物聯(lián)網(wǎng)系統(tǒng)的廣度多種多樣，導(dǎo)致傳感器、網(wǎng)關(guān)和云環(huán)境存在廣泛的漏洞。由于企業(yè)云計(jì)算和應(yīng)用程序的悠久歷史，保護(hù)云系統(tǒng)已經(jīng)大大成熟。然而，在傳感器和邊緣，安全性一直停滯不前。

隨著物聯(lián)網(wǎng)設(shè)備變得越來越復(fù)雜，智能邊緣的部署越來越廣泛，這些終端設(shè)備成為有吸引力的攻擊目標(biāo)，并進(jìn)入更大的物聯(lián)網(wǎng)系統(tǒng)。

在本文中，我們將介紹正在采用的虛擬化技術(shù)，以及哪些類型的特性和功能對(duì)于提高 IoT 端點(diǎn)的安全性非常重要。

嵌入式設(shè)備和實(shí)時(shí)操作系統(tǒng)根目錄

物聯(lián)網(wǎng)設(shè)備不是最近才出現(xiàn)的。這些設(shè)備已經(jīng)從已經(jīng)存在了50多年的傳統(tǒng)嵌入式系統(tǒng)演變而來。嵌入式系統(tǒng)具有硬實(shí)時(shí)要求，并且通常采用某種實(shí)時(shí)操作系統(tǒng)（RTOS），盡管最近這些系統(tǒng)被拆分為Linux（非實(shí)時(shí)）環(huán)境和處理設(shè)備時(shí)間關(guān)鍵型功能的RTOS。這些較新的嵌入式系統(tǒng)通常在芯片和Linux/RTOS環(huán)境之間使用虛擬化層，以便在一個(gè)物理設(shè)備上共享嵌入式資源。

最初，這些嵌入式系統(tǒng)并不認(rèn)為安全性是重中之重，因?yàn)樗鼈兪枪铝⒌?，沒有連接。隨著嵌入式系統(tǒng)的連接，人們?cè)絹碓綋?dān)心，但仍然嵌入在設(shè)備中的專有RTOS或“對(duì)接”軟件使得攻擊變得困難，如果實(shí)現(xiàn)違規(guī)，則沒有太大價(jià)值，同時(shí)降低了與支持單個(gè)單獨(dú)RTOS的額外芯片組相關(guān)的BOM成本。

如今，物聯(lián)網(wǎng)設(shè)備泄露具有深遠(yuǎn)的財(cái)務(wù)和生命威脅影響。鑒于汽車、醫(yī)療和工業(yè)領(lǐng)域的物聯(lián)網(wǎng)，這種威脅是真實(shí)存在的，必須認(rèn)真對(duì)待。

安全虛擬化和物聯(lián)網(wǎng)設(shè)備

Cog Systems成立于2014年，由開放內(nèi)核實(shí)驗(yàn)室組成，其重點(diǎn)研究領(lǐng)域是微內(nèi)核和基于軟件的低級(jí)技術(shù)。這種對(duì)嵌入式和移動(dòng)設(shè)備的長(zhǎng)期經(jīng)驗(yàn)提供了對(duì)這個(gè)新的物聯(lián)網(wǎng)世界的安全風(fēng)險(xiǎn)的深入了解。

“Cog從嵌入式微內(nèi)核和虛擬機(jī)管理程序開始，然后專注于使設(shè)備為物聯(lián)網(wǎng)做好準(zhǔn)備所需的安全性和強(qiáng)化方面，”Cog Systems首席執(zhí)行官Dan Potts描述道?！拔覀兛吹?，如果人們繼續(xù)按照現(xiàn)狀構(gòu)建他們的設(shè)備，如果你看看預(yù)測(cè)的增長(zhǎng)趨勢(shì)，由于規(guī)模的大規(guī)模增加，一個(gè)巨大的問題迫在眉睫。

部分問題在于，許多嵌入式軟件設(shè)計(jì)往往是一個(gè)單片系統(tǒng)。Cog很早就意識(shí)到，更加模塊化的設(shè)計(jì)對(duì)于識(shí)別和管理安全問題至關(guān)重要。

此外，Linux攻擊面可能很大，并且由于熟悉和開源訪問，繞過安全機(jī)制并不困難。隨著Cog開始與系統(tǒng)集成商合作，他們顯著推進(jìn)了他們的支持技術(shù)，以解決攻擊面和安全問題。

“通過利用我們最初的經(jīng)驗(yàn)，我們現(xiàn)在能夠?qū)Ｗ⒂跒槲锫?lián)網(wǎng)設(shè)備開發(fā)提供更多現(xiàn)成的大眾市場(chǎng)軟件解決方案，”Potts說?！拔覀兲峁?a target="_blank">SDK來幫助設(shè)備制造商整合基于虛擬化/虛擬機(jī)管理程序的安全設(shè)計(jì)。它使他們能夠在1型虛擬機(jī)管理程序的支持下從單片式遷移到模塊化。

該 SDK 稱為 D4 安全。虛擬機(jī)管理程序提供第一層。最重要的是，還有其他實(shí)用程序和模塊可用于更輕松，更安全地構(gòu)建安全的物聯(lián)網(wǎng)設(shè)備。這些工具包括：

基于虛擬機(jī)管理程序的技術(shù)

具有策略和共享控制的虛擬驅(qū)動(dòng)程序

用于無線更新的設(shè)備管理

一套安全模塊：VPN、安全通信和身份驗(yàn)證

解決方案路線圖還包括研究下一代虛擬機(jī)管理程序技術(shù)，以便從大型嵌入式芯片組擴(kuò)展到小型嵌入式芯片組。該解決方案中的知識(shí)產(chǎn)權(quán)是關(guān)于最大限度地提高性能，同時(shí)仍然提供虛擬化。

高通?驍龍?安全和D4安全

Snapdragon是一款高性能芯片，可從200系列擴(kuò)展到800系列，具有多種應(yīng)用 - 從簡(jiǎn)單的傳感器到智能手機(jī)，平板電腦，機(jī)器人和自動(dòng)駕駛汽車。高通855的安全態(tài)勢(shì)特別有吸引力，它具有許多與物聯(lián)網(wǎng)和潛在5G連接相關(guān)的功能。

組合的解決方案堆棧從信任鏈和安全啟動(dòng)開始。該芯片通過每個(gè)芯片的唯一密鑰來支持這一點(diǎn)。此功能提供了信任的基礎(chǔ)。

虛擬機(jī)管理程序?qū)右蕾囉诎踩珕?dòng)。啟動(dòng)后，虛擬機(jī)管理程序?qū)⒔庸芤跃S護(hù)安全鏈。多階段啟動(dòng)過程允許動(dòng)態(tài)更新整個(gè)軟件映像或單個(gè)模塊（或虛擬機(jī)）。

完整性和多層安全性也內(nèi)置于內(nèi)。例如，驍龍?zhí)峁└荑€，但磁盤加密是分開的。這些應(yīng)用程序還能夠利用安全實(shí)用程序，但為獨(dú)立安全性提供額外的密鑰。

使用案例

消費(fèi)者/伴侶機(jī)器人用例需要高性能的機(jī)器學(xué)習(xí)和視覺處理。通常，這些內(nèi)容都包含在操作系統(tǒng)中。還可能存在涉及用于運(yùn)動(dòng)的電機(jī)控制器的舊代碼。虛擬化堆棧允許這些功能在單個(gè)芯片組上的單獨(dú) VM 上運(yùn)行。其優(yōu)點(diǎn)是降低成本和占地面積，但模塊化還允許采用“分而治之”的方法來實(shí)現(xiàn)安全功能和關(guān)鍵功能的分離。

汽車應(yīng)用是另一個(gè)可以更容易地混合和匹配實(shí)時(shí)（動(dòng)力傳動(dòng)系、駕駛員輔助/檢測(cè)）和非實(shí)時(shí)（信息娛樂系統(tǒng)）系統(tǒng)的領(lǐng)域。

驍龍X50調(diào)制解調(diào)器為5G網(wǎng)絡(luò)提供支持，并以更低的延遲實(shí)現(xiàn)真正的邊緣計(jì)算。

總結(jié)

物聯(lián)網(wǎng)設(shè)備安全已成為當(dāng)今物聯(lián)網(wǎng)的關(guān)鍵要求。利用新工具和開發(fā)工具包可以幫助減少學(xué)習(xí)曲線和開發(fā)時(shí)間。

審核編輯：郭婷