терминология службы подготовки устройств Центр Интернета вещей

Центр Интернета вещей служба подготовки устройств (DPS) — это вспомогательный сервис для Центр Интернета вещей, которая обеспечивает подготовку устройств с нулевой сенсорной связью в центрах Интернета вещей. Она дает возможность подготавливать миллионы устройств с высоким уровнем безопасности и масштабируемости.

Подготовка устройства состоит из двух этапов.

  1. Первая часть устанавливает начальное подключение между устройством и решением Интернета вещей путем регистрации устройства.
  2. Вторая часть применяет правильную конфигурацию к устройству на основе конкретных требований решения.

После завершения обоих этапов устройство будет полностью подготовлено. Служба подготовки устройств автоматизирует оба этапа для обеспечения эффективной подготовки устройства.

В этой статье представлен обзор концепций подготовки, применимых к управлению службой. Сведения в этой статье касаются пользователей, участвующих в этапе настройки облака по подготовке устройства для развертывания.

Конечная точка операций службы

Конечная точка операций службы — это конечная точка, предназначенная для управления параметрами службы и обслуживания списка регистрации. Эта конечная точка используется только администратором службы; он не используется устройствами.

Конечная точка подготовки устройства

Конечная точка подготовки устройств — это одна конечная точка, используемая всеми устройствами для подготовки. URL-адрес один и тот же для всех экземпляров службы подготовки, что устраняет необходимость перезакачки устройств с новыми сведениями о подключении в сценариях цепочки поставок. Область ИД обеспечивает изоляцию клиентов.

Связанные Центры Интернета вещей

Служба подготовки устройств может подготавливать для Центров Интернета вещей только связанные с ней устройства. Связывание центра Интернета вещей с экземпляром службы подготовки устройств предоставляет службе разрешения на чтение и запись в реестр устройств Центра Интернета вещей. Со ссылкой служба подготовки устройств может зарегистрировать идентификатор устройства и задать начальную конфигурацию в двойнике устройства. Связанные Центры Интернета вещей могут находиться в любом регионе Azure. Вы можете связать центры в других подписках со службой подготовки.

Дополнительные сведения см. в статье "Связывание центров Интернета вещей" и управление ими

Политика распределения

Политика выделения — это параметр уровня обслуживания, который определяет, как служба подготовки устройств назначает устройства центру Интернета вещей. Существует четыре поддерживаемых политики выделения:

  • Evenly weighted distribution (Равномерное распределение). В связанных Центрах Интернета вещей можно обеспечить равномерную подготовку устройств. Значение по умолчанию. Если вы подготавливаете устройства только к одному центру Интернета вещей, этот параметр можно сохранить.

  • Lowest latency (Минимальная задержка). Устройства подготавливаются в Центре Интернета вещей с минимальной задержкой. Если несколько связанных Центров Интернета вещей обеспечивают одинаковую наименьшую задержку, служба подготовки хэширует устройства по этим Центрам.

  • Static configuration via the enrollment list (Статическая конфигурация через список регистрации). Спецификация нужного Центра Интернета вещей в списке регистрации имеет приоритет над политикой распределения на уровне службы.

  • Custom (Use Azure Function) (Пользовательская (используйте функцию Azure)). Пользовательская политика выделения обеспечивает больший контроль над назначением устройств в Центре Интернета вещей. Пользовательские политики выделения используют функцию Azure для назначения устройств центру Интернета вещей. Служба подготовки устройств вызывает код функции Azure, предоставляя всю необходимую информацию об устройстве и регистрации в вашем коде. Код функции выполняется и возвращает данные Центра Интернета вещей, используемые при подготовке устройства. Дополнительные сведения см. в разделе "Общие сведения о пользовательских политиках выделения".

Дополнительные сведения см. в разделе "Использование политик выделения".

Регистрация

Регистрация — это запись устройств или групп устройств, которые могут регистрироваться с помощью автоматической подготовки. Запись регистрации содержит сведения об устройстве или группе устройств, в частности:

  • Механизм аттестации, используемый устройством
  • Выбранная дополнительная начальная конфигурация
  • Нужный Центр Интернета вещей
  • Выбранный идентификатор устройства

Существует два типа регистраций, поддерживаемых службой подготовки устройств: группы регистрации и отдельные регистрации.

Группа регистраций

Это группа устройств, совместно использующих определенный механизм аттестации. Группы регистрации поддерживают сертификат X.509 или аттестацию симметричного ключа.

Имя группы регистрации и идентификаторы регистрации, представленные устройствами, должны быть нечувствительными строками буквенно-цифровых символов, а также специальными символами: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). Имя группы регистрации может содержать до 128 символов. В группах регистрации симметричного ключа идентификаторы регистрации, представленные устройствами, могут содержать до 128 символов. Однако в группах регистрации X.509, так как максимальная длина общего имени субъекта в сертификате X.509 составляет 64 символа, идентификаторы регистрации ограничены 64 символами.

Устройства в группе регистрации X.509 представляют сертификаты X.509, подписанные тем же корневым или промежуточным центром сертификации (ЦС). Общее имя субъекта (CN) сертификата конечной сущности (конечной) сущности каждого устройства становится идентификатором регистрации для этого устройства. Устройства в группе регистрации симметричного ключа представляют маркеры SAS, производные от симметричного ключа группы.

Для устройств в группе регистрации идентификатор регистрации также используется в качестве идентификатора устройства, зарегистрированного в Центр Интернета вещей.

Совет

Мы советуем использовать группу регистраций для большого количества устройств, имеющих необходимую начальную конфигурацию, или для устройств, предназначенных для одного и того же клиента.

Отдельная регистрация

Отдельная регистрация — это запись одного устройства, которое можно зарегистрировать. Отдельные регистрации могут использовать конечные сертификаты X.509 или маркеры SAS (из физического или виртуального доверенного платформенного модуля) в качестве механизмов аттестации.

Идентификатор регистрации в отдельной регистрации — это строка без учета регистра буквенно-цифровых символов, а также специальные символы: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). DPS поддерживает идентификаторы регистрации до 128 символов.

Для отдельных регистраций X.509 общее имя субъекта (CN) сертификата должно соответствовать идентификатору регистрации, поэтому общее имя должно соответствовать формату строки идентификатора регистрации. Общее имя субъекта имеет максимальную длину 64 символов, поэтому идентификатор регистрации ограничен 64 символами для регистрации X.509.

Отдельные регистрации могут иметь требуемый идентификатор устройства Центра Интернета вещей, указанный в записи регистрации. Если он не указан, идентификатор регистрации становится идентификатором устройства, зарегистрированным в Центр Интернета вещей.

Совет

Мы рекомендуем использовать отдельные регистрации для устройств, которым требуются уникальные начальные конфигурации, или для устройств, которые для аутентификации могут использовать только аттестацию с помощью доверенного платформенного модуля и токена SAS.

Механизм аттестации

Механизм аттестации — это способ подтверждения удостоверения устройства. Механизм аттестации настраивается в записи регистрации и сообщает службе подготовки, какой метод следует использовать при проверке удостоверения устройства во время регистрации.

Примечание.

Для применения аналогичной концепции Центр Интернета вещей использует схему проверки подлинности.

Служба подготовки устройств поддерживает следующие формы аттестации:

  • Сертификаты X.509 на основе стандартного потока проверки подлинности сертификата X.509. Дополнительные сведения см. в статье Аттестация X.509.
  • Доверенный платформенный модуль (TPM) на основе задачи nonce с использованием стандарта TPM для представления в ключах подписанного URL-адреса (SAS). Это не требует физического доверенного платформенного платформенного модуля на устройстве, но служба ожидает, что она будет тестировать использование ключа подтверждения для спецификации доверенного платформенного модуля. Дополнительные сведения см. в разделе аттестации доверенного платформенного модуля.
  • Симметричный ключ на основе маркеров SAS, которые включают хэшированную подпись и внедренное истечение срока действия. Дополнительные сведения см. в разделе Аттестация симметричного ключа.

Аппаратный модуль безопасности

Аппаратный модуль безопасности или HSM используется для безопасного, аппаратного хранения секретов устройств и является самой безопасной формой хранилища секретов. Сертификаты X.509 и маркеры SAS могут храниться в HSM.

Совет

Мы настоятельно рекомендуем использовать HSM для безопасного хранения секретов на устройствах.

Секреты устройств также могут храниться в программном обеспечении (памяти), но это менее безопасная форма хранения, чем HSM.

Область идентификатора

Идентификатор область назначается службе подготовки устройств при создании и используется для уникальной идентификации конкретной службы подготовки. Область идентификаторов создается службой. Она неизменяемая, что гарантирует ее уникальность. Идентификатор область уникальность важна для длительных операций развертывания и сценариев слияния и приобретения.

Запись регистрации

Запись регистрации — это запись успешной регистрации или подготовки устройства в Центр Интернета вещей через службу подготовки устройств. Записи регистрации создаются автоматически; их можно удалить, но их нельзя обновить.

Идентификатор регистрации

Идентификатор регистрации является уникальным номером регистрации устройства в службе подготовки устройств. Идентификатор регистрации должен быть уникальным в области идентификаторов службы подготовки. Каждое устройство должно иметь идентификатор регистрации. Идентификатор регистрации — это строка без учета регистра буквенно-цифровых символов, а также специальные символы: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). DPS поддерживает идентификаторы регистрации до 128 символов.

  • При аттестации доверенного платформенного модуля идентификатор регистрации предоставляется самим TPM.
  • При аттестации на основе X.509 идентификатор регистрации задается общим именем субъекта (CN) сертификата устройства. По этой причине общее имя должно соответствовать формату строки идентификатора регистрации. Однако идентификатор регистрации ограничен 64 символами, так как это максимальная длина общего имени субъекта в сертификате X.509.

Идентификатор устройства

Идентификатор устройства совпадает с идентификатором, отображаемым в Центре Интернета вещей. Требуемый идентификатор устройства может быть задан в записи регистрации, но его не требуется задать. Настройка необходимого идентификатора устройства поддерживается только при индивидуальной регистрации. Если в списке регистрации нет необходимого идентификатора устройства, при регистрации устройства в качестве идентификатора устройства используется идентификатор регистрации. Узнайте больше об идентификаторах устройств в Центре Интернета вещей.

Операции

Операции представляют собой единицы выставления счетов Службы подготовки устройств. Операцией является успешное выполнение одной инструкции в службе. Операции могут включать регистрацию устройств и повторную регистрацию, а также изменения на стороне службы, такие как добавление и обновление записей списка регистраций.