从边缘到云端,如何确保物联网安全?

本文是物联网安全系列中的第二篇。之前我们在推文“家用摄像头被黑何解?物联网安全有它保驾护航”中谈到,不具备嵌入式安全功能的新型“智能”物联网设备,将给用户的数据安全带来风险。目前,物联网设备制造商所面临的主要挑战,就是在“资源受限”的产品中纳入高标准的安全功能。

从边缘到云端,如何确保物联网安全?

如今应用于物联网的边缘设备不仅必须同时满足功耗、价格和处理能力等多方面要求,还需要提供与电脑、智能手机和汽车同等的高性能处理器的安全水平。

如何在连接云的物联网边缘设备中,实现互联网的安全级别,同时保持其价格竞争力呢?答案就在于安全微控制器(Secure MCU)。

如今的Secure MCU可以帮助物联网设备制造商设计出符合最新安全法规和要求的产品。这些设备具有预先配置的硬件信任根,能够提供连网配置服务,并在内部执行安全隔离,即使某个区域受到破坏侵入,也能够确保设备整体的安全性。

此外,Secure MCU还采用硬件加速的加密技术,其随机数生成(TRNG)功能可在设备内部生成随机密钥。这些功能对于执行必要的安全操作(如安全启动和证明)不可或缺,同时也符合FIPS 140-2的1级安全要求。

硬件信任根:

正如人们使用身份证、独特的生物特征和密码来保护交易一样,所有连接云的设备也需要独有的硬件信任根来进行自我证明。信任根就是设备的身份,与设备的所有者进行绑定。Arm平台安全架构(PSA)推荐使用eFUSES以及使用PUF物理不可克隆功能“数字指纹”等技术。

硬件信任根是计算系统执行所有安全操作的基础,它包含用于加密功能的密钥,并可实现安全启动。硬件信任根是自身可信任的,因此必须在设计上确保其安全。不同的硬件信任根可以支持不同的应用程序,同时绑定不同的应用使用者。信任根的使用,包括安全启动(启动后进入一种安全和受信的状态)、安全固件更新、证明以及基于硬件的传输层安全(TLS)。

硬件信任根通常以加密密钥的形式出现,必须进行逻辑和安全存储,并用于安全处理环境。

安全启动

安全启动是指 MCU 启动后进入一种预设的可受信的运行状态,即要求在系统开启时,每一次启动代码,都要先验证下一级代码,然后才可以运行。信任根验证初始启动步骤,而后每个后续步骤则需要验证下一层固件,直到整个应用程序运行为止。

固件更新

安全固件的更新,对于修复错误和已知安全漏洞非常重要。它对于保护应用程序的IP也起到关键作用。

基于硬件的TLS

仅基于软件的传输层安全(TLS)有可能暴露密钥,而基于硬件的TLS则要安全得多。TLS是用于网络数据传输(尤其是Wi-Fi)的通用协议,可对数据进行加密。用于此类加密的密钥需要被安全地存储于芯片中,并且加密处理也在安全处理环境中进行。

证明

远程证明是一种验证方法,边缘设备(客户端)通过这种方法向远程主机云平台(服务器)验证其硬件和软件配置,或者反向进行。通过远程证明的方式,使智能设备终端能够确认设备的可信程度。

安全密钥存储

在MCU中以逻辑安全的方式存储密钥至关重要。这不仅要求对密钥进行隔离,避免通过通信协议栈所在的非安全处理环境进行访问,并且也是对于安全处理环境下的不同受信应用程序,在不同密钥集之间实现隔离。Trusted Firmware-M(TF-M)提供了一个安全分区管理器,以管理安全处理环境的安全操作系统。

连网配置

大多数安全半导体芯片产品(例如用于支付卡或SIM卡)都在工厂进行批量配置。因此,客户下达的订单无法撤销,并且通常对于最低订购量有所要求。不过,这种模式正在发生改变,中小型物联网设备制造商现在可以充分利用连网配置,而无需受限于供应链要求。

安全和非安全处理隔离

将密钥存储、加密操作以及其他安全应用程序,与通信协议栈实现隔离,对于MCU来说至关重要。为此,Secure MCU必须同时提供安全处理环境和非安全处理环境。可以通过两种方式实现安全处理环境和非安全处理环境的隔离,一是虚拟化单个内核,另一种是采用两个彼此分离的内核,在这两个内核之间通过IPC进行通信。

PSoC 64® Standard Secure AWS解决方案

从边缘到云端,如何确保物联网安全?

基于Arm® Cortex®-M的MCU行业拥有多个开源社区,可以创建相关固件来支持安全设备的核心功能。TF-M.org和Linaro便是这样的两个社区。基于PSoC 64产品系列,英飞凌在这些开源社区中发挥重要作用。PSoC 64 Standard Secure AWS解决方案是PSoC 64系列的重要部分,它整合开源安全软件与Amazon® FreeRTOS,能够实现开箱即用。

PSoC 64 Standard Secure AWS解决方案拥有极其强大的后盾,包括:严格的Amazon认证流程,来自于英飞凌、Arm和亚马逊的成熟代码库,FreeRTOS.org的Free RTOS内核,Amazon IoT Device Defender服务,以及便捷的证书管理系统。这种预集成的解决方案具有多重优势,包括降低风险、节省成本和加速产品上市。

联网设备通常面临安全威胁。政府和行业已通过立法和标准来降低相关风险。在低成本、资源受限的设备中,实现联网级别的安全性,尽管颇具挑战性,但并非无法实现。Secure MCU制造商、开源固件和云技术提供商,正在共同应对这一挑战。英飞凌与AWS携手合作,通过适用于生态系统设备端和云端的产品,为需要连接AWS服务的物联网设备提供安全连接支持,从而极大简化开发者的工作。

来自:CY赛普拉斯

免责声明:文章内容来自互联网,本站不对其真实性负责,也不承担任何法律责任,如有侵权等情况,请与本站联系删除。
转载请注明出处:从边缘到云端,如何确保物联网安全? https://www.yhzz.com.cn/a/14005.html

上一篇 2023-05-12
下一篇 2023-05-12

相关推荐

联系云恒

在线留言: 我要留言
客服热线:400-600-0310
工作时间:周一至周六,08:30-17:30,节假日休息。