如何讓物聯(lián)網(wǎng)更安全？金融級的安全芯片保駕護航

隨著物聯(lián)網(wǎng)的迅猛發(fā)展，與人身或財產(chǎn)安全相關的設備迫切需要提高安全性，例如智能家居里的智能門鎖、攝像頭、智能音箱，還有智慧工廠、電動汽車的充電樁等。那么，如何保證這些物聯(lián)網(wǎng)設備的高安全性，且又易于設計開發(fā)？另外，現(xiàn)在很多MCU/CPU等主控芯片也帶有越來越多的安全功能，為何還需要額外的安全芯片？

近日，英飛凌科技發(fā)布了物聯(lián)網(wǎng)上云芯片——OPTIGA? Trust M2 ID2，優(yōu)勢是可以支持阿里云Link ID2的服務。為此，英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場經(jīng)理成皓先生向電子產(chǎn)品世界等媒體介紹了物聯(lián)網(wǎng)安全芯片的特點，以及如何實現(xiàn)高安全性。

英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場經(jīng)理 成皓

1   基于硬件最安全

目前物聯(lián)網(wǎng)設備常用的安全方案有三類（如下圖）。

1）   沒有安全。由于很多邊緣側(cè)的設備資源比較有限，或處于成本考慮，因此很多設備廠商在設備設計的初期沒有考慮去引入相關的安全機制，這導致邊緣側(cè)的設備成為易于被攻擊的對象。

2）基于軟件實現(xiàn)的安全。很多企業(yè)和服務提供商基于成本等考量，會有基于軟件實現(xiàn)的方案。確實基于軟件實現(xiàn)的方案可以用來防御一些邏輯通話上的非法訪問，和減少軟件自身漏洞帶來的風險。但是同時也有一些問題，例如軟件是運行在通用的MCU、CPU環(huán)境中，數(shù)據(jù)易于被訪問和讀取，因而易于被復制和篡改、分析和理解。最重要的一點是基于純軟件的方案，在安全系統(tǒng)里無法做到整個系統(tǒng)可信任的“根”。

3）基于硬件的安全。最大的優(yōu)勢是可以用于抵御針對硬件級別的攻擊。例如英飛凌此次發(fā)布的OPTIGA? Trust M2 ID2，其中一些經(jīng)過特殊設計的精簡邏輯，會更好地保護數(shù)據(jù)的存儲。即使通過一些非常專業(yè)的反向工程，也無法輕易地破取和破解原始數(shù)據(jù)。此外，一些專業(yè)的設計和標準的代碼也非常難以被破解和理解。最重要的一點是基于硬件的安全芯片方案可以為整個系統(tǒng)的安全做到一個可信任的“根”，也是作為系統(tǒng)可信任的來源。

2   物聯(lián)網(wǎng)設備設計面臨的挑戰(zhàn)與需求

物聯(lián)網(wǎng)設備主要有以下6個特點。

●   MCU/CPU，即主控資源非常有限。如果以純軟件方式來實現(xiàn)，勢必會占用更多原本已經(jīng)非常緊張的主控/MCU的資源。相比之下，安全芯片會以非常輕量化的資源占用來實現(xiàn)安全功能，同時不會占用主控端的資源。

●   貼片空間的限制，因為一些物聯(lián)網(wǎng)設備/家電設備/便攜式設備的尺寸越來越小。

●   功耗的限制。

●   成本的敏感性。

●   輕量化的操作系統(tǒng)。

●   跨領域的產(chǎn)品設計。因而需要易于集成、易用。

3   Trust M2 ID2的主要優(yōu)勢

Trust M2 ID2產(chǎn)品的特點很多（如下圖），突出特點是易于開發(fā)和高安全性。

1）易用開發(fā)方面，有完整的交鑰匙式的解決方案，客戶定制化證書燒錄，基于硬件抽象層架構(gòu)的主端C源碼包，有完善的評估工具。

2）從安全特性來說，Trust M2 ID2是一款經(jīng)過最高安全認證等級、金融級別安全認證等級CC EAL 6+（high）認證的安全控制器，支持X.509標準的證書格式，硬件發(fā)生器符合AIS-31認證標準。

具有OPTIGA? Shielded Connection。因為在物聯(lián)網(wǎng)設備里，除了考慮設備與設備之間、設備與云端之間的數(shù)據(jù)需要加密之外，本身的安全芯片和主控端MCU/CPU通信也是鏈路傳輸?shù)倪^程，這有一套特有的安全機制。所以英飛凌保證的是所有在鏈路上傳輸?shù)臄?shù)據(jù)，不管是設備和云端，還是設備內(nèi)部的數(shù)據(jù)傳遞全是加密進行的傳遞，提升了整體安全等級。

此外還有雙向認證功能。OPTIGA? Trust M2 ID2可以存儲多組密鑰和證書，用來完成物聯(lián)網(wǎng)設備和云端、以及和其它設備之間的雙向認證。同時，加載安全芯片的設備可以和其它的控制器及生態(tài)系統(tǒng)內(nèi)的設備進行雙向認證。所以，需要強調(diào)的一點是，①在物聯(lián)網(wǎng)整個系統(tǒng)架構(gòu)中，除了云端或者服務端對設備的認證非常重要之外，設備端對于云端的鑒別也是非常重要的。所以英飛凌的方案是一個雙向認證的功能，而不是單向認證。

典型應用場景是如下幾個。

●   固件安全升級。 目前在很多物聯(lián)網(wǎng)攻擊的模式里，很多攻擊（包括黑客攻擊）是通過偽造一些固件包的方式，企圖來獲取對設備的控制權。一般的用戶沒有能力去鑒別。例如我現(xiàn)在收到了一個固件升級包是否是完整、來源合法的升級包？再例如手機升級，但對于一般用戶,沒有能力去判斷自己現(xiàn)在手機上收到的升級包是否是合法來源的。所以這種升級過程是有很大風險的，會導致設備被黑客或非法分子監(jiān)聽或控制。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能，幫助設備實現(xiàn)鑒別固件升級包來源的功能。

●   個人化數(shù)據(jù)的寫入。 具體結(jié)合到OPTIGA? Trust M ID2產(chǎn)品，在該芯片的生產(chǎn)階段就已經(jīng)預置了一款由阿里云的Link ID2的服務器分發(fā)的獨一無二的ID信息，終端客戶（IoT設備廠商的客戶）直接用嵌入這款安全芯片到終端設備中即可使用。使用方式是嵌入這款安全芯片之后，它第一次聯(lián)網(wǎng)的時候就會完成一次Link ID2設備在云端的注冊。因此，英飛凌提供相關的安全和個性化數(shù)據(jù)寫入的功能之外，也為這些設備制造商和云服務商提供了一些全新的商務模式。例如他們可以通過收取服務費或授權費的方式，來獲得更多的商務模式的可能性擴展。

●   數(shù)據(jù)安全存儲。 這是比較容易理解的一種功能，還可以把一些用戶的關鍵數(shù)據(jù)與信息，例如證書、密鑰，通過加密的方式，存儲在設備的內(nèi)部，好處是存儲在安全芯片內(nèi)部的數(shù)據(jù)，哪怕設備遭受了外部的攻擊，盡管外部的系統(tǒng)設計或軟件層面有一些漏洞，因為黑客或攻擊者沒有對安全芯片訪問的能力，存儲在安全芯片內(nèi)部的數(shù)據(jù)也無法被外部去截取和分析。這也是硬件安全芯片比較大的優(yōu)勢。

●   “平臺完整性”的校驗。主要針對某些系統(tǒng)需要安全啟動的場景下，設備有能力來判斷目前放在這個設備上的操作系統(tǒng)或軟件是否被篡改，進而來抵御攻擊能力的一個手段。

4   安全芯片的應用案例

1）   智能音箱

智能音箱除了能夠代替?zhèn)鹘y(tǒng)的藍牙音箱欣賞音樂之外，還可以以更便捷的語音形式上網(wǎng)，同時可以和用戶進行語音方面的互動。另外，很多智能音箱提供商把智能音箱作為對全屋智能家電語音交互的節(jié)點，可控制窗簾、開門、下載音樂等。

通過英飛凌的OPTIGA? Trust M2 ID2可實現(xiàn)數(shù)據(jù)存儲、加密等功能，例如，很多時候，需要提供云服務提供商帳號密碼才能登陸智能音箱進行安全操控，可以把這些賬戶信息/ID信息或密碼存儲到安全芯片內(nèi)部。另外，可以通過安全芯片的雙向認證功能，保證智能音箱只處理一些經(jīng)過合法來源認證的信息。例如這時突然有黑客或陌生人通過一些偽造遠程語音信息的方式來“開門”或“開窗”，智能音箱有能力鑒別它的信息，或鑒別對智能音箱進行操控的設備是否是合法來源。

再有，可以保證所有的設備和服務端云端交互的數(shù)據(jù)都是通過加密的形式進行傳遞的。例如，可能有些智能音箱里的關鍵數(shù)據(jù)需要上傳到云端，可以保證鏈路上的數(shù)據(jù)都是加密的，就算被黑客進行數(shù)據(jù)攔截，它也無法破譯原始數(shù)據(jù)的信息。

2）   智能工廠

國外已有兩三家知名的生產(chǎn)企業(yè)在智能化工廠的終端設備，諸如機械手臂、集成PLC上的產(chǎn)品里，嵌入了Trust M的安全芯片。主要實現(xiàn)的功能是用于端到端的數(shù)據(jù)加密。同時，生產(chǎn)企業(yè)通過Trust M2 ID2芯片可以來驗證上傳數(shù)據(jù)的設備是否是合法的設備、是否是在工廠內(nèi)實際工作的設備，而非黑客或者是第三方偽造的設備。

3）   網(wǎng)絡攝像頭

網(wǎng)絡攝像頭是被黑客重點攻擊的設備之一。除了公共場合里的攝像頭，也有家用攝像頭。例如冰箱里的攝像頭，主要對冰箱里的食物拍攝、統(tǒng)計，并及時提醒用戶；很多超市的貨架上也安置了攝像頭，便于工作人員管理貨架。家用攝像頭主要用于監(jiān)控，例如可以防止竊賊、遠程觀看家中老人和小孩的情況。不過此時，由于網(wǎng)絡攝像頭可監(jiān)控的特性，也會成為很多不法分子的攻擊對象。

目前很多攝像頭被入侵的一個主要原因是它的“弱口令”。一般很多出廠密碼就會默認設置admin了，所以對于黑客攻擊來說，攻擊這類設備非常容易。所以通過在攝像頭里去集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭本身與云服務之間通訊數(shù)據(jù)進行安全加密，這些關鍵數(shù)據(jù)在鏈路上傳輸時無法被破解。

5   哪些場景需要硬件安全芯片？

所以是否需要用安全硬件芯片，要看具體在應用場景里面需要用到哪些安全級別。例如，對某些成本比較敏感或安全訴求不是很高的應用場景里，例如智能門鈴，并不需要安全級別如此高的安全芯片產(chǎn)品。而在一些對安全訴求會一些比較明確（如：智能門鎖、智能音箱）的場景，需要用到像Trust M2 ID2這樣的安全芯片。

安全級別不高的場合，可以用MCU/CPU等，因為其本身也自帶了一些硬件安全功能，更多的是基于純軟件或者叫軟件殺消功能。

專業(yè)的安全防護，需要用到英飛凌Trust M2 ID2安全芯片，優(yōu)勢是經(jīng)過CC EAL6+安全認證，所以安全級別比傳統(tǒng)的在主控芯片里集成的安全方案會高很多。

6   英飛凌在物聯(lián)網(wǎng)安全的整個布局

英飛凌OPTIGA?系列布局整個物聯(lián)網(wǎng)市場，包括網(wǎng)絡側(cè)的節(jié)點、設備的節(jié)點，以及節(jié)點與節(jié)點之間的認證，還是某一個節(jié)點對于配件的認證，都有相應的解決方案。

其中，OPTIGA? Connect eSIM方案目前主要解決的是“設備連接到網(wǎng)絡”，主要側(cè)重的是“連接”，主要是通過蜂窩網(wǎng)絡連接到運營商的解決方案，側(cè)重點是運營商的檔案（profile）和資料可以通過空中貨物方式下載到eSIM卡里去，所以主要是起到“連接”的作用。

OPTIGA?系列還有Trust B的安全芯片，主要用于單向的設備或配件認證。例如很多手機上會要求對電池，或者家電設備的某一凈水器需要對濾芯做一個單向認證，是否是原裝出廠的配件。

此次主要介紹的Trust M2 ID2會側(cè)重在物聯(lián)網(wǎng)設備節(jié)點終端做節(jié)點保護和云端雙向認證。

英飛凌的OPTIGA? TPM安全芯片會放在云端的服務器端，去做基于Linux系統(tǒng)非常繁重的設備里的可信任根。目前TPM產(chǎn)品已有很多的商用案例。