嵌入式开发必须改变以简化物联网到云的加载

传统的嵌入式开发已经死了。孤立的计算孤岛的概念不再相关，相反，所有应用程序都应该被视为“边缘处理”，无论是粗细还是粗细，回到集中处理资源进行分析。或者至少这是最近几个月在整个行业中传播的理论。随着应用程序从传统嵌入式设备快速过渡到面向云的边缘计算节点，本文探讨了必须如何改变这种方法，以解决将云连接集成到开发和制造过程中的日益增长的需求，并创建无缝的安全供应链用于物联网 (IoT)。

现实当然更加微妙和分散，嵌入式市场需要多年时间才能整合新概念，并且对数十年来对flash-in-the-pan技术的承诺支持几乎没有兴趣。然而，有一个明确的现实是，我们的许多嵌入式系统正在从断开的孤岛过渡到边缘计算，这推动了性能要求、通信堆栈集成、人工智能/机器学习 (AI/ML) 以及许多下一代应用程序的其他功能。

这种连接过渡正在推动消费者、工业和关键国家基础设施市场所需的安全要求和合规框架，因为每个连接也是系统的攻击媒介。

有许多文章专门讨论与面向边缘的计算相关的好处和挑战、资源应该放在哪里、数据应该在哪里进行预处理以及处理程度。确定性和滞后性、系统可用性和对中断的鲁棒性之间的平衡也是一个关键决定，尤其是在 2021 年 10 月发生重大社交媒体中断的影响之后，一旦 DNS 缺陷暴露，许多连接的设备就无法成功运行。然而，这些主题中有许多是特定于应用程序的，虽然更好的工具可以提供帮助，但最终这些都是由成本、上市时间和复杂性驱动的设计决策。

从开发人员的角度来看，云连接是一个令人头疼的问题，部分原因是安全性和连接性集成了许多不同的概念，部分原因是客户的需求在不断变化。“云连接”的简单挑战迅速分解为对安全通信堆栈、信任根和身份挑战、证书注入、安全启动和更新机制以及无数其他需求的需求。

然而，这只是开发人员方面的问题，对于生产、设备服务和企业来说，其他类似规模的挑战仍然存在。对于企业而言，围绕生命周期支持、漏洞披露和更新管理的新立法挑战带来了商业模式挑战，不再需要“一劳永逸”的销售和运输。对于设备服务而言，最终集成到客户的安全运营中心 (SOC) 中的需求至关重要，需要提供正式的身份验证和可衡量的机密性、完整性和可用性方面的安全性。

生产是云和安全集成的一个特别具有挑战性的方面，影响着面向同质和可重复制造的系统，需要真正唯一的加密身份确保每个身份都是普遍唯一的，同时仍然具有标准证书结构，例如基于 x.509 证书. 通过确保这些身份是云就绪的，并且设备能够被载入用户想要的任何云计算网络，这一挑战进一步加剧。

许多云供应商都强调这种入职是他们和客户流程中最大的痛点，也是 CISO（首席信息和安全官）将物联网设备集成到内部网络的最大挑战。事实上，为确保足够的身份、所有权和明确的网络安全风险而进行的配置是物联网在工业、交通运输和基础设施应用中兴起的最大单一障碍。

为了解决具有差异化身份和信任根的同质制造的生产问题，有两种主要选择。

首先是集成一个单独的 SIM（用户身份模块），就像在手机中看到的那样。但是，这确实需要集成 SIM 卡，但存在尺寸和后勤问题，或者需要实施 iSIM（集成 SIM），这需要在硅片中内置额外的处理器，具有特定的成本影响。

另一种方法是使用强大的安全启动管理器 (SBM) 简单地锁定设备，以确保设备上运行的所有代码都已安全生成和注入，并具有强大的代码身份验证。这样做的好处是影响成本低，使用少量内存来扩展启动过程，以及更广泛的设备可用性，包括当今使用的许多流行设备，确保快速工程采用和简单的发布周期。该解决方案的灵活性支持希望拥有设备身份的组织的自签名证书结构，或希望外包的第三方证书框架。

将设备连接和载入云可能是目前行业面临的最大挑战，主要是由于合作伙伴和设备类型的数量。通过利用如上所述的扩展流程，现在可以为 Microsoft Azure 设计和配置“云就绪”。（来源：Secure Thingz）

今天展示的解决方案利用了 SBM 方法，确保可以简单地设计大量设备以提高安全性，并为 Azure 云连接注入标准证书。该证书框架使开发人员能够快速设计数百万台设备以生产具有唯一身份的设备，然后确保将这些凭据简单地放入 Azure 云服务中。这确保了生产的所有设备都被识别到云中，确保 Azure 服务了解 OEM 供应商和设备功能；并确保最终用户确信设备易于集成，设备已正确生产，并且设备已作为安全供应链的一部分发布，从而降低了采购风险和集成成本。

如前所述，从根本上说，这种面向云的新流程建立在现有开发流程的基础上，这些流程与当今的主要合作伙伴和客户一起运作，并利用了标准的行业生产机制。这意味着该解决方案对现代生产流程的影响几乎为零，可通过主要电子元件分销商获得，并可通过各种设备访问。设备数量没有上限或下限，确保简单原型和早期市场采用到大批量应用的简单上市途径。

这是 IAR Systems 公司 Secure Thingz 所采用的方法，它与 Microsoft Azure 合作实现了这一新功能，以实现云配置和入职。如前所述，这可以实现快速开发、批量制造和集成更新管理。这实质上为安全配置技术提供了有价值的扩展，使组织能够轻松地将他们的设备整体集成到云中，从而为客户和云服务消除未知设备的传统入职挑战。

总而言之，将设备连接和载入云可能是目前行业面临的最大挑战，主要是由于合作伙伴的数量和设备类型。通过利用如上所述的扩展流程，现在可以为 Microsoft Azure 设计和配置“云就绪”，降低开发成本，减少客户集成挑战，并消除与向网络添加设备相关的网络安全风险。

审核编辑 黄昊宇