从边缘到云端,如何确保物联网安全?

易百纳技术社区 2020-10-30 10:30:00 3522

本文是物联网安全系列中的第二篇。之前我们在推文“家用摄像头被黑何解?物联网安全有它保驾护航”中谈到,不具备嵌入式安全功能的新型“智能”物联网设备,将给用户的数据安全带来风险。目前,物联网设备制造商所面临的主要挑战,就是在“资源受限”的产品中纳入高标准的安全功能。

如今应用于物联网的边缘设备不仅必须同时满足功耗、价格和处理能力等多方面要求,还需要提供与电脑、智能手机和汽车同等的高性能处理器的安全水平。

如何在连接云的物联网边缘设备中,实现互联网的安全级别,同时保持其价格竞争力呢?答案就在于安全微控制器(Secure MCU)。

如今的Secure MCU可以帮助物联网设备制造商设计出符合最新安全法规和要求的产品。这些设备具有预先配置的硬件信任根,能够提供连网配置服务,并在内部执行安全隔离,即使某个区域受到破坏侵入,也能够确保设备整体的安全性。

此外,Secure MCU还采用硬件加速的加密技术,其随机数生成(TRNG)功能可在设备内部生成随机密钥。这些功能对于执行必要的安全操作(如安全启动和证明)不可或缺,同时也符合FIPS 140-2的1级安全要求。

硬件信任根:

正如人们使用身份证、独特的生物特征和密码来保护交易一样,所有连接云的设备也需要独有的硬件信任根来进行自我证明。信任根就是设备的身份,与设备的所有者进行绑定。Arm平台安全架构(PSA)推荐使用eFUSES以及使用PUF物理不可克隆功能“数字指纹”等技术。

硬件信任根是计算系统执行所有安全操作的基础,它包含用于加密功能的密钥,并可实现安全启动。硬件信任根是自身可信任的,因此必须在设计上确保其安全。不同的硬件信任根可以支持不同的应用程序,同时绑定不同的应用使用者。信任根的使用,包括安全启动(启动后进入一种安全和受信的状态)、安全固件更新、证明以及基于硬件的传输层安全(TLS)。

硬件信任根通常以加密密钥的形式出现,必须进行逻辑和安全存储,并用于安全处理环境。

安全启动

安全启动是指 MCU 启动后进入一种预设的可受信的运行状态,即要求在系统开启时,每一次启动代码,都要先验证下一级代码,然后才可以运行。信任根验证初始启动步骤,而后每个后续步骤则需要验证下一层固件,直到整个应用程序运行为止。

固件更新

安全固件的更新,对于修复错误和已知安全漏洞非常重要。它对于保护应用程序的IP也起到关键作用。

基于硬件的TLS

仅基于软件的传输层安全(TLS)有可能暴露密钥,而基于硬件的TLS则要安全得多。TLS是用于网络数据传输(尤其是Wi-Fi)的通用协议,可对数据进行加密。用于此类加密的密钥需要被安全地存储于芯片中,并且加密处理也在安全处理环境中进行。

证明

远程证明是一种验证方法,边缘设备(客户端)通过这种方法向远程主机云平台(服务器)验证其硬件和软件配置,或者反向进行。通过远程证明的方式,使智能设备终端能够确认设备的可信程度。

安全密钥存储

在MCU中以逻辑安全的方式存储密钥至关重要。这不仅要求对密钥进行隔离,避免通过通信协议栈所在的非安全处理环境进行访问,并且也是对于安全处理环境下的不同受信应用程序,在不同密钥集之间实现隔离。Trusted Firmware-M(TF-M)提供了一个安全分区管理器,以管理安全处理环境的安全操作系统。

连网配置

大多数安全半导体芯片产品(例如用于支付卡或SIM卡)都在工厂进行批量配置。因此,客户下达的订单无法撤销,并且通常对于最低订购量有所要求。不过,这种模式正在发生改变,中小型物联网设备制造商现在可以充分利用连网配置,而无需受限于供应链要求。

安全和非安全处理隔离

将密钥存储、加密操作以及其他安全应用程序,与通信协议栈实现隔离,对于MCU来说至关重要。为此,Secure MCU必须同时提供安全处理环境和非安全处理环境。可以通过两种方式实现安全处理环境和非安全处理环境的隔离,一是虚拟化单个内核,另一种是采用两个彼此分离的内核,在这两个内核之间通过IPC进行通信。

PSoC 64® Standard Secure AWS解决方案


基于Arm® Cortex®-M的MCU行业拥有多个开源社区,可以创建相关固件来支持安全设备的核心功能。TF-M.org和Linaro便是这样的两个社区。基于PSoC 64产品系列,英飞凌在这些开源社区中发挥重要作用。PSoC 64 Standard Secure AWS解决方案是PSoC 64系列的重要部分,它整合开源安全软件与Amazon® FreeRTOS,能够实现开箱即用。

PSoC 64 Standard Secure AWS解决方案拥有极其强大的后盾,包括:严格的Amazon认证流程,来自于英飞凌、Arm和亚马逊的成熟代码库,FreeRTOS.org的Free RTOS内核,Amazon IoT Device Defender服务,以及便捷的证书管理系统。这种预集成的解决方案具有多重优势,包括降低风险、节省成本和加速产品上市。

联网设备通常面临安全威胁。政府和行业已通过立法和标准来降低相关风险。在低成本、资源受限的设备中,实现联网级别的安全性,尽管颇具挑战性,但并非无法实现。Secure MCU制造商、开源固件和云技术提供商,正在共同应对这一挑战。英飞凌与AWS携手合作,通过适用于生态系统设备端和云端的产品,为需要连接AWS服务的物联网设备提供安全连接支持,从而极大简化开发者的工作。

来源:Cypress赛普拉斯半导体

声明:本文内容由易百纳平台入驻作者撰写,文章观点仅代表作者本人,不代表易百纳立场。如有内容侵权或者其他问题,请联系本站进行删除。
红包 点赞 收藏 评论 打赏
评论
0个
内容存在敏感词
手气红包
    易百纳技术社区暂无数据
相关专栏
更多相关专栏
置顶时间设置
结束时间
删除原因
  • 广告/SPAM
  • 恶意灌水
  • 违规内容
  • 文不对题
  • 重复发帖
打赏作者
易百纳技术社区
易百纳技术社区
您的支持将鼓励我继续创作!
打赏金额:
¥1易百纳技术社区
¥5易百纳技术社区
¥10易百纳技术社区
¥50易百纳技术社区
¥100易百纳技术社区
支付方式:
微信支付
支付宝支付
易百纳技术社区微信支付
易百纳技术社区
打赏成功!

感谢您的打赏,如若您也想被打赏,可前往 发表专栏 哦~

举报反馈

举报类型

  • 内容涉黄/赌/毒
  • 内容侵权/抄袭
  • 政治相关
  • 涉嫌广告
  • 侮辱谩骂
  • 其他

详细说明

审核成功

发布时间设置
发布时间:
是否关联周任务-专栏模块

审核失败

失败原因
备注
拼手气红包 红包规则
祝福语
恭喜发财,大吉大利!
红包金额
红包最小金额不能低于5元
红包数量
红包数量范围10~50个
余额支付
当前余额:
可前往问答、专栏板块获取收益 去获取
取 消 确 定

小包子的红包

恭喜发财,大吉大利

已领取20/40,共1.6元 红包规则

    易百纳技术社区