嵌入式开发必须改变以简化物联网上云

Posted 2021-11-11 大爷来玩儿

传统的嵌入式开发已死。计算孤立岛的概念不再相关，所有应用程序都应被视为“边缘处理”，无论粗细，都应回到集中处理资源进行分析。或者至少这是最近几个月在整个行业中传播的理论。随着应用程序从传统嵌入式设备迅速过渡到面向云的边缘计算节点，本文着眼于必须如何改变方法，以满足日益增长的将云连接集成到开发和制造过程中的需求，并创建无缝安全的供应链用于物联网 (IoT)。

现实当然更加微妙和分散，嵌入式市场需要多年时间才能整合新概念，而且几十年来对闪存技术的承诺支持几乎没有兴趣。然而，一个明确的现实是，我们的许多嵌入式系统正在从孤立的孤岛过渡到边缘计算，这推动了性能要求、通信堆栈集成、人工智能/机器学习 (AI/ML) 和许多下一代应用程序的其他功能。
这种连接转变正在推动消费者、工业和关键国家基础设施市场所需的安全要求和合规性框架，因为每个连接也是系统的攻击媒介。

有很多文章专门讨论与面向边缘的计算相关的好处和挑战，资源应该放在什么位置，数据应该在什么地方进行预处理，以及处理到什么程度。确定性与滞后、系统可用性和中断鲁棒性之间的平衡也是一个关键决定，尤其是在 2021 年 10 月主要社交媒体中断的影响之后，一旦 DNS 漏洞暴露，许多连接的设备就无法成功运行。然而，其中许多主题是特定于应用程序的，虽然更好的工具可以提供帮助，但最终这些都是由成本、上市时间和复杂性驱动的设计决策。

从开发人员的角度来看，云连接是一个令人头疼的问题，部分原因是安全性和连接性集成了许多不同的概念，部分原因是客户的需求在不断发展。“云连接”的简单挑战迅速分解为对安全通信堆栈、信任根和身份挑战、证书注入、安全启动和更新机制以及无数其他需求的需求。

然而，这只是开发人员方面，其他类似规模的挑战仍然存在于生产、设备服务和企业方面。对于企业而言，围绕生命周期支持、漏洞披露和更新管理的新立法挑战带来了商业模式挑战，不再需要“一劳永逸”的销售和运输。对于设备服务而言，最终集成到客户的安全运营中心 (SOC) 中的需求至关重要，并且需要提供正式的身份验证以及跨机密性、完整性和可用性的可衡量安全性。

生产是云和安全集成的一个特别具有挑战性的方面，影响面向同质和可重复制造的系统，需要真正独特的加密身份以确保每个身份都是普遍唯一的，同时仍然具有标准证书结构，例如基于 x.509 证书. 通过确保这些身份是云就绪的，并且设备能够加入用户想要的任何云计算网络，这一挑战进一步加剧。

许多云供应商都强调这种入职是他们流程中最大的痛点，无论是对他们还是对客户，也是 CISO（首席信息和安全官）将物联网设备集成到内部网络的最大挑战。事实上，为了确保足够的身份、所有权和明确的网络安全风险，供应是工业、交通和基础设施应用中物联网兴起的最大单一障碍。

为了解决具有差异化身份和信任根的同质制造的生产问题，有两个主要的替代方案。

第一个是集成一个单独的 SIM（用户身份模块），就像在手机中看到的那样。然而，这确实需要集成 SIM 卡，但存在尺寸和逻辑问题，或者需要在芯片中内置额外处理器的 iSIM（集成 SIM）的实现，具有特定的成本影响。

另一种方法是使用强大的安全启动管理器 (SBM) 简单地锁定设备，以确保在设备上运行的所有代码都已安全生成和注入，并具有强大的代码身份验证。这样做的优势是低成本影响，使用少量内存来扩展启动过程，以及更广泛的设备可用性，包括当今使用的许多流行设备，确保快速的工程采用和简单的发布周期。该解决方案的灵活性支持希望拥有设备身份的组织的自签名证书结构，或希望外包的第三方证书框架。

今天演示的解决方案利用了 SBM 方法，确保可以简单地设计大量设备以实现安全性，并注入 Azure 云连接的标准证书。此证书框架使开发人员能够快速设计数百万台设备，以生成具有唯一标识的设备，然后确保将这些凭据简单地代客到 Azure 云服务中。这确保所有生产的设备都被识别到云中，确保 Azure 服务了解 OEM 供应商和设备功能；并确保最终用户确信设备易于集成、设备已正确生产并且设备已作为安全供应链的一部分发布，从而降低采购风险和集成成本。

从根本上说，这种面向云的新流程建立在现有的开发流程之上，这些流程目前与主要合作伙伴和客户合作，并利用了标准的行业生产机制。这意味着该解决方案对现代生产流程的影响几乎为零，可通过主要电子元件分销商获得，并且可在各种设备上使用。设备数量没有上限或下限，确保为简单原型和早期市场采用到大批量应用提供简单的上市途径。

这是 IAR Systems 公司 Secure Thingz 所采用的方法，通过与 Microsoft Azure 合作启用这种新功能来启用云配置和载入。如上所述，这可以实现快速开发、批量制造和集成更新管理。这实质上为安全配置技术提供了宝贵的扩展，使组织能够轻松地将其设备整体集成到云中，消除客户和云服务未知设备的传统入职挑战。

总而言之，将设备连接和载入到云端可能是目前行业面临的最大挑战，主要是由于合作伙伴和设备类型的数量。通过利用如上所述的扩展流程，现在可以为 Microsoft Azure 设计和配置“云就绪”，降低开发成本，减少客户集成挑战，并消除与向网络添加设备相关的网络安全风险。
相关实战：https://www.99qibang.cn/information/5fa47fc1378c4e10874840e21d41d79f.html
https://www.99qibang.cn/information/c53bfbb1c67c4ae38b0ffb4c33ebb4a1.html
https://www.99qibang.cn/information/a06d848dd22a42acbbfb76072cb722d1.html
https://www.99qibang.cn/information/da4f38053f444f4ea8eb97dbd67113e6.html