微软的物联网安全服务Azure Sphere正式投入商用

在官宣两年之后，微软的物联网安全服务Azure Sphere于2020年2月正式投入商用。这意味着从今往后，微软可以充分利用其强大的云平台能力为物联网中的每台Azure Sphere设备提供全面的安全防护。

作为一个基于云计算的安全服务，Azure Sphere将支持对Azure Sphere认证的芯片进行维护、更新和控制，主要的服务包括：在设备和互联网以及各种辅助云服务之间建立连接，确保安全启动、认证设备身份、完整性和信任根；确保设备运行经过审核的代码库；提供了一个通道，可自动在已部署的设备上下载和安装Azure Sphere系统更新和应用程序更新。

这些服务是通过SaaS平台的方式提供的，一个Azure Sphere认证的芯片只需支付一次性费用 （不到 8.65 美元）即可访问所有Azure Sphere组件，并在芯片全生命周期中享有操作系统更新的服务，而无需支付额外的费用。不过，如果你因此而认为Azure Sphere仅是一个单纯的物联网云服务，这种理解就太简单了。实际上，Azure Sphere是一个完整的物联网安全体系，由三个部分组成：

内置微软安全性技术的Azure Sphere认证芯片，提供连接和可依赖的硬件信任根。

基于Linux的自定义操作系统Azure Sphere OS，旨在创建值得信赖的平台，提供全新的IoT体验。

基于云平台的Azure Sphere安全服务，中转设备到云通信的信任、检测威胁以及更新设备安全性，为设备提供持续的安全保障。

图1，Azure Sphere完整的物联网安全体系（图源：微软）

Azure Sphere之所以会采用这样一种“三合一”的体系化解决方案，其原因不难理解——这是因为物联网本身就是一个从边缘设备端到云端的复杂系统，任何一个环节的疏漏，都可能成为致命的网络安全威胁，只有掌握了系统中的每个环节，才可能拍胸脯对整个物联网系统的安全做出承诺。

安全芯片

大家知道，想要构建一个完整的安全体系是不容易的。在Azure Sphere的三个部分中，后面两个属于软件范畴，对于微软来说应该是驾轻就熟，而第一条“安全芯片”则需要硬件合作伙伴的参与，将与Azure Sphere配套的安全功能内置到芯片中，才能完成。

为Azure Sphere寻找硬件合作伙伴的工作，从一开始就在微软的计划中。在2018年微软宣布推出Azure Sphere平台计划后不久，联发科就发布了Azure Sphere微控制器MT3620。

MT3620搭载了一颗主频高达500MHz 的Arm Cortex-A7 应用处理器，200MHz的通用ARM Cortex-M4F内核，以及丰富的外设资源，提供了强大的计算处理能力，令其可以支持广泛的潜在应用。特别值得一提的是MT3620与Azure Sphere配套的安全功能：

MT3620内含一个独立的微软Pluton安全子系统，作为Azure Sphere的信任根，该子系统拥有自己的Arm Cortex-M4F 内核，负责处理安全启动和安全运行。

此外，1x1双频 802.11a/b/g/n Wi-Fi 无线电子系统是由一个专属 Andes N9 32 位 RISC 内核来控制，这个子系统包含无线电、基带和媒体接入控制（MAC）等组件，用来支持高能效高处理量的应用。

上述的MT3620的安全子系统与Wi-Fi网络子系统均独立运行，并独立于MCU中的最终用户应用程序，确保只有Azure Sphere支持的硬件功能才会提供给MT3620 最终用户使用，以保障硬件设备的安全性。

当然，微软的硬件伙伴生态系统的营造并未止步于此，联发科的合作可以看做是一次试水和示范，此后更多的半导体芯片厂商逐渐加入其中，比如Nordic、Nuvoton、NXP、STMicro、Silicon Labs等等，也有越来越多支持Azure Sphere的芯片产品相继问世。比如去年，恩智浦半导体（NXP）就宣布与微软合作推出了一款通过微软Azure Sphere安全认证的i.MX 8高性能应用处理器，可无缝运行Azure Sphere安全平台，为边缘节点提供一个安全、高性能、智能的嵌入式多核异构计算平台。

从芯片到方案

不过，做硬件开发的人都知道，从一颗芯片到一款真正可以商用的产品和方案，中间还有不少路要走，对很多开发者和用户来说，需要在这个过程中有人能够助其一臂之力。能够胜任此项工作的伙伴不仅要在硬件安全方面拥有丰富的经验，而且在单片机和物联网应用开发领域也要拥有完备的能力，最好还能够有更广泛的产业链资源做支撑……最终安富利被微软选中，作为首家为其Azure Sphere解决方案提供技术支持的分销商。 作为合作的一个重要成果，安富利开发了一款基于MT3620的Azure Sphere入门级开发套件，让开发者快速开发出能够充分利用Azure Sphere服务的高度安全的端到端物联网应用。

这个开发套件的核心是一块基于MT3620并带有Wi-Fi连接功能的Sphere模块，通过多个扩展接口，可与外围的传感器、显示屏、电机、继电器等外设连接。开发套件的底板将Sphere模块I/O连接到两个MikroE Click插槽、一个I2C Grove连接器、一个支持添加128x64 OLED图形显示屏的连接器，以及板载的传感器（包括3D加速度计、3D陀螺仪、温度传感器和环境光传感器）。开发套件的调试通过USB-to-UART接口完成，该接口还为开发板提供必要的5V电源。

图3，安富利基于MT3620的Azure Sphere入门开发套件板载资源（图源：安富利）

图4，安富利基于MT3620的Azure Sphere入门开发套件系统框图（图源：安富利） 实际上，在Azure Sphere正式商用之前，安富利的这款Azure Sphere已经在物联网开发社区广为推广，通过提供一个硬件开发平台弥补了从芯片到方案的开发资源缺环，让不少开发者得以提前“尝鲜”，体验Azure Sphere强大的安全保障功能。现在，随着Azure Sphere的正式商用，安富利提供的这种“硬”支撑的效用和价值，也会越来越显著。大家准备好，迎接Azure Sphere这个云服务落地吧！