在下一個(gè)重大安全漏洞出現(xiàn)之前，大多數(shù)人不會(huì)考慮現(xiàn)代處理器架構(gòu)中的安全性。最近的 Meltdown/Spectre 事件允許流氓進(jìn)程讀取它沒(méi)有特權(quán)訪問(wèn)的內(nèi)存。在最近的另一起事件中，Mirai 惡意軟件感染了消費(fèi)者互聯(lián)網(wǎng)產(chǎn)品并將其收集到一個(gè)龐大的僵尸網(wǎng)絡(luò)中。從這些事件中學(xué)習(xí)是至關(guān)重要的，值得贊揚(yáng)的是，處理器供應(yīng)商考慮這些以及整個(gè)攻擊面，以幫助提高設(shè)備的安全性。

在這里，我們探討了邊緣計(jì)算的一些最重要的功能以及有助于確保您的設(shè)備及其數(shù)據(jù)安全的安全措施。

指令集架構(gòu)

大多數(shù)指令集被認(rèn)為是為最廣泛的開(kāi)發(fā)人員市場(chǎng)服務(wù)的“通用”指令集，但指令集正在向非常具體的應(yīng)用程序發(fā)展。例如，機(jī)器學(xué)習(xí)正在驅(qū)動(dòng)專注于神經(jīng)網(wǎng)絡(luò)矢量運(yùn)算的指令。安全性還通過(guò)支持散列和加密函數(shù)加速的指令和芯片來(lái)解決。Arm、Intel ?和 AMD 包括加密指令，以顯著提高高級(jí)加密標(biāo)準(zhǔn) (AES) 加密和哈希生成（安全身份驗(yàn)證和加密中的關(guān)鍵）的性能。

加速散列和加密函數(shù)的指令意味著它們可以實(shí)時(shí)完成，對(duì)設(shè)備的操作幾乎沒(méi)有干擾。這也意味著它們可以以其他方式應(yīng)用，例如安全啟動(dòng)、固件更新（完整性檢查和更新身份驗(yàn)證），以及在端點(diǎn)之間對(duì)數(shù)據(jù)進(jìn)行加密和解密的一般通信。

處理器指令加速加密功能的另一種方法是將它們一起卸載到另一個(gè)處理器。這可以通過(guò)專用于安全功能的安全加密處理器來(lái)完成。可信平臺(tái)模塊 (TPM) 是這一概念的實(shí)現(xiàn)，提供安全啟動(dòng)功能以及存儲(chǔ)加密。

虛擬化

虛擬化，就像在裸機(jī)硬件上運(yùn)行的虛擬機(jī)管理程序一樣，調(diào)解來(lái)賓虛擬機(jī)的訪問(wèn)，是處理器架構(gòu)不斷發(fā)展的另一個(gè)領(lǐng)域。雖然虛擬化主要是基于服務(wù)器的功能，但它正在嵌入式設(shè)備中尋找應(yīng)用程序以及安全分區(qū)功能的方法。

處理器架構(gòu)現(xiàn)在包括新的特權(quán)級(jí)別和定義什么是安全執(zhí)行環(huán)境以及什么是用戶空間的能力（因此與虛擬化及其帶來(lái)的額外審查無(wú)關(guān)）。

安全增強(qiáng)虛擬化的實(shí)施包括 AMD 的安全加密虛擬化 (SEV) 和英特爾?的軟件保護(hù)擴(kuò)展 (SGX)。這些功能提供基于硬件的內(nèi)存加密，以保護(hù)以更高權(quán)限級(jí)別運(yùn)行的進(jìn)程。

可信執(zhí)行

許多應(yīng)用程序可以分為兩類；可信代碼和不可信代碼。這并不是說(shuō)不受信任的代碼不可信，而是存在隔離代碼的要求。例如，如果您實(shí)現(xiàn)安全功能，您將希望它單獨(dú)實(shí)現(xiàn)（如果愿意，在它自己的島上）。

主要處理器架構(gòu)在所謂的可信執(zhí)行環(huán)境(TEE) 中實(shí)現(xiàn)了這一點(diǎn)。這允許受信任的應(yīng)用程序在與常規(guī)代碼分開(kāi)的硬件環(huán)境中執(zhí)行。處理器本身實(shí)現(xiàn)了兩個(gè)虛擬內(nèi)核；一種是安全的，另一種是非安全的。在 Arm 世界中，這被稱為 TrustZone，英特爾?稱之為“可信執(zhí)行技術(shù)”。

更進(jìn)一步

沒(méi)有完全安全的設(shè)備，但是通過(guò)構(gòu)建包含最先進(jìn)安全性的設(shè)備，可以阻止攻擊者嘗試?yán)迷撛O(shè)備。物聯(lián)網(wǎng)具有雙重影響，一旦發(fā)現(xiàn)漏洞，它可以迅速將聯(lián)網(wǎng)設(shè)備變成僵尸網(wǎng)絡(luò)僵尸。從一開(kāi)始就將安全性納入設(shè)計(jì)過(guò)程有助于防止您的下一個(gè)設(shè)備成為下一個(gè)安全頭條新聞。

M. Tim Jones 是一位資深的嵌入式固件架構(gòu)師，擁有超過(guò) 30 年的架構(gòu)和開(kāi)發(fā)經(jīng)驗(yàn)。Tim 是多本書籍和多篇文章的作者，涉及軟件和固件開(kāi)發(fā)領(lǐng)域。他的工程背景從地球同步航天器的內(nèi)核開(kāi)發(fā)到嵌入式系統(tǒng)架構(gòu)和協(xié)議開(kāi)發(fā)。

審核編輯黃宇