为什么芯片级的安全解决方案，比软件更靠谱？

shuszhao · 发表于 2020-9-12 11:38:44

21世纪的今天，我们已经步入了“万物互联”的时代，身边越来越多的设备接入到了物联网当中。根据麦肯锡全球研究所的数据，2025年整个全球物联网市场将有4~11万亿美元的高速增长，届时中国物联网连接设备数将突破200亿台，市场规模达到7500亿元人民币。
随着技术的发展，人们也赋予了“物联网”越来越多的不同定义。5G、云计算、人工智能和区块链等一些新技术，已经以物联网的形态，为人们带来了更便捷的服务。未来智能家居、智慧社区、智慧城市、智慧医疗等更多具有物联网概念的新兴产业也将出现在我们身边。
但伴随物联网市场发展而来的就是安全方面的隐患。正如狄更斯《双城记》里开篇的第一句话：“这是一个最美好的时代，也是一个最糟糕的时代。”，放到当今的物联网时代，依然有非常深刻的警醒作用。 “最美好、最糟糕”之间往往只差了一个“安全”。

举例来说，2016年发生在美国的大规模DDoS攻击，导致当时美国互联网半壁江山瘫痪，包括Netflix、Twitter、Spotify等著名网站“中枪”。从这个案例可以看到，大量对安全问题处理不当的设备介入物联网，会对基础设施带来安全隐患。

为什么要用硬件级安全解决方案？

如今，包括中国在内的世界各国都在积极创建物联网时代下信息安全相关的法律法规，希望通过从上而下的方式来逐渐规范和保障物联网安全发展。另外安全行业从业者、物联网设备制造商、方案提供商及云服务提供商来看，也在积极解决安全隐患。
9月9日，英飞凌与阿里云联合，面向中国市场推出了基于硬件的ID²安全芯片OPTIGA™ Trust M2 ID2，这是一款为物联网设备上云量身定制的安全芯片解决方案。
据介绍，这类安全芯片方案可用于抵御针对硬件级别的攻击，其中经过特殊设计的精简逻辑，能够更好地保护存储数据，即使通过专业反向工程，也无法轻易破解原始数据。另外，其非标准的代码也非常的难以被破解和理解，可以成为整个系统安全的可信任“根”。

目前，越来越多的物联网设备厂商和云服务提供商已经逐渐意识到，在物联网领域存在的一些安全隐患。如果在系统设计中没有引用任何的安全方案，就意味着系统中所有关键数据和代码直接开放给所有人，无疑会在实际运营中面临非常大的风险。
基于此，不少企业和服务提供商从成本或其它方面考量，选择了软件安全方案。虽然基于软件实现的方案可以用来防御一些逻辑通话上的非法访问，并减少软件自身漏洞带来的一些风险，但是软件方案一般运行在通用MCU、CPU环境中，数据易于被访问和读取，也易于被复制、篡改、分析和理解。“最重要的一点，就是基于纯软件的方案，在安全系统里无法做到整个系统可信任的‘根’”，英飞凌科技安全互联系统解决方案事业部市场经理成皓表示。

英飞凌科技安全互联系统解决方案事业部市场经理成皓

成皓认为，物联网发展的过程有点像当初用户逐步接受互联网的过程，都是从质疑到逐步接受、习惯到最终依赖的过程。我们需要在这期间加入一些合理的安全机制和方案，来解决大众对于物联网安全的顾虑，这样才能帮助整个物联网往前发展迈出坚实的一步。

针对物联网设计面临的挑战，定制开发

据悉，在这款Trust M2 ID2安全芯片的设计初期，英飞凌结合了物联网设备的特性来做定制化开发。

首先，考虑到物联网设备MCU的主控资源非常有限，如果以纯软件的方式来做安全，势必会占用更多资源，所以必须以非常轻量化的资源占用来实现安全功能，将所有功能都运行在安全芯片的内部，不占用额外的主控端资源。
第二点，很多物联网设备的尺寸设计越来越小，英飞凌这款安全芯片目前拥有业界最小的封装尺寸。
第三点，目前物联网设备对功耗的要求会越来越高，Trust M2 ID2可以通过一些合适的外围电路，在合理的安全等级下做到“0功耗”。同时加解密算法也针对物联网领域选择类似ECC、椭圆加密算法这类比较轻量级的算法，避免了因为加入独立安全芯片后，引入的繁重加密算法而增加系统功耗和计算时间。
第四点，考虑到家电设备或者物联网设备的成本敏感性，安全芯片也不能给带来太多的额外成本，所以这款安全芯片目前会更多的应用到各种嵌入式的操作系统里。
最关键的一点是跨领域的产品设计，也就是安全芯片的易用性、易集成性。Trust M2 ID2已经把所有安全相关的代码和底层操作系统集成在里面，物联网设备厂商不需要自行开发这些复杂的安全应用功能，只需要把安全芯片嵌入到设备内与主控做对接，并在主控端集成几K左右的代码，就可以直接驱动实现安全功能。据成皓介绍，目前Trust M2 ID2的软件代码，包括主控端驱动安全芯片的代码都已经在Github上直接进行开源，客户可以做快速地开发跟落地。
从硬件层面来说，Trust M2 ID2是一个被动元器件，不管跟是CPU还是MCU只需要通过标准I2C接口就可以连接，并且不会主动跟主控端索取数据，只是被动执行安全相关功能。

主要功能特性

Trust M2 ID2有几个主要的功能，直接关系到可以把安全芯片用在哪些行业领域及应用场景。

Trust M2 ID2产品特性

首先是双向认证功能。Trust M2 ID2本身可以存储多组密钥和证书，用来完成物联网设备、云端和其它设备之间的双向认证。同时，加载安全芯片的设备可以和其它控制器及生态系统内的设备也进行双向认证。成皓强调，在整个物联网系统架构中，云端对设备的认证非常重要，设备端对云端的鉴别也非常重要，双向认证功能的重要性就在这里。
第二点是安全通信。在目前很多物联网设备或应用中，非常大的安全隐患是在链路上传输的数据没有任何加密机制做保护。Trust M2 ID2可以保障设备和云端，以及和其它设备之间的通讯完全是通过加密的方式完成的，消除链路上传递的安全隐患。而Shielded Connection功能则保证了在设备内部数据传递的安全性。
第三点是安全固件升级的功能。目前在很多物联网攻击模式里，其实是通过伪造固件包的方式来企图获取对设备的控制权，一般用户没有能力去鉴别。比如说收到的一个固件升级包是否是完整、来源是否合法，也比如不论是安卓或是iOS系统可能经常会升级，但一般用户并没有能力去判断自己手机上收到的升级包是否来源合法。这个升级过程中有非常大的风险，可能导致设备被黑客或不法分子监听或控制。Trust M2 ID2主要通过“可信任根”的功能，帮助设备实现鉴别固件升级包来源。
第四点是个性化数据写入。Trust M2 ID2芯片在生产阶段就已经预置了阿里云的Link ID²物联网设备身份认证，为每一个物联网设备提供唯一的身份标识，嵌入这款安全芯片的终端客户可直接使用。
第五点是数据安全存储。用户的关键数据和信息都通过加密的方式存储在芯片内部，哪怕设备遭受外部攻击，整个系统设计或是软件层面有漏洞，因为黑客没办法访问安全芯片，存储在芯片内部的数据无法被外部截取和分析，这也是硬件安全芯片最大的优势。
最后是平台完整性的校验。针对某些系统需要安全启动的场景下，设备有能力来校验目前这个设备上的操作系统或软件是否有被篡改，进而来抵御攻击。

需求起来了，安全芯片正当时

成皓还分享了几个Trust M2 ID2的几个安全应用场景，包括智能音响、智能工厂、网络摄像头。他表示，这款安全芯片其实更希望应用在对安全诉求比较迫切，涉及到个人隐私信息的场景里，做更高级别的安全保护，如智能门锁、智能音箱、摄像头。另外就是需要产生金融交易的应用，比如电动汽车充电桩，安全需求都是比较明确的。
“近些年，很多智能门锁、安防企业因遭遇网络攻击而产生了‘我需要安全级别更高的抵御方式’这样的诉求，所以这些场景现在大多选择基于硬件的安全芯片。我们希望在这个时间点配合更多的企业对于更高级别安全等级的诉求，这是推出这样一款安全芯片产品的最佳时机。”他说到。
对于本次与阿里合作，推出针对国内市场的Trust M2 ID2芯片，成皓表示：“英飞凌与阿里云、阿里物联网部门是很久的合作伙伴，以阿里云目前在国内的市场占有率，对物联网行业的影响非常大。阿里领导了ICA（IoT connectivity alliance）联盟，一个专门针对物联网安全形成的生态圈，我们希望通过跟阿里的合作，来逐渐影响国内的物联网设备厂商和云服务提供商的安全意识，未来也会跟生态圈中更多的伙伴深入合作。”
据悉，Trust M其它型号的安全芯片产品，也支持了跟亚马逊AWS、微软Azure的安全连接参考设计。
购买渠道方面，目前阿里云已经在网站上上架了OPTIGA™ Trust M2 ID2产品，未来代理商也会跟进。