如何为物联网设备提供更高等级的安全机制?只需添加一颗Trust M2 ID2

物联网设备的种类多种多样,部署的位置也各有不同,收到的数据信息也有各种差异。确保各种物联设备的安全性在设备厂商设计之初就是是一个非常重要的技术难点。

早先在互联网时代,通常在软件层面构建安全机制,但在物联网时代,硬件层面的安全机制也变得更为必要。现在已经出现了很多带有安全功能的MCU/MPU产品,内部带有TrustZone等相关的安全机制来确保其免受攻击。

但在针对一些对于安全等级要求更高的物联场景,比如智能门锁和充电桩等,设备厂商需要在其设备上构建更高等级(类似银联级)的安全,同时还要确保上云的整个链路的安全。阿里云早先曾推出Link ID2的物联网安全服务,通过一机一码来为物联设备提供安全可信的接入能力。英飞凌近日也专门推出了支持Link ID2的OPTIGA Trust M2 ID2安全芯片解决方案,同时还支持CC EAL6+安全认证

图源|阿里云官网

基于硬件的安全方案的优势

根据英飞凌科技安全互联系统事业部市场经理成皓先生的分享,OPTIGA Trust M2 ID2的方案是基于硬件的安全解决方案,最大的优势在于可以抵御硬件级的攻击。“基于硬件的安全芯片方案可以为整个系统的安全做到一个可信任的“根”,也是作为系统可信任的来源,这也是它非常大的优势。”

另外一个优势在于,因为将安全的功能都运行在了OPTIGA Trust M2 ID2里面,所以以往需要占据主控MCU的资源就可以留给主要的系统应用去运行。那这样额外增加一个安全芯片,很多设计者会考虑到对于整体设计的一个面积、功耗和成本的考量。OPTIGA Trust M2 ID2本身其实设计的封装尺寸就较小,因此不会占用较多的PCB面积;另外OPTIGA Trust M2 ID2在合适的外围电路设计条件下可以实现“零功耗”的静息状态,从而对于整体设计而言也不会产生影响;价格方面,我们从阿里云官网看到价格是6块钱一片,与其他两款ID2安全芯片的价格是一致的。如果确实有ID2这种高等级安全上云需求,成本方面也没有需要过多比较和考虑的。

OPTIGA Trust M2 ID2功耗和片内资源的控制得益于英飞凌在其中选择了一些非常适合物联网领域的加解密算法。成皓先生表示:“我们不希望因为加入加密的安全芯片后而引入一些非常繁重的加密算法,而增加了系统的功耗和计算上的时间,所以我们选择了类似ECC,椭圆加密算法这类比较轻量级的加密算法,可以做到在合理的安全等级下,设备功耗可以做到“0功耗”。同时可以做到设备在短时间内做一定的加解密和安全相关的一些功能。这也是我们提到的产品的重要特性之一。”

易于开发的跨领域产品设计

OPTIGA Trust M2 ID2的另一大亮点在于其易开发性。首先从硬件上来说,Trust M2 ID2采用了非常简洁的USON-10封装形式,另外与主控端的通信仅需通过一个标准的I2C接口即可,不论是CPU或MCU都可以很方便的实现接入。OPTIGA Trust M2 ID2并不会主动跟主控端做数据索取,而是被动的执行安全相关的功能。

从软件层面来说,Trust M2 ID2可以让设备厂商在进行该芯片部署的时候就可以免除复杂的代码开发和调试等工作:英飞凌在芯片内还集成了安全相关的一些代码和底层的操作系统,此外安全应用开发工具包、和主控端集成所需的驱动软件都可以在开源平台上找到。“所有包括产品的规格、一些API代码、传输协议层个人化、一些数据的指令性接口,相关的资料我们全都可以在这个网站上找到。”成皓先生表示:“从这个软件层面来说,客户需要开发的工作量非常小、大部分的安全功能已经在底层的操作系统里面完成了,客户只需要根据我们提供的一些上层应用开发包直接去调用一些相关的接口就很快可以实现安全功能。”

所以不论是从软件开发、硬件开发、外围电路设计上来说,对于部分的设备厂商来讲没有任何的难度,完全可以在短时间内在自己的设备方案中集成OPTIGA Trust M2 ID2的安全芯片进去。

除此外,OPTIGA Trust M2 ID2还具有寿命长,可靠性高等多重优势。

为物联设备提供更高等级的安全功能

Trust M2 ID2支持最高的芯片安全认证等级——CC EAL6+。因此安全级别、安全性会比传统的主控芯片中集成的安全方案会高很多。CC EAL6+是针对金融领域的一个认证,但其实目前在物联网领域还没有一个类似于金融级别这样高的一个第三方的认证。英飞凌看到了这一机会,并且希望将在金融安全领域这样最高要求的认证的体系和标准,沿用到物联网安全范畴中。例如在智能门锁这样的设备上,如果终端用户对于安全性需要一个明确的可衡量的判断标准,那么其实OPTIGA Trust M2 ID2这样经过了第三方安全认证的,未来有可能就会成为一种公众所认可的安全标准。

除了CC EAL6+外,Trust M2 ID2还满足了ICA(阿里领头的物联网生态圈认证),它是更多侧重于在物联网设备里面的应用。OPTIGA Trust M2 ID2可以存储多组密钥和证书,它可以用来完成物联网设备和云端、以及和其它设备之间的双向认证。同时,加载安全芯片的设备可以和其它的控制器及生态系统内的设备也进行双向认证。而且Trust M2 ID2本身还可以保障“设备和云端”以及和其它设备之间的通讯完全是通过加密的方式完成的,消除链路上传递的安全隐患,实现安全通信的功能。这样对于需要上阿里云需求的设备厂商而言,选择Trust M2 ID2就可以更轻松的实现从底层到云端的整体的安全方案。

随着物联时代的发展,越来越多关键的物联设备需要具备最高等级的安全机制,同时这种安全认证还应该是物联行业内乃至到消费者都知晓并认可的一种安全认证标准。英飞凌凭借着在安全领域深厚的经验积累,发布的OPTIGA Trust M2 ID2,正是瞄准了这一市场痛点。凭借其易于开发部署的特性, 对于想要提高自身设备安全等级的物联设备厂商而言是一个非常不错的选择。

暂无评论

暂无评论...