用Azure Sphere保護物聯網應用?這中間的硬體鴻溝如何跨越,你想好了嗎?
今年年初,微軟Azure Sphere物聯網安全服務平臺的正式商用讓很多開發者技癢,都想在自己的物聯網應用上試用。畢竟,面對物聯網這個 “剛需“,能有來自微軟的技術支撐做背書當然是件好事。況且,Azure Sphere提出的認證晶片、作業系統、安全雲服務三位一體的解決方案體系,看上去是如此完美,大家都希望全面的物聯網安全防護,從此就如探囊取物一般。
但是,作為一個新的技術,Azure Sphere全面滲透到各個領域,還需要一個過程,很多技術細節問題還需要通過Azure Sphere生態的不斷完善去解決。以一個IoT設備的硬體開發為例,想讓它從“裸奔”到穿上可靠的“防護服”,這中間有大量的功課要做。儘管Azure Sphere在為開發者提供認證晶片——比如聯發科的MT3620——但這也僅僅算是一個原材料,想要真正構建起一個完整的物聯網安全硬體體系,中間的設計鴻溝是必須跨越的。所以真正“擁抱”Azure Sphere之前,大家都免不了要花些時間,想想清楚。
不過,如果你還沒有完全想清楚,也不要緊,因為在Azure Sphere硬體開發方面已經有很多人在替你“操心”了——比如安富利(Avnet),不論你是處於何種需求階段的開發者,Avnet都有相應的解決方案提供給你。
“從硬體抓起”是Azure Sphere不同於其他單純的安全雲服務的一個鮮明的特點,而且已經有了MT3620這種成熟的Azure Sphere認證MCU可供使用。從之前我們的文章《微軟Azure Sphere物聯網安全平臺背後,誰在提供“硬”支撐?》中,大家就可以瞭解到這顆內置了微軟Pluton安全子系統和Wi-Fi無線電、集成了一顆Arm Cortex-A7和兩顆Arm Cortex-M4F內核,以及豐富外設資源的晶片,其功能是多麼了得。
可是熟悉硬體開發的人都知道,吃透一顆晶片並最終將其應用在產品中,這個過程並不容易,開發者需要通過Datesheet和技術資料瞭解晶片的內部功能,還需要通過週邊電路的PCB佈局佈線確保晶片與外設的高效連接……這需要相當的功力,也需要花費不少時間。而Avnet推出的MT3620模組,在很大程度上幫助開發者解決了這個問題——通過將RF前端電路以及必要的介面,與MT3620集成在一個33mm x 22mm的小型模組上,可以讓基於Sphere的硬體開發時間大為縮短。
而且,Avnet還很貼心地提供了兩個版本的MT3620模組:一個是集成了晶片天線、具有更高集成度和成本優勢的晶片天線版;另一個是包括兩個U.FL射頻連接器,可連接外置2.4/5GHz天線,實現更好的無線連線性能的UFL版。而且這兩個版本的模組是完全相容的,這就為開發者提升設計的靈活性和可擴展性帶來了便利。
對於那些應用目標已經比較明確的開發者,這種生產就緒型的MT3620模組,無疑可以讓硬體開發者將更多的精力放在系統級的設計上,而無需在底層晶片級應用開發上耗費更多的時間精力。
圖1,晶片天線版Avnet Azure Sphere MT3620模組系統框圖(圖源:Element14)
圖2,ULF天線版Avnet Azure Sphere MT3620模組(圖源:Element14)
當然,現實中硬體開發者的需求是多層次的。如果你是一個腦子中充滿了創意,希望探索Azure Sphere更多可能性的開發者,一個Azure Sphere認證晶片模組顯然就不夠用了,這時尋找一款包括核心Azure Sphere MCU,集合了物聯網應用開發資源的開發工具,就十分必要了。
Avnet專門為這個層次上的開發者提供了一款Azure Sphere MT3620入門級開發套件,該開發套件包括了上述的MT3620模組和一塊載板,前者提供計算處理和無線通訊功能,而後者則包括了感測器(包括3D加速度計、3D陀螺儀、溫度感測器和環境光感測器)、介面(兩個MikroE Click插槽、一個I2C Grove連接器、圖形顯示器連接器,以及開發調試介面等)和人機交互介面(可選的128x64 OLED顯示幕)等豐富的板載資源,構成一個完整的開發平臺。基於這樣的平臺,開發者不論是評估MT3620晶片,還是快速創建一個基於Azure Sphere的安全物聯網應用原型,都是遊刃有餘。
圖3,Avnet Azure Sphere開發工具板載資源(圖源:Element14)
說到這裡,上述的Sphere模組也好,開發工具也罷,針對的用戶都是那種正在搭建新的IoT系統,且在設計之初就在考慮將Azure Sphere安全服務與系統內部深度融合的類型,他們通常會有專門的硬體團隊去負責基於Azure Sphere認證晶片自頂而下完整的正向設計開發。微軟將此類用戶定義為“Greenfield”用戶。
但是在現實中,還有一類用戶,他們希望對現有的存量設備進行升級改造,使其具備物聯網安全功能,而對這些設備硬體完全的翻新和替代是不可能,這類客戶內部往往也沒有專業的安全和硬體團隊做支援……實際上這樣的應用場景,在現實中十分普遍,微軟將其定義為“Brownfield”用戶。如何將這些使用者的存量設備納入到Azure Sphere保護中?微軟給出的解決方案是通過一個所謂的“守護者模組(Guardian Module)”來實現。
簡單地說,Guardian Module就是一個獨立於IoT設備之外並與其相連接的安全模組,他內置Azure Sphere功能,成為IoT設備與Azure Sphere安全雲服務之間的橋樑。Guardian Module在雲端認證成功後,會獲取一個Azure Sphere安全服務“簽署”的證書,憑藉此證書作為“通行證”,與Guardian Module相連接的IoT設備就可以享有一系列Azure Sphere提供的安全雲服務了。
圖4,利用Guardian Module為現有設備提供Azure Sphere安全雲服務(圖源:微軟)
微軟在官網中向用戶推薦的Guardian Module,就是來自Avnet的Guardian 100模組。使用者可將Guardian 100模組通過乙太網或USB介面與現有IoT設備連接,無需專業的人員的支援,即可便捷地將該設備置於Azure Sphere的安全保護傘下,這實在是一種“隨插即用”的體驗,特別適合於那些作用關鍵、價值不菲的設備的升級改造。
圖5, Avnet Guardian 100安全模組(圖源:Element14)
總之,無論你是缺乏物聯網安全專業資源的“小白”用戶,希望為自己的設備添加Azure Sphere安全防護;還是物聯網應用的開發者,希望在原型設計中嘗鮮Azure Sphere的強大功能;抑或是一個希望快速將Azure Sphere MCU投入商用方案的用戶,安富利 都可以為你提供相應的解決方案,説明你跨越硬體設計的鴻溝,讓全面的物聯網安全變得觸手可及!
