微軟的物聯(lián)網(wǎng)安全服務(wù)Azure Sphere正式投入商用

在官宣兩年之后，微軟的物聯(lián)網(wǎng)安全服務(wù)Azure Sphere于2020年2月正式投入商用。這意味著從今往后，微軟可以充分利用其強大的云平臺能力為物聯(lián)網(wǎng)中的每臺Azure Sphere設(shè)備提供全面的安全防護。

作為一個基于云計算的安全服務(wù)，Azure Sphere將支持對Azure Sphere認(rèn)證的芯片進行維護、更新和控制，主要的服務(wù)包括：在設(shè)備和互聯(lián)網(wǎng)以及各種輔助云服務(wù)之間建立連接，確保安全啟動、認(rèn)證設(shè)備身份、完整性和信任根；確保設(shè)備運行經(jīng)過審核的代碼庫；提供了一個通道，可自動在已部署的設(shè)備上下載和安裝Azure Sphere系統(tǒng)更新和應(yīng)用程序更新。

這些服務(wù)是通過SaaS平臺的方式提供的，一個Azure Sphere認(rèn)證的芯片只需支付一次性費用 （不到 8.65 美元）即可訪問所有Azure Sphere組件，并在芯片全生命周期中享有操作系統(tǒng)更新的服務(wù)，而無需支付額外的費用。不過，如果你因此而認(rèn)為Azure Sphere僅是一個單純的物聯(lián)網(wǎng)云服務(wù)，這種理解就太簡單了。實際上，Azure Sphere是一個完整的物聯(lián)網(wǎng)安全體系，由三個部分組成：

內(nèi)置微軟安全性技術(shù)的Azure Sphere認(rèn)證芯片，提供連接和可依賴的硬件信任根。

基于Linux的自定義操作系統(tǒng)Azure Sphere OS，旨在創(chuàng)建值得信賴的平臺，提供全新的IoT體驗。

基于云平臺的Azure Sphere安全服務(wù)，中轉(zhuǎn)設(shè)備到云通信的信任、檢測威脅以及更新設(shè)備安全性，為設(shè)備提供持續(xù)的安全保障。

圖1，Azure Sphere完整的物聯(lián)網(wǎng)安全體系（圖源：微軟）

Azure Sphere之所以會采用這樣一種“三合一”的體系化解決方案，其原因不難理解——這是因為物聯(lián)網(wǎng)本身就是一個從邊緣設(shè)備端到云端的復(fù)雜系統(tǒng)，任何一個環(huán)節(jié)的疏漏，都可能成為致命的網(wǎng)絡(luò)安全威脅，只有掌握了系統(tǒng)中的每個環(huán)節(jié)，才可能拍胸脯對整個物聯(lián)網(wǎng)系統(tǒng)的安全做出承諾。

安全芯片

大家知道，想要構(gòu)建一個完整的安全體系是不容易的。在Azure Sphere的三個部分中，后面兩個屬于軟件范疇，對于微軟來說應(yīng)該是駕輕就熟，而第一條“安全芯片”則需要硬件合作伙伴的參與，將與Azure Sphere配套的安全功能內(nèi)置到芯片中，才能完成。

為Azure Sphere尋找硬件合作伙伴的工作，從一開始就在微軟的計劃中。在2018年微軟宣布推出Azure Sphere平臺計劃后不久，聯(lián)發(fā)科就發(fā)布了Azure Sphere微控制器MT3620。

MT3620搭載了一顆主頻高達500MHz 的Arm Cortex-A7 應(yīng)用處理器，200MHz的通用ARM Cortex-M4F內(nèi)核，以及豐富的外設(shè)資源，提供了強大的計算處理能力，令其可以支持廣泛的潛在應(yīng)用。特別值得一提的是MT3620與Azure Sphere配套的安全功能：

MT3620內(nèi)含一個獨立的微軟Pluton安全子系統(tǒng)，作為Azure Sphere的信任根，該子系統(tǒng)擁有自己的Arm Cortex-M4F 內(nèi)核，負(fù)責(zé)處理安全啟動和安全運行。

此外，1x1雙頻 802.11a/b/g/n Wi-Fi 無線電子系統(tǒng)是由一個專屬 Andes N9 32 位 RISC 內(nèi)核來控制，這個子系統(tǒng)包含無線電、基帶和媒體接入控制（MAC）等組件，用來支持高能效高處理量的應(yīng)用。

上述的MT3620的安全子系統(tǒng)與Wi-Fi網(wǎng)絡(luò)子系統(tǒng)均獨立運行，并獨立于MCU中的最終用戶應(yīng)用程序，確保只有Azure Sphere支持的硬件功能才會提供給MT3620 最終用戶使用，以保障硬件設(shè)備的安全性。

當(dāng)然，微軟的硬件伙伴生態(tài)系統(tǒng)的營造并未止步于此，聯(lián)發(fā)科的合作可以看做是一次試水和示范，此后更多的半導(dǎo)體芯片廠商逐漸加入其中，比如Nordic、Nuvoton、NXP、STMicro、Silicon Labs等等，也有越來越多支持Azure Sphere的芯片產(chǎn)品相繼問世。比如去年，恩智浦半導(dǎo)體（NXP）就宣布與微軟合作推出了一款通過微軟Azure Sphere安全認(rèn)證的i.MX 8高性能應(yīng)用處理器，可無縫運行Azure Sphere安全平臺，為邊緣節(jié)點提供一個安全、高性能、智能的嵌入式多核異構(gòu)計算平臺。

從芯片到方案

不過，做硬件開發(fā)的人都知道，從一顆芯片到一款真正可以商用的產(chǎn)品和方案，中間還有不少路要走，對很多開發(fā)者和用戶來說，需要在這個過程中有人能夠助其一臂之力。能夠勝任此項工作的伙伴不僅要在硬件安全方面擁有豐富的經(jīng)驗，而且在單片機和物聯(lián)網(wǎng)應(yīng)用開發(fā)領(lǐng)域也要擁有完備的能力，最好還能夠有更廣泛的產(chǎn)業(yè)鏈資源做支撐……最終安富利被微軟選中，作為首家為其Azure Sphere解決方案提供技術(shù)支持的分銷商。 作為合作的一個重要成果，安富利開發(fā)了一款基于MT3620的Azure Sphere入門級開發(fā)套件，讓開發(fā)者快速開發(fā)出能夠充分利用Azure Sphere服務(wù)的高度安全的端到端物聯(lián)網(wǎng)應(yīng)用。

這個開發(fā)套件的核心是一塊基于MT3620并帶有Wi-Fi連接功能的Sphere模塊，通過多個擴展接口，可與外圍的傳感器、顯示屏、電機、繼電器等外設(shè)連接。開發(fā)套件的底板將Sphere模塊I/O連接到兩個MikroE Click插槽、一個I2C Grove連接器、一個支持添加128x64 OLED圖形顯示屏的連接器，以及板載的傳感器（包括3D加速度計、3D陀螺儀、溫度傳感器和環(huán)境光傳感器）。開發(fā)套件的調(diào)試通過USB-to-UART接口完成，該接口還為開發(fā)板提供必要的5V電源。

圖3，安富利基于MT3620的Azure Sphere入門開發(fā)套件板載資源（圖源：安富利）

圖4，安富利基于MT3620的Azure Sphere入門開發(fā)套件系統(tǒng)框圖（圖源：安富利） 實際上，在Azure Sphere正式商用之前，安富利的這款A(yù)zure Sphere已經(jīng)在物聯(lián)網(wǎng)開發(fā)社區(qū)廣為推廣，通過提供一個硬件開發(fā)平臺彌補了從芯片到方案的開發(fā)資源缺環(huán)，讓不少開發(fā)者得以提前“嘗鮮”，體驗Azure Sphere強大的安全保障功能?，F(xiàn)在，隨著Azure Sphere的正式商用，安富利提供的這種“硬”支撐的效用和價值，也會越來越顯著。大家準(zhǔn)備好，迎接Azure Sphere這個云服務(wù)落地吧！