|
前言 Strategy Analytics的研究報告顯示,到2025年全球聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備將達(dá)到386億臺,而到2030年這個數(shù)字會快速增長至500億臺。TIRIAS Research也預(yù)測,到2025年98%的物聯(lián)網(wǎng)邊緣設(shè)備將使用某種形式的機(jī)器學(xué)習(xí)/人工智能……這些市場分析數(shù)據(jù)都表明,在可以預(yù)見的未來,邊緣計算服務(wù)無論是在規(guī)模上還是用戶體驗上,都將以極快的速度向前演進(jìn)。 不過,隨著物聯(lián)網(wǎng)邊緣計算的興起,一直有一個我們無法擺脫的“陰影”伴隨左右,那就是邊緣設(shè)備的安全問題。 想象一下,這數(shù)百億臺邊緣設(shè)備數(shù)量巨大,分布分散,其中大多都處于無人值守的狀態(tài),這顯然會給網(wǎng)絡(luò)黑客們以可乘之機(jī);更為致命的是,一旦這些邊緣設(shè)備失守,黑客就會經(jīng)由這個攻擊界面侵入整個物聯(lián)網(wǎng)系統(tǒng),進(jìn)而威脅整個網(wǎng)絡(luò)的安全。有研究表明,在針對物聯(lián)網(wǎng)的安全攻擊中,有約83%是經(jīng)由邊緣終端設(shè)備發(fā)起的,難怪有人說,邊緣設(shè)備是自帶“招黑體質(zhì)”。 邊緣設(shè)備安全挑戰(zhàn) 之所以邊緣設(shè)備會如此“招黑”,主要有以下幾方面的原因。 首先,一個設(shè)備可達(dá)到的安全防護(hù)等級一定是與其性能及成本成正比的,這是一個基本常識。但是很多物聯(lián)網(wǎng)的邊緣節(jié)點,都是對功耗和成本極為敏感的設(shè)備,往往沒有為部署和實施安全功能預(yù)留充足的資源,這也是邊緣設(shè)備安全一個先天的不足。 其次,雖然物聯(lián)網(wǎng)(Internet of Things)這個詞中包含有Internet,但是傳統(tǒng)物聯(lián)網(wǎng)中的一些安全技術(shù)和標(biāo)準(zhǔn)(如加密技術(shù)、TSL協(xié)議等)卻由于物聯(lián)網(wǎng)邊緣應(yīng)用場景的特殊性——如設(shè)備性能受限——不能被直接“拿過來”,而是需要經(jīng)過專門的優(yōu)化才能派上用場。這種技術(shù)和標(biāo)準(zhǔn)上的滯后性,也難免會在網(wǎng)絡(luò)整體的安全防護(hù)上留下短板。 再有,就是人的因素。從產(chǎn)品開發(fā)的角度來看,安全的邊緣設(shè)備需要開發(fā)者具備相應(yīng)的網(wǎng)絡(luò)安全知識和技能,而這并非是傳統(tǒng)嵌入式工程師所擅長和關(guān)注的領(lǐng)域;從設(shè)備運(yùn)維的角度看,通常云端數(shù)據(jù)中心都會有專門的安全團(tuán)隊值守,而這樣的安全專家支持,對于海量的邊緣設(shè)備來講,當(dāng)然是一種奢望。專業(yè)人才的缺失,也是制約邊緣設(shè)備安全的關(guān)鍵因素。 上述的這些技術(shù)和資源瓶頸,與快速增長的邊緣計算需求之間,無疑會構(gòu)成一對突出的矛盾,無怪乎人們面對邊緣設(shè)備的安全,會發(fā)出“太難了”的感嘆。于是,人們自然而然地會去呼喚一種能夠化繁為簡、化難為易的邊緣安全解決方案。考慮到邊緣設(shè)備的特殊性,這種方案應(yīng)該具有三個特性: · 更簡單:無需大幅增加軟硬件系統(tǒng)的復(fù)雜性,即可實施; · 更容易:即使沒有網(wǎng)絡(luò)安全專業(yè)知識的開發(fā)者,也可以上手; · 更便宜:這是很多邊緣設(shè)備的剛需,必須要照顧到。 能夠滿足上述幾個要求的方案有沒有?在簡化邊緣設(shè)備安全部署和實施過程中,誰是我們可以仰仗的力量?我們不妨在此做個梳理。 具有安全功能的嵌入式處理器 為邊緣設(shè)備加上安全保護(hù)傘,需要做的工作可以概括為三個方面: · 保密性:對儲存或發(fā)送的數(shù)據(jù)進(jìn)行加密,防止未經(jīng)授權(quán)的人竊取信息; · 完整性:通過防篡改機(jī)制,確保消息在到達(dá)目的地之前不會被惡意修改; · 真實性:對加入網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗證,確保其真實性,謹(jǐn)防冒名頂替。 這一系列工作,通常是按照一套縝密的通信安全協(xié)議,運(yùn)用一系列安全技術(shù)(比如加解密)來完成的,相應(yīng)地這也需要消耗一部分系統(tǒng)資源。用純軟件的方案來實現(xiàn)安全功能,固然比較靈活和快捷,但是軟件比較容易被破解,而且運(yùn)行軟件往往需要消耗更多的處理器計算資源,功耗也會相應(yīng)增加,這對于邊緣設(shè)備來講顯然不能接受。因此用硬件方案去實現(xiàn),就成了實施邊緣安全主要的技術(shù)路徑。 為此,嵌入式安全處理器誕生了。之所以在嵌入式處理器的名字上加入了“安全”二字,是因為其在通用的處理器架構(gòu)上,內(nèi)置了豐富的安全模塊(如加解密引擎、隨機(jī)數(shù)生成器等),將安全軟件的計算功能固化為硬件電路。與軟件方案相比,這樣一方面可以實現(xiàn)更高的安全任務(wù)處理的效率,另一方面也有利于對敏感的數(shù)據(jù)進(jìn)行更有效的保護(hù)——目前很多安全處理器上都采用了物理不可克隆功能(PUF)的芯片指紋進(jìn)行密鑰保護(hù),就是一個例證。 還有一些安全處理器在架構(gòu)設(shè)計中,將與安全相關(guān)的計算處理工作從主處理器中剝離出來,由一顆獨(dú)立的網(wǎng)絡(luò)協(xié)議處理器去承擔(dān),這既為主控制器減負(fù),也是為開發(fā)者減負(fù)——他們無需具備高深的網(wǎng)絡(luò)安全經(jīng)驗,也可快速上手。 
圖1:TI 的CC3200 WiFi無線MCU,片上集成了TLS協(xié)議棧,由一顆網(wǎng)絡(luò)處理器專司安全協(xié)議處理(圖源:TI) 近年來,在嵌入式安全處理器上還有一個令人興奮的變化,就是以前一些高端處理器上才得一見的技術(shù),已經(jīng)可以被更“低端”的MCU所用,比如Arm將其TrustZone安全技術(shù)移植到了面向MCU、基于ARMv8-M架構(gòu)的IP核中(Cortex-M23和Cortex-M33),目前采用這種具備增強(qiáng)安全功能的通用MCU已經(jīng)面市,這也意味著未來人們在考慮基于MCU的低成本、低功耗邊緣設(shè)備的安全保護(hù)時,會有更給力的“工具”支持。
圖2:NXP的LPC55S6x安全型MCU,內(nèi)置支持TrustZone安全技術(shù)的Arm Cortex-M33內(nèi)核的(圖源:NXP) 即插即用的安全元件 不過,盡管嵌入式安全處理器的“功力”越來越深厚,產(chǎn)品組合也越來越豐富,但對于碎片化的物聯(lián)網(wǎng)市場來說,還是無法覆蓋所有需求。有些應(yīng)用場景可能希望,在不替換主控處理器的前提下,用一種類似于“即插即用”的方式,為整個系統(tǒng)添加安全功能,更靈活快捷地實現(xiàn)邊緣設(shè)備的安全布防。這時,就是安全元件(SE、Security Element)顯身手的時候了。 安全元件是一種負(fù)責(zé)安全相關(guān)運(yùn)算任務(wù)的獨(dú)立芯片,能夠?qū)崿F(xiàn)關(guān)鍵的加解密、簽名認(rèn)證及敏感信息存儲等功能,它通過I2C、SPI等接口與主處理器連接,可以很方便地搭建一個安全的物聯(lián)網(wǎng)邊緣節(jié)點。由于采用了主控制器+安全元件的分立系統(tǒng)架構(gòu),雖然從BOM上看多了一顆料,但由此給設(shè)計開發(fā)和供應(yīng)鏈管理帶來的靈活性,也是一個在技術(shù)決策時很能打動人的因素。 對于安全元件上述的這些特性優(yōu)勢,很多人都已經(jīng)有了比較清晰的認(rèn)知。今天安全元件發(fā)展的重點,更多的是在“即插即用”四個字上下功夫,也就是說通過安全元件自身功能的完善和優(yōu)化,顯著地降低用戶在邊緣設(shè)備上實施安全功能的門檻。 在這方面,NXP的EdgeLock SE050就是一個很好的例子。該器件基于通用標(biāo)準(zhǔn)EAL 6+的安全性,內(nèi)置了邊緣設(shè)備與云端實現(xiàn)安全連接所需的各種功能:EdgeLock SE050在生產(chǎn)時預(yù)先配置了憑據(jù),這些憑據(jù)始終保存在IC中;在物聯(lián)網(wǎng)設(shè)備中,SE050通過I2C接口與主控處理器相連,然后使用中間件連接云端,并使用預(yù)置憑據(jù)建立TLS連接(支持TLS 1.3);整個端到端通信都是加密的,確保所有交換數(shù)據(jù)的保密性和完整性。對于開發(fā)者來說,使用EdgeLock SE050最大的妙處就在于:無需編寫任何安全代碼,即可完成整個安全實施過程。 為了進(jìn)一步加速開發(fā)進(jìn)程,NXP還提供完整的支持工具包,提供不同MCU和MPU的庫,支持多種操作系統(tǒng)(Linux、Windows、Android和主流RTOS),以及提供示例代碼、應(yīng)用說明等開發(fā)資源。所有這些努力,都是希望“即插即用”的邊緣安全開發(fā)體驗?zāi)軌蚋油昝馈?br />
圖3:NXP的EdgeLock SE050安全元件,力求提供一種“即插即用”的開發(fā)體驗(圖源:NXP) 端到端的體系化安全解決方案 目前為止,我們介紹了嵌入式安全處理器和安全元件兩種能夠讓邊緣設(shè)備變得更安全的技術(shù)。如果你由此認(rèn)為,邊緣設(shè)備安全都是芯片廠商在關(guān)心的事兒,那就錯了。實際上,云計算廠商在這方面的積極性也頗為高漲,原因也很好理解——越多的安全邊緣設(shè)備接入云端,也就意味著更多云服務(wù)的價值變現(xiàn)。 在這方面,微軟可以算是表現(xiàn)最為活躍的一家。按照微軟的描述,Azure Sphere作為一個基于云計算的安全服務(wù)平臺,支持對Azure Sphere認(rèn)證的芯片進(jìn)行維護(hù)、更新和控制,這些服務(wù)包括:在設(shè)備和互聯(lián)網(wǎng)以及各種輔助云服務(wù)之間建立連接,確保安全啟動、認(rèn)證設(shè)備身份、完整性和信任根;確保設(shè)備運(yùn)行經(jīng)過審核的代碼庫;提供了一個通道,可自動在已部署的設(shè)備上下載和安裝Azure Sphere系統(tǒng)更新和應(yīng)用程序更新等。 值得一提的是,Azure Sphere不是一個單純的物聯(lián)網(wǎng)云服務(wù),它實際上是由一個覆蓋從邊緣端到云端的、完整的物聯(lián)網(wǎng)安全體系構(gòu)成的,包括三個部分: · 基于云平臺的Azure Sphere安全服務(wù):中轉(zhuǎn)設(shè)備到云通信的信任、檢測威脅以及更新設(shè)備安全性,為設(shè)備提供持續(xù)的安全保障。 · 基于Linux的定制操作系統(tǒng)Azure Sphere OS:旨在創(chuàng)建值得信賴的平臺,提供全新的IoT體驗。 · 內(nèi)置微軟安全性技術(shù)的Azure Sphere認(rèn)證芯片:提供連接和可依賴的硬件信任根。
圖4:Azure Sphere安全服務(wù)平臺體系架構(gòu)(圖源:微軟) 在整個體系的構(gòu)建中,微軟親自操刀完成前面兩項軟件開發(fā)工作,而第三項偏“硬”的工作,則是通過生態(tài)鏈合作,交由專業(yè)的芯片廠商去完成,芯片廠商將在自己的芯片中預(yù)置微軟的Pluton安全子系統(tǒng),它包括一顆Arm Cortex-M4F 內(nèi)核,作為Azure Sphere的信任根,同時也負(fù)責(zé)處理安全啟動和安全運(yùn)行等事項。實際上,這可以看做是一顆專為Azure Sphere打造的安全處理器。目前,已經(jīng)有聯(lián)發(fā)科、NXP、意法半導(dǎo)體、高通、Nordic、新唐、Silicon Labs、Toshiba等芯片廠商加入了這一計劃,相應(yīng)的芯片產(chǎn)品也在研發(fā)和陸續(xù)推出中。 由于有微軟強(qiáng)大的技術(shù)實力做背書,對于用戶來說,選用了Azure Sphere認(rèn)證的芯片開發(fā)邊緣設(shè)備,也就意味著將自身置于一個體系化的物聯(lián)網(wǎng)安全保護(hù)之中,這無疑是一種很省心的選擇。 而且微軟針對那些不具備物聯(lián)網(wǎng)安全功能、甚至是沒有接入物聯(lián)網(wǎng)的現(xiàn)有設(shè)備,還提出了一種更為省心的解決方案——它們通過一個基于Azure Sphere認(rèn)證芯片、被稱為Guardian模塊(Guardian Module)的設(shè)備,即可接入Azure Sphere安全平臺,獲得全面保護(hù)。
圖5:現(xiàn)有設(shè)備通過Guardian模塊接入Azure Sphere安全云服務(wù)(圖源:微軟) 由此可見,云平臺廠商也在憑借自身的影響力,通過整合生態(tài)鏈的資源,為邊緣設(shè)備安全保護(hù)提供一個端到端的解決方案。 在物聯(lián)網(wǎng)時代,除非你徹底“斷網(wǎng)”,否則就一定會面臨著安全威脅。因此,安全必須成為物聯(lián)網(wǎng)的底色,并成為物聯(lián)網(wǎng)技術(shù)和服務(wù)提供商的共識。保護(hù)數(shù)百億邊緣設(shè)備的安全,不是一件容易的事,不過通過人們共同的努力,相信它一定可以變得原來越容易。 文章來源:貿(mào)澤電子 作者:Doctor M |
