利用芯片级安全保护工业物联网终端

谈到物联网(IoT)安全时，大多数人都会提到两件事：一是建立信任根(RoT)作为安全基础，二是不要只关注终端设备，而是要考虑整个生态系统和产品生命周期的安全性。

然而，我们必须重视终端设备的安全性，因为它们是防御网络攻击的重要一环。无论是云端服务器还是边缘传感器，最终都要节点上的终端得到了保护，才能保护整个系统——至少可以降低遭受攻击的可能。

因此，本文特意侧重于设备安全性，并同时认知必须更全面地考虑安全性：作为整个工厂或环境更广泛的安全性框架，其中，可连网设备在提高生产率和效率中发挥重要作用。

如工业因特网网联盟(Industrial Internet Consortium，IIC)的安全架构所示，终端保护有助于边缘和云端设备实现防御功能(图1)。终端可以是工业物联网(IIoT)系统中的任何一个元素，同时具有运算和通讯功能，其自身功能可能会暴露给防火墙外的任何人。这些终端可以是边缘设备、通讯基础结构、云端服务器或其间的任何设备，每个终端都有不同的硬件局限，决定了可获得的保护等级。

图1：IIC的工业因特网安全架构(Industrial Internet Security Framework)中确定了终端各个部分的威胁和漏洞。

(来源：IIC)

终端保护是透过终端中的权威身份辨识功能——通常是RoT，来实现通讯和连接的防御。因此，安全机制和技术应根据终端的具体功能和安全要求进行应用。

虚拟机将应用程序隔离在各自的区域中，但无论是裸机还是在其上运作的客户操作系统，终端本身都有许多漏洞。

在这种情况下，一个常见的问题是，应透过硬件还是软件来保护系统。大多数专家认为，从很多因素来看，硬件保护比软件保护更可取，但主要还是因为硬件具有更高的防篡改能力，可以提供比软件更高的信任度和安全性。

很多大型芯片供货商都提供某种硬件级安全保护，可能是可信任平台模块(TPM)或安全组件(SE)这样的硬件安全模块，也可能是其他形式的系统单芯片(SoC)嵌入式安全功能。其主要目标是实现强大的用户身份鉴权和验证，以防受到攻击，并防止对机密或敏感信息的非法访问。

安全组件

硬件安全解决方案的关键要素是安全组件，它储存经过加密的唯一辨识码，以实现认证保护，确保读取安全加载凭证。例如，提供物联网设备的大规模注册，确保只有授权设备才能访问系统或云端服务。大多数芯片供货商提供的安全组件都是微控制器(MCU)的一部分，同时还提供某种监控和身份管理系统。

意法半导体(STMicroelectronics)的STSAFE-A110可以整合到物联网设备中，为本地或远程主机提供身份验证和安全的数据管理服务。该组件具有嵌入式安全操作系统，并采用通过“信息技术安全评估共同准则”(Common Criteria for InformationTechnology Security Evaluation，简称“共同准则”、Common Criteria或CC)评估保证等级5+ (Evaluation Assurance Level 5+，EAL5+)认证的硬件，每个组件都内建唯一标识和X.509证书，以实现设备的安全连接。这个安全组件与STM32Cube开发生态系统整合，可快速应用于需要身份验证和安全连接的新型STM32 MCU设计。

恩智浦半导体(NXPSemiconductors)的EdgeLock SE050 Plug and Trust安全组件系列是另一款开箱即用的物联网设备安全组件，无需编写安全程序代码，可提供芯片级RoT以实现端到端的安全性。该产品通过了Common Criteria EAL 6+认证，可提供更好的安全性，作为即用型解决方案，它包含完整的产品支持包，可以简化设计。

除了提供适用于不同MCU和MPU的库之外，恩智浦的产品支持包还提供与多种常见操作系统的整合，包括Linux、Windows、RTOS和Android。该支持包包括主要应用的样本、大量的应用说明，以及用于i.MX和KinetisMCU的兼容开发工具包，以加快最终的系统整合。其产品配置支持物联网安全应用，例如传感器数据保护、物联网服务的安全访问，以及物联网设备调试，是对现有应用的补充，如云端服务的安全实施、设备到设备的身份验证、设备完整性保护和证明，以及设备溯源和来源证明。

英飞凌(Infineon)的OPTIGA TPM系列产品也包含了多种安全控制器，用于保护嵌入式设备，以及系统的完整性与真实性。OPTIGA TPM SLM 9670是一款高质量的TPM模块，它采用防篡改安全MCU，适于工业应用。作为一种即用型解决方案，它具有安全编码韧体，满足最新的可信赖运算组织(TCG) Family 2.0规范。其产品符合工业JEDEC JESD 47标准质量要求，并通过了Common Criteria EAL4+安全认证。

开发人员可以采用OPTIGA TPM来储存私钥，配合Sectigo身份管理解决方案，可为工厂提供完整的自动化证书颁发和管理解决方案。

图2：TPM透过其独特的背书密钥和密钥分层结构来支持密钥及生命周期管理。非挥发性内存可用于安全储存敏感数据，例如证书，它基于防篡改硬件，安全功能包括传感器和内存加密功能，以增强对机密的保护。(图片来源：英飞凌)

瑞萨电子(Renesas Electronics)于2019年10月推出针对安全、可扩展物联网应用的RA系列MCU。该系列产品采用开放式软件平台，客户能够透过与众多厂商合作或利用现有传统软件平台来开发物联网终端。瑞萨电子将强大的RoT整合到硬件中，使其成为MCU的组成部分，安全功能的实现因此变得轻而易举：客户在完成设计后无需再考虑如何增加安全性。

内存内(In-memory)安全

随着系统越来越依赖外部NOR闪存来保护连网系统的程序代码和数据，在内存中增加先进加密安全性的需求也在增长。随着闪存移出主处理器，几家公司提供了能够保护闪存本身的功能(因为无法再将其嵌入到MCU中)，为设计工程师提供了更大的灵活性。例如，英飞凌最近推出了Semper Secure，作为其SemperNOR闪存平台的补充。

同时，美光(Micron)的专有技术Authenta将NOR闪存与系统级硬件RoT结合。闪存本身内建的安全功能可透过芯片RoT实现先进的系统级保护，而无需添加新的硬件。它具有强大的内建加密身份，透过现场更新和始终开启(always-on)的韧体监控，简化了从供应链到设备入网的安全设备管理。

美光2019年10月推出了Authenta密钥管理服务(KMS)平台，可为多种工业应用提供云端优先部署模型。采用该平台以后，已安装Authenta的设备可以透过云端服务开启，从而降低了保护连网设备安全性的难度和复杂度…

…除了以上的方案，嵌入式SIM卡、PUF物理反复制技术等也是捍卫工业物联网安全的选项…你的项目适合哪一种？完整阅读本文请前往2021年1月刊《EDN Taiwan Digital》数位杂志阅读！

责编：Yvonne Geng

(参考原文：Protecting the Endpoint in IIoT: A Snapshot of Chip-Level Security，by Nitin Dahad)