隨著越來越多的設備接入互聯網，從手機、網關、服務器，到智能家居、汽車、大型機械，連接到網絡空間的設備或“物”的數量將遠遠超過人類，隨之而來的物聯網（Internet of Things，IoT）安全也日益重要。今天，我們就來看一下國際標準ISO/IEC 11889所定義的可信平臺模塊（TPM）是如何在樹莓派平臺上為微軟Azure IoT Hub云服務提供設備接入身份安全性的。

樹莓派具有電腦的所有基本功能，由于其低成本、模塊化和開放的特性，以及微型的外觀與無限創意的可能性，已經成為當前計算機教育領域應用最為廣泛的平臺之一。利用樹莓派平臺，可以很方便地開發搭建出非常豐富的輕量級AIoT終端應用。

樹莓派應用環境準備

應用環境包括：已成為流行ARM CPU嵌入式方案的樹莓派開發平臺；Windows10 IoT Core操作系統；TPM2.0可信模塊，提供全球一致的安全性；微軟Azure IoT Hub云服務，為物聯網設備提供可靠的服務端數據存儲等服務。這些基本上都是行業主流技術應用平臺。

1, 樹莓派3，Raspberry Pi 3Model B；

2, Windows 10 IoT Core操作系統，步驟按照微軟教程說的Step-by-Step；

3, TPM 2.0樹莓派模塊，這里以國民技術Z32H330TC芯片模塊為例；

4, 微軟Azure IoT Hub云服務。

系統配置過程

系統加電運行后，登錄Windows10 IoT設備管理界面，赫然發現TPM Configuration。點擊進去發現這是一個TPM管理的界面，Windows IoT Core需要初始化TPM。

從下拉列標準中選擇相應的TPM進行安裝，這次我們當然選擇“I2C Discrete NationZ TPM on I2C1”，之后點擊Install進行安裝。

當系統重新啟動之后，再次進入TPM Configuration界面，我們看到Windows10 IoT系統發現了國民技術的TPM模組，并且由TPM創建了10個不同的邏輯Device ID，可以向10個不同的服務商注冊設備身份。重點在于提供了針對于Microsoft Azure IoT Hub物聯網云服務的設備接入身份的配置界面，可以用于：

1, 填寫服務商的服務訪問URL；

2, 填寫在服務商注冊的設備身份的標識；

3, 服務商提供給設備商的保護密鑰。

當你點擊Save之后，這些信息全部由TPM保護存儲，這個過程一般是在IoT設備生產線上完成。自此物聯網設備與云服務之間的接入身份驗證基于HMAC密碼算法，設備端的計算在TPM中進行，服務端對計算結果進行驗證，確認接入設備身份。那些針對物聯網設備身份的假冒，對于物聯網設備的釣魚都不好使了。

自此，TPM基于Windows IoT Core接入Azure IoT Hub云服務的物聯網設備身份應用，基本上是即插即用的，充分實現了物理硬件安全，以及端到云的物聯網設備身份應用。

TPM芯片是AIoT身份的理想安全載體

或許有人會問“用其他類型的安全芯片可以嗎？”——答案是肯定的。Azure IoTHub的設備身份認證協議是公開的，任何安全芯片都可以實現此類應用。但是，能夠將應用充分簡化，并提供物聯網終端操作系統In-Box支持的，除了TPM，恐怕沒有其他的了。如果采用其他安全芯片，則需要自己解決安全芯片選型、芯片安全固件、操作系統驅動、配置初始化軟件、云端接入安全協議、云端安全認證機制等等一系列的麻煩。在可用和好用之間，大家都會有自己明智的選擇。

既然ISO/IEC 11889 TPM2.0芯片作為物聯網身份On board Credential如此簡單好用，那就趕快行動吧！