以规模促进物联网供应

无论您是寻找设计新天吉彩票论坛还是改装IOT的现有天吉彩票论坛,您都需要考虑IOT配置,从而为云服务带来IOT天吉彩票论坛。  IOT配置设计需要决定,用于配置数字身份,云端点和网络凭据的网络调试和凭据供应机制的影响用户体验和安全性,以便天吉彩票论坛可以安全地连接到云。

要按比例执行IOT配置,客户通常会构建和维护自定义构建的工具和软件应用程序,可以推送其在其天吉彩票论坛支持的协议上推送所需的凭据,这些工具跨越多个问题域的天吉彩票论坛支持。 IOT供应域包括:

  • 网络调试为客户提供了定义上下文特定参数的机制;
  • 凭据配置,将凭据和配置分配给物理天吉彩票论坛;和
  • 云配置,设置云端配置数据,该数据可以进行身份​​验证,授权和天吉彩票论坛管理。

这些配置域中的三个都必须与壮观的客户用户体验和谐相处。

例如,移动运营商在移动电话用户第一次连接时配置数据和策略设置。这是一个简单且良好的理解过程,该过程不花费大量时间用于SIM卡代表天吉彩票论坛标识的移动天吉彩票论坛用户。对客户,特别是原始天吉彩票论坛制造商(OEM)的情况变得非常不同,具有挑战性,他试图提供数百万个IOT天吉彩票论坛。

在本文中,您将能够学习如何避免或减轻与您自己的物联网部署相关的风险以及通过简要示例来了解如何通过亚马逊Web服务(AWS)等云平台提供的IoT服务如何帮助您实现您的IoT供应目标。

当需要时网络调试方法

最终,您的IOT天吉彩票论坛连接到并与IOT解决方案集线器的中央服务进行交流。 要达到该集线器,您的IoT天吉彩票论坛必须加入网络化媒介。 介质可以是硬线,如以太网或无线电传输,如Wi-Fi。 根据媒介,您需要一个人来告诉天吉彩票论坛必须加入哪些介质即可成功到达枢纽。 例如,通过蜂窝,您不需要告诉天吉彩票论坛网络加入,因为这已由SIM卡定义。另一方面,为了加入Wi-Fi网络,您需要知道Wi-Fi接入点名称和密码,并能够告诉天吉彩票论坛这些详细信息。 我们将专注于需要配置加入网络的天吉彩票论坛。

有几种不同的机制客户使用加入IoT网络。 今天大多数人都有一个智能手机,大多数智能手机都有蓝牙,所以通过蓝牙配置已经变得普遍存在。  但是,这不是连接的唯一手段。某些关于物联网天吉彩票论坛的Wi-Fi模块足够智能,可以在自己的权利中成为访问点,在那里您可以在其中开发一个简单的网页,允许用户输入较大的网络配置。 对于非消费者天吉彩票论坛,配置串行或microSD仍然是常见的。 蓝牙配置借助智能手机应用程序已成为常态。这些智能手机应用程序还可以为天吉彩票论坛云提供辅助天吉彩票论坛,您将在本文中稍后发现。

规模凭据凭据供应方法

天吉彩票论坛凭证供应过程继续在整个行业中是一个高度碎片化的,没有即时收敛的视线。 大多数IOT集中系统强烈建议,或需要一个 传输层安全(TLS)1.2 加密传输的连接,最近,也许是雄辩,也可能被称为传输中的加密。 今天,大多数IOT部署使用 公钥基础设施(PKI) 所以这篇文章的其余部分假设使用PKI。 在任何情况下,每个天吉彩票论坛都必须拥有自己独特的识别私钥和证书。

要使用云(或服务端点)创建会话,TLS 1.2需要私钥和X.509证书(或凭据)。 注意:诸如Java Web令牌或JWT之类的某些技术具有类似的挑战,但这里不会讨论。 私钥就像您的DNA,只能知道一个单独的天吉彩票论坛,这意味着它不得与其他天吉彩票论坛共享。像驾驶执照一样,通过提供证书签名请求(CSR)来发出X.509证书。 提供企业社会责任不会过于异常,从递给您的国家的护照证明您的出生证明,用指纹和其他通过的测试证明是收到护照的证据。在本文中,我们将X.509证书称为凭证,假设天吉彩票论坛具有唯一的私钥。

TLS 1.2的详细信息超出了本文的范围,但我们将为您提供足够的信息,以便有点了解,因此您可以理解为什么天吉彩票论坛保护私钥。 在TLS 1.2连接过程中,发生了一系列交换,以证明该天吉彩票论坛是私钥的所有者,即其身份。 您的天吉彩票论坛必须证明它是它试图用于身份验证的X.509证书的真正所有者。 为了让IoT服务在天吉彩票论坛连接时信任天吉彩票论坛凭据,您需要手头私钥。 现在,您可以意识到,如果一个糟糕的演员持有该键,安全模型分开。在所有成本上,保护钥匙保护您的IOT城堡!

与大多数是部署IOT的大多数人一样,您必须做出关于如何在规模上提供这些凭据的决定。 要简要回顾,每个天吉彩票论坛必须具有:

  • 代表天吉彩票论坛的唯一,不可变的私钥。理想情况下,为了防止并排和其他高级攻击,私钥应物理保护,不可加载到主程序存储器中。
  • 凭证,与您的应用程序或IOT服务有关。

物流在私钥和凭据供应中的选择中的不同之处,其中一些与云供应和其他依赖云供应的其他人不相交。

  • 集成电路安全模块(通常具有加密功能),无论是独立的还是参与套装系统(SIP),系统上的系统(SOM),或片上系统(SOC)设计,其中一个以下行为:
    • 具有手动供应或自行生成私钥的安全模块或信任的根。
    • 除了上一个项目外,安全模块还提供预先配置X.509证书的形式凭据。
  • 订户身份​​模块(SIM),嵌入式-SIM(ESIM)和集成SIM(ISIM)技术提供了设计人员用作与蜂窝网络通信的蜂窝标识的硬件。凭证配置通常取决于移动网络运营商(MNO)提供商,移动虚拟网络提供商(MVNO)或第三方。 如果您使用蜂窝模块进行通信,这是您的选择。
  • 定制,自动化天吉彩票论坛凭据配置到天吉彩票论坛闪存段,可以在制造过程中与硬件安全模块(HSM)一起具有特殊的安全闪光灯。
  • 手动将私钥和凭据的配置为特殊的安全安全闪光灯(或非安全闪光灯,通常在原型期间,但不推荐用于车队供应)。

TLS 1.2的执行是由于密码术要求的计算密集型活动,这反过来影响计算组件选择,特别是如果您使用的微控制器进行设计。 专用IC通常包括加密例程,它可以减轻主处理器在TLS 1.2操作上对循环应用,同时确保私钥不会被加载到主存储器中。

您用于硬件的方法取决于您的硬件设计。 为硬件设计选择优雅的解决方案肯定简化了尺度配置, 但需要早期在硬件设计生命周期中选择组件选择,因为它会影响计算,加密模块,数学协同处理和闪存的其他组件设计选择。当然,对于按比例的天吉彩票论坛,您将不想手动提供,趋势表明预先配置的天吉彩票论坛从制造,运营和客户体验视角中产生最少的摩擦力。

IOT. 天吉彩票论坛配置需要云和天吉彩票论坛编排

成功的IoT天吉彩票论坛配置需要云和天吉彩票论坛供应编排,这些管弦乐运算影响硬件和软件设计以及如何在整个天吉彩票论坛生命周期中管理天吉彩票论坛。

从IoT服务的角度来看,您需要一个与您的凭据供应选择对齐的过程以创建相关的配置对象。 当天吉彩票论坛连接到IOT服务时,IOT服务必须能够识别天吉彩票论坛(身份验证),使能特定天吉彩票论坛操作(授权),并在特定上下文(天吉彩票论坛管理)中操作和管理天吉彩票论坛。 

为了进行身份验证,IOT服务必须具有凭据的指纹,因此当天吉彩票论坛连接并将凭据发送到IOT服务时,IOT服务可以与配置对象相关的物理连接。 对于AWS IOT,您注册了凭据,它使IOT服务能够识别传入连接。 TLS握手,这要求天吉彩票论坛可以访问私钥(IOT服务没有)可确保已从天吉彩票论坛中发送凭证与私钥。这就是保护天吉彩票论坛上的私钥非常重要的原因。

对于授权,IOT服务必须将规则应用于授予最小IOT服务访问的连接。 最小单位服务访问意味着设置限制天吉彩票论坛仅使用所需的资源来满足其运作义务。例如,AWS客户创建与凭据的配置对象相关的IOT策略。

对于天吉彩票论坛管理,您需要将元数据应用于配置对象以干净地指定天吉彩票论坛或船队的组或聚合。 通过IOT,我们需要管理数千个,数万,数百万个天吉彩票论坛。 单独管理每个天吉彩票论坛是不切实际的。 提前计划将元数据应用于您的天吉彩票论坛配置,因为改造或重构可能是痛苦的。 对于AWS IOT,您可以创建驱动物联网天吉彩票论坛管理实践的事类型和事物组配置对象。

尺度下天吉彩票论坛云供应方法

不能说 每一个 IOT部署在天吉彩票论坛配置方面存在不同,但硬件供应商,IOT应用程序和操作上下文有足够的差异,以驱动强大的一组机制,这些机制将影响您对您的正确机制的决定。 一般来说,有三种方法:批量注册,按需登记和懒惰的注册。 所有以下方法都希望每个IOT天吉彩票论坛都有或将拥有自己的独特私钥和证书对。

批量注册

通过批量注册,在天吉彩票论坛部署到该字段之前,已知您要使用IoT服务的一组凭据。 一旦获得了凭据列表,就会将凭据引导到批量注册过程中。 批量注册过程注册凭证,然后还将凭证与用于管理IOT舰队的IOT服务中的相关管理对象协调。 批量注册可能需要定制,但物联网服务提供商通常为客户提供批量注册过程。 例如,AWS提供 AWS IOT批量注册 作为AWS IOT核心服务的一部分和使用自定义处理的过程 AWS SDK. .  一个名为的开源项目 Fortpress 处理特定的导入用例。

按需注册

通过按需天吉彩票论坛注册,在天吉彩票论坛部署到该字段之前,您不知道具有成对凭据的一组物理天吉彩票论坛。天吉彩票论坛部署到该字段后,您将在天吉彩票论坛上电。随着按需,连接子程序确定是否在IOT服务中注册了对凭证的发行者的引用。 只要物联网服务有一个强大的机制来验证您的发行人的所有者,这意味着您已经掌握了发行人身份(在PKI,发行人的私钥)中,您可以放心发行人提供凭证。 然后,子程序自动注册凭证并创建相关的管理对象。 例如,AWS有两个按需天吉彩票论坛注册机制命名 刚刚提供(JITP) 使用配置模板和 正常注册(JITR) 提供可以完全定制的机制。

懒惰注册

通过延迟注册,在部署到该字段之前,既不知道物理天吉彩票论坛组和成对凭据都不知道。 在这种情况下,天吉彩票论坛具有所知道的,不变的身份(通常是受保护的私钥),其无需将私有身份传输超出天吉彩票论坛的私有身份。  

今天,有三种懒惰注册机制:由索赔,由授权的移动天吉彩票论坛以及授权的身份列表。 在第一种情况下,该天吉彩票论坛将索赔发送到凭证发行者,发行者用令牌响应,并且天吉彩票论坛使用令牌进行直接Web服务API调用来发出证书。 在第二种情况下,天吉彩票论坛与移动电话配合工作,其中移动电话使用移动凭证,如用户名和密码,发行者用令牌响应,移动电话将令牌发送到天吉彩票论坛,天吉彩票论坛使用令牌进行直接API呼叫。 在第三种情况下,可以是公钥列表的授权列表,并且天吉彩票论坛将直接API调用与CSR进行IOT服务。然后将从CSR派生的公钥与授权列表进行比较,然后在匹配时将证书配置为天吉彩票论坛。 For example, AWS 舰队供应 提供索赔和智能手机的供应机制,开源项目 IOT. 配置禁止提供 提供使用索赔和AWS合作伙伴的惰性注册机制 1nce 通过AWS市场提供简化的蜂窝供应体验。

选择适合您的天吉彩票论坛配置

选择适合您的天吉彩票论坛配置意味着找到与硬件设计,软件设计,制造和天吉彩票论坛生命周期操作对齐的天吉彩票论坛凭证和天吉彩票论坛云配置练习。 硬件设计定义了如何定义和存储各个天吉彩票论坛标识和凭据文件。 软件设计影响天吉彩票论坛授权。 制造业影响将创建和储存秘密,或识别,影响授权指纹反映IOT服务的条件。

您如何决定对物理硬件进行凭据供应,这些硬件在执行产品设计时反映通常决定的硬件设计,为特定类型的云供应过程创造了一个基本的枢轴。此外,如果您不行自己的制造,那么您将使用合同制造商来构建您的产品。 合同制造具有很大的好处,但制造过程的许多方面将不在您的控制中,包括在制造行上创建天吉彩票论坛秘密,例如私钥和证书。过量生产,克隆和其他攻击向量等风险可以直接与雇用下的合同制造商有关,这意味着您需要在夜间有很多信任睡眠。

如果您不为您的IOT船队管理私人CA,则预先配置的凭据可能是适合您的合适。 预先配置的凭据可能会花费一点额外的前线,但我们已经看到它们显着降低了运营成本。如果您需要管理自己的私人CA,那么某些硬件公司提供预先配置的凭据,其中配置完成 胶带掉 ,这意味着合同制造商不会对天吉彩票论坛上的秘密有任何知识。  否则,您可能希望倾向于天吉彩票论坛上具有不可变的私钥或可重复的自生物私钥(可在天吉彩票论坛上的可分级私钥或可重复的自发私钥)倾斜,并且可以在某些程度的证明后部署的凭据。 如果您留下了在天吉彩票论坛上没有一个不可变私钥的不幸情况,那么您仍然可以将私钥和凭证直接配置为Flash,但这是非常不推荐的。

与硬件设计相比,软件设计更灵活,可以在整个天吉彩票论坛开发过程中更改,甚至甚至生命周期(思考过空中的固件更新)。 每当您向客户发送新的天吉彩票论坛时,您都需要依赖于天吉彩票论坛云配置过程。 如软件设计,配置设计可能需要根据您的不断变化的软件要求来灵活性。 所需的配置和定制广度驱动天吉彩票论坛云配置过程您将在部署新的或其他天吉彩票论坛船队时使用。

天吉彩票论坛生命周期操作要求将推动天吉彩票论坛云配置所需的灵活性水平。 更具体地说,而AWS IOT天吉彩票论坛云配置的大多数进程使得可以自动创建管理对象,例如事物类型和事物组,如果您的进程还需要在注册时间内的任何自定义互操作性,您可能希望立即考虑 - 配置允许更深入定制。

最后,在查看天吉彩票论坛生命周期时,考虑该天吉彩票论坛在整个有用性过程中更改人主的机会。 虽然在私钥方面的天吉彩票论坛身份可能不会改变,但有机会贬值先前所有者的证书以将天吉彩票论坛移动到“工厂状态”。 当新的人体所有者委员会将天吉彩票论坛到新的网络和配置使用移动应用程序时,可能需要在那时提供新的证书。 然后,生命周期力学将需要伴随这些要求。

结论

在本文中,我们讨论了今天可能见证的IOT供应情况。 同样,您目睹了有许多选择,具体取决于您试图实现的目标以及您希望客户享受的结果。 像一切,安全支持的安全性,它从拥有自己唯一和可识别的私钥和证书对的每个天吉彩票论坛开始。 您选择的凭据配置方法为您的天吉彩票论坛云供应选择创建该枢轴点。 如果您正在进行新的设计,您将希望努力看看硬件硬件安全解决方案,如安全元件和安全的环保,反过来简化了天吉彩票论坛云配置。 如果您正在进行或重新加工现有设计,您的选择可能会更有限,但您仍然有选择以IOT容量连接您的天吉彩票论坛。 最后,在整个示例和轶事中,您能够见证AWS IoT已经提供了与我们的硅合作伙伴解决方案很好的天吉彩票论坛云配置解决方案。 现在是时候建立了安全委托和配置的物联网天吉彩票论坛了


理查德·埃尔伯格 是一个IOT主要技术专家 亚马逊网络服务。作为演讲者,定期作家和不知疲倦的嵌入技术成瘾者,他为全球范围内创建了内容并建立了IOT和云从业者的社区。理查德维护并贡献多个与IOT相关的开源项目(Freertos,Meta-AWS,ThingPress),帮助客户构建并在AWS上提供惊人的IOT解决方案。

相关内容:

更嵌入, 订阅嵌入式’S每周电子邮件时事通讯.

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.

发布时间: 2021-05-13 13:05:29

最近发表