你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

证明、身份验证和预配

IoT 中心
IoT 设备预配服务

将 IoT 设备连接到 IoT 平台涉及到“证明”、“身份验证”和“预配”这三个过程。

  • 证明机制表示设备在连接到 IoT 平台服务(如 Azure IoT 中心)时,为确认其身份而选择的方法。 IoT 中心支持对称密钥、X.509 指纹和 X.509 CA 证明方法。

  • 身份验证是设备自行确认身份的方式。 IoT 中心根据设备使用其独特的设备标识及其证明机制进行自我证明的能力,授予对设备的访问权限。

  • 预配是指将设备注册到 Azure IoT 中心的行为。 通过预配,IoT 中心将可以识别设备和设备使用的证明机制。

Azure IoT 中心设备预配服务 (DPS)

可以通过 Azure IoT 中心设备预配服务 (DPS) 或直接通过 IoT 中心注册表管理器 API 进行设备预配。 使用 DPS 可带来后期绑定的好处,这样,无需更改设备软件即可将现场设备删除并重新预配到 IoT 中心。

下面的示例演示如何使用 DPS 实现测试到生产环境的转换工作流。

A diagram showing how to implement a test-to-production environment transition workflow by using DPS.

  1. 解决方案开发人员将测试和生产 IoT 云链接到预配服务。
  2. 如果不再预配 IoT 中心,设备会实现 DPS 协议以查找 IoT 中心。 最初,设备被预配到测试环境。
  3. 由于设备在测试环境中注册,因此它将在测试环境连接并进行测试。
  4. 开发人员将设备重新预配到生产环境,并将其从测试中心删除。 测试中心会在下次重新连接时拒绝设备。
  5. 设备将连接并重新协商预配流。 现在,DPS 会将设备定向到生产环境,设备将在那里进行连接和身份验证。

IoT 中心支持的协议

使用端到端 IoT 解决方案时,请考虑 Azure IoT 中心支持的身份验证协议的组合。 下图中用红线表示的组合可能不兼容或有额外的注意事项。

A diagram showing authentication flows for various topologies connecting to Azure IoT Hub.

  • SAS 令牌总是作为对称密钥在 IoT 中心注册。
  • 通过 DPS 吊销证书不会阻止当前预配的设备继续使用 IoT 中心进行身份验证。 在 DPS 中吊销证书后,还要从 IoT 中心删除设备,可以通过门户仪表板手动删除,也可以使用注册表管理器 API 以编程方式删除。
  • 尽管 IoT 中心支持 X.509 CA 身份验证,但通过 DPS 预配使用 X.509 CA 预配设备会将其作为 X.509 指纹预配到 IoT 中心。
  • IoT 中心的 X.509 CA 证书不支持 AMQP 和 MQTT 的 Web 套接字变体。

作者

本文由 Microsoft 维护, 最初由以下贡献者撰写。

主要作者:

后续步骤