全新的解决方案以新唐M2351SF物联网安全微控制器为基础,采用多芯片封装,整合M2351物联网安全微控制器和华邦W77Q TrustME安全闪存。其中,新唐M2351微控制器以Arm Cortex-M23安全处理器为核心,采用TrustZone技术。华邦W77Q安全闪存与M2351微控制器通过加密的SPI接口进行连接,可避免窃听攻击,确保数据传输的完整性与安全性。
同时,为了提供可信执行环境(TEE)以确保安全的OTA固件更新与云端连接,青莲云推出的TinyTEE安全软件堆栈在受TrustZone保护的M2351内运行,通过华邦W77Q安全闪存提供的32Mb安全存储连接至青莲云的安全云服务器,可提供包括设备身份验证、安全存储、加密引擎、真随机数生成器等在内的完备的物联网设备管理功能,并符合国际标准组织GlobalPlatform的TEE安全评估认证。
云到端的安全
华邦电子安全解决方案行销处处长陈宏玮表示,华邦TrustME安全存储系列产品在设计过程中主要基于以下四个原则:
- 安全认证。目前,华邦安全闪存产品均已通过国际相关机构的安全认证,具体应用时,会依据不同应用场景的安全要求,提供不同安全等级的安全认证。
- 应用范围广泛。除了W77Q安全闪存外,华邦TrustME系列还包括其他高安全级别的产品,用以满足不同应用场景的需求。
- 设计灵活。不是所有的SoC/MCU芯片都具备足够的安全设计,有些芯片使用的外挂闪存根本不具备任何安全功能。考虑到在很多远程攻击的案例当中,黑客更喜欢攻击闪存中的固件,所以华邦在设计中将重心转移到了如何保护闪存中的固件安全,从而开发出TrustME安全系列产品。
- 可扩展性。众所周知,嵌入式闪存制程成本相对很高,其容量容易受到限制。而华邦使用的外挂式闪存在存储容量上比较有弹性,易于满足不同的应用需求。
“常见的IoT领域攻击,大多数都是可扩展的远程攻击,其对应的应用安全级别认证标准通常是IEC62443、CC EAL2/3和ETSI 303645。同时,考虑到包括防止攻击、侦测攻击、以及如何从攻击中复原在内的平台分位恢复力(Resilience)也是当前业界讨论的热点,于是华邦也将上述众多因素融入到了W77Q安全闪存的产品设计中。”陈宏玮说。
新唐科技MCU开发与应用事业群资深技术经理凌立民则指出,在未来的智能世界里,新型智能设备会被赋予收集/存储重要数据、联网、提供更多本地运算的能力。因此,微控制器及其具备的安全功能,最主要就是为产品开发与服务创新提供保障,“如何快速进行产品开发,并在保证成本优势的同时提供整个生命周期的数据安全”,将成为设计人员在进行微控制器与微处理器选择时最为看重的因素,而解决此问题的最好方式,就是设置一个独立的安全区。
所以,新唐M235x系列除了拥有TrustZone外,还具备根信任(Root-of-Trust)、反固件版本回溯(anti-roll back feature)、产品安全相关的生命周期使用记录、以及合法联网身份确认(product lifecycle security and attestation)等关键特色。再搭配真实随机乱数产生器、唯一硬件识别码和软件开发套件,可确保无论是TrustZone中的闪存,还是华邦安全闪存,均可实现免费的安全启动与安全存储。在此前提下,类似青莲云这样的物联网安全软件开发商,就能利用上述所有安全要素,移植可信执行环境(Trusted Execution Environment, TEE) OS用于执行安全应用。
新唐M235x系列关键特色
凌立民特别强调称,新唐物联网PSA安全认证是在工信部信通院的泰尔实验室获得通过的,之所以没有选择美国、欧盟,目的就是为了面向庞大的中国市场提供有公信力的认证产品。也正是因为这样的机缘,新唐在认证过程中了解到国内的算法和安全机制需要,例如像SM2、SM3、SM4等,新唐也一并将其放进产品中,这就是所谓的弹性。
“物联网应用是基于互联网的,所以,互联网安全领域存在的漏洞和攻击方式,物联网应用都存在。可以这样说,物联网安全是互联网安全的延伸,物联网只会带来新的安全风险。”青莲云联合创始人王科岩指出,以下三方面的风险,尤其需要引起物联网安全公司的警惕。
一是物联网平台要负责设备通信和管理,它作为一个PaaS服务,会新开放一些端口和API等服务,而IaaS云安全并不了解这些新开放的端口和服务的用途是什么,所以安全策略难以覆盖。
二是物联网的通信协议,诸如ZigBee、蓝牙、NB-IOT、2/3/4/5G等等,这些协议在互联网应用上并没有使用到,互联网安全策略也无法覆盖到这些协议,因而带来了新的安全风险。
三是互联网时代更多的应用模式是C/S,即客户端/服务端模式。这种模式有非常清晰的“边界”,企业可以通过部署防火墙、IPS等网关类设备来提高企业服务的安全性。但在物联网时代,设备遍布全球各地,黑客可以直接对设备发起攻击,没有“边界”的存在了,传统网关类防护设备用处不大。
他以手机可信执行环境作为类比,对物联网应用中的TEE做了进一步的解释。众所周知,手机可信执行环境运行在CPU安全区域中,用于储存人脸、指纹等重要的个人信息,而手机操作系统运行在非安全区环境中。这样,黑客即使攻破了非安全区里的操作系统,也拿不到安全区的隐私数据,从而保障了隐私数据的安全。
同理,利用Arm的TrustZone隔离技术,MCU在硬件层也被分成了安全区和非安全区。青莲云的TinyTEE把敏感信息、商业保密算法存储在安全区,即使黑客攻击了设备硬件,拿到了非安全区的操作权限,能够读取非安全区的内存,看到操作系统的任务切换等行为,但是因为硬件隔离的原因,黑客同样无法拿到安全区的数据,这样就可以保障敏感信息或者安全数据的安全。
青莲云物联网设备可信执行环境TinyTEE
那么,可信执行环境有哪些特点呢? 王科岩认为,基于TrustZone硬件隔离技术的底层分区隔离和支持灵活的flash扩展最具代表性。正是得益于此,TinyTEE产品才能够提供可信应用校验、安全存储,并通过建立信任根和信任链,对固件和应用进行合法性、完整性的校验。同时,作为云计算公司,青莲云也能够天然地支持一些物联网安全应用,例如双向的身份认证、一机一密、密钥管理等。
结语
物联网安全是一个由合规性驱动的行业,目前国内市场还处于早期发展阶段,相应的法律法规一直在持续完善。随着网络安全等级保护(等保2.0)的正式发布,国家首次将物联网安全提升到一个新的高度,未来会有更多企业客户有相关的需求。如何结合不同行业的特殊要求,提供合适的解决方案,是相关企业亟待思考的问题。