使用Azure KeyVault和Azure Sphere安全自動登錄

描述

我們必須記住的密碼數(shù)量每天都在增加。是否曾經(jīng)想要一些設(shè)備可以為您記住所有這些密碼，甚至無需觸摸鍵盤就可以輸入密碼？

該項目針對此問題提出了一種可能的解決方案，使用Azure 云生態(tài)系統(tǒng)進行密碼保管和管理，并使用Azure Sphere IoT 設(shè)備將密碼安全傳遞到您的指尖。

此圖顯示了該項目的基本構(gòu)建塊及其互連。用戶名和密碼安全地存儲在Azure KeyVault中。使用在Azure App Service上運行的 Web 應(yīng)用程序訪問和管理這些項目。根據(jù)用戶的請求，選定的登錄詳細(xì)信息通過Azure IoT 中心發(fā)送到Azure Sphere IoT 設(shè)備。從那里可以立即或按下按鈕將登錄數(shù)據(jù)發(fā)送到 USB 鍵盤模擬器，后者將在目標(biāo)設(shè)備上“鍵入”它們。

通過這種方式，我們可以在從密碼存儲到將其交付到目標(biāo)系統(tǒng)的整個鏈條上使用高級 Azure 云安全功能。我們可以向任何支持 USB 鍵盤輸入的設(shè)備輸入登錄數(shù)據(jù)。

項目設(shè)置

該項目由幾個獨立的部分和應(yīng)用程序組成，必須安裝和精確配置它們才能協(xié)同工作。我們首先設(shè)置 Azure 服務(wù)。

創(chuàng)建資源組

該資源組將用于將所有與 Azure 相關(guān)的項目部分整齊地放在一個地方。

登錄到 Azure 門戶并根據(jù)以下幻燈片設(shè)置新的資源組：

創(chuàng)建 KeyVault

KeyVault 將安全加密您的所有秘密和密碼。

請參閱下面的幻燈片，了解如何創(chuàng)建 KeyVault。在第 3 步中，選擇離您最近的服務(wù)區(qū)域，同時確保將定價層設(shè)置為標(biāo)準(zhǔn)。記下KeyVault 名稱，因為您稍后將需要它。

創(chuàng)建物聯(lián)網(wǎng)中心

IoT 中心控制您的物聯(lián)網(wǎng)設(shè)備，并且在此項目中將啟用與您的 Azure Sphere 套件的連接。

下面的幻燈片顯示了創(chuàng)建 Azure IoT 中心服務(wù)所需的所有步驟。在第 3 步選擇在地理上離您最近的服務(wù)區(qū)域。在第 4 步確保定價層設(shè)置為免費，如果這是您的第一個 IoT 中心并且您只想測試這個項目。稍后還需要IoT 中心名稱。

現(xiàn)在您的資源組將如下所示：

創(chuàng)建物聯(lián)網(wǎng)設(shè)備

如下面的幻燈片所示創(chuàng)建物聯(lián)網(wǎng)設(shè)備。記下IoT 設(shè)備名稱（設(shè)備 ID），因為您稍后會需要它。

獲取連接字符串

對于這個項目，我們將需要IoT Hub 服務(wù) Connection string和IoT device Connection string 。您將在下面顯示的位置找到這些字符串，將它們復(fù)制到某個文本文件中，因為您稍后會需要它們。

部署網(wǎng)絡(luò)應(yīng)用

將項目存儲庫克隆到本地目錄。注意：此項目使用 Git 子模塊，使用--recurse-submodules進行克隆：

git clone --recurse-submodules https://github.com/jgroman/azsphere_pwd_man.git

確保你的 Visual Studio 2019 安裝了ASP.NET和Azure 開發(fā)工作負(fù)載。打開 SpherePasswordManager 解決方案，打開 appsettings.json 文件并將您的 KeyVault 名稱作為 KeyVaultName 值。

現(xiàn)在您可以發(fā)布 web 應(yīng)用程序，如下面的幻燈片所示。在第 3 步創(chuàng)建新的應(yīng)用服務(wù)時，確保選擇了正確的 Azure 帳戶。注意：如果第 6 步 - webapp 發(fā)布 - 失敗，您可能需要安裝 Microsoft Web Deploy工具。

啟用 WebApp 對 KeyVault 的訪問

在您可以使用新發(fā)布的 WebApp 之前，必須授予它 KeyVault 訪問權(quán)限。

配置網(wǎng)絡(luò)應(yīng)用

您現(xiàn)在將設(shè)置 Web App 配置并輸入IoT Device name和IoT Hub Service Connection string 。如果您在打開 WebApp 配置頁面時遇到錯誤，您可能忘記了在上一步中編輯應(yīng)用程序設(shè)置或授予 WebApp 權(quán)限。

安全的 WebApp 訪問

現(xiàn)在 WebApp 必須受到保護，以便只有您可以使用它。

安裝 Pro 微應(yīng)用

Pro Micro 板在此項目中用作簡單的 I2C 到 USB 鍵盤橋。從 I2C 接收到的任何字符都會作為模擬按鍵發(fā)送到 USB。

如果您不熟悉 ATmega32U4 Pro Micro 開發(fā)板，可以在此處閱讀教程。使用 USB 線將 Pro Micro 板連接到您的計算機，在 Arduino IDE 中打開i2c_usb_keyboard.ino草圖并將其閃存到 Pro Micro。

現(xiàn)在您可以根據(jù)本頁底部的原理圖連接 Azure Sphere Starter Kit 和 Pro Micro 開發(fā)板。

安裝Azure Sphere 應(yīng)用程序

確保您的計算機上安裝了Azure Sphere SDK ，啟動 Visual Studio 2019 并打開azsphere_pwd_man解決方案。將IoT 設(shè)備連接字符串作為 MY_CONNECTION_STRING 值放入connection_strings.h中。將IoT 中心名稱放入app_manifest.json 中的 AllowedConnections。構(gòu)建應(yīng)用程序并將其上傳到 Azure Sphere 工具包。

現(xiàn)在應(yīng)用程序正在運行，您應(yīng)該會在顯示屏上看到就緒消息。該項目確實可以使用了。

項目運作

在瀏覽器中打開 WebApp。使用新項目菜單選項添加新項目：

只有項目名稱和密碼是強制性的，添加用戶名是可選的。您還可以在用戶名和/或密碼后插入 Enter。可選的用戶名和密碼可以在一個塊中輸入，由 TAB 字符分隔 - 這對于 Web 登錄表單很有用。用戶名和密碼可以預(yù)加載到 Azure Sphere，然后單擊按鈕輸入。或者，它們也可以在單擊 WebApp 中的項目后立即輸入 - 這在通過手機控制 WebApp 時非常有用，因為您只需將光標(biāo)定位到登錄表單并單擊 WebApp UI 中的所需項目。

故障排除

幾分鐘后，Azure Sphere 似乎忘記了預(yù)加載的項目

這實際上是一個內(nèi)置的安全功能。您可以通過在main.c中編輯PERIOD_TO_FORGET_SEC來設(shè)置此延遲長度。

系統(tǒng)運行過程中的問題

WebApp 中顯示常見的操作錯誤。例如，如果 Azure Sphere 斷開連接，您將看到超時錯誤：

?