大规模促进物联网供应

无论您是想设计新设备还是为IoT改造现有设备,您都需要考虑IoT配置,从而将IoT设备在线连接到云服务。  物联网供应设计需要做出影响用户体验和安全性的决定,以进行网络调试和凭据供应机制,这些机制配置数字身份,云端点和网络凭据,以便设备可以安全地连接到云。

为了大规模执行IoT配置,客户通常会构建和维护定制工具和软件应用程序,这些工具和软件应用程序可以通过其设备支持的跨多个问题域的协议来推送所需的凭据。 物联网供应域包括:

  • 网络调试,为客户提供定义上下文特定参数的机制;
  • 凭证供应,将凭证和配置分配给物理设备;和
  • 云资源调配,它设置云侧配置数据,以启用身份验证,授权和设备管理。

所有这三个供应域都必须协调工作,以提供出色的客户用户体验。

例如,当移动电话用户首次连接时,移动运营商会提供配置数据和策略设置。这是一个简单且易于理解的过程,对于SIM卡代表设备身份的移动设备用户而言,该过程不会花费很多时间。对于试图提供数百万个IoT设备的客户,尤其是原始设备制造商(OEM),情况变得截然不同且充满挑战。

在整个本文中,您将能够学习如何避免或减轻与自己的IoT部署相关的风险,并通过简短的示例了解通过Amazon Web Services(AWS)等云平台提供的IoT服务如何帮助您实现您的物联网供应目标。

出现需求时进行网络调试的方法

最终,您的IoT设备连接到作为IoT解决方案中心的中央服务并与之通信。 要到达该枢纽,您的IoT设备必须加入网络媒体。 介质可以是诸如以太网之类的硬线,也可以是诸如Wi-Fi之类的无线电传输。 根据介质的不同,您需要一个人告诉设备它必须加入哪种介质才能成功到达集线器。 例如,在蜂窝网络中,您不需要告诉设备要加入的网络,因为这是由SIM卡定义的。另一方面,要加入Wi-Fi网络,您需要知道Wi-Fi接入点的名称和密码,并能够告知设备这些详细信息。 我们将重点介绍需要配置才能加入网络的设备。

客户已经使用了几种不同的机制来加入IoT网络。 今天,大多数人都拥有智能手机,而大多数智能手机都具有蓝牙功能,因此通过蓝牙进行的配置已变得非常普遍。  但是,这并不是建立联系的唯一方式。物联网设备上的某些Wi-Fi模块足够聪明,可以独立用作接入点,您可以在其中开发一个简单的网页,允许用户输入较大的网络配置。 对于非消费类设备,通过串行或microSD进行配置仍然很常见。 借助智能手机应用程序的蓝牙配置已成为常态。这些智能手机应用程序还可以为设备云配置提供帮助,您将在本文的后面部分中找到该工具。

大规模进行设备凭证置备的方法

设备凭证供应流程在整个行业中仍然是高度分散的,并且没有很快实现融合的视线。 大多数物联网集中式系统强烈建议或要求 传输层安全性(TLS)1.2 用于加密传输的连接,这种连接最近(也许更雄辩)被称为传输中的加密。 如今,大多数物联网部署使用 公钥基础结构(PKI) 因此,本文的其余部分假定使用PKI。 无论如何,每个设备都必须拥有自己的唯一标识私钥和证书。

要创建与云(或服务端点)的会话,TLS 1.2需要一个私钥和一个x.509证书(或证书)。 注意:诸如Java Web令牌或JWT之类的某些技术也面临类似的挑战,但这里不再讨论。 就像您的DNA一样,私钥只能被单个设备知道,这意味着它不能与其他设备共享。 x.509证书类似于驾照,是由可验证的证书颁发机构(CA)通过提供证书签名请求(CSR)颁发的。 提交企业社会责任与向您国家的护照发行实体提供您的出生证明,指纹和其他通过的测试证明作为接收护照的证明并没有什么不同。在整个本文中,我们假设设备具有唯一的私钥,因此将x.509证书称为凭证。

TLS 1.2的详细信息不在本文讨论范围之内,但是我们将为您提供足够的信息以使您有所了解,以便您了解为什么必须保护设备的私钥。 在TLS 1.2连接过程中,进行了一系列交换以证明设备是作为其身份的私钥的所有者。 您的设备必须证明它是试图用于身份验证的x.509证书的真实所有者。 为了使IoT服务在设备连接时信任设备凭证,您需要手头上有该私钥。 现在您可以意识到,如果一个坏的角色掌握了该密钥,那么安全模型就会崩溃。不惜一切代价,保护您的物联网城堡的钥匙!

像大多数正在部署IoT的人一样,您必须决定如何大规模配置这些凭据。 要简要查看,每个设备必须具有:

  • 代表设备的唯一的,不变的私钥。理想情况下,为防止受到并行攻击和其他高级攻击,应该对私钥进行物理保护,并且不能将其加载到主程序存储器中。
  • 与您的应用程序或IoT服务相关的凭据。

物流在私钥和凭据置备的选择之间有所不同,其中一些与云置备无关,而另一些则依赖于云置备。

  • 集成电路安全模块(通常具有加密功能),可以独立运行,也可以参与系统级封装(SiP),模块式系统(SoM)或片上系统(SoC)设计,并具有以下功能之一:以下行为:
    • 具有手动设置或自动生成的私钥或信任根的安全模块。
    • 除了上一项之外,安全模块还以预先设置的x.509证书的形式提供凭据。
  • 用户身份模块(SIM),嵌入式SIM(eSIM)和集成SIM(iSIM)技术提供了硬件,设计人员可以将其用作与蜂窝网络进行通信的蜂窝身份。凭据供应通常取决于移动网络运营商(MNO)提供商,移动虚拟网络提供商(MVNO)或第三方。 如果您使用蜂窝模块进行通信,这是您的选择。
  • 在制造过程中结合硬件安全模块(HSM),向设备闪存段提供了定制的自动化设备凭证配置,该设备闪存段可能具有特殊的安全闪存。
  • 手动将私钥和凭证供应给特殊的安全安全闪存(或非安全闪存,通常在原型制作过程中,但不建议用于车队供应)。

由于加密要求,执行TLS 1.2是一项计算密集型活动,这反过来又会影响计算组件的选择,尤其是在设计中使用微控制器的情况下。 专用IC通常包括加密例程,该例程可减轻主机处理器对TLS 1.2操作应用周期的负担,同时确保不会将私钥加载到主存储器中。

您对硬件采取的方法取决于您的硬件设计。 为硬件设计选择一个优雅的解决方案无疑会简化大规模配置, 但是在硬件设计生命周期的早期就需要选择组件,因为它会影响计算,加密模块,数学协处理和闪存的其他组件设计选择。当然,对于大规模设备,您将不需要手动配置,趋势表明,从制造,运营和客户体验的角度来看,预配置的设备产生的摩擦最小。

物联网设备配置需要云和设备编排

成功的IoT设备配置需要云和设备配置流程,这会影响硬件和软件设计以及您在整个设备生命周期中如何管理设备。

从IoT服务的角度来看,您将需要一个与凭据供应选择相匹配的流程来创建相关的配置对象。 当设备连接到IoT服务时,IoT服务必须能够识别设备(身份验证),启用特定的设备操作(授权)以及在特定的上下文中操作和管理设备(设备管理)。 

为了进行身份验证,IoT服务必须具有凭据的指纹,因此,当设备连接并将凭据发送到IoT服务时,IoT服务可以将物理连接与配置对象相关联。 对于AWS IoT,您需要注册证书,以使IoT服务能够识别传入的连接。 TLS握手(要求设备有权访问私钥(IoT服务没有此权限))可以确保已使用私钥从设备发送了凭据。这就是为什么保护设备上的私钥非常重要的原因。

为了进行授权,IoT服务必须将规则应用到授予最小IoT服务访问权限的连接。 最小的IoT服务访问权限意味着设置限制了设备仅使用其履行其运营义务所需的资源。例如,AWS客户创建与凭证的配置对象相关的IoT策略。

对于设备管理,您将需要将元数据应用于配置对象,以明确指定设备或设备组的组或集合。 借助物联网,我们将需要管理成千上万,数以百万计的设备。 单独管理每个设备将是不切实际的。 提前计划将元数据应用于设备配置,因为改装或重构可能会很痛苦。 对于AWS IoT,您可以创建Thing Type和Thing Group配置对象来推动IoT设备管理实践。

大规模部署设备云的方法

不能说 每一个 IoT部署在设备供应方面有所不同,但是硬件供应商,IoT应用程序和操作环境之间存在足够的差异,以驱动一套强大的机制,这些机制将影响您对正确机制的决定。 一般来说,有三种方法:批量注册,按需注册和延迟注册。 以下所有方法都希望每个IoT设备具有或将具有其自己的唯一私钥和证书对。

批量注册

使用批量注册,在将设备部署到现场之前,您希望在IoT服务中注册的一组凭据是已知的。 一旦获得凭据列表,您就可以将凭据引导到批量注册过程。 批量注册过程将注册凭证,然后还将凭证与IoT服务中的相关管理对象进行协调,您可以在其中使用IoT车队来管理这些凭证。 批量注册可能需要自定义,但是IoT服务提供商通常向客户提供批量注册过程。 例如,AWS提供 AWS IoT批量注册 流程作为AWS IoT Core服务的一部分,并使用 AWS开发工具包 .  一个名为的开源项目 ThingPress 处理特定的导入用例。

按需注册

通过按需设备注册,在将设备部署到现场之前,您不会知道具有配对凭据的一组物理设备。将设备部署到现场后,将打开设备电源。通过按需,连接子例程确定是否已在IoT服务中注册了对证书颁发者的引用。 只要IoT服务具有可靠的机制来验证您实际上是发行人的所有者,这意味着您已掌握发行人的身份(在PKI中,发行人的私钥),那么您可以放心,发行人提供了凭证。 然后,该子例程自动注册凭据并创建相关的管理对象。 例如,AWS有两个名为的按需设备注册机制 及时配置(JITP) 使用配置模板和 及时注册(JITR) 提供了可以完全自定义的机制。

延迟注册

对于延迟注册,在部署到现场之前,既不知道物理设备集,也不知道配对的凭据。 在这种情况下,设备具有一个已知的,不变的身份(通常是受保护的私钥),物联网服务可以确认该身份,而无需将私有身份转移到设备之外。  

如今,存在三种懒惰注册机制:通过声明,通过授权的移动设备以及通过授权的身份列表。 在第一种情况下,设备将声明发送给凭证颁发者,颁发者以令牌进行响应,然后设备使用令牌进行直接的Web服务API调用以颁发证书。 在第二种情况下,设备与移动电话协同工作,其中移动电话使用移动凭据(例如用户名和密码),发行者以令牌回应,移动电话将令牌发送给设备,然后设备使用进行直接API调用的令牌。 在第三种情况下,授权列表可以是公共密钥列表,并且设备使用CSR对IoT服务进行直接API调用。然后,将从CSR派生的公钥与授权列表进行比较,然后在存在匹配项时将证书提供给设备。 For example, AWS 车队配置 提供索赔和基于智能手机的供应机制,该开源项目 物联网配置无秘密 提供使用声明的延迟注册机制,以及AWS合作伙伴 1nce 通过AWS Marketplace提供精简的蜂窝配置体验。

选择适合您的设备配置

选择最适合您的设备配置意味着找到与硬件设计,软件设计,制造和设备生命周期操作相符的设备凭证和设备云配置实践。 硬件设计定义了如何定义和存储单个设备标识和凭证文件。 软件设计会影响设备授权。 制造会影响创建和存储或识别机密的条件,并会影响授权指纹如何反映到物联网服务中。

您如何决定对物理硬件进行凭据置备,这反映了通常在进行产品设计时就预先决定的硬件设计,这为特定类型的云置备过程提供了根本的枢纽。此外,如果您不自己进行制造,那么您将使用合同制造商来构建您的产品。 合同制造有很多好处,但是制造过程的许多方面将不受您的控制,其中包括在生产线上创建设备密钥,例如私钥和证书。生产过剩,克隆和其他攻击媒介等风险可能直接关系到受雇的合同制造商,这意味着您需要获得大量信任,才能在晚上轻松入睡。

如果您不是为物联网舰队管理私有CA,则预配置的凭证可能是最适合您的。 预先设置的凭据可能需要花费一些额外的费用,但是我们已经看到,它们可以大大降低运营成本。如果您需要管理自己的专用CA,则某些硬件公司会提供预先配置的凭据,在该凭据下进行配置 出带 ,这意味着合同制造商将不了解设备上的秘密。  否则,您可能想倾向于懒式供应,即设备在设备上具有不可变的私钥或可重现的自生成私钥,并可以与IoT服务一起参与,以在经过一定级别的证明后部署凭据。 如果不幸的是,设备上没有不可变的私钥,那么您仍然可以直接设置私钥和凭据以闪存,但这是非常不推荐的。

与硬件设计相比,软件设计更加灵活,可以在整个设备开发乃至生命周期内进行更改(请考虑无线固件更新)。 每当您向客户运送新一批设备时,您都将需要依靠设备云的配置过程。 像软件设计一样,根据您不断发展的软件要求,配置设计可能需要灵活性。 所需的配置和自定义范围可驱动您在部署新的或其他设备机群时将使用的设备云配置过程。

设备生命周期操作要求将推动设备云置备所需的灵活性级别。 更具体地说,虽然大多数用于AWS IoT设备云配置的流程都可以自动创建管理对象,例如Thing Types和Thing Groups,但是如果您的流程在注册期间也需要任何自定义的互操作性,则您可能需要考虑Just-In-Time-预配置可进行更深入的自定义。

最后,在查看设备的生命周期时,请考虑设备在整个使用过程中有机会改变人类所有者的机会。 尽管设备的私钥身份可能不会更改,但仍有机会弃用先前所有者的证书,以将设备移至“出厂状态”。 当新的所有人将设备委托到新的​​网络并使用移动应用程序进行配置时,此时可能需要配置新的证书。 然后,生命周期机制将需要满足这些要求。

结论

在本文中,我们讨论了您今天可能会看到的IoT部署情况。 同样,您已经看到有很多选择,具体取决于您要实现的目标以及希望客户享受的结果。 像其他所有内容一样,安全性是置备的基础,置备从每台设备都有其唯一且可识别的私钥和证书对开始。 您选择的凭据置备方法为设备云置备选择创建了枢轴点。 如果您要进行新设计,则需要仔细研究强化的硬件安全解决方案,例如安全元件和安全防护区,从而简化了设备云的配置。 如果您要发展或改造现有设计,则选择似乎似乎受限得多,但仍有许多选择可让您以IoT容量连接设备。 最后,在所有示例和轶事中,您可以见证到AWS IoT已提供了与我们的硅合作伙伴解决方案完美匹配的设备云配置解决方案。 现在是时候构建安全地调试和配置的IoT设备了!


理查德·埃尔伯格(Richard Elberger) 是IoT的首席技术官 亚马逊网络服务。作为演讲者,定期撰稿人和孜孜不倦的嵌入式技术迷,他为全球IoT和云从业人员创建内容并建立社区。 Richard维护并为多个与IoT相关的开源项目(FreeRTOS,meta-aws,ThingPress)做出了贡献,这些项目可帮助客户在AWS上构建和交付出色的IoT解决方案。

相关内容:

要获得更多嵌入式产品, 订阅嵌入式’的每周电子邮件通讯.

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.