硬科技：透过打造晶片提升网路安全的微软Azure Sphere与Google Titan

借由专属硬体以提升资讯安全并不是什么新鲜的点子，相信各位科科耳孰能详的TPM(TrustedPlatformModule，信赖平台模组)就是最常见的例子。

基本上TPM是一颗提供以加密金钥为主基本安全性相关功能的微晶片，利用PKI的原理产生金钥，并将其加密以防金钥外泄，让它们只能由TPM解密，以作为辨识硬体的序号，可进行密码验证及储存身分资料。

一般Windows个人电脑用户最常见的应用是BitLocker，使用TPM进行磁碟资料加密，以免遗失电脑或遭窃时外流资料，并报废电脑时更能安全的删除资料。无论何种「硬体安全技术」，大体上都不脱离类似的应用场景。

在HotChips30，微软与Google分别针对物联网终端及云端资料中心，发表自行定义的MCU微型控制器与安全晶片的技术细节，在众多议程中显得独树一帜，不过也不太让人感到意外就是了。

微软AzureSphere物联网生态系的首颗对应MCU：MediaTekMT3620

参考文章：携手联发科等晶片厂微软释出软硬体整合的物联网解决方案AzureSphere

微软在今年四月公布了AzureSphere物联网安全性专案，微软与联发科(MediaTek)合作开发了物联网(IoT)装置专用、整合Pluton晶片安全技术的联网微控制器(MCU)，设计Linux核心的AzureSphere作业系统，再连结至AzureSphere安全云端服务，管理所有AzureSphere装置并全面性的监控安全威胁与进行软体更新，企图建置从边缘运算一路延伸到云端服务的物联网生态系统。

换言之，晶片制造商可打造更安全的物联网晶片，设备制造商可生产更可靠的物联网装置，而微软则因AzureSphere的普及而争取到更多的云端服务客户，并在物联网产业拥有更大的发言权与潜在商机。

微软会想涉足晶片的理由也很简单：MCU是小型电子装置与物联网终端的大脑，光是2017年出货量就高达90亿，预估在2020年更多达300亿MCU产品连网，这些将是被骇客攻击的最佳目标，而微软早在2015年就有内部团队研究MCU联网装置的安全性，HotChips30就是第一颗AzureSphere相容MCU的「成果发表会」。

AzureSphere相容MCU的概观，一目了然：最重要的微软Pluton晶片安全技术、大于4MB的Flash、不能没有的连网能力、ARMCortex-A系列核心、超过4MB的SRAM，与负责即时运算的ARMCortex-M核心。

MediaTekMT3620就堂堂登场了。

微软明确的定义Pluton安全运算技术的硬体规范，并计画免费授权给经验制造商，让他们都能够研制生产AzureSphere相容晶片，预期将陆续有其他厂商发表产品。

看到微软提出如此宏大且「一体成形，面面俱到」的物联网市场布局，笔者就不禁感慨，在区块链产业，一直不乏宣称以物联网为发展目标、「将上链的物联网资料，作为数位货币信用基础的数位资产」的项目，结果市场推广个个难如登天，走不到终端应用的最后一哩。

假如微软真的想不开，推出自己的物联网区块链服务，将直接电子钱包整合在AzureSphereOS，整个云端服务开放出来作为记帐节点，岂不功德圆满(是否发行货币建立激励机制是另一个严肃的课题)？至于「上链」和「上云端」到底差在哪里，这又是另一个值得科科们深思的课题了。

Google的自制安全晶片：Titan

参考文章：Google自制安全晶片「Titan」确保网路资料传输安全

Google早在去年三月发表「Titan」客制化微型安全晶片，作为云端资料中心设备的可信任启动与安全认证方案，取代过去从不开源的TPM。Google开宗明义：我们需要底层晶片作为信任的基础。

Google开发Titan用来识别启动韧体是否是可被信任的，避免权限入侵攻击，确保系统开机时执行正确的韧体。而Titan也并非只是一颗晶片，背后还有更多重要的支撑元素，包含支援系统、安全架构、产品制造流程，与产品生命周期管理，缺一不可。

Google讲得很白：之所以会自己开晶片，就是因为「市场上找不到合用的产品」而且「要自己掌握技术细节」。但当看到Titan的晶片规格，那个32位元嵌入式处理器核心用那套指令集，难道科科们不会好奇吗？

参考文章：CPU市场三分天下RISC-V有机会与Intel主导的x86、ARM架构一搏吗？

既然连微软都准备昭告天下Pluton晶片安全技术了，Google当然就「OpenTitan」了，不仅大部分开源，还顺便为了推动RISC-V略尽薄力。其实近两年HotChips的议程内容，一直不缺采用RISC-V的技术与产品，假以时日必有好好介绍的价值。

大型网路服务厂商自制晶片蔚为风潮

往往以导入「先不伤荷包，再讲求效果」的FPGA为「起手式」，不只Google、微软、Apple、Amazon这些早在自主研发晶片斐然有成的先行者，像Facebook与中国的百度、阿里巴巴和腾讯，近期也积极投入这个极度烧钱的领域，除了自身的服务规模已足以支持巨大的投资，毕竟，为了自己的独特需求而量身订做秾纤合度的硬体，更可以摆脱传统晶片大厂的绑架，最起码让自己拥有更多讨价还价的议价筹码。

我们有充分的理由可以相信，像IEEEHotChips这种晶片厂商的火力展示大会，将会有越来越多大型网路服务厂商的身影，也会逐渐改变此类活动的风貌。只不过，这对传统晶片大厂来说，这就真的不是什么好消息了，也许各位科科可以好好的期待一下。

在稍早说明里，微软执行长SatyaNlla表示将以Azure云端平台打造「全球最大规模电脑」，同时也强调以此驱动串接物联网应用的AzureIoTEdge平台，并且进一步宣布将对外开放AzureIoTEdgeRuntime执行绪，让开发者更容易借由云端服务控制各类物联网设备。而在此次宣布内容中，更确定将与Qualm、DJI携手合作，透过名为CustomVision功能驱动电脑视觉学习效果，借此对应各类自动化及远端 *** 作使用需求。

在此次与Qualm、DJI的合作里，分别将CustomVision功能与AzureIoTEdge平台资源应用在Qualm推出的监控摄影机开发套件，或是应用在DJI旗下空拍机应用设计，让监控摄影机可直接透过电脑视觉自动判断可疑影像，或是让空拍机可执行工作人员难以到达位置进行管线损坏检视，同时让工作人员能透过远端控制所有 *** 作，让更多工作可透过自动化运作完成，借此造成不必要的安全问题，或是产生不必要的成本浪费。

而此次宣布对外开放AzureIoTEdgeRuntime执行绪，让开发者更容易取用Azure云端平台资源，并且应用在各类终端设备，借此驱动更多元的人工智慧技术应用。

同时，微软也宣布持续扩大AzureAI技术应用，除了与可口可乐、BMW、Twitter、KPMG、NBA等品牌厂商合作，未来更计画持续整合更多开发工具资源，让开发者能借由Azure运算资源打造电脑视觉分析、自然语音翻译、更自然的对话机器人服务互动，甚至进一步与更多硬体设备厂商合作开发套件，例如与Qualm、DJI合作之外，更宣布与Roobo合作语音识别开发套件，让开发者能以此打造可借由Azure运算资源提供自然语意分析翻译服务的硬体设备。

国内的WindowsAzure很快就要正式商用了，许多小伙伴们也有计划把现有的网站迁移到WindowsAzure上去。但是国内相关的中文文档还是比较缺乏的，所以今天我就写了个超详细教程来教大家如何把ASPNET网站部署到WindowsAzure上。demo用的网站是带有数据库的，并且最后还会演示如何绑定一个com域名到网站上。

我写的内容基本都是在Channel9上看来的，并且自己亲自实践过许多次的。大家现在阅读的这个博客就是用同样的方法部署到WindowsAzure上的。所以不必担心文章坑爹。我的博客不像国内的许多网站那样，发表的内容都没自己测过，非常没有责任心。

下面进入正题。

1部署数据库

首先，假设我们的网站已经开发好了。这是一个带有一个SQLServer数据库的ASPNET网站。第一步我们要做的，是把数据库部署到WindowsAzure上去。

你需要的工具：SQLServer2012ManagementStudio。注意，仅仅要求SSMS为2012版，你的数据库引擎版本没有限制。

11在WindowsAzure上创建一个数据库服务器

在SQLDATABASES页面中，点击SERVERS选项卡进入SQL服务器列表页面。这里我已经有个服务器了，但是我还是教大家怎么创建一个新的。

12点击页面最下方工具栏上的ADD按钮

13在d出的对话框中输入SQL服务器的用户名和密码

REGION选择ChinaNorth，这是有原因的，为了省钱，稍后会解释。最下面的勾“ALLOWWINDOWSAZURESERVICESTOACCESSTHESERVER”一定要勾选，意思是允许你Azure上其他服务访问这个数据库，而不用给他们一个个在防火墙中指定IP地址。我们稍后要创建的网站也属于“AZURESERVICES”的范畴，所以一定要勾选这个选项。

14大约4秒后，数据库创建完成。

服务器的名字是Azure随机分配的，不能改。这里我们的服务器叫yfb2xnprey

15接下来，在CONFIGURE选项卡中，我们要把自己当前的IP地址加到防火墙规则里。

这仅仅是为了迁移数据库使用一次。用完以后为了安全建议大家删掉这个IP。IP地址支持单个的，也支持地址段，大家可以根据自己需要设置。

16接下来，我们就要迁移数据库了。

打开SSMS2012，按图中的格式填写服务器名称和你之前设置的用户名、密码。注意，用户名后面一定要有一个“@服务器名称”！

17成功连接到SQLAzure服务器

因为是刚刚创建的新服务器，所以里面一个数据库都木有。

18接下来，用SSMS直接向Azure迁移数据库。

连接到你本地服务器。在你要迁移的数据库上点右键，选择Tasks-DeployDatabasetoSQLAzure

在向导中再次点击Connect按钮，连接到SQLAzure服务器。然后输入新数据库的名称。“EditionofSQLAzure”根据自己需要选择，一般小型网站选择Web，1GB是最省钱的。然后点击Next开始部署。

部署完成后你能看到成功的结果

现在，回到WindowsAzure管理平台中，也能够看见迁移后数据库了。

19准备新的连接字符串

点击刚才创建的“Infodiaos”数据库，打开数据库管理页面，然后点击“ViewSQLDatabaseconnectionstrings”

在d出的窗口中，复制ADONET的连接字符串。

接下来，在你的ASPNET项目里，打开WebReleaseConfig文件。如图所示，把connectionStrings节点根据自己网站的配置还掉。这个WebReleaseConfig文件里的配置会在用“Release”模式编译网站的时候自动把最终的webconfig换掉。“xdt:Transform="Replace"”的意思是在编译网站时候把connectionStrings节点整个换掉。

至此，数据库部分就搞定了。

2部署网站

21在WindowsAzure上创建新网站

在WindowsAzure管理平台最下方的工具栏上，点击"New"

选择Compute，Website，CustomCreate。这是为了防止QUICKCREATE把我们不想要的设置默认撸进去。

在d出的对话框中，输入网站在azure里的二级域名。如果文本框旁边出现绿色的对勾，就表示这个域名是可以用的。当然，这不是我们最终的域名。稍后会教大家绑定自己的域名上去。

REGION里面，要选择ChinaNorth，也就是要和数据库在同一个地理位置，这样的话，同一个数据中心里的传输是不计费的。那为什么刚才数据库一定要选ChinaNorth而不是ChinaEast呢？因为目前中国的网站服务TMD只能选North

DATABASE里面啥都不要选，我们稍后要手动搞这部分。

网站创建完成后，在websites的列表里就能看见正在运行的空站点了。目前是Free模式的，这个是相当有限制的模式，不能绑定域名，稍后我们会更改。

22将数据库链接到网站

为了方便管理，我们通常将数据库链接到网站中。注意，这里的链接仅仅是对于Azure管理平台来说的，并不是程序里的数据库连接。

切换到LINKEDRESOURCES页面，点击“LINKARESOURCE”。

然后选择“LinkanExistingResource”

选择“SQLDatabase”

选择我们的数据库，并且确认用户名和密码

完成连接后，应该能看到数据库已经被成功挂在网站下了。

23从VisualStudio部署网站

最方便的部署方式是通过VisualStudio，直接WebDeploy到服务器上。当然，你也可以手动拷贝文件到Azure提供的FTP上。不过我这里只演示WebDeploy。FTP大家可以自己开荒。

在网站的DASHBOARD右侧，点击“Downloadthepublishprofile”。下载VS用的发布文件。

然后回到VisualStudio，在网站项目上点击右键，选择“Publish”，然后导入刚才下载的Profile文件。

之后，点击“ValidateConnection”验证配置是否正确。如果正确，会看见一个绿色的√。

然后在Settings页面里，选择“Release”模式，这样才会把之前在WebReleaseConfig里配置的连接字符串换进去。

同时，建议勾选“Removeadditionalfilesatdestination”，这样会删除Azure默认网站的文件，完全干净的部署我们的网站。

最后，确认发布的文件后，点击“Publish”发布网站。发布完成后，VS会自动打开目标网站的地址。这是Azure免费网站的二级域名。我们马上要把它换成自己的域名。

24绑定域名

如果你自己申请了域名（cn垃圾域名除外），可以很方便的和AzureWebsite绑定。

首先，Free模式的网站是不支持自定义域名的，所以我们要在SCALE里把网站设置成"SHARED"或“STANDARD”，当然，这两种就要收费了。

之后，在CONFIGURE选项卡中，你就能看到绑定域名的地方了。

点击“managedomains”。

同时，我们要在域名的DNS设置里加两个CNAME记录。这个因人而异，我是DNSPOD的域名解析，

等待DNS记录生效后，切回到WindowsAzure的管理界面就可以完成添加了。

绑定后的网站就是这样了，可以使用自己的域名，看上去非常的牛逼，而且国际域名不用备案哦。

---