在本文中，我們將研究正在采用的虛擬化技術(shù)，以及哪些特性和功能對(duì)于提高物聯(lián)網(wǎng)端點(diǎn)的安全性很重要。

嵌入式設(shè)備和實(shí)時(shí)操作系統(tǒng)根

物聯(lián)網(wǎng)設(shè)備并不是最近才出現(xiàn)的。這些設(shè)備是從已經(jīng)存在 50 多年的傳統(tǒng)嵌入式系統(tǒng)演變而來(lái)的。嵌入式系統(tǒng)具有嚴(yán)格的實(shí)時(shí)要求，通常采用某種實(shí)時(shí)操作系統(tǒng) （RTOS），盡管最近這些系統(tǒng)被拆分為 Linux（非實(shí)時(shí)）環(huán)境和處理時(shí)間關(guān)鍵功能的 RTOS的設(shè)備。這些較新的嵌入式系統(tǒng)通常在芯片和 Linux/RTOS 環(huán)境之間使用虛擬化層，以便在一個(gè)物理設(shè)備上共享嵌入式資源。

最初，這些嵌入式系統(tǒng)并未將安全視為高優(yōu)先級(jí)，因?yàn)樗鼈兪枪铝⒌那覜]有連接性。隨著嵌入式系統(tǒng)的連接，人們?cè)絹?lái)越擔(dān)心，但如果發(fā)生入侵，設(shè)備中嵌入的專有 RTOS 或“全金屬”軟件仍然會(huì)使攻擊變得困難，沒有太多價(jià)值，同時(shí)降低了與額外芯片組相關(guān)的 BOM 成本支持單獨(dú)的獨(dú)立 RTOS。

如今，物聯(lián)網(wǎng)設(shè)備泄露對(duì)財(cái)務(wù)和生命威脅有著深遠(yuǎn)的影響。鑒于汽車、醫(yī)療和工業(yè)領(lǐng)域的物聯(lián)網(wǎng)，威脅是真實(shí)存在的，必須認(rèn)真對(duì)待。

安全的虛擬化和物聯(lián)網(wǎng)設(shè)備

Cog Systems 于 2014 年從 Open Kernel Labs 成立，其重點(diǎn)研究領(lǐng)域是微內(nèi)核和基于低級(jí)軟件的技術(shù)。這種在嵌入式和移動(dòng)設(shè)備方面的長(zhǎng)期經(jīng)驗(yàn)讓我們深入了解了這個(gè)支持物聯(lián)網(wǎng)的新世界的安全風(fēng)險(xiǎn)。

“Cog 從嵌入式微內(nèi)核和管理程序開始，然后專注于使設(shè)備為物聯(lián)網(wǎng)做好準(zhǔn)備所需的安全和強(qiáng)化方面，”Cog Systems 首席執(zhí)行官 Dan Potts 描述道?！拔覀兛吹?，如果人們繼續(xù)保持現(xiàn)狀建造他們的設(shè)備，如果你看看預(yù)測(cè)的增長(zhǎng)趨勢(shì)，由于規(guī)模的大幅增加，一個(gè)巨大的問(wèn)題迫在眉睫?！?/p>

部分問(wèn)題在于許多嵌入式軟件設(shè)計(jì)往往是一個(gè)單片系統(tǒng)。Cog 很早就意識(shí)到，更加模塊化的設(shè)計(jì)對(duì)于識(shí)別和管理安全問(wèn)題至關(guān)重要。

此外，Linux 攻擊面可能很大，并且由于熟悉和開源訪問(wèn)，繞過(guò)安全機(jī)制并不困難。隨著 Cog 開始與系統(tǒng)集成商合作，他們顯著改進(jìn)了他們的支持技術(shù)，以解決攻擊面和安全問(wèn)題。

“通過(guò)利用我們最初的經(jīng)驗(yàn)，我們現(xiàn)在能夠?qū)Ｗ⒂跒槲锫?lián)網(wǎng)設(shè)備開發(fā)提供更多現(xiàn)成的大眾市場(chǎng)軟件解決方案，”波茨說(shuō)?！拔覀兲峁?SDK 來(lái)幫助設(shè)備制造商整合基于安全虛擬化/管理程序的設(shè)計(jì)。它使他們能夠在 1 類管理程序的基礎(chǔ)上從單片機(jī)轉(zhuǎn)向模塊化?！?/p>

SDK 被稱為 D4 Secure。管理程序提供第一層。除此之外，還有其他實(shí)用程序和模塊可用于更輕松、更安全地構(gòu)建安全的物聯(lián)網(wǎng)設(shè)備。這些工具包括：

基于管理程序的技術(shù)

具有策略和共享控制的虛擬驅(qū)動(dòng)程序

用于無(wú)線更新的設(shè)備管理

一套安全模塊：VPN、安全通信和身份驗(yàn)證

解決方案路線圖還包括研究下一代管理程序技術(shù)以從大型嵌入式芯片組擴(kuò)展到小型嵌入式芯片組。該解決方案的知識(shí)產(chǎn)權(quán)是在提供虛擬化的同時(shí)最大限度地提高性能。

Qualcomm? Snapdragon? 安全性和 D4 安全性

Snapdragon 是一款高性能芯片，可從 200 系列擴(kuò)展到 800 系列，具有多種應(yīng)用——從簡(jiǎn)單的傳感器到智能手機(jī)、平板電腦、機(jī)器人和自動(dòng)駕駛汽車。Qualcomm 855 的安全態(tài)勢(shì)尤其具有吸引力，它具有許多與物聯(lián)網(wǎng)和潛在 5G 連接相關(guān)的功能。

組合解決方案堆棧從信任鏈和安全啟動(dòng)開始。芯片支持這一點(diǎn)，每個(gè)芯片都有一個(gè)唯一的密鑰。此功能提供了信任的基礎(chǔ)。

Hypervisor 層依賴于安全啟動(dòng)。一旦啟動(dòng)，管理程序就會(huì)接管以維護(hù)安全鏈。多階段引導(dǎo)過(guò)程允許即時(shí)更新整個(gè)軟件映像或單個(gè)模塊（或虛擬機(jī)）。

還內(nèi)置了完整性和多層安全性。例如，Snapdragon 提供了根密鑰，但磁盤加密是單獨(dú)的。這些應(yīng)用程序還能夠利用安全實(shí)用程序，但為獨(dú)立安全提供額外的密鑰。

用例

消費(fèi)者/伴侶機(jī)器人用例需要高性能的機(jī)器學(xué)習(xí)和視覺處理。通常這些東西都包含在操作系統(tǒng)中。還可能存在涉及用于運(yùn)動(dòng)的電機(jī)控制器的遺留代碼。虛擬化堆棧允許這些功能在單個(gè)芯片組上的不同 VM 上運(yùn)行。好處是降低成本和占用空間，但模塊化還允許采用“分而治之”的方法來(lái)實(shí)施安全功能和分離關(guān)鍵功能。

汽車應(yīng)用是另一個(gè)可以更輕松地混合和匹配實(shí)時(shí)（動(dòng)力傳動(dòng)系統(tǒng)、駕駛員輔助/檢測(cè)）和非實(shí)時(shí)（信息娛樂(lè)系統(tǒng)）系統(tǒng)的領(lǐng)域。

驍龍 X50 調(diào)制解調(diào)器支持 5G 網(wǎng)絡(luò)，實(shí)現(xiàn)真??正的邊緣計(jì)算，降低延遲。

概括

物聯(lián)網(wǎng)設(shè)備安全已成為當(dāng)今物聯(lián)網(wǎng)的一項(xiàng)關(guān)鍵要求。利用新工具和開發(fā)套件有助于減少學(xué)習(xí)曲線和開發(fā)時(shí)間。

審核編輯：郭婷