在下一個(gè)重大安全漏洞出現(xiàn)之前,大多數(shù)人不會(huì)考慮現(xiàn)代處理器架構(gòu)中的安全性。最近的 Meltdown/Spectre 事件允許流氓進(jìn)程讀取它沒有特權(quán)訪問的內(nèi)存。在最近的另一起事件中,Mirai 惡意軟件感染了消費(fèi)者互聯(lián)網(wǎng)產(chǎn)品并將其收集到一個(gè)龐大的僵尸網(wǎng)絡(luò)中。從這些事件中學(xué)習(xí)是至關(guān)重要的,值得贊揚(yáng)的是,處理器供應(yīng)商考慮這些以及整個(gè)攻擊面,以幫助提高設(shè)備的安全性。
在這里,我們探討了邊緣計(jì)算的一些最重要的功能以及有助于確保您的設(shè)備及其數(shù)據(jù)安全的安全措施。
指令集架構(gòu)
大多數(shù)指令集被認(rèn)為是為最廣泛的開發(fā)人員市場(chǎng)服務(wù)的“通用”指令集,但指令集正在向非常具體的應(yīng)用程序發(fā)展。例如,機(jī)器學(xué)習(xí)正在驅(qū)動(dòng)專注于神經(jīng)網(wǎng)絡(luò)矢量運(yùn)算的指令。安全性還通過支持散列和加密函數(shù)加速的指令和芯片來解決。Arm、Intel ?和 AMD 包括加密指令,以顯著提高高級(jí)加密標(biāo)準(zhǔn) (AES) 加密和哈希生成(安全身份驗(yàn)證和加密中的關(guān)鍵)的性能。
加速散列和加密函數(shù)的指令意味著它們可以實(shí)時(shí)完成,對(duì)設(shè)備的操作幾乎沒有干擾。這也意味著它們可以以其他方式應(yīng)用,例如安全啟動(dòng)、固件更新(完整性檢查和更新身份驗(yàn)證),以及在端點(diǎn)之間對(duì)數(shù)據(jù)進(jìn)行加密和解密的一般通信。
處理器指令加速加密功能的另一種方法是將它們一起卸載到另一個(gè)處理器。這可以通過專用于安全功能的安全加密處理器來完成??尚牌脚_(tái)模塊 (TPM) 是這一概念的實(shí)現(xiàn),提供安全啟動(dòng)功能以及存儲(chǔ)加密。
虛擬化
虛擬化,就像在裸機(jī)硬件上運(yùn)行的虛擬機(jī)管理程序一樣,調(diào)解來賓虛擬機(jī)的訪問,是處理器架構(gòu)不斷發(fā)展的另一個(gè)領(lǐng)域。雖然虛擬化主要是基于服務(wù)器的功能,但它正在嵌入式設(shè)備中尋找應(yīng)用程序以及安全分區(qū)功能的方法。
處理器架構(gòu)現(xiàn)在包括新的特權(quán)級(jí)別和定義什么是安全執(zhí)行環(huán)境以及什么是用戶空間的能力(因此與虛擬化及其帶來的額外審查無關(guān))。
安全增強(qiáng)虛擬化的實(shí)施包括 AMD 的安全加密虛擬化 (SEV) 和英特爾?的軟件保護(hù)擴(kuò)展 (SGX)。這些功能提供基于硬件的內(nèi)存加密,以保護(hù)以更高權(quán)限級(jí)別運(yùn)行的進(jìn)程。
可信執(zhí)行
許多應(yīng)用程序可以分為兩類;可信代碼和不可信代碼。這并不是說不受信任的代碼不可信,而是存在隔離代碼的要求。例如,如果您實(shí)現(xiàn)安全功能,您將希望它單獨(dú)實(shí)現(xiàn)(如果愿意,在它自己的島上)。
主要處理器架構(gòu)在所謂的可信執(zhí)行環(huán)境(TEE) 中實(shí)現(xiàn)了這一點(diǎn)。這允許受信任的應(yīng)用程序在與常規(guī)代碼分開的硬件環(huán)境中執(zhí)行。處理器本身實(shí)現(xiàn)了兩個(gè)虛擬內(nèi)核;一種是安全的,另一種是非安全的。在 Arm 世界中,這被稱為 TrustZone,英特爾?稱之為“可信執(zhí)行技術(shù)”。
更進(jìn)一步
沒有完全安全的設(shè)備,但是通過構(gòu)建包含最先進(jìn)安全性的設(shè)備,可以阻止攻擊者嘗試?yán)迷撛O(shè)備。物聯(lián)網(wǎng)具有雙重影響,一旦發(fā)現(xiàn)漏洞,它可以迅速將聯(lián)網(wǎng)設(shè)備變成僵尸網(wǎng)絡(luò)僵尸。從一開始就將安全性納入設(shè)計(jì)過程有助于防止您的下一個(gè)設(shè)備成為下一個(gè)安全頭條新聞。
M. Tim Jones 是一位資深的嵌入式固件架構(gòu)師,擁有超過 30 年的架構(gòu)和開發(fā)經(jīng)驗(yàn)。Tim 是多本書籍和多篇文章的作者,涉及軟件和固件開發(fā)領(lǐng)域。他的工程背景從地球同步航天器的內(nèi)核開發(fā)到嵌入式系統(tǒng)架構(gòu)和協(xié)議開發(fā)。
審核編輯黃宇
-
處理器
+關(guān)注
關(guān)注
68文章
19048瀏覽量
228530 -
amd
+關(guān)注
關(guān)注
25文章
5406瀏覽量
133730 -
邊緣
+關(guān)注
關(guān)注
0文章
25瀏覽量
1996
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論