大規(guī)模保護(hù)IoT設(shè)備

網(wǎng)絡(luò)安全正成為一個(gè)關(guān)鍵問(wèn)題，因?yàn)槲覀兊纳钤絹?lái)越多地由數(shù)字設(shè)備和云服務(wù)器調(diào)解。物聯(lián)網(wǎng)（IoT）部門(mén)認(rèn)識(shí)到網(wǎng)絡(luò)安全對(duì)我們的福祉及其增長(zhǎng)的重要性，因此已開(kāi)始制定安全標(biāo)準(zhǔn)，測(cè)試和認(rèn)證策略來(lái)解決這個(gè)問(wèn)題。世界各地的監(jiān)管機(jī)構(gòu)也在加緊努力，制定和頒布立法，要求物聯(lián)網(wǎng)開(kāi)發(fā)商和生態(tài)系統(tǒng)運(yùn)營(yíng)商對(duì)其實(shí)施的系統(tǒng)的影響負(fù)責(zé)，有時(shí)對(duì)安全故障處以嚴(yán)厲的懲罰。

對(duì)于開(kāi)發(fā)物聯(lián)網(wǎng)芯片、設(shè)備并使用它們創(chuàng)建物聯(lián)網(wǎng)生態(tài)系統(tǒng)的公司來(lái)說(shuō)，一個(gè)關(guān)鍵挑戰(zhàn)是確保其大規(guī)模實(shí)施時(shí)的安全性。雖然包含少量設(shè)備的桌面演示可能表明物聯(lián)網(wǎng)安全策略是有效的，但大規(guī)模實(shí)施該策略需要許多組織尚未獲得的技能和工具。問(wèn)題的核心是尋找一種方法來(lái)保護(hù)物聯(lián)網(wǎng)芯片、設(shè)備和生態(tài)系統(tǒng)所需的唯一身份和加密密鑰所涉及的復(fù)雜性。好消息是，硬件和軟件解決方案正在興起，使非安全專(zhuān)家的設(shè)計(jì)人員現(xiàn)在更容易將尖端的安全技術(shù)和策略應(yīng)用于他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)，并對(duì)其進(jìn)行長(zhǎng)期管理。

網(wǎng)絡(luò)安全的根源：身份和信任

信任是網(wǎng)絡(luò)安全戰(zhàn)略的核心，身份是信任的核心。想想與一群陌生人的對(duì)話(huà)：在我們知道我們?cè)诤驼l(shuí)說(shuō)話(huà)之前，我們不能相信我們的貢獻(xiàn)不會(huì)被濫用，誤解或歪曲。網(wǎng)絡(luò)安全也是如此：要信任具有有價(jià)值信息的設(shè)備，您首先需要知道它是物聯(lián)網(wǎng)生態(tài)系統(tǒng)的合法成員，而不是偽裝成一個(gè)不受信任的設(shè)備，或者是濫用被盜身份的合法設(shè)備的克隆。

在物聯(lián)網(wǎng)中建立信任的一種方法是為每個(gè)合法設(shè)備提供一個(gè)唯一的標(biāo)識(shí)符，該標(biāo)識(shí)符可用于驗(yàn)證其在目標(biāo)生態(tài)系統(tǒng)中的合法性。標(biāo)識(shí)符還可以作為生成加密密鑰的密鑰構(gòu)建塊，可用于證明身份，保護(hù)秘密信息的存儲(chǔ)，確保通信的隱私，并提供登錄物聯(lián)網(wǎng)云服務(wù)所需的設(shè)施。反過(guò)來(lái)，這些功能有助于確保存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上并在物聯(lián)網(wǎng)設(shè)備之間共享的數(shù)據(jù)的完整性，這對(duì)于避免涉及欺騙數(shù)據(jù)的惡意攻擊至關(guān)重要。

重申一下，身份支持身份驗(yàn)證，從而建立信任，從而允許機(jī)密性（隱私），從而確保所存儲(chǔ)或傳輸信息的完整性。那么，我們?nèi)绾卧谖锫?lián)網(wǎng)芯片、設(shè)備和生態(tài)系統(tǒng)中建立強(qiáng)大而安全的身份呢？

實(shí)現(xiàn)唯一標(biāo)識(shí)符

有兩種主要方法可以確保設(shè)備具有唯一標(biāo)識(shí)。第一種是在片外系統(tǒng)中創(chuàng)建可證明的加密身份，然后找到一種安全的方式讓設(shè)備能夠訪問(wèn)它，這個(gè)過(guò)程通常被稱(chēng)為“密鑰注入”。這種方法被廣泛使用，但要求使用它的人信任密鑰注入過(guò)程的安全性。如果鑰匙注入是在內(nèi)部完成的，這可能很簡(jiǎn)單，但如果必須在合同制造工廠或地球另一端的晶圓廠完成，則必要的信任可能更難建立和維持。

這些標(biāo)識(shí)符通常被注入到保護(hù)它們的安全元素中，使用加密存儲(chǔ)和硬件設(shè)計(jì)等功能，使物理和電氣黑客攻擊更加困難。作為其更廣泛的安全基礎(chǔ)架構(gòu)的一部分，安全元件通常與其他專(zhuān)業(yè)功能（如加密加速器）一起集成到片上系統(tǒng)（SoC）中。安全元件也可作為獨(dú)立器件提供，例如意法半導(dǎo)體的STSAFE-A110，它可以提供強(qiáng)大的身份驗(yàn)證功能，幫助建立安全的通信通道，保護(hù)數(shù)據(jù)，并幫助驗(yàn)證數(shù)字簽名。

按鍵注入的一個(gè)缺點(diǎn)是其成本。它既需要硬件資源，如片上存儲(chǔ)器或安全的板外存儲(chǔ)，也需要高度專(zhuān)業(yè)化的服務(wù)，以極其嚴(yán)格的實(shí)施方式處理密鑰注入。

噴碼工藝

鑰匙注入的挑戰(zhàn)在于，這是一個(gè)復(fù)雜的過(guò)程，客戶(hù)必須相信設(shè)備制造商可以在整個(gè)物理設(shè)施和ICT基礎(chǔ)設(shè)施中以及長(zhǎng)期內(nèi)保持其每一步完全安全。如果在其生產(chǎn)線上進(jìn)行注入的公司允許其服務(wù)器在幾年后被黑客入侵，那么現(xiàn)在應(yīng)用復(fù)雜的密鑰注入策略來(lái)保護(hù)您的物聯(lián)網(wǎng)生態(tài)系統(tǒng)設(shè)備是沒(méi)有用的。維持這種紀(jì)律是昂貴的。

為了說(shuō)明所涉及的復(fù)雜性，讓我們看一下意法半導(dǎo)體為其STM32MP1系列安全微控制器開(kāi)發(fā)的密鑰注入工藝，其中包括保護(hù)關(guān)鍵操作（加密算法）的功能，并且可以在芯片的一次性可編程區(qū)域中存儲(chǔ)關(guān)鍵數(shù)據(jù)（密鑰）。

意法半導(dǎo)體表示，其安全秘密配置（SSP）策略和工具鏈?zhǔn)姑孛軘?shù)據(jù)能夠安全地注入（即機(jī)密性、身份驗(yàn)證和完整性檢查）到設(shè)備中，即使在合同制造站點(diǎn)等不受信任的環(huán)境中也是如此。

意法半導(dǎo)體SSP流程圖

根據(jù)意法半導(dǎo)體應(yīng)用筆記中的高層觀點(diǎn)，SSP流程包括以下內(nèi)容：

SSP 映像（已加密）可從 STM32 受信任的包創(chuàng)建者工具獲得

使用 AES 密鑰對(duì)硬件安全模塊進(jìn)行編程

使用STM32MP1簽名工具對(duì)SSP安全固件進(jìn)行簽名

啟動(dòng) SSP 流程

ROM 代碼加載 SSP 安全固件

設(shè)備證書(shū)

STM32MP1 系列設(shè)備認(rèn)證

提供與 SSP 映像串聯(lián)的許可證（已加密）

檢索 AES 解密密鑰并解密機(jī)密

驗(yàn)證安全固件

從解密的機(jī)密對(duì) OTP 進(jìn)行編程

確切的細(xì)節(jié)不如它們說(shuō)明安全連接到生產(chǎn)線上的設(shè)備并使用數(shù)據(jù)對(duì)其進(jìn)行編程所涉及的復(fù)雜性的方式重要，這些數(shù)據(jù)的真實(shí)性，機(jī)密性和完整性一直保持到將其解壓縮在設(shè)備的安全區(qū)域中。

Rambus還提供了一個(gè)安全的芯片配置平臺(tái)，用于將秘密值注入硬件模塊或SoC，但它適用于更廣泛的設(shè)備。該公司表示，它是世界上最大的第三方定制芯片配置商，已經(jīng)在多條生產(chǎn)線上運(yùn)行，并擁有60多家客戶(hù)。

該平臺(tái)允許直接安裝在模塊或SoC生產(chǎn)線上的設(shè)備生成和跟蹤安全證書(shū)，以最大限度地降低最終設(shè)備受到損害的風(fēng)險(xiǎn)。

Rambus 安全芯片配置平臺(tái)使用安裝在 SoC 生產(chǎn)線上的設(shè)備來(lái)注入密鑰

Rambus認(rèn)為，其服務(wù)在13個(gè)SoC合作伙伴的晶圓廠內(nèi)運(yùn)行，使啟用嵌入式安全功能并將機(jī)密加載到生產(chǎn)線上的設(shè)備中的能力更容易獲得。它說(shuō)，這種編程服務(wù)只有大批量設(shè)備和已經(jīng)開(kāi)發(fā)了自己的鑰匙注入基礎(chǔ)設(shè)施的設(shè)備制造商才能真正使用。Rambus還認(rèn)為，由于它與多個(gè)SoC供應(yīng)商合作，因此它可以充當(dāng)來(lái)自多個(gè)供應(yīng)商的設(shè)備中包含的各種安全功能的通用接口。

物理不可克隆函數(shù)的價(jià)值

為設(shè)備提供唯一標(biāo)識(shí)的第二種方法是在其中包含物理不可克隆功能 （PUF）。這使用戶(hù)能夠在無(wú)可爭(zhēng)議的事實(shí)之上構(gòu)建他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全架構(gòu) - 其中的每個(gè)設(shè)備都可以由于其物理硬件的某些原因而被唯一識(shí)別。

PUF通常由可尋址的設(shè)備或電路元件陣列組成，其特性受到IC制造過(guò)程中隨機(jī)變化的強(qiáng)烈影響。通過(guò)良好的設(shè)計(jì)，這意味著盡管資源豐富的黑客理論上可以逐層探測(cè)甚至復(fù)制SoC，但他們?nèi)匀粺o(wú)法復(fù)制其唯一身份，因?yàn)樗从谥圃爝^(guò)程的設(shè)備到設(shè)備可變性產(chǎn)生的特征。

目前有兩種主要形式的PUF在使用。第一種通過(guò)讀取SRAM單元陣列在打開(kāi)時(shí)沉降到的邏輯狀態(tài)來(lái)推導(dǎo)出唯一的恒等式。這種方法的挑戰(zhàn)是確保電池在器件的整個(gè)生命周期內(nèi)繼續(xù)以相同的狀態(tài)啟動(dòng)。這種方法也可能不能在未來(lái)的深亞微米制造工藝上很好地?cái)U(kuò)展。

第二種方法，如Crypto Quantique的QDID產(chǎn)品所使用的那樣，比較由量子效應(yīng)引起的通過(guò)兩個(gè)器件絕緣勢(shì)壘的泄漏電流，并根據(jù)哪個(gè)電流更大來(lái)設(shè)置二進(jìn)制值。這種方法生成高度隨機(jī)但穩(wěn)健可重復(fù)的輸出狀態(tài)源。它還具有區(qū)域效率，使設(shè)計(jì)人員能夠包含豐富的隨機(jī)值源，這些隨機(jī)值可以用作唯一標(biāo)識(shí)符和多個(gè)新加密密鑰的基礎(chǔ)，這些值在器件的整個(gè)生命周期內(nèi)都可用作基礎(chǔ)。

一些示例安全設(shè)備

宏力士在其 ArmorFlash 產(chǎn)品中使用 PUF，這是一種獨(dú)立的存儲(chǔ)設(shè)備，可為 NOR、SLC NAND 或 e.MMC 閃存提供安全的身份、身份驗(yàn)證和加密鏈路。該產(chǎn)品還使用安全協(xié)議，確保它與主機(jī)之間的每個(gè)數(shù)據(jù)傳輸都是唯一的，即使重復(fù)讀出其安全內(nèi)存的相同位置也是如此。這可以防止攻擊者收集有關(guān)設(shè)備讀取特定數(shù)據(jù)位置的頻率的信息。nVidia在2019年宣布，它將使用ArmorFlash來(lái)保護(hù)其自動(dòng)駕駛平臺(tái)中使用的數(shù)據(jù)的安全性，利用其加密功能，完整性檢查以及創(chuàng)建安全通信通道和協(xié)議的能力。

Silex Insight 提供的是用于 SoC 安全的單個(gè)模塊，作為半導(dǎo)體 IP 模塊提供，以整合到 SoC 中。

芯展的電子安全模塊依賴(lài)于PUF

該塊圍繞PUF構(gòu)建其安全性，并包括安全密鑰存儲(chǔ)，安全CPU和加密加速內(nèi)核的選擇。它還具有安全啟動(dòng)、通過(guò)專(zhuān)用接口訪問(wèn)安全存儲(chǔ)、安全地處理無(wú)線軟件更新以及啟用安全調(diào)試等功能。

瑞薩電子提供32位微控制器、RX系列（專(zhuān)有CPU內(nèi)核）和RA系列（ARM內(nèi)核），其中包括瑞薩安全I(xiàn)P（RSIP）、用于保護(hù)數(shù)字身份和加密密鑰的專(zhuān)有硬件。它還具有保護(hù)身份驗(yàn)證程序不被篡改的功能。瑞薩電子表示，其具有RSIP保護(hù)的RX / RA系列可用于構(gòu)建具有信任根的系統(tǒng)，從而提供自我維持的安全性。

瑞薩電子還強(qiáng)調(diào)了RX/RA部件在有效的“數(shù)字生命周期管理”中可以發(fā)揮的作用，即在整個(gè)運(yùn)行生命周期內(nèi)維護(hù)物聯(lián)網(wǎng)設(shè)備和生態(tài)系統(tǒng)的安全性。

瑞薩電子對(duì)物聯(lián)網(wǎng)設(shè)備數(shù)字生命周期管理的看法

該圖概述了數(shù)字生命周期管理的主要階段：設(shè)計(jì)過(guò)程中的密鑰生成：

在制造過(guò)程中安全上傳密鑰和固件

每個(gè)設(shè)備的密鑰管理可防止偽造

在現(xiàn)場(chǎng)安全操作，防止竊聽(tīng)通信

現(xiàn)場(chǎng)安全固件更新

使設(shè)備部署更輕松的解決方案

報(bào)廢管理

招生問(wèn)題

瑞薩電子強(qiáng)調(diào)管理物聯(lián)網(wǎng)設(shè)備的部署，這揭示了大規(guī)模部署物聯(lián)網(wǎng)設(shè)備時(shí)的另一個(gè)關(guān)鍵問(wèn)題：許多物聯(lián)網(wǎng)設(shè)備開(kāi)發(fā)人員將通過(guò)第三方物聯(lián)網(wǎng)中心服務(wù)（如Microsoft Azure或亞馬遜網(wǎng)絡(luò)服務(wù)）運(yùn)行其物聯(lián)網(wǎng)生態(tài)系統(tǒng)。通過(guò)這些服務(wù)注冊(cè)設(shè)備涉及一系列復(fù)雜的交換，以對(duì)每個(gè)設(shè)備進(jìn)行身份驗(yàn)證，檢查它是否未被篡改，創(chuàng)建證書(shū)，然后使用它們建立安全通信。

瑞薩電子、意法半導(dǎo)體、麥宏力士和Silex Insight選擇了加密匡迪克的QuarkLink平臺(tái)，幫助客戶(hù)在沒(méi)有專(zhuān)業(yè)加密知識(shí)的情況下，從芯片到云端配置、載入和管理設(shè)備。下圖顯示了使用 Silex Insight 的 eSecure IP 連接到物聯(lián)網(wǎng)中心服務(wù)并由其管理的設(shè)備所涉及的過(guò)程。

QuarkLink 如何處理在 IoT 中心注冊(cè) IoT 設(shè)備的復(fù)雜過(guò)程

隨著物聯(lián)網(wǎng)的發(fā)展，保護(hù)物聯(lián)網(wǎng)設(shè)備的重要性也在增加。實(shí)現(xiàn)這一目標(biāo)的挑戰(zhàn)是確保在任意位置運(yùn)行并通過(guò)任意鏈路進(jìn)行通信的任意設(shè)備仍然可以保持安全。

好消息是，半導(dǎo)體行業(yè)正在通過(guò)推出各種標(biāo)準(zhǔn)產(chǎn)品來(lái)應(yīng)對(duì)這一挑戰(zhàn)，這些產(chǎn)品包括安全功能，以及用于在SoC中包含安全功能的半導(dǎo)體IP模塊。該行業(yè)還在開(kāi)發(fā)各種策略，為設(shè)備配備支持這些安全功能所需的唯一標(biāo)識(shí)符和加密密鑰。

更好的消息是，工具和服務(wù)正在出現(xiàn)，可以幫助沒(méi)有內(nèi)部安全經(jīng)驗(yàn)的開(kāi)發(fā)人員使用尖端的安全技術(shù)保護(hù)和管理他們的物聯(lián)網(wǎng)設(shè)備和生態(tài)系統(tǒng)。

審核編輯：郭婷