广告

物联网每个环节的安全,都值得被坚守

时间:2021-04-07 作者:邵乐峰 阅读:
日前,华邦电子与新唐科技、青莲云三方携手,面向智慧城市、智慧家居、智能电表、工业控制等行业,共同推出了一种完善的整合式参考设计(fully integrated reference design),即全新的云到端解决方案,用于实现安全的物联网设备即时线上(OTA)固件更新,为云到端的闪存数据存储与传输提供安全保障。 
广告

全新的解决方案以新唐M2351SF物联网安全微控制器为基础,采用多芯片封装,整合M2351物联网安全微控制器和华邦W77Q TrustME安全闪存。其中,新唐M2351微控制器以Arm Cortex-M23安全处理器为核心,采用TrustZone技术。华邦W77Q安全闪存与M2351微控制器通过加密的SPI接口进行连接,可避免窃听攻击,确保数据传输的完整性与安全性。

同时,为了提供可信执行环境(TEE)以确保安全的OTA固件更新与云端连接,青莲云推出的TinyTEE安全软件堆栈在受TrustZone保护的M2351内运行,通过华邦W77Q安全闪存提供的32Mb安全存储连接至青莲云的安全云服务器,可提供包括设备身份验证、安全存储、加密引擎、真随机数生成器等在内的完备的物联网设备管理功能,并符合国际标准组织GlobalPlatform的TEE安全评估认证。

云到端的安全

华邦电子安全解决方案行销处处长陈宏玮表示,华邦TrustME安全存储系列产品在设计过程中主要基于以下四个原则:

  • 安全认证。目前,华邦安全闪存产品均已通过国际相关机构的安全认证,具体应用时,会依据不同应用场景的安全要求,提供不同安全等级的安全认证。
  • 应用范围广泛。除了W77Q安全闪存外,华邦TrustME系列还包括其他高安全级别的产品,用以满足不同应用场景的需求。
  • 设计灵活。不是所有的SoC/MCU芯片都具备足够的安全设计,有些芯片使用的外挂闪存根本不具备任何安全功能。考虑到在很多远程攻击的案例当中,黑客更喜欢攻击闪存中的固件,所以华邦在设计中将重心转移到了如何保护闪存中的固件安全,从而开发出TrustME安全系列产品。
  • 可扩展性。众所周知,嵌入式闪存制程成本相对很高,其容量容易受到限制。而华邦使用的外挂式闪存在存储容量上比较有弹性,易于满足不同的应用需求。

“常见的IoT领域攻击,大多数都是可扩展的远程攻击,其对应的应用安全级别认证标准通常是IEC62443、CC EAL2/3和ETSI 303645。同时,考虑到包括防止攻击、侦测攻击、以及如何从攻击中复原在内的平台分位恢复力(Resilience)也是当前业界讨论的热点,于是华邦也将上述众多因素融入到了W77Q安全闪存的产品设计中。”陈宏玮说。

新唐科技MCU开发与应用事业群资深技术经理凌立民则指出,在未来的智能世界里,新型智能设备会被赋予收集/存储重要数据、联网、提供更多本地运算的能力。因此,微控制器及其具备的安全功能,最主要就是为产品开发与服务创新提供保障,“如何快速进行产品开发,并在保证成本优势的同时提供整个生命周期的数据安全”,将成为设计人员在进行微控制器与微处理器选择时最为看重的因素,而解决此问题的最好方式,就是设置一个独立的安全区。

所以,新唐M235x系列除了拥有TrustZone外,还具备根信任(Root-of-Trust)、反固件版本回溯(anti-roll back feature)、产品安全相关的生命周期使用记录、以及合法联网身份确认(product lifecycle security and attestation)等关键特色。再搭配真实随机乱数产生器、唯一硬件识别码和软件开发套件,可确保无论是TrustZone中的闪存,还是华邦安全闪存,均可实现免费的安全启动与安全存储。在此前提下,类似青莲云这样的物联网安全软件开发商,就能利用上述所有安全要素,移植可信执行环境(Trusted Execution Environment, TEE) OS用于执行安全应用。

新唐M235x系列关键特色

凌立民特别强调称,新唐物联网PSA安全认证是在工信部信通院的泰尔实验室获得通过的,之所以没有选择美国、欧盟,目的就是为了面向庞大的中国市场提供有公信力的认证产品。也正是因为这样的机缘,新唐在认证过程中了解到国内的算法和安全机制需要,例如像SM2、SM3、SM4等,新唐也一并将其放进产品中,这就是所谓的弹性。

“物联网应用是基于互联网的,所以,互联网安全领域存在的漏洞和攻击方式,物联网应用都存在。可以这样说,物联网安全是互联网安全的延伸,物联网只会带来新的安全风险。”青莲云联合创始人王科岩指出,以下三方面的风险,尤其需要引起物联网安全公司的警惕。

一是物联网平台要负责设备通信和管理,它作为一个PaaS服务,会新开放一些端口和API等服务,而IaaS云安全并不了解这些新开放的端口和服务的用途是什么,所以安全策略难以覆盖。

二是物联网的通信协议,诸如ZigBee、蓝牙、NB-IOT、2/3/4/5G等等,这些协议在互联网应用上并没有使用到,互联网安全策略也无法覆盖到这些协议,因而带来了新的安全风险。

三是互联网时代更多的应用模式是C/S,即客户端/服务端模式。这种模式有非常清晰的“边界”,企业可以通过部署防火墙、IPS等网关类设备来提高企业服务的安全性。但在物联网时代,设备遍布全球各地,黑客可以直接对设备发起攻击,没有“边界”的存在了,传统网关类防护设备用处不大。

他以手机可信执行环境作为类比,对物联网应用中的TEE做了进一步的解释。众所周知,手机可信执行环境运行在CPU安全区域中,用于储存人脸、指纹等重要的个人信息,而手机操作系统运行在非安全区环境中。这样,黑客即使攻破了非安全区里的操作系统,也拿不到安全区的隐私数据,从而保障了隐私数据的安全。

同理,利用Arm的TrustZone隔离技术,MCU在硬件层也被分成了安全区和非安全区。青莲云的TinyTEE把敏感信息、商业保密算法存储在安全区,即使黑客攻击了设备硬件,拿到了非安全区的操作权限,能够读取非安全区的内存,看到操作系统的任务切换等行为,但是因为硬件隔离的原因,黑客同样无法拿到安全区的数据,这样就可以保障敏感信息或者安全数据的安全。

青莲云物联网设备可信执行环境TinyTEE

那么,可信执行环境有哪些特点呢? 王科岩认为,基于TrustZone硬件隔离技术的底层分区隔离和支持灵活的flash扩展最具代表性。正是得益于此,TinyTEE产品才能够提供可信应用校验、安全存储,并通过建立信任根和信任链,对固件和应用进行合法性、完整性的校验。同时,作为云计算公司,青莲云也能够天然地支持一些物联网安全应用,例如双向的身份认证、一机一密、密钥管理等。

结语

物联网安全是一个由合规性驱动的行业,目前国内市场还处于早期发展阶段,相应的法律法规一直在持续完善。随着网络安全等级保护(等保2.0)的正式发布,国家首次将物联网安全提升到一个新的高度,未来会有更多企业客户有相关的需求。如何结合不同行业的特殊要求,提供合适的解决方案,是相关企业亟待思考的问题。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
邵乐峰
ASPENCORE 中国区首席分析师。
  • 工厂自动化、物流和资产管理中Wi-Fi HaLow的应用 设备供应商可以使用经过优化的Wi-Fi HaLow芯片和协议栈,来创建无线资产标签、跟踪器、扫描仪和监视器,以在较远的距离和一定的数据速率范围内运行。以下是四个工厂自动化和资产管理的用例,说明了在供应链中,是如何集成Wi-Fi HaLow技术的。
  • 分布式边缘计算的到来,将如何改变IT基础设施? 众所周知,所有转型技术都是经过成年累月的推动,逐渐发展成熟。然而过去一年以来全球在疫情的刺激下,大规模的数字化转型浪潮已开始汇集而成,各个产业皆趋之若鹜,争相构建能维持生存的技术,并期望可以成功为企业带来显著改变。这一切的转变,对于IT基础设施又有什么重要意义呢?
  • 华为徐直军:提升软件能力减少芯片依赖,养得起会一直养着 4月12日,华为在深圳总部召开了18届全球分析师大会,“乱云飞渡仍从容”是本次大会上华为副董事长,轮值董事长徐直军的演讲PPT的开场白。他分享了2020年华为公司经营情况,并阐述了华为未来5大关键战略举措。对于华为2021年的目标,徐直军表示:仍然是活下去。而谈到自家芯片团队海思,徐直军表示,不要求其盈利,养得起会一直养着。
  • 2021医疗设备六大趋势展望 着眼2021年,当疫情控制将社会生活与运转带入新常态,它会对全球医疗保健和医疗技术产生哪些长期影响呢?我们针对2021,定义了六个关键主题。
  • 万变的智能边缘需要一颗怎样的处理器? 最新推出的第三代英特尔至强(Xeon)可扩展处理器,相比前代的平台性能提高了40%以上,能够提供出色的边缘推理性能、灵活性和安全性,从而满足强大的人工智能、复杂的图像或视频分析,以及边缘本地或任何工作环境的整合工作负载的需求,可同时应用于制造、医疗、零售、教育等多个行业,是英特尔面向物联网迈出的又一个重要里程碑。
  • 2020年中国大陆本土晶圆代工公司营收排名榜 根据芯思想研究院发布的数据显示,2020年的榜单较2019年榜单加了三家公司,分别是绍兴中芯、粤芯半导体、宁波中芯。2020年中国大陆本土晶圆代工公司总体营收高达463亿元,较2019年397年增加66亿美元,扣除绍兴中芯、粤芯半导体和宁波中芯的营收18亿元,原有7大代工公司的营收增长了48亿元。
  • 千亿级别的暴涨与暴跌的比特币为啥 比特币暴跌20%或有400亿美金资金爆仓,显卡行业也深受波及,而这背后一方面是政府的禁令频发,另一方面金融犯罪的案例被推到了台面上,再加持众多资本狂割韭菜使得整个市场乌烟瘴气。而纵观发展历史,速度快的CPU为何没有用武之地呢,本文来带你一探究竟。
  • EE快讯——华为2021第18届全球分析 2021年4月12日,华为在深圳举办了第18届华为全球分析师大会,会上华为徐文伟提出了未来10年九大技术挑战与研究方向;轮值董事长徐直军表示:6G比5G快50倍,将在2030年左右推出,同时表示要提升软件能力减少芯片依赖,对海思的态度是养得起,也会一直养着,对于业界一直猜测的麒麟9000芯片库存还有多少,徐直军表示:华为的库存可以支撑公司活得更长一点。另一方面,欧菲光的前途终于有了结果...
  • 紫光展锐:大破大立,做数字世界的生态 4月20日,以“构go”为主题的2021紫光展锐创见未来大会在线上举行。会上,展锐重磅发布了5G业务新品牌——唐古拉系列,推出了Cat.1bis新技术特性,并分享了创新业务AR领域的最新商用进展。此外,展锐重申了公司产业定位——数字世界的生态承载者,并公布了对消费电子业务和工业物联网领域的前瞻预见和战略规划。
  • 安谋中国发布全新“山海”S12解决 安谋中国今天发布面向 AIoT 系统的全栈安全解决方案“山海”S12,包含硬件加解密引擎、安全软件和安全服务三大部分,从芯片的安全 IP 层到云端安全应用和安全管理提供全链路的安全保护。“山海”S12可以广泛应用于智能手机、平板、智能电视及安防等行业,为多种安全解决方案如数字版权保护、AI 安全、身份认证等提供基础安全能力。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了