隨著越來(lái)越多的設(shè)備接入互聯(lián)網(wǎng)，從手機(jī)、網(wǎng)關(guān)、服務(wù)器，到智能家居、汽車、大型機(jī)械，連接到網(wǎng)絡(luò)空間的設(shè)備或“物”的數(shù)量將遠(yuǎn)遠(yuǎn)超過(guò)人類，隨之而來(lái)的物聯(lián)網(wǎng)（Internet of Things，IoT）安全也日益重要。今天，我們就來(lái)看一下國(guó)際標(biāo)準(zhǔn)ISO/IEC 11889所定義的可信平臺(tái)模塊（TPM）是如何在樹莓派平臺(tái)上為微軟Azure IoT Hub云服務(wù)提供設(shè)備接入身份安全性的。

樹莓派具有電腦的所有基本功能，由于其低成本、模塊化和開放的特性，以及微型的外觀與無(wú)限創(chuàng)意的可能性，已經(jīng)成為當(dāng)前計(jì)算機(jī)教育領(lǐng)域應(yīng)用最為廣泛的平臺(tái)之一。利用樹莓派平臺(tái)，可以很方便地開發(fā)搭建出非常豐富的輕量級(jí)AIoT終端應(yīng)用。

樹莓派應(yīng)用環(huán)境準(zhǔn)備

應(yīng)用環(huán)境包括：已成為流行ARM CPU嵌入式方案的樹莓派開發(fā)平臺(tái)；Windows10 IoT Core操作系統(tǒng)；TPM2.0可信模塊，提供全球一致的安全性；微軟Azure IoT Hub云服務(wù)，為物聯(lián)網(wǎng)設(shè)備提供可靠的服務(wù)端數(shù)據(jù)存儲(chǔ)等服務(wù)。這些基本上都是行業(yè)主流技術(shù)應(yīng)用平臺(tái)。

1, 樹莓派3，Raspberry Pi 3Model B；

2, Windows 10 IoT Core操作系統(tǒng)，步驟按照微軟教程說(shuō)的Step-by-Step；

3, TPM 2.0樹莓派模塊，這里以國(guó)民技術(shù)Z32H330TC芯片模塊為例；

4, 微軟Azure IoT Hub云服務(wù)。

系統(tǒng)配置過(guò)程

系統(tǒng)加電運(yùn)行后，登錄Windows10 IoT設(shè)備管理界面，赫然發(fā)現(xiàn)TPM Configuration。點(diǎn)擊進(jìn)去發(fā)現(xiàn)這是一個(gè)TPM管理的界面，Windows IoT Core需要初始化TPM。

從下拉列標(biāo)準(zhǔn)中選擇相應(yīng)的TPM進(jìn)行安裝，這次我們當(dāng)然選擇“I2C Discrete NationZ TPM on I2C1”，之后點(diǎn)擊Install進(jìn)行安裝。

當(dāng)系統(tǒng)重新啟動(dòng)之后，再次進(jìn)入TPM Configuration界面，我們看到Windows10 IoT系統(tǒng)發(fā)現(xiàn)了國(guó)民技術(shù)的TPM模組，并且由TPM創(chuàng)建了10個(gè)不同的邏輯Device ID，可以向10個(gè)不同的服務(wù)商注冊(cè)設(shè)備身份。重點(diǎn)在于提供了針對(duì)于Microsoft Azure IoT Hub物聯(lián)網(wǎng)云服務(wù)的設(shè)備接入身份的配置界面，可以用于：

1, 填寫服務(wù)商的服務(wù)訪問URL；

2, 填寫在服務(wù)商注冊(cè)的設(shè)備身份的標(biāo)識(shí)；

3, 服務(wù)商提供給設(shè)備商的保護(hù)密鑰。

當(dāng)你點(diǎn)擊Save之后，這些信息全部由TPM保護(hù)存儲(chǔ)，這個(gè)過(guò)程一般是在IoT設(shè)備生產(chǎn)線上完成。自此物聯(lián)網(wǎng)設(shè)備與云服務(wù)之間的接入身份驗(yàn)證基于HMAC密碼算法，設(shè)備端的計(jì)算在TPM中進(jìn)行，服務(wù)端對(duì)計(jì)算結(jié)果進(jìn)行驗(yàn)證，確認(rèn)接入設(shè)備身份。那些針對(duì)物聯(lián)網(wǎng)設(shè)備身份的假冒，對(duì)于物聯(lián)網(wǎng)設(shè)備的釣魚都不好使了。

自此，TPM基于Windows IoT Core接入Azure IoT Hub云服務(wù)的物聯(lián)網(wǎng)設(shè)備身份應(yīng)用，基本上是即插即用的，充分實(shí)現(xiàn)了物理硬件安全，以及端到云的物聯(lián)網(wǎng)設(shè)備身份應(yīng)用。

TPM芯片是AIoT身份的理想安全載體

或許有人會(huì)問“用其他類型的安全芯片可以嗎？”——答案是肯定的。Azure IoTHub的設(shè)備身份認(rèn)證協(xié)議是公開的，任何安全芯片都可以實(shí)現(xiàn)此類應(yīng)用。但是，能夠?qū)?yīng)用充分簡(jiǎn)化，并提供物聯(lián)網(wǎng)終端操作系統(tǒng)In-Box支持的，除了TPM，恐怕沒有其他的了。如果采用其他安全芯片，則需要自己解決安全芯片選型、芯片安全固件、操作系統(tǒng)驅(qū)動(dòng)、配置初始化軟件、云端接入安全協(xié)議、云端安全認(rèn)證機(jī)制等等一系列的麻煩。在可用和好用之間，大家都會(huì)有自己明智的選擇。

既然ISO/IEC 11889 TPM2.0芯片作為物聯(lián)網(wǎng)身份On board Credential如此簡(jiǎn)單好用，那就趕快行動(dòng)吧！