物联网边缘设备以极快的速度向前演进

Strategy Analytics的研究报告显示，到2025年全球联网的物联网设备将达到386亿台，而到2030年这个数字会快速增长至500亿台。TIRIAS Research也预测，到2025年98%的物联网边缘设备将使用某种形式的机器学习/人工智能……这些市场分析数据都表明，在可以预见的未来，边缘计算服务无论是在规模上还是用户体验上，都将以极快的速度向前演进。

不过，随着物联网边缘计算的兴起，一直有一个我们无法摆脱的“阴影”伴随左右，那就是边缘设备的安全问题。 想象一下，这数百亿台边缘设备数量巨大，分布分散，其中大多都处于无人值守的状态，这显然会给网络黑客们以可乘之机；更为致命的是，一旦这些边缘设备失守，黑客就会经由这个攻击界面侵入整个物联网系统，进而威胁整个网络的安全。有研究表明，在针对物联网的安全攻击中，有约83%是经由边缘终端设备发起的，难怪有人说，边缘设备是自带“招黑体质”。 边缘设备安全挑战之所以边缘设备会如此“招黑”，主要有以下几方面的原因。 首先，一个设备可达到的安全防护等级一定是与其性能及成本成正比的，这是一个基本常识。但是很多物联网的边缘节点，都是对功耗和成本极为敏感的设备，往往没有为部署和实施安全功能预留充足的资源，这也是边缘设备安全一个先天的不足。 其次，虽然物联网（Internet of Things）这个词中包含有Internet，但是传统物联网中的一些安全技术和标准（如加密技术、TSL协议等）却由于物联网边缘应用场景的特殊性——如设备性能受限——不能被直接“拿过来”，而是需要经过专门的优化才能派上用场。这种技术和标准上的滞后性，也难免会在网络整体的安全防护上留下短板。 再有，就是人的因素。从产品开发的角度来看，安全的边缘设备需要开发者具备相应的网络安全知识和技能，而这并非是传统嵌入式工程师所擅长和关注的领域；从设备运维的角度看，通常云端数据中心都会有专门的安全团队值守，而这样的安全专家支持，对于海量的边缘设备来讲，当然是一种奢望。专业人才的缺失，也是制约边缘设备安全的关键因素。

上述的这些技术和资源瓶颈，与快速增长的边缘计算需求之间，无疑会构成一对突出的矛盾，无怪乎人们面对边缘设备的安全，会发出“太难了”的感叹。于是，人们自然而然地会去呼唤一种能够化繁为简、化难为易的边缘安全解决方案。考虑到边缘设备的特殊性，这种方案应该具有三个特性：

更简单：无需大幅增加软硬件系统的复杂性，即可实施；

更容易：即使没有网络安全专业知识的开发者，也可以上手；

更便宜：这是很多边缘设备的刚需，必须要照顾到。

能够满足上述几个要求的方案有没有？在简化边缘设备安全部署和实施过程中，谁是我们可以仰仗的力量？我们不妨在此做个梳理。

具有安全功能的嵌入式处理器

为边缘设备加上安全保护伞，需要做的工作可以概括为三个方面：

保密性：对储存或发送的数据进行加密，防止未经授权的人窃取信息；

完整性：通过防篡改机制，确保消息在到达目的地之前不会被恶意修改；

真实性：对加入网络的设备进行身份验证，确保其真实性，谨防冒名顶替。

这一系列工作，通常是按照一套缜密的通信安全协议，运用一系列安全技术（比如加解密）来完成的，相应地这也需要消耗一部分系统资源。用纯软件的方案来实现安全功能，固然比较灵活和快捷，但是软件比较容易被破解，而且运行软件往往需要消耗更多的处理器计算资源，功耗也会相应增加，这对于边缘设备来讲显然不能接受。因此用硬件方案去实现，就成了实施边缘安全主要的技术路径。 为此，嵌入式安全处理器诞生了。之所以在嵌入式处理器的名字上加入了“安全”二字，是因为其在通用的处理器架构上，内置了丰富的安全模块（如加解密引擎、随机数生成器等），将安全软件的计算功能固化为硬件电路。与软件方案相比，这样一方面可以实现更高的安全任务处理的效率，另一方面也有利于对敏感的数据进行更有效的保护——目前很多安全处理器上都采用了物理不可克隆功能（PUF）的芯片指纹进行密钥保护，就是一个例证。

还有一些安全处理器在架构设计中，将与安全相关的计算处理工作从主处理器中剥离出来，由一颗独立的网络协议处理器去承担，这既为主控制器减负，也是为开发者减负——他们无需具备高深的网络安全经验，也可快速上手。

图1：TI 的CC3200 WiFi无线MCU，片上集成了TLS协议栈，由一颗网络处理器专司安全协议处理（图片来源：TI） 近年来，在嵌入式安全处理器上还有一个令人兴奋的变化，就是以前一些高端处理器上才得一见的技术，已经可以被更“低端”的MCU所用，比如Arm将其TrustZone安全技术移植到了面向MCU、基于ARMv8-M架构的IP核中（Cortex-M23和Cortex-M33），目前采用这种具备增强安全功能的通用MCU已经面市，这也意味着未来人们在考虑基于MCU的低成本、低功耗边缘设备的安全保护时，会有更给力的“工具”支持。

图2：恩智浦的LPC55S6x安全型MCU，内置支持TrustZone安全技术的Arm Cortex-M33内核的（图片来源：NXP） 即插即用的安全元件不过，尽管嵌入式安全处理器的“功力”越来越深厚，产品组合也越来越丰富，但对于碎片化的物联网市场来说，还是无法覆盖所有需求。有些应用场景可能希望，在不替换主控处理器的前提下，用一种类似于“即插即用”的方式，为整个系统添加安全功能，更灵活快捷地实现边缘设备的安全布防。这时，就是安全元件（SE、Security Element）显身手的时候了。

安全元件是一种负责安全相关运算任务的独立芯片，能够实现关键的加解密、签名认证及敏感信息存储等功能，它通过I2C、SPI等接口与主处理器连接，可以很方便地搭建一个安全的物联网边缘节点。由于采用了主控制器+安全元件的分立系统架构，虽然从BOM上看多了一颗料，但由此给设计开发和供应链管理带来的灵活性，也是一个在技术决策时很能打动人的因素。

对于安全元件上述的这些特性优势，很多人都已经有了比较清晰的认知。今天安全元件发展的重点，更多的是在“即插即用”四个字上下功夫，也就是说通过安全元件自身功能的完善和优化，显著地降低用户在边缘设备上实施安全功能的门槛。 在这方面，恩智浦半导体的EdgeLock SE050就是一个很好的例子。该器件基于通用标准EAL 6+的安全性，内置了边缘设备与云端实现安全连接所需的各种功能：EdgeLock SE050在生产时预先配置了凭据，这些凭据始终保存在IC中；在物联网设备中，SE050通过I2C接口与主控处理器相连，然后使用中间件连接云端，并使用预置凭据建立TLS连接（支持TLS 1.3）；整个端到端通信都是加密的，确保所有交换数据的保密性和完整性。对于开发者来说，使用EdgeLock SE050最大的妙处就在于：无需编写任何安全代码，即可完成整个安全实施过程。 为了进一步加速开发进程，恩智浦还提供完整的支持工具包，提供不同MCU和MPU的库，支持多种操作系统（Linux、Windows、Android和主流RTOS），以及提供示例代码、应用说明等开发资源。所有这些努力，都是希望“即插即用”的边缘安全开发体验能够更加完美。

图3：恩智浦的EdgeLock SE050安全元件，力求提供一种“即插即用”的开发体验（图片来源：NXP） 端到端的体系化安全解决方案目前为止，我们介绍了嵌入式安全处理器和安全元件两种能够让边缘设备变得更安全的技术。如果你由此认为，边缘设备安全都是芯片厂商在关心的事儿，那就错了。实际上，云计算厂商在这方面的积极性也颇为高涨，原因也很好理解——越多的安全边缘设备接入云端，也就意味着更多云服务的价值变现。 在这方面，微软可以算是表现最为活跃的一家。按照微软的描述，Azure Sphere作为一个基于云计算的安全服务平台，支持对Azure Sphere认证的芯片进行维护、更新和控制，这些服务包括：在设备和互联网以及各种辅助云服务之间建立连接，确保安全启动、认证设备身份、完整性和信任根；确保设备运行经过审核的代码库；提供了一个通道，可自动在已部署的设备上下载和安装Azure Sphere系统更新和应用程序更新等。

值得一提的是，Azure Sphere不是一个单纯的物联网云服务，它实际上是由一个覆盖从边缘端到云端的、完整的物联网安全体系构成的，包括三个部分：

基于云平台的Azure Sphere安全服务：中转设备到云通信的信任、检测威胁以及更新设备安全性，为设备提供持续的安全保障。

基于Linux的定制操作系统Azure Sphere OS：旨在创建值得信赖的平台，提供全新的IoT体验。

内置微软安全性技术的Azure Sphere认证芯片：提供连接和可依赖的硬件信任根。

在整个体系的构建中，微软亲自操刀完成前面两项软件开发工作，而第三项偏“硬”的工作，则是通过生态链合作，交由专业的芯片厂商去完成，芯片厂商将在自己的芯片中预置微软的Pluton安全子系统，它包括一颗Arm Cortex-M4F 内核，作为Azure Sphere的信任根，同时也负责处理安全启动和安全运行等事项。实际上，这可以看做是一颗专为Azure Sphere打造的安全处理器。目前，已经有联发科、恩智浦、意法半导体、高通、Nordic、新唐、Silicon Labs、Toshiba等芯片厂商加入了这一计划，相应的芯片产品也在研发和陆续推出中。 由于有微软强大的技术实力做背书，对于用户来说，选用了Azure Sphere认证的芯片开发边缘设备，也就意味着将自身置于一个体系化的物联网安全保护之中，这无疑是一种很省心的选择。 而且微软针对那些不具备物联网安全功能、甚至是没有接入物联网的现有设备，还提出了一种更为省心的解决方案——它们通过一个基于Azure Sphere认证芯片、被称为Guardian模块（Guardian Module）的设备，即可接入Azure Sphere安全平台，获得全面保护。

由此可见，云平台厂商也在凭借自身的影响力，通过整合生态链的资源，为边缘设备安全保护提供一个端到端的解决方案。

在物联网时代，除非你彻底“断网”，否则就一定会面临着安全威胁。因此，安全必须成为物联网的底色，并成为物联网技术和服务提供商的共识。保护数百亿边缘设备的安全，不是一件容易的事，不过通过人们共同的努力，相信它一定可以变得原来越容易。