SWS1PI140-FA 在存儲(chǔ)卡中內(nèi)置IoT安全功能

隨著各種設(shè)備、大型機(jī)械和制造工廠變得越來越智能，它們也變得越來越容易受到攻擊。在設(shè)計(jì)聯(lián)網(wǎng)設(shè)備、大型機(jī)械和制造工廠時(shí)，開發(fā)人員需要更加關(guān)注安全性。Swissbit提供一種靈活的基于硬件的方法，其中使用了TPM（可信平臺(tái)模塊）和數(shù)據(jù)加密。

為實(shí)現(xiàn)IT和數(shù)據(jù)安全性，各系統(tǒng)在通過互聯(lián)網(wǎng)或通過其所在的IoT物聯(lián)網(wǎng)中的網(wǎng)關(guān)進(jìn)行通信時(shí)，需要具有唯一且不可克隆的標(biāo)識(shí)。各系統(tǒng)還必須能夠發(fā)送、接收和存儲(chǔ)經(jīng)過加密的需要高度安全性的數(shù)據(jù)。僅使用軟件的解決方案往往無法提供足夠的保護(hù)強(qiáng)度。這對(duì)開發(fā)人員和制造商而言都是巨大的挑戰(zhàn)。

存儲(chǔ)和安全專家Swissbit提供一種全新的基于硬件的方法。工業(yè)應(yīng)用嵌入式系統(tǒng)開發(fā)人員都很熟悉Swissbit，該公司是歐洲唯一的獨(dú)立閃存產(chǎn)品制造商。許多人將這家生產(chǎn)基地位于德國(guó)的瑞士公司視為穩(wěn)健耐用的PCIe和SATA接口的SSD、CompactFlash、USB閃存驅(qū)動(dòng)器、SD和microSD存儲(chǔ)卡以及內(nèi)置控制器的NAND BGA的首選供應(yīng)商。

通過在數(shù)據(jù)存儲(chǔ)和保護(hù)方面所積累的數(shù)十年經(jīng)驗(yàn)，Swissbit開發(fā)了一種全新高級(jí)方法來保護(hù)嵌入式IoT設(shè)備的安全。之所以開發(fā)這種方法，是因?yàn)樗性O(shè)備都需要存儲(chǔ)器來充當(dāng)啟動(dòng)媒體或存儲(chǔ)日志文件，或在網(wǎng)絡(luò)出現(xiàn)故障時(shí)緩存數(shù)據(jù)。這些存儲(chǔ)器接口能夠并且應(yīng)該具有相關(guān)安全功能。

存儲(chǔ)卡的安全功能

全新的Swissbit安全解決方案所采用的閃存芯片是按照工業(yè)級(jí)要求進(jìn)行生產(chǎn)和測(cè)試的。該芯片內(nèi)置了特殊版本的durabit固件，其中集成了AES 256位加密器。DP（Data Protection，數(shù)據(jù)保護(hù)）版本能夠使用各種方式（CD-ROM模式、PIN保護(hù)、隱藏分區(qū)、WORM只讀模式）加密并保護(hù)所有數(shù)據(jù)。為了實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)通信進(jìn)行基于硬件的保護(hù)，還需要另一個(gè)安全錨點(diǎn)。Swissbit的安全模塊會(huì)帶有如Infineon/NXP智能卡芯片CC EAL 5+/6+等解決方案，并提供API、SDK和PKCS#11庫，可用于應(yīng)用開發(fā)。

指定物聯(lián)網(wǎng)設(shè)備ID

安全專家會(huì)推薦在加密手機(jī)通信中使用帶安全功能的microSD卡。跟人與人之間的通信類似，物聯(lián)網(wǎng)設(shè)備之間的通信也需要使用標(biāo)識(shí)、身份驗(yàn)證和授權(quán)。換句話說，一個(gè)物聯(lián)網(wǎng)設(shè)備如何知道從另一個(gè)設(shè)備接收到的數(shù)據(jù)或數(shù)據(jù)查詢是正確無誤的，并且消息的來源的確是系統(tǒng)的這一部分？ 具有安全功能的Swissbit安全存儲(chǔ)介質(zhì)可為應(yīng)用和系統(tǒng)提供唯一標(biāo)識(shí)。這樣，每個(gè)物聯(lián)網(wǎng)設(shè)備就都能獲得唯一的防偽ID，防止“標(biāo)識(shí)竊取”等類型的網(wǎng)絡(luò)系統(tǒng)滲透攻擊，并對(duì)數(shù)據(jù)訪問進(jìn)行限制。集成到存儲(chǔ)卡中的智能卡能為系統(tǒng)提供不可克隆的身份標(biāo)識(shí)，將其轉(zhuǎn)換為唯一的可識(shí)別M2M（machine-to-machine，機(jī)器對(duì)機(jī)器）通信參與者，就可以利用它進(jìn)行身份驗(yàn)證、發(fā)送和接收加密的受保護(hù)數(shù)據(jù)。

Swissbit解決方案中另一個(gè)特定于設(shè)備的重要應(yīng)用是Trusted Boot。Trusted Boot可確保軟件只能在特定的硬件或硬件類別上運(yùn)行。具有該安全功能的閃存卡可用于管理軟件許可和功能激活。訪問控制、代碼加密和數(shù)字簽名能夠定義和管理不同產(chǎn)品的不同軟件配置。

可在現(xiàn)有設(shè)備上加裝并且面向未來

與焊接的TPM相比，可插拔安全模塊的想法似乎并不常見。然而，即使是不那么新款的機(jī)器和系統(tǒng)上也一般都會(huì)有USB接口或存儲(chǔ)卡接口。因此，Swissbit可插拔安全模塊的最大優(yōu)勢(shì)在于，可以將安全存儲(chǔ)器輕松加裝到現(xiàn)有設(shè)備上，以實(shí)現(xiàn)保護(hù)。

這種對(duì)設(shè)備進(jìn)行不斷更新的能力為不斷變化的網(wǎng)絡(luò)安全環(huán)境提供了另一個(gè)優(yōu)勢(shì)。網(wǎng)絡(luò)安全攻防方法都會(huì)不斷發(fā)展，使安全功能與如工廠這樣的項(xiàng)目的生命周期相協(xié)調(diào)非常具有挑戰(zhàn)性。以后還有可能會(huì)出現(xiàn)需要向M2M通信參與者們分配經(jīng)過改進(jìn)的加密技術(shù)的新ID的情況。Swissbit的可加裝解決方案使這一切成為了可能。

前景

為了應(yīng)對(duì)迅速增長(zhǎng)的嵌入式物聯(lián)網(wǎng)設(shè)備市場(chǎng)的需求，Swissbit于2019年10月在德國(guó)柏林開設(shè)了新的工廠。該工廠配備了最先進(jìn)的高階3D芯片封裝技術(shù)，可以為客戶開發(fā)和生產(chǎn)定制的系統(tǒng)級(jí)封裝和多芯片模塊設(shè)計(jì)。該技術(shù)不僅集成微控制器、NAND芯片和加密芯片，還集成傳感器、無線芯片和天線。通過在存儲(chǔ)器界面上使用包含TPM和加密模塊的安全解決方案僅僅是個(gè)開始，它還可以加入很多能夠小型化并被集成的其他功能。

作者：Swissbit安全解決方案副總裁Hubertus Grobbel（圖片來源Swissbit）

具有安全功能的microSD卡的結(jié)構(gòu)。

USB等存儲(chǔ)器接口可用于加裝TPM功能。