如何让物联网更安全？金融级的安全芯片保驾护航

随着物联网的迅猛发展，与人身或财产安全相关的设备迫切需要提高安全性，例如智能家居里的智能门锁、摄像头、智能音箱，还有智慧工厂、电动汽车的充电桩等。那么，如何保证这些物联网设备的高安全性，且又易于设计开发？另外，现在很多MCU/CPU等主控芯片也带有越来越多的安全功能，为何还需要额外的安全芯片？

近日，英飞凌科技发布了物联网上云芯片——OPTIGA™ Trust M2 ID2，优势是可以支持阿里云Link ID²的服务。为此，英飞凌科技安全互联系统事业部市场经理成皓先生向电子产品世界等媒体介绍了物联网安全芯片的特点，以及如何实现高安全性。

英飞凌科技安全互联系统事业部市场经理 成皓

1   基于硬件最安全

目前物联网设备常用的安全方案有三类（如下图）。

1）   没有安全。由于很多边缘侧的设备资源比较有限，或处于成本考虑，因此很多设备厂商在设备设计的初期没有考虑去引入相关的安全机制，这导致边缘侧的设备成为易于被攻击的对象。

2）基于软件实现的安全。很多企业和服务提供商基于成本等考量，会有基于软件实现的方案。确实基于软件实现的方案可以用来防御一些逻辑通话上的非法访问，和减少软件自身漏洞带来的风险。但是同时也有一些问题，例如软件是运行在通用的MCU、CPU环境中，数据易于被访问和读取，因而易于被复制和篡改、分析和理解。最重要的一点是基于纯软件的方案，在安全系统里无法做到整个系统可信任的“根”。

3）基于硬件的安全。最大的优势是可以用于抵御针对硬件级别的攻击。例如英飞凌此次发布的OPTIGA™ Trust M2 ID2，其中一些经过特殊设计的精简逻辑，会更好地保护数据的存储。即使通过一些非常专业的反向工程，也无法轻易地破取和破解原始数据。此外，一些专业的设计和标准的代码也非常难以被破解和理解。最重要的一点是基于硬件的安全芯片方案可以为整个系统的安全做到一个可信任的“根”，也是作为系统可信任的来源。

2   物联网设备设计面临的挑战与需求

物联网设备主要有以下6个特点。

●   MCU/CPU，即主控资源非常有限。如果以纯软件方式来实现，势必会占用更多原本已经非常紧张的主控/MCU的资源。相比之下，安全芯片会以非常轻量化的资源占用来实现安全功能，同时不会占用主控端的资源。

●   贴片空间的限制，因为一些物联网设备/家电设备/便携式设备的尺寸越来越小。

●   功耗的限制。

●   成本的敏感性。

●   轻量化的操作系统。

●   跨领域的产品设计。因而需要易于集成、易用。

3   Trust M2 ID2的主要优势

Trust M2 ID2产品的特点很多（如下图），突出特点是易于开发和高安全性。

1）易用开发方面，有完整的交钥匙式的解决方案，客户定制化证书烧录，基于硬件抽象层架构的主端C源码包，有完善的评估工具。

2）从安全特性来说，Trust M2 ID2是一款经过最高安全认证等级、金融级别安全认证等级CC EAL 6+（high）认证的安全控制器，支持X.509标准的证书格式，硬件发生器符合AIS-31认证标准。

具有OPTIGA™ Shielded Connection。因为在物联网设备里，除了考虑设备与设备之间、设备与云端之间的数据需要加密之外，本身的安全芯片和主控端MCU/CPU通信也是链路传输的过程，这有一套特有的安全机制。所以英飞凌保证的是所有在链路上传输的数据，不管是设备和云端，还是设备内部的数据传递全是加密进行的传递，提升了整体安全等级。

此外还有双向认证功能。OPTIGA™ Trust M2 ID2可以存储多组密钥和证书，用来完成物联网设备和云端、以及和其它设备之间的双向认证。同时，加载安全芯片的设备可以和其它的控制器及生态系统内的设备进行双向认证。所以，需要强调的一点是，①在物联网整个系统架构中，除了云端或者服务端对设备的认证非常重要之外，设备端对于云端的鉴别也是非常重要的。所以英飞凌的方案是一个双向认证的功能，而不是单向认证。

典型应用场景是如下几个。

●   固件安全升级。 目前在很多物联网攻击的模式里，很多攻击（包括黑客攻击）是通过伪造一些固件包的方式，企图来获取对设备的控制权。一般的用户没有能力去鉴别。例如我现在收到了一个固件升级包是否是完整、来源合法的升级包？再例如手机升级，但对于一般用户,没有能力去判断自己现在手机上收到的升级包是否是合法来源的。所以这种升级过程是有很大风险的，会导致设备被黑客或非法分子监听或控制。OPTIGA™ Trust M2 ID2可以通过“可信任根”的功能，帮助设备实现鉴别固件升级包来源的功能。

●   个人化数据的写入。 具体结合到OPTIGA™ Trust M ID2产品，在该芯片的生产阶段就已经预置了一款由阿里云的Link ID²的服务器分发的独一无二的ID信息，终端客户（IoT设备厂商的客户）直接用嵌入这款安全芯片到终端设备中即可使用。使用方式是嵌入这款安全芯片之后，它第一次联网的时候就会完成一次Link ID²设备在云端的注册。因此，英飞凌提供相关的安全和个性化数据写入的功能之外，也为这些设备制造商和云服务商提供了一些全新的商务模式。例如他们可以通过收取服务费或授权费的方式，来获得更多的商务模式的可能性扩展。

●   数据安全存储。 这是比较容易理解的一种功能，还可以把一些用户的关键数据与信息，例如证书、密钥，通过加密的方式，存储在设备的内部，好处是存储在安全芯片内部的数据，哪怕设备遭受了外部的攻击，尽管外部的系统设计或软件层面有一些漏洞，因为黑客或攻击者没有对安全芯片访问的能力，存储在安全芯片内部的数据也无法被外部去截取和分析。这也是硬件安全芯片比较大的优势。

●   “平台完整性”的校验。主要针对某些系统需要安全启动的场景下，设备有能力来判断目前放在这个设备上的操作系统或软件是否被篡改，进而来抵御攻击能力的一个手段。

4   安全芯片的应用案例

1）   智能音箱

智能音箱除了能够代替传统的蓝牙音箱欣赏音乐之外，还可以以更便捷的语音形式上网，同时可以和用户进行语音方面的互动。另外，很多智能音箱提供商把智能音箱作为对全屋智能家电语音交互的节点，可控制窗帘、开门、下载音乐等。

通过英飞凌的OPTIGA™ Trust M2 ID2可实现数据存储、加密等功能，例如，很多时候，需要提供云服务提供商帐号密码才能登陆智能音箱进行安全操控，可以把这些账户信息/ID信息或密码存储到安全芯片内部。另外，可以通过安全芯片的双向认证功能，保证智能音箱只处理一些经过合法来源认证的信息。例如这时突然有黑客或陌生人通过一些伪造远程语音信息的方式来“开门”或“开窗”，智能音箱有能力鉴别它的信息，或鉴别对智能音箱进行操控的设备是否是合法来源。

再有，可以保证所有的设备和服务端云端交互的数据都是通过加密的形式进行传递的。例如，可能有些智能音箱里的关键数据需要上传到云端，可以保证链路上的数据都是加密的，就算被黑客进行数据拦截，它也无法破译原始数据的信息。

2）   智能工厂

国外已有两三家知名的生产企业在智能化工厂的终端设备，诸如机械手臂、集成PLC上的产品里，嵌入了Trust M的安全芯片。主要实现的功能是用于端到端的数据加密。同时，生产企业通过Trust M2 ID2芯片可以来验证上传数据的设备是否是合法的设备、是否是在工厂内实际工作的设备，而非黑客或者是第三方伪造的设备。

3）   网络摄像头

网络摄像头是被黑客重点攻击的设备之一。除了公共场合里的摄像头，也有家用摄像头。例如冰箱里的摄像头，主要对冰箱里的食物拍摄、统计，并及时提醒用户；很多超市的货架上也安置了摄像头，便于工作人员管理货架。家用摄像头主要用于监控，例如可以防止窃贼、远程观看家中老人和小孩的情况。不过此时，由于网络摄像头可监控的特性，也会成为很多不法分子的攻击对象。

目前很多摄像头被入侵的一个主要原因是它的“弱口令”。一般很多出厂密码就会默认设置admin了，所以对于黑客攻击来说，攻击这类设备非常容易。所以通过在摄像头里去集成OPTIGA™ Trust M2 ID2芯片，可以保证摄像头本身与云服务之间通讯数据进行安全加密，这些关键数据在链路上传输时无法被破解。

5   哪些场景需要硬件安全芯片？

所以是否需要用安全硬件芯片，要看具体在应用场景里面需要用到哪些安全级别。例如，对某些成本比较敏感或安全诉求不是很高的应用场景里，例如智能门铃，并不需要安全级别如此高的安全芯片产品。而在一些对安全诉求会一些比较明确（如：智能门锁、智能音箱）的场景，需要用到像Trust M2 ID2这样的安全芯片。

安全级别不高的场合，可以用MCU/CPU等，因为其本身也自带了一些硬件安全功能，更多的是基于纯软件或者叫软件杀消功能。

专业的安全防护，需要用到英飞凌Trust M2 ID2安全芯片，优势是经过CC EAL6+安全认证，所以安全级别比传统的在主控芯片里集成的安全方案会高很多。

6   英飞凌在物联网安全的整个布局

英飞凌OPTIGA™系列布局整个物联网市场，包括网络侧的节点、设备的节点，以及节点与节点之间的认证，还是某一个节点对于配件的认证，都有相应的解决方案。

其中，OPTIGA™ Connect eSIM方案目前主要解决的是“设备连接到网络”，主要侧重的是“连接”，主要是通过蜂窝网络连接到运营商的解决方案，侧重点是运营商的档案（profile）和资料可以通过空中货物方式下载到eSIM卡里去，所以主要是起到“连接”的作用。

OPTIGA™系列还有Trust B的安全芯片，主要用于单向的设备或配件认证。例如很多手机上会要求对电池，或者家电设备的某一净水器需要对滤芯做一个单向认证，是否是原装出厂的配件。

此次主要介绍的Trust M2 ID2会侧重在物联网设备节点终端做节点保护和云端双向认证。

英飞凌的OPTIGA™ TPM安全芯片会放在云端的服务器端，去做基于Linux系统非常繁重的设备里的可信任根。目前TPM产品已有很多的商用案例。