如何讓物聯(lián)網(wǎng)更安全？金融級(jí)的安全芯片保駕護(hù)航

隨著物聯(lián)網(wǎng)的迅猛發(fā)展，與人身或財(cái)產(chǎn)安全相關(guān)的設(shè)備迫切需要提高安全性，例如智能家居里的智能門鎖、攝像頭、智能音箱，還有智慧工廠、電動(dòng)汽車的充電樁等。那么，如何保證這些物聯(lián)網(wǎng)設(shè)備的高安全性，且又易于設(shè)計(jì)開發(fā)？另外，現(xiàn)在很多MCU/CPU等主控芯片也帶有越來越多的安全功能，為何還需要額外的安全芯片？

近日，英飛凌科技發(fā)布了物聯(lián)網(wǎng)上云芯片——OPTIGA? Trust M2 ID2，優(yōu)勢是可以支持阿里云Link ID2的服務(wù)。為此，英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場經(jīng)理成皓先生向電子產(chǎn)品世界等媒體介紹了物聯(lián)網(wǎng)安全芯片的特點(diǎn)，以及如何實(shí)現(xiàn)高安全性。

英飛凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場經(jīng)理 成皓

1   基于硬件最安全

目前物聯(lián)網(wǎng)設(shè)備常用的安全方案有三類（如下圖）。

1）   沒有安全。由于很多邊緣側(cè)的設(shè)備資源比較有限，或處于成本考慮，因此很多設(shè)備廠商在設(shè)備設(shè)計(jì)的初期沒有考慮去引入相關(guān)的安全機(jī)制，這導(dǎo)致邊緣側(cè)的設(shè)備成為易于被攻擊的對(duì)象。

2）基于軟件實(shí)現(xiàn)的安全。很多企業(yè)和服務(wù)提供商基于成本等考量，會(huì)有基于軟件實(shí)現(xiàn)的方案。確實(shí)基于軟件實(shí)現(xiàn)的方案可以用來防御一些邏輯通話上的非法訪問，和減少軟件自身漏洞帶來的風(fēng)險(xiǎn)。但是同時(shí)也有一些問題，例如軟件是運(yùn)行在通用的MCU、CPU環(huán)境中，數(shù)據(jù)易于被訪問和讀取，因而易于被復(fù)制和篡改、分析和理解。最重要的一點(diǎn)是基于純軟件的方案，在安全系統(tǒng)里無法做到整個(gè)系統(tǒng)可信任的“根”。

3）基于硬件的安全。最大的優(yōu)勢是可以用于抵御針對(duì)硬件級(jí)別的攻擊。例如英飛凌此次發(fā)布的OPTIGA? Trust M2 ID2，其中一些經(jīng)過特殊設(shè)計(jì)的精簡邏輯，會(huì)更好地保護(hù)數(shù)據(jù)的存儲(chǔ)。即使通過一些非常專業(yè)的反向工程，也無法輕易地破取和破解原始數(shù)據(jù)。此外，一些專業(yè)的設(shè)計(jì)和標(biāo)準(zhǔn)的代碼也非常難以被破解和理解。最重要的一點(diǎn)是基于硬件的安全芯片方案可以為整個(gè)系統(tǒng)的安全做到一個(gè)可信任的“根”，也是作為系統(tǒng)可信任的來源。

2   物聯(lián)網(wǎng)設(shè)備設(shè)計(jì)面臨的挑戰(zhàn)與需求

物聯(lián)網(wǎng)設(shè)備主要有以下6個(gè)特點(diǎn)。

●   MCU/CPU，即主控資源非常有限。如果以純軟件方式來實(shí)現(xiàn)，勢必會(huì)占用更多原本已經(jīng)非常緊張的主控/MCU的資源。相比之下，安全芯片會(huì)以非常輕量化的資源占用來實(shí)現(xiàn)安全功能，同時(shí)不會(huì)占用主控端的資源。

●   貼片空間的限制，因?yàn)橐恍┪锫?lián)網(wǎng)設(shè)備/家電設(shè)備/便攜式設(shè)備的尺寸越來越小。

●   功耗的限制。

●   成本的敏感性。

●   輕量化的操作系統(tǒng)。

●   跨領(lǐng)域的產(chǎn)品設(shè)計(jì)。因而需要易于集成、易用。

3   Trust M2 ID2的主要優(yōu)勢

Trust M2 ID2產(chǎn)品的特點(diǎn)很多（如下圖），突出特點(diǎn)是易于開發(fā)和高安全性。

1）易用開發(fā)方面，有完整的交鑰匙式的解決方案，客戶定制化證書燒錄，基于硬件抽象層架構(gòu)的主端C源碼包，有完善的評(píng)估工具。

2）從安全特性來說，Trust M2 ID2是一款經(jīng)過最高安全認(rèn)證等級(jí)、金融級(jí)別安全認(rèn)證等級(jí)CC EAL 6+（high）認(rèn)證的安全控制器，支持X.509標(biāo)準(zhǔn)的證書格式，硬件發(fā)生器符合AIS-31認(rèn)證標(biāo)準(zhǔn)。

具有OPTIGA? Shielded Connection。因?yàn)樵谖锫?lián)網(wǎng)設(shè)備里，除了考慮設(shè)備與設(shè)備之間、設(shè)備與云端之間的數(shù)據(jù)需要加密之外，本身的安全芯片和主控端MCU/CPU通信也是鏈路傳輸?shù)倪^程，這有一套特有的安全機(jī)制。所以英飛凌保證的是所有在鏈路上傳輸?shù)臄?shù)據(jù)，不管是設(shè)備和云端，還是設(shè)備內(nèi)部的數(shù)據(jù)傳遞全是加密進(jìn)行的傳遞，提升了整體安全等級(jí)。

此外還有雙向認(rèn)證功能。OPTIGA? Trust M2 ID2可以存儲(chǔ)多組密鑰和證書，用來完成物聯(lián)網(wǎng)設(shè)備和云端、以及和其它設(shè)備之間的雙向認(rèn)證。同時(shí)，加載安全芯片的設(shè)備可以和其它的控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進(jìn)行雙向認(rèn)證。所以，需要強(qiáng)調(diào)的一點(diǎn)是，①在物聯(lián)網(wǎng)整個(gè)系統(tǒng)架構(gòu)中，除了云端或者服務(wù)端對(duì)設(shè)備的認(rèn)證非常重要之外，設(shè)備端對(duì)于云端的鑒別也是非常重要的。所以英飛凌的方案是一個(gè)雙向認(rèn)證的功能，而不是單向認(rèn)證。

典型應(yīng)用場景是如下幾個(gè)。

●   固件安全升級(jí)。 目前在很多物聯(lián)網(wǎng)攻擊的模式里，很多攻擊（包括黑客攻擊）是通過偽造一些固件包的方式，企圖來獲取對(duì)設(shè)備的控制權(quán)。一般的用戶沒有能力去鑒別。例如我現(xiàn)在收到了一個(gè)固件升級(jí)包是否是完整、來源合法的升級(jí)包？再例如手機(jī)升級(jí)，但對(duì)于一般用戶,沒有能力去判斷自己現(xiàn)在手機(jī)上收到的升級(jí)包是否是合法來源的。所以這種升級(jí)過程是有很大風(fēng)險(xiǎn)的，會(huì)導(dǎo)致設(shè)備被黑客或非法分子監(jiān)聽或控制。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能，幫助設(shè)備實(shí)現(xiàn)鑒別固件升級(jí)包來源的功能。

●   個(gè)人化數(shù)據(jù)的寫入。 具體結(jié)合到OPTIGA? Trust M ID2產(chǎn)品，在該芯片的生產(chǎn)階段就已經(jīng)預(yù)置了一款由阿里云的Link ID2的服務(wù)器分發(fā)的獨(dú)一無二的ID信息，終端客戶（IoT設(shè)備廠商的客戶）直接用嵌入這款安全芯片到終端設(shè)備中即可使用。使用方式是嵌入這款安全芯片之后，它第一次聯(lián)網(wǎng)的時(shí)候就會(huì)完成一次Link ID2設(shè)備在云端的注冊(cè)。因此，英飛凌提供相關(guān)的安全和個(gè)性化數(shù)據(jù)寫入的功能之外，也為這些設(shè)備制造商和云服務(wù)商提供了一些全新的商務(wù)模式。例如他們可以通過收取服務(wù)費(fèi)或授權(quán)費(fèi)的方式，來獲得更多的商務(wù)模式的可能性擴(kuò)展。

●   數(shù)據(jù)安全存儲(chǔ)。 這是比較容易理解的一種功能，還可以把一些用戶的關(guān)鍵數(shù)據(jù)與信息，例如證書、密鑰，通過加密的方式，存儲(chǔ)在設(shè)備的內(nèi)部，好處是存儲(chǔ)在安全芯片內(nèi)部的數(shù)據(jù)，哪怕設(shè)備遭受了外部的攻擊，盡管外部的系統(tǒng)設(shè)計(jì)或軟件層面有一些漏洞，因?yàn)楹诳突蚬粽邲]有對(duì)安全芯片訪問的能力，存儲(chǔ)在安全芯片內(nèi)部的數(shù)據(jù)也無法被外部去截取和分析。這也是硬件安全芯片比較大的優(yōu)勢。

●   “平臺(tái)完整性”的校驗(yàn)。主要針對(duì)某些系統(tǒng)需要安全啟動(dòng)的場景下，設(shè)備有能力來判斷目前放在這個(gè)設(shè)備上的操作系統(tǒng)或軟件是否被篡改，進(jìn)而來抵御攻擊能力的一個(gè)手段。

4   安全芯片的應(yīng)用案例

1）   智能音箱

智能音箱除了能夠代替?zhèn)鹘y(tǒng)的藍(lán)牙音箱欣賞音樂之外，還可以以更便捷的語音形式上網(wǎng)，同時(shí)可以和用戶進(jìn)行語音方面的互動(dòng)。另外，很多智能音箱提供商把智能音箱作為對(duì)全屋智能家電語音交互的節(jié)點(diǎn)，可控制窗簾、開門、下載音樂等。

通過英飛凌的OPTIGA? Trust M2 ID2可實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)、加密等功能，例如，很多時(shí)候，需要提供云服務(wù)提供商帳號(hào)密碼才能登陸智能音箱進(jìn)行安全操控，可以把這些賬戶信息/ID信息或密碼存儲(chǔ)到安全芯片內(nèi)部。另外，可以通過安全芯片的雙向認(rèn)證功能，保證智能音箱只處理一些經(jīng)過合法來源認(rèn)證的信息。例如這時(shí)突然有黑客或陌生人通過一些偽造遠(yuǎn)程語音信息的方式來“開門”或“開窗”，智能音箱有能力鑒別它的信息，或鑒別對(duì)智能音箱進(jìn)行操控的設(shè)備是否是合法來源。

再有，可以保證所有的設(shè)備和服務(wù)端云端交互的數(shù)據(jù)都是通過加密的形式進(jìn)行傳遞的。例如，可能有些智能音箱里的關(guān)鍵數(shù)據(jù)需要上傳到云端，可以保證鏈路上的數(shù)據(jù)都是加密的，就算被黑客進(jìn)行數(shù)據(jù)攔截，它也無法破譯原始數(shù)據(jù)的信息。

2）   智能工廠

國外已有兩三家知名的生產(chǎn)企業(yè)在智能化工廠的終端設(shè)備，諸如機(jī)械手臂、集成PLC上的產(chǎn)品里，嵌入了Trust M的安全芯片。主要實(shí)現(xiàn)的功能是用于端到端的數(shù)據(jù)加密。同時(shí)，生產(chǎn)企業(yè)通過Trust M2 ID2芯片可以來驗(yàn)證上傳數(shù)據(jù)的設(shè)備是否是合法的設(shè)備、是否是在工廠內(nèi)實(shí)際工作的設(shè)備，而非黑客或者是第三方偽造的設(shè)備。

3）   網(wǎng)絡(luò)攝像頭

網(wǎng)絡(luò)攝像頭是被黑客重點(diǎn)攻擊的設(shè)備之一。除了公共場合里的攝像頭，也有家用攝像頭。例如冰箱里的攝像頭，主要對(duì)冰箱里的食物拍攝、統(tǒng)計(jì)，并及時(shí)提醒用戶；很多超市的貨架上也安置了攝像頭，便于工作人員管理貨架。家用攝像頭主要用于監(jiān)控，例如可以防止竊賊、遠(yuǎn)程觀看家中老人和小孩的情況。不過此時(shí)，由于網(wǎng)絡(luò)攝像頭可監(jiān)控的特性，也會(huì)成為很多不法分子的攻擊對(duì)象。

目前很多攝像頭被入侵的一個(gè)主要原因是它的“弱口令”。一般很多出廠密碼就會(huì)默認(rèn)設(shè)置admin了，所以對(duì)于黑客攻擊來說，攻擊這類設(shè)備非常容易。所以通過在攝像頭里去集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭本身與云服務(wù)之間通訊數(shù)據(jù)進(jìn)行安全加密，這些關(guān)鍵數(shù)據(jù)在鏈路上傳輸時(shí)無法被破解。

5   哪些場景需要硬件安全芯片？

所以是否需要用安全硬件芯片，要看具體在應(yīng)用場景里面需要用到哪些安全級(jí)別。例如，對(duì)某些成本比較敏感或安全訴求不是很高的應(yīng)用場景里，例如智能門鈴，并不需要安全級(jí)別如此高的安全芯片產(chǎn)品。而在一些對(duì)安全訴求會(huì)一些比較明確（如：智能門鎖、智能音箱）的場景，需要用到像Trust M2 ID2這樣的安全芯片。

安全級(jí)別不高的場合，可以用MCU/CPU等，因?yàn)槠浔旧硪沧詭Я艘恍┯布踩δ?，更多的是基于純軟件或者叫軟件殺消功能?/p>

專業(yè)的安全防護(hù)，需要用到英飛凌Trust M2 ID2安全芯片，優(yōu)勢是經(jīng)過CC EAL6+安全認(rèn)證，所以安全級(jí)別比傳統(tǒng)的在主控芯片里集成的安全方案會(huì)高很多。

6   英飛凌在物聯(lián)網(wǎng)安全的整個(gè)布局

英飛凌OPTIGA?系列布局整個(gè)物聯(lián)網(wǎng)市場，包括網(wǎng)絡(luò)側(cè)的節(jié)點(diǎn)、設(shè)備的節(jié)點(diǎn)，以及節(jié)點(diǎn)與節(jié)點(diǎn)之間的認(rèn)證，還是某一個(gè)節(jié)點(diǎn)對(duì)于配件的認(rèn)證，都有相應(yīng)的解決方案。

其中，OPTIGA? Connect eSIM方案目前主要解決的是“設(shè)備連接到網(wǎng)絡(luò)”，主要側(cè)重的是“連接”，主要是通過蜂窩網(wǎng)絡(luò)連接到運(yùn)營商的解決方案，側(cè)重點(diǎn)是運(yùn)營商的檔案（profile）和資料可以通過空中貨物方式下載到eSIM卡里去，所以主要是起到“連接”的作用。

OPTIGA?系列還有Trust B的安全芯片，主要用于單向的設(shè)備或配件認(rèn)證。例如很多手機(jī)上會(huì)要求對(duì)電池，或者家電設(shè)備的某一凈水器需要對(duì)濾芯做一個(gè)單向認(rèn)證，是否是原裝出廠的配件。

此次主要介紹的Trust M2 ID2會(huì)側(cè)重在物聯(lián)網(wǎng)設(shè)備節(jié)點(diǎn)終端做節(jié)點(diǎn)保護(hù)和云端雙向認(rèn)證。

英飛凌的OPTIGA? TPM安全芯片會(huì)放在云端的服務(wù)器端，去做基于Linux系統(tǒng)非常繁重的設(shè)備里的可信任根。目前TPM產(chǎn)品已有很多的商用案例。