Flusso di lavoro del provisioning in blocco Amazon Sidewalk
Nelle sezioni seguenti vengono illustrati i concetti chiave del provisioning in blocco e il relativo funzionamento. Le fasi coinvolte nel provisioning in blocco includono:
-
Creazione di un profilo del dispositivo mediante AWS IoT Core per Amazon Sidewalk.
-
Richiesta al team Amazon Sidewalk di una chiave YubiHSM e aggiornamento del profilo del dispositivo con supporto di fabbrica.
-
Invio della chiave YubiHSM al produttore affinché AWS IoT Core per Amazon Sidewalk possa ottenere il log di controllo una volta che i dispositivi sono stati prodotti.
-
Creazione di un'attività di importazione e fornitura dei numeri di serie (SMSN) dei dispositivi per cui eseguire l'onboarding in AWS IoT Core per Amazon Sidewalk.
Componenti del provisioning in blocco
I concetti seguenti illustrano alcuni componenti chiave del provisioning in blocco e come utilizzarli come parte del provisioning in blocco di dispositivi Sidewalk.
Chiave YubiHSM
Amazon crea uno o più HSM (moduli di sicurezza hardware) per ciascuno dei prodotti Sidewalk. Ogni HSM dispone di un numero di serie univoco, chiamato chiave YubiHSM, stampato sul modulo hardware. È possibile acquistare questa chiave dalla pagina web di Yubico
La chiave è univoca per ciascun HSM e legata a ogni profilo del dispositivo creato con AWS IoT Core per Amazon Sidewalk. Per ottenere la chiave YubiHSM, contatta il team di Amazon Sidewalk. Se si invia la chiave YubiHSM al produttore, dopo che i dispositivi Sidewalk sono stati prodotti in fabbrica, AWS IoT Core per Amazon Sidewalk riceverà un file di log di controllo contenente i numeri di serie dei dispositivi. Queste informazioni vengono confrontate con il file CSV di input per eseguire l'onboarding dei dispositivi in AWS IoT.
Chiave di attestazione del dispositivo (DAK)
Quando un dispositivo finale Sidewalk partecipa alla rete Sidewalk, occorre assegnare un certificato dispositivo Sidewalk. I certificati utilizzati per configurare il dispositivo includono un certificato privato specifico del dispositivo e i certificati dei dispositivi pubblici, che corrispondono alla catena di certificati Sidewalk. Quando i dispositivi Sidewalk vengono prodotti, YubiHSM firma i certificati dei dispositivi.
Di seguito viene illustrato un file JSON di esempio contenente i certificati dei dispositivi e le chiavi private. Per ulteriori informazioni, consultare Ottenere i file JSON del dispositivo per il provisioning.
{ "p256R1": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbH ... DANKkOKoNT3bUGz+/f/pyTE+xMRdIUBZ1Bw==", "eD25519": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbHD ... UiZmntHiUr1GfkTOFMYqRB+Aw==", "metadata": { "devicetypeid": "fe98", ... "devicePrivKeyP256R1": "3e704bf8d319b3a475179f1d68c60737b28c708f845d0198f2d00d00c88ee018", "devicePrivKeyEd25519": "17dacb3a46ad9a42d5c520ca5f47f0167f59ce54d740aa13918465faf533b8d0" }, "applicationServerPublicKey": "5ce29b89c2e3ce6183b41e75fe54e45f61b8bb320efbdd2abd7aefa5957a316b" }
La chiave di attestazione del dispositivo (DAK) è una chiave privata ottenuta durante la creazione del profilo del dispositivo. Corrisponde al certificato del prodotto, che è un certificato univoco rilasciato per ciascun prodotto Sidewalk. Quando contatti il team di Amazon Sidewalk, riceverai la catena di certificati Sidewalk, la chiave YubiHSM e un HSM con assegnata la chiave di attestazione del dispositivo (DAK) del prodotto.
Il profilo del dispositivo viene inoltre aggiornato con la nuova chiave di attestazione del dispositivo (DAK) e con il supporto di fabbrica abilitato. Le informazioni sui metadati DAK del profilo del dispositivo forniscono dettagli come il nome DAK, l'ID certificato, l'APId (Advertised Product ID), se il supporto di fabbrica è abilitato e il numero massimo di firme che possono essere apportate dal DAK.
Advertised product ID (ApId)
Il parametro ApId è una stringa alfanumerica che identifica il prodotto pubblicizzato. Questo campo deve essere specificato quando si desidera utilizzare un determinato profilo del dispositivo per i dispositivi Sidewalk di cui si esegue il provisioning in blocco. AWS IoT Core per Amazon Sidewalk genera quindi la DAK e la fornisce all'utente tramite la chiave YubiHSM. Le informazioni DAK correlate verranno presentate nel profilo del dispositivo.
Per ottenere il ApId, dopo aver recuperato le informazioni relative al profilo del dispositivo creato, contatta il team di supporto di Amazon Sidewalk. Le informazioni sul profilo del dispositivo possono essere ottenute dalla console AWS IoT o mediante l'operazione API GetDeviceProfile o il comando dell'interfaccia a riga di comando get-device-profile.
Funzionamento del provisioning in blocco
Questo diagramma illustra il funzionamento del provisioning in blocco con AWS IoT Core per Amazon Sidewalk.
Nella procedura seguente vengono descritte le diverse fasi del processo di provisioning in blocco.
-
Creazione del profilo del dispositivo per il dispositivo Sidewalk
Prima di portare il dispositivo finale in fabbrica, crea innanzitutto un profilo del dispositivo. Puoi utilizzare questo profilo per effettuare il provisioning di singoli dispositivi come descritto in Aggiunta del profilo del dispositivo e del dispositivo finale Sidewalk.
-
Richiesta del supporto di fabbrica per il profilo
Quando sei pronto per portare il dispositivo finale in fabbrica, richiedi al team di Amazon Sidewalk la chiave YubiHSM e il supporto di fabbrica per il profilo del dispositivo.
-
Ottenere DAK e profilo supportato in fabbrica
Il team di supporto di Amazon Sidewalk aggiornerà il profilo del dispositivo con la chiave di attestazione del dispositivo (DAK) del prodotto e il supporto di fabbrica. Il profilo del dispositivo verrà aggiornato automaticamente con un APId (advertised product ID) e una nuova DAK e informazioni sul certificato, come l'ID certificato. I dispositivi Sidewalk che utilizzano questo profilo dispongono dei requisiti per l'utilizzo con il provisioning di massa.
-
Invio della chiave YubiHSM al produttore (CM)
Il dispositivo finale è ora qualificato, pertanto puoi inviare la chiave YubiHSM al produttore per conto terzi (CM) per avviare il processo di produzione. Per ulteriori informazioni, consultare la pagina relativa alla produzione di dispositivi Amazon Sidewalk
nella documentazione di Amazon Sidewalk. -
Produzione di dispositivi e invio di log di controllo e numeri di serie
Il CM produce i dispositivi e genera log di controllo. Il CM fornisce inoltre un file CSV contenente un elenco di dispositivi da produrre e i relativi numeri di serie di produzione Sidewalk (SMSN). Nel codice seguente viene illustrato un log di controllo di esempio. Contiene i numeri di serie del dispositivo, l'APID e i certificati dei dispositivi pubblici.
{ "controlLogs": [ { "version": "4-0-1", "device": { "serialNumber":"device1", "productIdentifier": { "advertisedProductId":"abCD"}, "sidewalkData": { "SidewalkED25519CertificateChain": "...", "SidewalkP256R1CertificateChain": "..." } } } ] } -
Passaggio delle informazioni del log di controllo ad AWS IoT Core per Amazon Sidewalk
Il cloud Amazon Sidewalk recupera le informazioni del log di controllo dal produttore e le passa ad AWS IoT Core per Amazon Sidewalk. I dispositivi possono quindi essere creati insieme ai relativi numeri di serie.
-
Verifica della corrispondenza del numero di serie e avvio del provisioning in blocco
Quando utilizzi la console AWS IoT o l'operazione API
StartWirelessDeviceImportTaskAWS IoT Core per Amazon Sidewalk, AWS IoT Core confronta il numero di serie di produzione Sidewalk (SMSN) di ogni dispositivo ottenuto da Amazon Sidewalk con i numeri di serie corrispondenti nel file CSV. Se queste informazioni corrispondono, il processo di provisioning in blocco viene avviato e vengono creati i dispositivi da importare in AWS IoT Core per Amazon Sidewalk.
