采用虚拟化技术提高物联网端点的安全性

在本文中，我们将研究正在采用的虚拟化技术，以及哪些特性和功能对于提高物联网端点的安全性很重要。

嵌入式设备和实时操作系统根

物联网设备并不是最近才出现的。这些设备是从已经存在 50 多年的传统嵌入式系统演变而来的。嵌入式系统具有严格的实时要求，通常采用某种实时操作系统 （RTOS），尽管最近这些系统被拆分为 Linux（非实时）环境和处理时间关键功能的 RTOS的设备。这些较新的嵌入式系统通常在芯片和 Linux/RTOS 环境之间使用虚拟化层，以便在一个物理设备上共享嵌入式资源。

最初，这些嵌入式系统并未将安全视为高优先级，因为它们是孤立的且没有连接性。随着嵌入式系统的连接，人们越来越担心，但如果发生入侵，设备中嵌入的专有 RTOS 或“全金属”软件仍然会使攻击变得困难，没有太多价值，同时降低了与额外芯片组相关的 BOM 成本支持单独的独立 RTOS。

如今，物联网设备泄露对财务和生命威胁有着深远的影响。鉴于汽车、医疗和工业领域的物联网，威胁是真实存在的，必须认真对待。

安全的虚拟化和物联网设备

Cog Systems 于 2014 年从 Open Kernel Labs 成立，其重点研究领域是微内核和基于低级软件的技术。这种在嵌入式和移动设备方面的长期经验让我们深入了解了这个支持物联网的新世界的安全风险。

“Cog 从嵌入式微内核和管理程序开始，然后专注于使设备为物联网做好准备所需的安全和强化方面，”Cog Systems 首席执行官 Dan Potts 描述道。“我们看到，如果人们继续保持现状建造他们的设备，如果你看看预测的增长趋势，由于规模的大幅增加，一个巨大的问题迫在眉睫。”

部分问题在于许多嵌入式软件设计往往是一个单片系统。Cog 很早就意识到，更加模块化的设计对于识别和管理安全问题至关重要。

此外，Linux 攻击面可能很大，并且由于熟悉和开源访问，绕过安全机制并不困难。随着 Cog 开始与系统集成商合作，他们显着改进了他们的支持技术，以解决攻击面和安全问题。

“通过利用我们最初的经验，我们现在能够专注于为物联网设备开发提供更多现成的大众市场软件解决方案，”波茨说。“我们提供 SDK 来帮助设备制造商整合基于安全虚拟化/管理程序的设计。它使他们能够在 1 类管理程序的基础上从单片机转向模块化。”

SDK 被称为 D4 Secure。管理程序提供第一层。除此之外，还有其他实用程序和模块可用于更轻松、更安全地构建安全的物联网设备。这些工具包括：

基于管理程序的技术

具有策略和共享控制的虚拟驱动程序

用于无线更新的设备管理

一套安全模块：VPN、安全通信和身份验证

解决方案路线图还包括研究下一代管理程序技术以从大型嵌入式芯片组扩展到小型嵌入式芯片组。该解决方案的知识产权是在提供虚拟化的同时最大限度地提高性能。

Qualcomm® Snapdragon™ 安全性和 D4 安全性

Snapdragon 是一款高性能芯片，可从 200 系列扩展到 800 系列，具有多种应用——从简单的传感器到智能手机、平板电脑、机器人和自动驾驶汽车。Qualcomm 855 的安全态势尤其具有吸引力，它具有许多与物联网和潜在 5G 连接相关的功能。

组合解决方案堆栈从信任链和安全启动开始。芯片支持这一点，每个芯片都有一个唯一的密钥。此功能提供了信任的基础。

Hypervisor 层依赖于安全启动。一旦启动，管理程序就会接管以维护安全链。多阶段引导过程允许即时更新整个软件映像或单个模块（或虚拟机）。

还内置了完整性和多层安全性。例如，Snapdragon 提供了根密钥，但磁盘加密是单独的。这些应用程序还能够利用安全实用程序，但为独立安全提供额外的密钥。

用例

消费者/伴侣机器人用例需要高性能的机器学习和视觉处理。通常这些东西都包含在操作系统中。还可能存在涉及用于运动的电机控制器的遗留代码。虚拟化堆栈允许这些功能在单个芯片组上的不同 VM 上运行。好处是降低成本和占用空间，但模块化还允许采用“分而治之”的方法来实施安全功能和分离关键功能。

汽车应用是另一个可以更轻松地混合和匹配实时（动力传动系统、驾驶员辅助/检测）和非实时（信息娱乐系统）系统的领域。

骁龙 X50 调制解调器支持 5G 网络，实现真​​正的边缘计算，降低延迟。

概括

物联网设备安全已成为当今物联网的一项关键要求。利用新工具和开发套件有助于减少学习曲线和开发时间。

审核编辑：郭婷