Strategy Analytics的研究報告顯示，到2025年全球聯(lián)網的物聯(lián)網設備將達到386億臺，而到2030年這個數(shù)字會快速增長至500億臺。TIRIAS Research也預測，到2025年98%的物聯(lián)網邊緣設備將使用某種形式的機器學習/人工智能……這些市場分析數(shù)據(jù)都表明，在可以預見的未來，邊緣計算服務無論是在規(guī)模上還是用戶體驗上，都將以極快的速度向前演進。

不過，隨著物聯(lián)網邊緣計算的興起，一直有一個我們無法擺脫的“陰影”伴隨左右，那就是邊緣設備的安全問題。 想象一下，這數(shù)百億臺邊緣設備數(shù)量巨大，分布分散，其中大多都處于無人值守的狀態(tài)，這顯然會給網絡黑客們以可乘之機；更為致命的是，一旦這些邊緣設備失守，黑客就會經由這個攻擊界面侵入整個物聯(lián)網系統(tǒng)，進而威脅整個網絡的安全。有研究表明，在針對物聯(lián)網的安全攻擊中，有約83%是經由邊緣終端設備發(fā)起的，難怪有人說，邊緣設備是自帶“招黑體質”。 邊緣設備安全挑戰(zhàn)之所以邊緣設備會如此“招黑”，主要有以下幾方面的原因。 首先，一個設備可達到的安全防護等級一定是與其性能及成本成正比的，這是一個基本常識。但是很多物聯(lián)網的邊緣節(jié)點，都是對功耗和成本極為敏感的設備，往往沒有為部署和實施安全功能預留充足的資源，這也是邊緣設備安全一個先天的不足。 其次，雖然物聯(lián)網（Internet of Things）這個詞中包含有Internet，但是傳統(tǒng)物聯(lián)網中的一些安全技術和標準（如加密技術、TSL協(xié)議等）卻由于物聯(lián)網邊緣應用場景的特殊性——如設備性能受限——不能被直接“拿過來”，而是需要經過專門的優(yōu)化才能派上用場。這種技術和標準上的滯后性，也難免會在網絡整體的安全防護上留下短板。 再有，就是人的因素。從產品開發(fā)的角度來看，安全的邊緣設備需要開發(fā)者具備相應的網絡安全知識和技能，而這并非是傳統(tǒng)嵌入式工程師所擅長和關注的領域；從設備運維的角度看，通常云端數(shù)據(jù)中心都會有專門的安全團隊值守，而這樣的安全專家支持，對于海量的邊緣設備來講，當然是一種奢望。專業(yè)人才的缺失，也是制約邊緣設備安全的關鍵因素。

上述的這些技術和資源瓶頸，與快速增長的邊緣計算需求之間，無疑會構成一對突出的矛盾，無怪乎人們面對邊緣設備的安全，會發(fā)出“太難了”的感嘆。于是，人們自然而然地會去呼喚一種能夠化繁為簡、化難為易的邊緣安全解決方案。考慮到邊緣設備的特殊性，這種方案應該具有三個特性：

更簡單：無需大幅增加軟硬件系統(tǒng)的復雜性，即可實施；

更容易：即使沒有網絡安全專業(yè)知識的開發(fā)者，也可以上手；

更便宜：這是很多邊緣設備的剛需，必須要照顧到。

能夠滿足上述幾個要求的方案有沒有？在簡化邊緣設備安全部署和實施過程中，誰是我們可以仰仗的力量？我們不妨在此做個梳理。

具有安全功能的嵌入式處理器

為邊緣設備加上安全保護傘，需要做的工作可以概括為三個方面：

保密性：對儲存或發(fā)送的數(shù)據(jù)進行加密，防止未經授權的人竊取信息；

完整性：通過防篡改機制，確保消息在到達目的地之前不會被惡意修改；

真實性：對加入網絡的設備進行身份驗證，確保其真實性，謹防冒名頂替。

這一系列工作，通常是按照一套縝密的通信安全協(xié)議，運用一系列安全技術（比如加解密）來完成的，相應地這也需要消耗一部分系統(tǒng)資源。用純軟件的方案來實現(xiàn)安全功能，固然比較靈活和快捷，但是軟件比較容易被破解，而且運行軟件往往需要消耗更多的處理器計算資源，功耗也會相應增加，這對于邊緣設備來講顯然不能接受。因此用硬件方案去實現(xiàn)，就成了實施邊緣安全主要的技術路徑。 為此，嵌入式安全處理器誕生了。之所以在嵌入式處理器的名字上加入了“安全”二字，是因為其在通用的處理器架構上，內置了豐富的安全模塊（如加解密引擎、隨機數(shù)生成器等），將安全軟件的計算功能固化為硬件電路。與軟件方案相比，這樣一方面可以實現(xiàn)更高的安全任務處理的效率，另一方面也有利于對敏感的數(shù)據(jù)進行更有效的保護——目前很多安全處理器上都采用了物理不可克隆功能（PUF）的芯片指紋進行密鑰保護，就是一個例證。

還有一些安全處理器在架構設計中，將與安全相關的計算處理工作從主處理器中剝離出來，由一顆獨立的網絡協(xié)議處理器去承擔，這既為主控制器減負，也是為開發(fā)者減負——他們無需具備高深的網絡安全經驗，也可快速上手。

圖1：TI 的CC3200 WiFi無線MCU，片上集成了TLS協(xié)議棧，由一顆網絡處理器專司安全協(xié)議處理（圖片來源：TI） 近年來，在嵌入式安全處理器上還有一個令人興奮的變化，就是以前一些高端處理器上才得一見的技術，已經可以被更“低端”的MCU所用，比如Arm將其TrustZone安全技術移植到了面向MCU、基于ARMv8-M架構的IP核中（Cortex-M23和Cortex-M33），目前采用這種具備增強安全功能的通用MCU已經面市，這也意味著未來人們在考慮基于MCU的低成本、低功耗邊緣設備的安全保護時，會有更給力的“工具”支持。

圖2：恩智浦的LPC55S6x安全型MCU，內置支持TrustZone安全技術的Arm Cortex-M33內核的（圖片來源：NXP） 即插即用的安全元件不過，盡管嵌入式安全處理器的“功力”越來越深厚，產品組合也越來越豐富，但對于碎片化的物聯(lián)網市場來說，還是無法覆蓋所有需求。有些應用場景可能希望，在不替換主控處理器的前提下，用一種類似于“即插即用”的方式，為整個系統(tǒng)添加安全功能，更靈活快捷地實現(xiàn)邊緣設備的安全布防。這時，就是安全元件（SE、Security Element）顯身手的時候了。

安全元件是一種負責安全相關運算任務的獨立芯片，能夠實現(xiàn)關鍵的加解密、簽名認證及敏感信息存儲等功能，它通過I2C、SPI等接口與主處理器連接，可以很方便地搭建一個安全的物聯(lián)網邊緣節(jié)點。由于采用了主控制器+安全元件的分立系統(tǒng)架構，雖然從BOM上看多了一顆料，但由此給設計開發(fā)和供應鏈管理帶來的靈活性，也是一個在技術決策時很能打動人的因素。

對于安全元件上述的這些特性優(yōu)勢，很多人都已經有了比較清晰的認知。今天安全元件發(fā)展的重點，更多的是在“即插即用”四個字上下功夫，也就是說通過安全元件自身功能的完善和優(yōu)化，顯著地降低用戶在邊緣設備上實施安全功能的門檻。 在這方面，恩智浦半導體的EdgeLock SE050就是一個很好的例子。該器件基于通用標準EAL 6+的安全性，內置了邊緣設備與云端實現(xiàn)安全連接所需的各種功能：EdgeLock SE050在生產時預先配置了憑據(jù)，這些憑據(jù)始終保存在IC中；在物聯(lián)網設備中，SE050通過I2C接口與主控處理器相連，然后使用中間件連接云端，并使用預置憑據(jù)建立TLS連接（支持TLS 1.3）；整個端到端通信都是加密的，確保所有交換數(shù)據(jù)的保密性和完整性。對于開發(fā)者來說，使用EdgeLock SE050最大的妙處就在于：無需編寫任何安全代碼，即可完成整個安全實施過程。 為了進一步加速開發(fā)進程，恩智浦還提供完整的支持工具包，提供不同MCU和MPU的庫，支持多種操作系統(tǒng)（Linux、Windows、Android和主流RTOS），以及提供示例代碼、應用說明等開發(fā)資源。所有這些努力，都是希望“即插即用”的邊緣安全開發(fā)體驗能夠更加完美。

圖3：恩智浦的EdgeLock SE050安全元件，力求提供一種“即插即用”的開發(fā)體驗（圖片來源：NXP） 端到端的體系化安全解決方案目前為止，我們介紹了嵌入式安全處理器和安全元件兩種能夠讓邊緣設備變得更安全的技術。如果你由此認為，邊緣設備安全都是芯片廠商在關心的事兒，那就錯了。實際上，云計算廠商在這方面的積極性也頗為高漲，原因也很好理解——越多的安全邊緣設備接入云端，也就意味著更多云服務的價值變現(xiàn)。 在這方面，微軟可以算是表現(xiàn)最為活躍的一家。按照微軟的描述，Azure Sphere作為一個基于云計算的安全服務平臺，支持對Azure Sphere認證的芯片進行維護、更新和控制，這些服務包括：在設備和互聯(lián)網以及各種輔助云服務之間建立連接，確保安全啟動、認證設備身份、完整性和信任根；確保設備運行經過審核的代碼庫；提供了一個通道，可自動在已部署的設備上下載和安裝Azure Sphere系統(tǒng)更新和應用程序更新等。

值得一提的是，Azure Sphere不是一個單純的物聯(lián)網云服務，它實際上是由一個覆蓋從邊緣端到云端的、完整的物聯(lián)網安全體系構成的，包括三個部分：

基于云平臺的Azure Sphere安全服務：中轉設備到云通信的信任、檢測威脅以及更新設備安全性，為設備提供持續(xù)的安全保障。

基于Linux的定制操作系統(tǒng)Azure Sphere OS：旨在創(chuàng)建值得信賴的平臺，提供全新的IoT體驗。

內置微軟安全性技術的Azure Sphere認證芯片：提供連接和可依賴的硬件信任根。

在整個體系的構建中，微軟親自操刀完成前面兩項軟件開發(fā)工作，而第三項偏“硬”的工作，則是通過生態(tài)鏈合作，交由專業(yè)的芯片廠商去完成，芯片廠商將在自己的芯片中預置微軟的Pluton安全子系統(tǒng)，它包括一顆Arm Cortex-M4F 內核，作為Azure Sphere的信任根，同時也負責處理安全啟動和安全運行等事項。實際上，這可以看做是一顆專為Azure Sphere打造的安全處理器。目前，已經有聯(lián)發(fā)科、恩智浦、意法半導體、高通、Nordic、新唐、Silicon Labs、Toshiba等芯片廠商加入了這一計劃，相應的芯片產品也在研發(fā)和陸續(xù)推出中。 由于有微軟強大的技術實力做背書，對于用戶來說，選用了Azure Sphere認證的芯片開發(fā)邊緣設備，也就意味著將自身置于一個體系化的物聯(lián)網安全保護之中，這無疑是一種很省心的選擇。 而且微軟針對那些不具備物聯(lián)網安全功能、甚至是沒有接入物聯(lián)網的現(xiàn)有設備，還提出了一種更為省心的解決方案——它們通過一個基于Azure Sphere認證芯片、被稱為Guardian模塊（Guardian Module）的設備，即可接入Azure Sphere安全平臺，獲得全面保護。

由此可見，云平臺廠商也在憑借自身的影響力，通過整合生態(tài)鏈的資源，為邊緣設備安全保護提供一個端到端的解決方案。

在物聯(lián)網時代，除非你徹底“斷網”，否則就一定會面臨著安全威脅。因此，安全必須成為物聯(lián)網的底色，并成為物聯(lián)網技術和服務提供商的共識。保護數(shù)百億邊緣設備的安全，不是一件容易的事，不過通過人們共同的努力，相信它一定可以變得原來越容易。