。 所有 Azure Sphere 项目都包含一个应用程序清单文件和至少一个源代码文件,通常为 main.c。 使用 Visual Studio 或 Visual Studio Code 创建的 Azure Sphere 项目将有一个附加的子目录来支持 IDE。
Azure Sphere 参考开发板 (RDB)
一个紧凑型开发板,其中整合了 Azure Sphere 芯片,并符合参考开发板的设计规范。
Azure Sphere SDK
可让应用程序开发人员为 Azure Sphere 设备生成应用程序的工具、库和标头文件的组合。 Azure Sphere SDK(软件开发工具包)包括生成和管理应用程序和部署所需的所有工具。 Microsoft 提供了适用于 Windows 的 SDK 和适用于 Linux 的 SDK。
Azure Sphere 安全服务 (AS3)
Microsoft 的基于云的服务,可与 Azure Sphere 芯片通信,以实现维护、更新和控制。 有时缩写为 AS3。
Azure Sphere 目录
一个基于云的特殊实体,代表 Azure Sphere 安全服务的组织。 Azure Sphere 目录为组织提供一种安全的方式,可以独立于任何其他组织的设备来管理其 Azure Sphere 设备。 每个设备都属于一个 Azure Sphere 目录。
Azure Sphere (旧版) 租户
Azure Sphere 目录的旧表示形式。 旧版 UUID 仍在 AppManifest 中使用,而不是目录 UUID。
请注意,在其他场合,术语“租户”有时用于表示 Azure Active Directory 实例。 但是,在 Azure Sphere 上下文中,“租户”专门用于表示 Azure Sphere 租户。
认领
Azure Sphere OEM(原始设备制造商)拥有设备的所有权的过程。 每个 Azure Sphere 设备必须由 Azure Sphere 目录“声明”,以便目录知道其所有设备,并且可以将其作为组进行管理。 设备无法声明到多个目录中,并且无法从一个目录移动到另一个目录。
云加载
Azure Sphere 安全服务与 Azure Sphere 设备通信以执行更新的过程。 另请参阅旁加载。
组件
源提供的可更新软件单元。 每个组件具有唯一的组件 ID。 应用程序的组件 ID 显示在 应用程序的 app_manifest.json 文件的 ComponentId 字段中。 另请参阅映像。
联网设备
制造商的产品,包括一个嵌入式 Azure Sphere 芯片,该芯片运行 Azure Sphere OS 并连接到 Azure Sphere 安全服务(AS3)。
跨接 MCU
结合了实时处理器和应用处理器的微控制器单元 (MCU)。 MT3620 就是一个跨接 MCU。
深层防御
一种分层式的安全保护方法,其中针对每种威胁应用多种缓解措施。 这是高度安全设备的七个属性之一。
部署
使组件可以无线更新。 部署通过云将软件交付给一个或多个 Azure Sphere 设备。 另请参阅旁加载。
设备身份验证和证明服务
与 Azure Sphere 设备的 Azure Sphere 安全服务之间的主要联系点,用于验证这些设备的身份,确保系统软件的完整性和信任,并证实这些设备是否运行受信任的代码基。
设备功能
执行特定于设备的活动所需的权限。 例如,使用 AppDevelopment 功能可在 Azure Sphere 设备上进行调试,并执行其他开发相关任务。 设备功能由 Azure Sphere 安全服务授予,并存储在 Azure Sphere 芯片的闪存中。 默认情况下,Azure Sphere 芯片不具有设备功能。
设备组
具有相同产品类型的设备的命名集合。
设备 ID
芯片制造商生成的唯一不可变值,用于标识单个 Azure Sphere MCU。
Device Provisioning
将初始设备数据添加到解决方案存储区的过程。 要使新设备能够连接到中心,必须将设备 ID 和密钥添加到 IoT 中心标识注册表。 设备预配服务可以自动在 IoT 中心或 IoT Central 应用程序中预配设备。
设备孪生
存储设备状态信息的 JSON 文档,包括元数据、配置和条件。 Azure IoT 中心为连接到 Azure IoT 中心的每台设备保留一个设备孪生。 有关更多详细信息,请参阅 “了解和使用设备孪生 ”。
动态隔离舱
在硬件和软件堆栈中使用保护边界来防止一个组件中的缺陷或安全漏洞传播到系统的其他部件。 Azure Sphere 结合了软件组件之间的硬件强制屏障,以提供动态隔离舱。 这是高度安全设备的七个属性之一。
错误报告
自动收集和及时分发有关错误的信息,以便可以快速诊断和更正问题。 这是高度安全设备的七个属性之一。
基于硬件的信任根
在硬件中生成并受硬件保护的安全基础。 在 Azure Sphere 芯片中,以不可忘记的加密密钥形式实现这种信任。 物理应对措施可以抵御旁道攻击。 这是高度安全设备的七个属性之一。
高级应用程序
在 Azure Sphere 硬件的高级核心上运行的应用程序。 高级应用程序在 Azure Sphere 操作系统上运行,可以使用应用程序库和其他操作系统功能。
映像
表示应用程序或板配置的单个版本的二进制文件。 特定的组件由其组件 ID 标识。
图像类型
一个映像属性,用于标识映像所代表的组件类型;与组件类型同义。 根据映像类型,位可以采用不同的格式。 对于应用程序(一种映像类型),映像中包括一个序列化文件系统,其中包含映像代码的可执行文件。
映像包
映像及其元数据(由生成过程生成)的组合。 可将映像包旁加载到 Azure Sphere 设备进行测试和调试或进行云加载以用于生产用途。
IoT Central
IoT Central 是一个 IoT 应用程序平台(aPaaS),可简化 IoT 解决方案的创建。 Azure IoT Central 提供了一个现成的 UX 和 API 界面,用于连接、管理和操作大规模的设备群。
IoT Edge
一种服务和相关的客户端库和运行时,能够将 Azure 服务和 解决方案特定代码的云驱动部署到本地设备。 IoT Edge 设备可以聚合其他设备的数据,以在将数据发送到云之前执行计算和分析。
IoT 中心
一种完全托管的 Azure 服务,用于支持数百万台设备和解决方案后端之间安全可靠的双向通信。 有关详细信息,请参阅什么是 Azure IoT 中心?。 使用 Azure 订阅可以创建 IoT 中心来处理 IoT 消息传送工作负荷。
单芯片云服务
多层 Azure Sphere OS 体系结构的第三级别,提供更新、身份验证和连接。
无密码身份验证
基于证书而不是密码的身份验证。 证书是标识和授权的声明,需使用机密私钥对其进行签名并使用已知公钥对其进行验证,因此它比密码更安全。 当 Azure Sphere 与其他本地设备和云中的服务器通信时,将使用证书来证实用于相互身份验证的标识。 这是高度安全设备的七个属性之一。
Pluton 安全子系统
创建硬件信任根、存储私钥并运行复杂加密操作的 Azure Sphere 子系统。 其中包含安全处理器 (SP) CPU、加密引擎、硬件随机数生成器 (RNG)、密钥存储和加密操作引擎 (COE)。
产品
GUID(全局唯一标识符),用于标识已合并到连接的设备中的 Azure Sphere MCU 以执行特定功能。 产品制造商将为每种型号的联网设备(例如洗碗机或咖啡机)创建产品。
产品制造商
生产可与 Azure Sphere MCU 整合的、包含定制应用程序的联网设备的公司或个人。
支持实时的应用程序 (RTApp)
在 Azure Sphere 硬件的某个实时核心上运行的应用程序。 RTApps 可以在裸机硬件上运行,也可以在实时操作系统 (RTOS) 上运行。
恢复
不使用云更新过程,而是使用特殊恢复引导加载程序替换设备上的 Azure Sphere OS 的低级别过程。 另请参阅更新。
可续订安全性
即使设备遭到损坏,也能自动更新到更安全状态的能力。 续订可让设备进入一种安全状态,并撤销存在已知漏洞或安全漏洞的受损资产。 这是高度安全设备的七个属性之一。
安全监视器
Azure Sphere OS 体系结构的最低级别,负责保护安全敏感型硬件(例如内存、闪存和其他共享 MCU 资源),以及安全公开对这些资源的有限访问权限。
旁加载
通过某种方式加载软件的过程不涉及 Azure Sphere 安全服务(AS3),而是直接在设备中执行,通常是由软件开发人员、现场工程师或类似人员控制。 用于调试的开发环境,例如 Visual Studio 旁加载应用程序。 开发人员还可以通过附加设备使用 Azure CLI(命令行接口)来启动旁加载。
Sysroot
一组库、标头文件和工具,用于编译和链接面向特定 API 集的高级应用程序。 有些 sysroot 仅支持生产 API,还有一些 sysroot 同时支持生产 API 和 Beta API。 Azure Sphere SDK 包含多个面向不同 API 集的 sysroot。
可信计算基 (TCB)
用于创建安全操作环境的软件和硬件。 应该尽量将 TCB 保持在较小规模,以最大程度地减小受攻击面,并减少攻击者利用 bug 或功能绕过安全保护的可能性。 小型 TCB 是高度安全设备的七个属性之一。
更新
根据部署更改 Azure Sphere OS 或应用程序的过程。 可以旁加载更新(例如在开发和调试期间),或者由 Azure Sphere 安全服务云加载更新(在正常的最终用户场合中)。 云更新支持是 Azure Sphere 的必不可少的功能。 另请参阅恢复。