嵌入式開發(fā)必須改變，將物聯(lián)網(wǎng)簡化為云

　　傳統(tǒng)的嵌入式開發(fā)已經(jīng)過時，隨著應(yīng)用程序從傳統(tǒng)的嵌入式設(shè)備快速過渡到面向云的邊緣計算節(jié)點，本文將探討該方法必須如何改變，以滿足日益增長的將云連接集成到開發(fā)和制造過程中的需求，以及為物聯(lián)網(wǎng)(IoT)創(chuàng)建無縫安全的供應(yīng)鏈。

　　有一個明顯的現(xiàn)實是，我們的許多嵌入式系統(tǒng)正在從斷開連接的孤島過渡到邊緣計算，這推動了性能要求、通信堆棧集成、人工智能/機(jī)器學(xué)習(xí)(AI/ML)以及下一代應(yīng)用程序的許多其他功能。

　　這種連接過渡正在推動安全需求和消費者、工業(yè)和關(guān)鍵國家基礎(chǔ)設(shè)施市場所需的遵從框架，因為每個連接也是攻擊系統(tǒng)的攻擊向量。

　　有許多文章專門討論與面向邊緣計算相關(guān)的好處和挑戰(zhàn)，資源應(yīng)該放在哪里，數(shù)據(jù)應(yīng)該在哪里預(yù)處理，以及預(yù)處理到什么程度。確定性和滯后性、系統(tǒng)可用性和對停機(jī)的魯棒性之間的平衡也是一個關(guān)鍵決定，特別是在2021年10月主要社交媒體停機(jī)的影響之后，其中許多連接設(shè)備在DNS缺陷暴露后無法成功運行。然而，這些主題中有許多是特定于應(yīng)用程序的，雖然更好的工具可以提供幫助，但最終這些都是由成本、上市時間和復(fù)雜性驅(qū)動的設(shè)計決策。

　　從嵌入式開發(fā)人員的角度來看，云連接是一個令人頭疼的問題，部分原因是安全性和連接集成了許多不同的概念，部分原因是客戶的需求在不斷變化。“云連接”的簡單挑戰(zhàn)迅速分解為對安全通信堆棧的需求、信任和身份挑戰(zhàn)的根源、證書注入、安全引導(dǎo)和更新機(jī)制，以及無數(shù)其他需求。

　　然而，這只是開發(fā)人員方面的問題，對于生產(chǎn)、設(shè)備服務(wù)和企業(yè)來說，還有其他類似規(guī)模的挑戰(zhàn)。對于企業(yè)而言，圍繞生命周期支持、漏洞披露和更新管理的新的立法挑戰(zhàn)帶來了商業(yè)模式挑戰(zhàn)，不再有“放火即忘”的銷售和運輸。對于設(shè)備服務(wù)而言，需要最終集成到客戶的安全運營中心(SOC)，并要求提供正式身份驗證和跨機(jī)密性、完整性和可用性的可測量安全性，這一點至關(guān)重要。

　　生產(chǎn)是云和安全集成的一個特別具有挑戰(zhàn)性的方面，影響到面向同質(zhì)和可重復(fù)制造的系統(tǒng)，需要真正唯一的加密身份，確保每個身份都是普遍唯一的，同時仍然具有標(biāo)準(zhǔn)的證書結(jié)構(gòu)，例如基于x.509證書。通過確保這些身份是云就緒的，并且設(shè)備能夠安裝到用戶想要的任何云計算網(wǎng)絡(luò)中，這一挑戰(zhàn)正在進(jìn)一步加劇。

　　許多云供應(yīng)商都強(qiáng)調(diào)，無論是對他們還是對客戶來說，這是他們流程中最大的痛點，也是嵌入式開發(fā)人員將物聯(lián)網(wǎng)設(shè)備集成到內(nèi)部網(wǎng)絡(luò)的最大挑戰(zhàn)。事實上，為確保充分的身份、所有權(quán)和明確的網(wǎng)絡(luò)安全風(fēng)險，資源調(diào)配是工業(yè)、交通和基礎(chǔ)設(shè)施應(yīng)用中物聯(lián)網(wǎng)興起的最大障礙。

　　為了解決這一生產(chǎn)問題，有兩個主要的替代方案，即使用差異身份和信任根的同質(zhì)制造。

　　第一個是集成一個單獨的SIM(用戶身份模塊)，就像在手機(jī)中看到的那樣。然而，這確實需要集成SIM卡，存在尺寸和物流問題，或者實施iSIM(集成SIM)，需要在硅中內(nèi)置額外的處理器，具有特定的成本影響。

　　另一種方法是使用健壯的安全引導(dǎo)管理器(SBM)簡單地鎖定設(shè)備，以確保在設(shè)備上運行的所有代碼都已安全地生成和注入，并具有健壯的代碼身份驗證。這樣做的好處是低成本影響，使用少量內(nèi)存來擴(kuò)展引導(dǎo)過程，設(shè)備(包括當(dāng)今使用的許多流行設(shè)備)的可用性更廣，確保了快速的工程采用和簡單的發(fā)布周期。該解決方案的靈活性為希望擁有設(shè)備標(biāo)識的組織支持自簽名證書結(jié)構(gòu)，或為希望外包的組織支持第三方證書框架。

　　利用SBM方法，確保可以簡單地設(shè)計大量設(shè)備以實現(xiàn)安全性，并為Azure云連接注入標(biāo)準(zhǔn)證書。此證書框架使嵌入式開發(fā)人員能夠快速設(shè)計數(shù)百萬個具有唯一身份的設(shè)備，然后確保這些憑據(jù)被簡單地分配到Azure云服務(wù)中。這確保所有生產(chǎn)的設(shè)備都被識別到云中，確保Azure服務(wù)了解OEM供應(yīng)商和設(shè)備功能;并確保最終用戶確信設(shè)備易于集成，設(shè)備已正確生產(chǎn)，并且設(shè)備已作為安全供應(yīng)鏈的一部分發(fā)布，從而降低采購風(fēng)險和集成成本。

　　從根本上說，如前所述，這種新的面向云的流程建立在現(xiàn)有開發(fā)流程的基礎(chǔ)上，這些流程目前正與主要合作伙伴和客戶一起運行，并利用標(biāo)準(zhǔn)的行業(yè)生產(chǎn)機(jī)制。這意味著該解決方案對現(xiàn)代生產(chǎn)流程幾乎沒有影響，可通過主要電子元件分銷商獲得，并可在各種設(shè)備上使用。設(shè)備數(shù)量沒有上限或下限，確保了簡單原型的簡單市場途徑和高容量應(yīng)用的早期市場采用。

　　這是一家IAR系統(tǒng)公司Secure Thingz采取的方法，它與Microsoft

Azure合作實現(xiàn)了這一新功能，以支持云資源調(diào)配和登錄。如上所述，這實現(xiàn)了快速開發(fā)、批量制造和集成更新管理。這本質(zhì)上為安全資源調(diào)配技術(shù)提供了一個有價值的擴(kuò)展，使企業(yè)能夠輕松地將其設(shè)備集成到云上，從而消除了客戶和云服務(wù)對未知設(shè)備的傳統(tǒng)安裝挑戰(zhàn)。

　　總而言之，將設(shè)備連接到云上可能是目前嵌入式開發(fā)行業(yè)面臨的最大挑戰(zhàn)，主要是因為合作伙伴的數(shù)量和設(shè)備類型。通過利用如上所述的擴(kuò)展流程，現(xiàn)在可以為Microsoft

Azure設(shè)計和提供“云就緒”服務(wù)，降低開發(fā)成本，減少客戶集成挑戰(zhàn)，并消除與向網(wǎng)絡(luò)添加設(shè)備相關(guān)的網(wǎng)絡(luò)安全風(fēng)險。