你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Percept 安全性

重要

Azure Percept DK 停用:

Azure Percept 公共预览版将不断发展,以支持新的边缘设备平台和开发人员体验。 作为这一演变的一部分,Azure Percept DK 和音频配件和相关支持 Percept DK 的服务将于 2023 年 3 月 30 日停用。

从 2023 年 3 月 30 日起,Azure Percept DK 和音频附件将不再受任何 Azure 服务的支持,包括Azure Percept Studio、OS 更新、容器更新、查看 Web 流和自定义视觉集成。 Microsoft 将不再提供客户成功支持和任何关联的支持服务。

Azure Percept 设备采用硬件根信任设计。 这一内置安全机制可帮助保护推理数据以及在隐私方面具有敏感性的传感器(如相机和麦克风),并可以启用 Azure Percept Studio 服务的设备身份验证和授权。

注意

Azure Percept DK 仅授权用于开发和测试环境。

设备

Azure Percept DK

Azure Percept DK 包含受信任的平台模块 (TPM) 版本 2.0,该模块可用于将设备连接到 Azure 设备预配服务 (DPS),同时提供额外的安全性。 TPM 是一种行业通用的 ISO 标准,由 Trusted Computing Group 提出。 请查看受信任的计算组网站,详细了解完整的 TPM 2.0 规范或 ISO/IEC 11889 规范。要深入了解 DPS 如何以安全的方式预配设备,请参阅 Azure IoT 中心设备预配服务 - TPM 证明

Azure Percept 模块上系统 (SoM)

Azure Percept Vision 模块上系统 (SoM) 和 Azure Percept Audio SoM 都包含微控制器单元 (MCU),它用于保护对嵌入式 AI 传感器的访问。 每次启动时,MCU 固件都会使用设备标识符组合引擎 (DICE) 体系结构,通过 Azure Percept Studio 服务对 AI 加速器进行身份验证和授权。 DICE 的工作原理是:将启动分解成多层,并为每一层和配置创建唯一设备机密 (UDS)。 如果在链中的任意一点启动了不同的代码或配置,机密都将不同。 你可在 DICE 工作组规范中了解 DICE 的详细信息。要了解如何配置 Azure Percept Studio 和所需服务的访问权限,请参阅为 Azure Percept DK 配置防火墙一文。

Azure Percept 设备使用硬件信任根来保护固件。 启动 ROM 可确保 ROM 和操作系统 (OS) 加载器之间的固件完整性,而这又可确保其他软件组件的完整性,从而创建信任链。

服务

IoT Edge

Azure Percept DK 使用传输层安全性 (TLS) 协议,通过额外的安全性和其他 Azure 服务连接到 Azure Percept Studio。 Azure Percept DK 是启用了 Azure IoT Edge 的设备。 IoT Edge 运行时是将设备转变为 IoT Edge 设备的程序集合。 在 IoT Edge 运行时组件的共同作用下,IoT Edge 设备可以接收要在边缘上运行的代码并传递结果。 Azure Percept DK 使用 Docker 容器将 IoT Edge 工作负载与主机操作系统和支持 Edge 的应用程序隔离。 有关 Azure IoT Edge 安全框架的详细信息,请阅读有关 IoT Edge 安全管理器的内容。

IoT 中心的设备更新文档

IoT 中心的设备更新支持进行更安全、可缩放且可靠的无线更新,可为 Azure Percept 设备带来可续订安全性。 它通过见解提供丰富的管理控件和更新符合性。 Azure Percept DK 包括预先集成的设备更新解决方案,该解决方案提供从固件到 OS 层的弹性更新 (A/B)。

后续步骤