如何讓物聯(lián)網(wǎng)更安全？金融級的安全芯片保駕護航

隨著(zhù)物聯(lián)網(wǎng)的迅猛發(fā)展，與人身或財產(chǎn)安全相關(guān)的設備迫切需要提高安全性，例如智能家居里的智能門(mén)鎖、攝像頭、智能音箱，還有智慧工廠(chǎng)、電動(dòng)汽車(chē)的充電樁等。那么，如何保證這些物聯(lián)網(wǎng)設備的高安全性，且又易于設計開(kāi)發(fā)？另外，現在很多MCU/CPU等主控芯片也帶有越來(lái)越多的安全功能，為何還需要額外的安全芯片？

近日，英飛凌科技發(fā)布了物聯(lián)網(wǎng)上云芯片——OPTIGA? Trust M2 ID2，優(yōu)勢是可以支持阿里云Link ID2的服務(wù)。為此，英飛凌科技安全互聯(lián)系統事業(yè)部市場(chǎng)經(jīng)理成皓先生向電子產(chǎn)品世界等媒體介紹了物聯(lián)網(wǎng)安全芯片的特點(diǎn)，以及如何實(shí)現高安全性。

英飛凌科技安全互聯(lián)系統事業(yè)部市場(chǎng)經(jīng)理 成皓

1   基于硬件最安全

目前物聯(lián)網(wǎng)設備常用的安全方案有三類(lèi)（如下圖）。

1）   沒(méi)有安全。由于很多邊緣側的設備資源比較有限，或處于成本考慮，因此很多設備廠(chǎng)商在設備設計的初期沒(méi)有考慮去引入相關(guān)的安全機制，這導致邊緣側的設備成為易于被攻擊的對象。

2）基于軟件實(shí)現的安全。很多企業(yè)和服務(wù)提供商基于成本等考量，會(huì )有基于軟件實(shí)現的方案。確實(shí)基于軟件實(shí)現的方案可以用來(lái)防御一些邏輯通話(huà)上的非法訪(fǎng)問(wèn)，和減少軟件自身漏洞帶來(lái)的風(fēng)險。但是同時(shí)也有一些問(wèn)題，例如軟件是運行在通用的MCU、CPU環(huán)境中，數據易于被訪(fǎng)問(wèn)和讀取，因而易于被復制和篡改、分析和理解。最重要的一點(diǎn)是基于純軟件的方案，在安全系統里無(wú)法做到整個(gè)系統可信任的“根”。

3）基于硬件的安全。最大的優(yōu)勢是可以用于抵御針對硬件級別的攻擊。例如英飛凌此次發(fā)布的OPTIGA? Trust M2 ID2，其中一些經(jīng)過(guò)特殊設計的精簡(jiǎn)邏輯，會(huì )更好地保護數據的存儲。即使通過(guò)一些非常專(zhuān)業(yè)的反向工程，也無(wú)法輕易地破取和破解原始數據。此外，一些專(zhuān)業(yè)的設計和標準的代碼也非常難以被破解和理解。最重要的一點(diǎn)是基于硬件的安全芯片方案可以為整個(gè)系統的安全做到一個(gè)可信任的“根”，也是作為系統可信任的來(lái)源。

2   物聯(lián)網(wǎng)設備設計面臨的挑戰與需求

物聯(lián)網(wǎng)設備主要有以下6個(gè)特點(diǎn)。

●   MCU/CPU，即主控資源非常有限。如果以純軟件方式來(lái)實(shí)現，勢必會(huì )占用更多原本已經(jīng)非常緊張的主控/MCU的資源。相比之下，安全芯片會(huì )以非常輕量化的資源占用來(lái)實(shí)現安全功能，同時(shí)不會(huì )占用主控端的資源。

●   貼片空間的限制，因為一些物聯(lián)網(wǎng)設備/家電設備/便攜式設備的尺寸越來(lái)越小。

●   功耗的限制。

●   成本的敏感性。

●   輕量化的操作系統。

●   跨領(lǐng)域的產(chǎn)品設計。因而需要易于集成、易用。

3   Trust M2 ID2的主要優(yōu)勢

Trust M2 ID2產(chǎn)品的特點(diǎn)很多（如下圖），突出特點(diǎn)是易于開(kāi)發(fā)和高安全性。

1）易用開(kāi)發(fā)方面，有完整的交鑰匙式的解決方案，客戶(hù)定制化證書(shū)燒錄，基于硬件抽象層架構的主端C源碼包，有完善的評估工具。

2）從安全特性來(lái)說(shuō)，Trust M2 ID2是一款經(jīng)過(guò)最高安全認證等級、金融級別安全認證等級CC EAL 6+（high）認證的安全控制器，支持X.509標準的證書(shū)格式，硬件發(fā)生器符合AIS-31認證標準。

具有OPTIGA? Shielded Connection。因為在物聯(lián)網(wǎng)設備里，除了考慮設備與設備之間、設備與云端之間的數據需要加密之外，本身的安全芯片和主控端MCU/CPU通信也是鏈路傳輸的過(guò)程，這有一套特有的安全機制。所以英飛凌保證的是所有在鏈路上傳輸的數據，不管是設備和云端，還是設備內部的數據傳遞全是加密進(jìn)行的傳遞，提升了整體安全等級。

此外還有雙向認證功能。OPTIGA? Trust M2 ID2可以存儲多組密鑰和證書(shū)，用來(lái)完成物聯(lián)網(wǎng)設備和云端、以及和其它設備之間的雙向認證。同時(shí)，加載安全芯片的設備可以和其它的控制器及生態(tài)系統內的設備進(jìn)行雙向認證。所以，需要強調的一點(diǎn)是，①在物聯(lián)網(wǎng)整個(gè)系統架構中，除了云端或者服務(wù)端對設備的認證非常重要之外，設備端對于云端的鑒別也是非常重要的。所以英飛凌的方案是一個(gè)雙向認證的功能，而不是單向認證。

典型應用場(chǎng)景是如下幾個(gè)。

●   固件安全升級。 目前在很多物聯(lián)網(wǎng)攻擊的模式里，很多攻擊（包括黑客攻擊）是通過(guò)偽造一些固件包的方式，企圖來(lái)獲取對設備的控制權。一般的用戶(hù)沒(méi)有能力去鑒別。例如我現在收到了一個(gè)固件升級包是否是完整、來(lái)源合法的升級包？再例如手機升級，但對于一般用戶(hù),沒(méi)有能力去判斷自己現在手機上收到的升級包是否是合法來(lái)源的。所以這種升級過(guò)程是有很大風(fēng)險的，會(huì )導致設備被黑客或非法分子監聽(tīng)或控制。OPTIGA? Trust M2 ID2可以通過(guò)“可信任根”的功能，幫助設備實(shí)現鑒別固件升級包來(lái)源的功能。

●   個(gè)人化數據的寫(xiě)入。 具體結合到OPTIGA? Trust M ID2產(chǎn)品，在該芯片的生產(chǎn)階段就已經(jīng)預置了一款由阿里云的Link ID2的服務(wù)器分發(fā)的獨一無(wú)二的ID信息，終端客戶(hù)（IoT設備廠(chǎng)商的客戶(hù)）直接用嵌入這款安全芯片到終端設備中即可使用。使用方式是嵌入這款安全芯片之后，它第一次聯(lián)網(wǎng)的時(shí)候就會(huì )完成一次Link ID2設備在云端的注冊。因此，英飛凌提供相關(guān)的安全和個(gè)性化數據寫(xiě)入的功能之外，也為這些設備制造商和云服務(wù)商提供了一些全新的商務(wù)模式。例如他們可以通過(guò)收取服務(wù)費或授權費的方式，來(lái)獲得更多的商務(wù)模式的可能性擴展。

●   數據安全存儲。 這是比較容易理解的一種功能，還可以把一些用戶(hù)的關(guān)鍵數據與信息，例如證書(shū)、密鑰，通過(guò)加密的方式，存儲在設備的內部，好處是存儲在安全芯片內部的數據，哪怕設備遭受了外部的攻擊，盡管外部的系統設計或軟件層面有一些漏洞，因為黑客或攻擊者沒(méi)有對安全芯片訪(fǎng)問(wèn)的能力，存儲在安全芯片內部的數據也無(wú)法被外部去截取和分析。這也是硬件安全芯片比較大的優(yōu)勢。

●   “平臺完整性”的校驗。主要針對某些系統需要安全啟動(dòng)的場(chǎng)景下，設備有能力來(lái)判斷目前放在這個(gè)設備上的操作系統或軟件是否被篡改，進(jìn)而來(lái)抵御攻擊能力的一個(gè)手段。

4   安全芯片的應用案例

1）   智能音箱

智能音箱除了能夠代替傳統的藍牙音箱欣賞音樂(lè )之外，還可以以更便捷的語(yǔ)音形式上網(wǎng)，同時(shí)可以和用戶(hù)進(jìn)行語(yǔ)音方面的互動(dòng)。另外，很多智能音箱提供商把智能音箱作為對全屋智能家電語(yǔ)音交互的節點(diǎn)，可控制窗簾、開(kāi)門(mén)、下載音樂(lè )等。

通過(guò)英飛凌的OPTIGA? Trust M2 ID2可實(shí)現數據存儲、加密等功能，例如，很多時(shí)候，需要提供云服務(wù)提供商帳號密碼才能登陸智能音箱進(jìn)行安全操控，可以把這些賬戶(hù)信息/ID信息或密碼存儲到安全芯片內部。另外，可以通過(guò)安全芯片的雙向認證功能，保證智能音箱只處理一些經(jīng)過(guò)合法來(lái)源認證的信息。例如這時(shí)突然有黑客或陌生人通過(guò)一些偽造遠程語(yǔ)音信息的方式來(lái)“開(kāi)門(mén)”或“開(kāi)窗”，智能音箱有能力鑒別它的信息，或鑒別對智能音箱進(jìn)行操控的設備是否是合法來(lái)源。

再有，可以保證所有的設備和服務(wù)端云端交互的數據都是通過(guò)加密的形式進(jìn)行傳遞的。例如，可能有些智能音箱里的關(guān)鍵數據需要上傳到云端，可以保證鏈路上的數據都是加密的，就算被黑客進(jìn)行數據攔截，它也無(wú)法破譯原始數據的信息。

2）   智能工廠(chǎng)

國外已有兩三家知名的生產(chǎn)企業(yè)在智能化工廠(chǎng)的終端設備，諸如機械手臂、集成PLC上的產(chǎn)品里，嵌入了Trust M的安全芯片。主要實(shí)現的功能是用于端到端的數據加密。同時(shí)，生產(chǎn)企業(yè)通過(guò)Trust M2 ID2芯片可以來(lái)驗證上傳數據的設備是否是合法的設備、是否是在工廠(chǎng)內實(shí)際工作的設備，而非黑客或者是第三方偽造的設備。

3）   網(wǎng)絡(luò )攝像頭

網(wǎng)絡(luò )攝像頭是被黑客重點(diǎn)攻擊的設備之一。除了公共場(chǎng)合里的攝像頭，也有家用攝像頭。例如冰箱里的攝像頭，主要對冰箱里的食物拍攝、統計，并及時(shí)提醒用戶(hù)；很多超市的貨架上也安置了攝像頭，便于工作人員管理貨架。家用攝像頭主要用于監控，例如可以防止竊賊、遠程觀(guān)看家中老人和小孩的情況。不過(guò)此時(shí)，由于網(wǎng)絡(luò )攝像頭可監控的特性，也會(huì )成為很多不法分子的攻擊對象。

目前很多攝像頭被入侵的一個(gè)主要原因是它的“弱口令”。一般很多出廠(chǎng)密碼就會(huì )默認設置admin了，所以對于黑客攻擊來(lái)說(shuō)，攻擊這類(lèi)設備非常容易。所以通過(guò)在攝像頭里去集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭本身與云服務(wù)之間通訊數據進(jìn)行安全加密，這些關(guān)鍵數據在鏈路上傳輸時(shí)無(wú)法被破解。

5   哪些場(chǎng)景需要硬件安全芯片？

所以是否需要用安全硬件芯片，要看具體在應用場(chǎng)景里面需要用到哪些安全級別。例如，對某些成本比較敏感或安全訴求不是很高的應用場(chǎng)景里，例如智能門(mén)鈴，并不需要安全級別如此高的安全芯片產(chǎn)品。而在一些對安全訴求會(huì )一些比較明確（如：智能門(mén)鎖、智能音箱）的場(chǎng)景，需要用到像Trust M2 ID2這樣的安全芯片。

安全級別不高的場(chǎng)合，可以用MCU/CPU等，因為其本身也自帶了一些硬件安全功能，更多的是基于純軟件或者叫軟件殺消功能。

專(zhuān)業(yè)的安全防護，需要用到英飛凌Trust M2 ID2安全芯片，優(yōu)勢是經(jīng)過(guò)CC EAL6+安全認證，所以安全級別比傳統的在主控芯片里集成的安全方案會(huì )高很多。

6   英飛凌在物聯(lián)網(wǎng)安全的整個(gè)布局

英飛凌OPTIGA?系列布局整個(gè)物聯(lián)網(wǎng)市場(chǎng)，包括網(wǎng)絡(luò )側的節點(diǎn)、設備的節點(diǎn)，以及節點(diǎn)與節點(diǎn)之間的認證，還是某一個(gè)節點(diǎn)對于配件的認證，都有相應的解決方案。

其中，OPTIGA? Connect eSIM方案目前主要解決的是“設備連接到網(wǎng)絡(luò )”，主要側重的是“連接”，主要是通過(guò)蜂窩網(wǎng)絡(luò )連接到運營(yíng)商的解決方案，側重點(diǎn)是運營(yíng)商的檔案（profile）和資料可以通過(guò)空中貨物方式下載到eSIM卡里去，所以主要是起到“連接”的作用。

OPTIGA?系列還有Trust B的安全芯片，主要用于單向的設備或配件認證。例如很多手機上會(huì )要求對電池，或者家電設備的某一凈水器需要對濾芯做一個(gè)單向認證，是否是原裝出廠(chǎng)的配件。

此次主要介紹的Trust M2 ID2會(huì )側重在物聯(lián)網(wǎng)設備節點(diǎn)終端做節點(diǎn)保護和云端雙向認證。

英飛凌的OPTIGA? TPM安全芯片會(huì )放在云端的服務(wù)器端，去做基于Linux系統非常繁重的設備里的可信任根。目前TPM產(chǎn)品已有很多的商用案例。