當(dāng)前位置: CompoTech China > 專題 >
物聯(lián)網(wǎng)安全無疑是當(dāng)今世界最熱門的話題之一。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量激增,安全性漏洞和大規(guī)模網(wǎng)路攻擊的威脅呈指數(shù)級增長。嵌入式安全性是物聯(lián)網(wǎng)的關(guān)鍵要求,僅靠不斷更新軟體已無法解決所有不安全硬體中存在的漏洞。因此,硬體元件能為裝置安全提供第一道防線。從低功耗感測器到高性能IoT裝置,晶片都必須內(nèi)建安全機(jī)置以確保穩(wěn)固的安全基礎(chǔ),晶片之安全已成為最重要的問題。
萊迪思Mach-NX FPGA強(qiáng)化互聯(lián)網(wǎng)安全機(jī)制
圖片人物: 萊迪思半導(dǎo)體亞太區(qū)應(yīng)用工程總監(jiān)謝征帆
如今多數(shù)互聯(lián)系統(tǒng)都需要網(wǎng)路保護(hù)恢復(fù)裝置(Cyber Resilient Control)的輔助,多數(shù)問題如網(wǎng)路保護(hù)恢復(fù)即時(shí)效能、韌體成為攻擊目標(biāo)、硬體中實(shí)現(xiàn)可信任根都可同時(shí)掌握,保護(hù)廠商不再受到網(wǎng)路方面攻擊和盜竊。
為了解決所有市場區(qū)隔需要網(wǎng)路保護(hù)恢復(fù)和供應(yīng)鏈安全,萊迪思(Lattice)近期推出安全控制FPGA系列第二代產(chǎn)品Lattice Mach™-NX。建立在2019年所推出的Lattice MachXO3D™系列產(chǎn)品基礎(chǔ)上,Mach-NX FPGA進(jìn)一步強(qiáng)化安全功能和快速、高效能的處理能力,進(jìn)而在未來的伺服器平臺、運(yùn)算、通訊、工業(yè)和汽車系統(tǒng)中實(shí)現(xiàn)即時(shí)硬體可信任根(HRoT)。
萊迪思半導(dǎo)體亞太區(qū)應(yīng)用工程總監(jiān)謝征帆表示,Mach-NX是萊迪思在一年內(nèi)推出第三款基於Nexus技術(shù)平臺的產(chǎn)品,Mach-NX保護(hù)系統(tǒng)免於被未經(jīng)授權(quán)的韌體存取,不僅是在啟動(dòng)時(shí)建立硬體可信任根,還要求構(gòu)建系統(tǒng)的元件在全球供應(yīng)鏈中運(yùn)輸時(shí)不受影響。配合SupplyGuard安全服務(wù)提供的額外保護(hù),Mach-NX可以在系統(tǒng)的整個(gè)生命週期內(nèi)實(shí)現(xiàn)保護(hù),從供應(yīng)鏈運(yùn)輸、首次產(chǎn)品組裝、最終產(chǎn)品運(yùn)輸、整合,到產(chǎn)品的整個(gè)使用週期。
Mach-NX 目的是實(shí)現(xiàn)可程式化設(shè)計(jì)系統(tǒng)控制的新一代硬體安全元件。主要目標(biāo)分為四大類:網(wǎng)路保護(hù)恢復(fù)系統(tǒng)控制、符合可靠的標(biāo)準(zhǔn)和協(xié)定、即時(shí)動(dòng)態(tài)端對端的保護(hù)以及快速客製化。
Mach-NX FPGA 分為幾大重點(diǎn)區(qū),並延用傳統(tǒng)FPGA模塊以及功能
謝征帆表示,以Mach系列產(chǎn)品的系統(tǒng)控制功能為基礎(chǔ),結(jié)合了一塊安全隔離區(qū)(Secure Enclave)(一種384位元基於硬體的先進(jìn)加密引擎,支援可重新程式化設(shè)計(jì)的位元流保護(hù))以及一個(gè)邏輯單元(LC)和I/O模組。安全隔離區(qū)可保障韌體安全,LC和I/O模組則實(shí)現(xiàn)電源管理和風(fēng)扇控制等系統(tǒng)控制功能。Mach-NX FPGA可以驗(yàn)證並安裝OTA(Over-the-air)韌體更新,保證系統(tǒng)符合不斷發(fā)展的安全標(biāo)準(zhǔn)和協(xié)定。Mach-NX FPGA的平行處理架構(gòu)和Dual-Boot快閃記憶體配置實(shí)現(xiàn)近乎瞬時(shí)反應(yīng),便於偵測攻擊和從攻擊中恢復(fù)(其效能等級超越其他硬體可信任根平臺,如MCU)。Mach-NX FPGA將支援Lattice Sentry™解決方案集合,為一款包括客製化嵌入式軟體、參考設(shè)計(jì)、IP和開發(fā)工具的強(qiáng)大組合,可加速實(shí)現(xiàn)符合NIST平臺韌體保護(hù)恢復(fù)(PFR)標(biāo)準(zhǔn)(NIST SP- 800-193)的安全系統(tǒng)。
萊迪思表示,具備安全功能和效能的伺服器平臺,與惡意入侵者試圖利用韌體漏洞入侵,這兩者之間的鬥爭從未停歇。保護(hù)系統(tǒng)不僅需要即時(shí)的硬體可信任根,還須支援更強(qiáng)大的加密演算法,以及更新、更可靠的資料安全協(xié)定。
英飛淩采用專用安全芯片OPTIGA應(yīng)對資安問題
相比市場上軟體式解決方案,作為企業(yè)的資安防護(hù),僅軟體不足以保護(hù)嵌入式系統(tǒng)因?yàn)樗梢韵鄬p鬆地讀取,複製和分發(fā)。而基於硬體的安全解決方案可以靠地存儲資料和軟體代碼,檢測操縱並加密資料安全的存儲和處理,不僅提供強(qiáng)大的防篡改,可擴(kuò)展性和動(dòng)態(tài)性創(chuàng)新週期。僅受軟體保護(hù)的更新處於危險(xiǎn)之中,因?yàn)橥ǔ?梢宰x取,分析和分析軟體修改以損害更新或系統(tǒng)。然而,結(jié)合使用軟體可以變得值得信賴安全硬體。來自O(shè)PTIGA™的安全硬體家族通過保護(hù)代碼的處理和存儲加密,故障和操縱檢測的手段,以及安全的代碼和資料存儲。英飛淩認(rèn)為›安全可以保護(hù)您的商業(yè)模式和IP,避免服務(wù)中斷和品質(zhì)問題,還可以建立對品牌的信任並名聲,助長增長和盈利能力。
為此,英飛淩OPTIGA™系列可提供易於集成,可擴(kuò)展和可定制的交鑰匙解決方案,以應(yīng)對的物聯(lián)網(wǎng)安全挑戰(zhàn)。OPTIGA 系列產(chǎn)品結(jié)合硬體安全晶片與軟體,以提升嵌入式系統(tǒng)的整體安全性,包括物聯(lián)網(wǎng)終端節(jié)點(diǎn)、邊緣閘道器及雲(yún)端伺服器。最新的安全技術(shù)可以節(jié)省部署通過避免計(jì)畫外的成本和收益。
OPTIGA™產(chǎn)品組合通過支援以下三個(gè)關(guān)鍵的安全關(guān)鍵功能:
? ›認(rèn)證:OPTIGA™安全I(xiàn)C對人員進(jìn)行身份驗(yàn)證,設(shè)備,以便在授權(quán)之間交換資訊僅個(gè)人和設(shè)備
? ›加密:安全控制器通過以下方式保護(hù)敏感資訊對其進(jìn)行加密並安全地存儲金鑰
? ›誠信:Infineon的安全晶片檢查平臺,機(jī)器和設(shè)備完整性以識別操縱和檢測未經(jīng)授權(quán)的變更,通過建立對安全架構(gòu)的信任根
? ›認(rèn)證:OPTIGA™安全I(xiàn)C對人員進(jìn)行身份驗(yàn)證,設(shè)備,以便在授權(quán)之間交換資訊僅個(gè)人和設(shè)備
? ›加密:安全控制器通過以下方式保護(hù)敏感資訊對其進(jìn)行加密並安全地存儲金鑰
? ›誠信:Infineon的安全晶片檢查平臺,機(jī)器和設(shè)備完整性以識別操縱和檢測未經(jīng)授權(quán)的變更,通過建立對安全架構(gòu)的信任根
OPTIGATM系列安全級別
安全需求因其複雜而千差萬別。OPTIGA™系列安全解決方案易於整合到嵌入式系統(tǒng)中。基於硬體的安全解決方案從基本驗(yàn)證擴(kuò)展複雜實(shí)現(xiàn)的功能以滿足不斷變化的需求。
OPTIGA™Trust和OPTIGA™TPM產(chǎn)品系列提供了行之有效的可靠的物聯(lián)網(wǎng)安全性能。交鑰匙或可程式設(shè)計(jì)OPTIGA™Trust系列解決方案為您帶來便捷的整合好處,同時(shí)提供最合適的安全性級別以保護(hù)業(yè)務(wù)模型,流程知識和IP。您可以依靠OPTIGA™Trust產(chǎn)品來保護(hù)嵌入式系統(tǒng),以防偽造,未經(jīng)授權(quán)的產(chǎn)品,有意的攻擊和無意的攻擊操作員錯(cuò)誤。OPTIGA Trust M 時(shí),可在英飛凌的安全工廠將用於識別裝置的關(guān)鍵資產(chǎn) (例如憑證和金鑰配對) 燒入晶片中。此統(tǒng)包式配置可藉由提供加密工具箱、受保護(hù)的 I2C 介面及 GitHub 的開放原始碼,大幅減輕嵌入式系統(tǒng)的設(shè)計(jì)、整合及部署作業(yè)。此外,其高階安全晶片已通過 CC EAL6+ (高) 認(rèn)證,並提供先進(jìn)的非對稱加密。
Silicon Labs 借助PUF和Secure Vault技術(shù)軟硬兼施
Silicon Labs推出安全功能新套件Secure Vault技術(shù),是因應(yīng)IoT開發(fā)人員面臨安全情勢的快速變化產(chǎn)生越來越大的壓力,以協(xié)助連接裝置製造商因應(yīng)不斷提升的物聯(lián)網(wǎng)(IoT)安全威脅及監(jiān)管壓力,提升裝置安全性並滿足不斷演變的法規(guī)要求。Silicon Labs的Wireless Gecko Series 2平臺運(yùn)用Secure Vault將一流的安全軟體功能與物理不可仿製功能(PUF)硬體技術(shù)相結(jié)合,藉以大幅降低IoT安全性漏洞和智慧財(cái)產(chǎn)權(quán)受損風(fēng)險(xiǎn)。Secure Vault運(yùn)用目前用於IoT無線SoC之最先進(jìn)整合式硬體和軟體安全保護(hù)來簡化開發(fā)、加速產(chǎn)品上市時(shí)間,協(xié)助裝置製造商開發(fā)因應(yīng)未來的產(chǎn)品。
Secure Vault技術(shù)
Secure Vault的硬體功能可為具備成本效益之無線SoC解決方案提供優(yōu)化的安全級別。安全子系統(tǒng)(包括專用核心、匯流排和記憶體)係與主機(jī)處理器分離,獨(dú)特硬體分離設(shè)計(jì),可將關(guān)鍵功能(例如安全金鑰儲存管理及加密)隔離至各自的功能區(qū)域中,進(jìn)一步提高整個(gè)裝置安全性。新型安全功能組合非常適合致力於解決新興監(jiān)管措施的公司,使其能因應(yīng)如歐洲的GDPR和美國加州的SB-327等法規(guī)。
Secure Vault技術(shù)
Secure Vault的硬體功能可為具備成本效益之無線SoC解決方案提供優(yōu)化的安全級別。安全子系統(tǒng)(包括專用核心、匯流排和記憶體)係與主機(jī)處理器分離,獨(dú)特硬體分離設(shè)計(jì),可將關(guān)鍵功能(例如安全金鑰儲存管理及加密)隔離至各自的功能區(qū)域中,進(jìn)一步提高整個(gè)裝置安全性。新型安全功能組合非常適合致力於解決新興監(jiān)管措施的公司,使其能因應(yīng)如歐洲的GDPR和美國加州的SB-327等法規(guī)。
Secure Vault以獨(dú)特的硬體和軟體功能組合提升IoT安全性,讓產(chǎn)品製造商更容易保護(hù)其品牌、設(shè)計(jì)和消費(fèi)者數(shù)據(jù)。整合安全系統(tǒng)與無線SoC可協(xié)助設(shè)計(jì)人員簡化開發(fā)過程,並在產(chǎn)品生命週期內(nèi)對連接裝置安全地進(jìn)行無線(OTA)更新。藉由向連接產(chǎn)品提供正版、可信賴的軟體或韌體,將有助於減輕無法預(yù)料的漏洞、威脅和監(jiān)管措施。
Secure Vault所提供之新安全功能包括:
? 安全裝置認(rèn)證:連接裝置的最大挑戰(zhàn)之一是部署後的驗(yàn)證。Silicon Labs之工廠信任佈建服務(wù)具備可選的安全編程,在IC製造時(shí)可為每個(gè)單獨(dú)晶粒提供類似出生證明的安全裝置身份憑證,實(shí)現(xiàn)部署後的安全性、驗(yàn)證性和符合證明的健康檢查。裝置認(rèn)證可確保晶片在使用壽命內(nèi)的驗(yàn)證性。
? 安全金鑰管理和儲存:裝置和資料存取安全方案的效用直接依賴於金鑰的保密性。使用Secure Vault可加密金鑰並與應(yīng)用程式碼隔離。由於採用PUF所產(chǎn)生的主加密金鑰可對所有金鑰進(jìn)行加密,因此可提供幾乎無限的安全金鑰儲存。每個(gè)裝置的啟動(dòng)簽章都是獨(dú)一無二的,而主金鑰在啟動(dòng)時(shí)即會建立以避免主金鑰的儲存,進(jìn)一步減少攻擊途徑。
? 先進(jìn)的竄改檢測:此特性提供廣泛的功能,從易於實(shí)現(xiàn)的產(chǎn)品周邊防竄改功能,到透過電壓、頻率和溫度操縱對晶片進(jìn)行複雜的竄改檢測。駭客往往利用這些變化迫使硬體或軟體異常運(yùn)行,為錯(cuò)誤攻擊製造漏洞,可配置的竄改回應(yīng)功能則使開發(fā)人員可設(shè)定適當(dāng)?shù)捻憫?yīng)動(dòng)作,包括中斷、重置或在極端情況下刪除金鑰。
? 安全裝置認(rèn)證:連接裝置的最大挑戰(zhàn)之一是部署後的驗(yàn)證。Silicon Labs之工廠信任佈建服務(wù)具備可選的安全編程,在IC製造時(shí)可為每個(gè)單獨(dú)晶粒提供類似出生證明的安全裝置身份憑證,實(shí)現(xiàn)部署後的安全性、驗(yàn)證性和符合證明的健康檢查。裝置認(rèn)證可確保晶片在使用壽命內(nèi)的驗(yàn)證性。
? 安全金鑰管理和儲存:裝置和資料存取安全方案的效用直接依賴於金鑰的保密性。使用Secure Vault可加密金鑰並與應(yīng)用程式碼隔離。由於採用PUF所產(chǎn)生的主加密金鑰可對所有金鑰進(jìn)行加密,因此可提供幾乎無限的安全金鑰儲存。每個(gè)裝置的啟動(dòng)簽章都是獨(dú)一無二的,而主金鑰在啟動(dòng)時(shí)即會建立以避免主金鑰的儲存,進(jìn)一步減少攻擊途徑。
? 先進(jìn)的竄改檢測:此特性提供廣泛的功能,從易於實(shí)現(xiàn)的產(chǎn)品周邊防竄改功能,到透過電壓、頻率和溫度操縱對晶片進(jìn)行複雜的竄改檢測。駭客往往利用這些變化迫使硬體或軟體異常運(yùn)行,為錯(cuò)誤攻擊製造漏洞,可配置的竄改回應(yīng)功能則使開發(fā)人員可設(shè)定適當(dāng)?shù)捻憫?yīng)動(dòng)作,包括中斷、重置或在極端情況下刪除金鑰。
Maxim的IoT微控制器已前置部署ChipDNA PUF金鑰保護(hù)
Maxim生產(chǎn)了一種稱為ChipDNA的物理反複製技術(shù)(Physically Unclonable Function;PUF)技術(shù)。ChipDNA根據(jù)MOSFET半導(dǎo)體元件的類比特性自然發(fā)生的隨機(jī)變化和失配而工作。這種隨機(jī)性源於:氧化物變化,閾值電壓之間的器件間失配,互連阻抗以及晶圓製造中通過不完美或不均勻的沉積和蝕刻步驟而存在的變化。ChipDNA還通過獲得專利的方法進(jìn)行操作,以確保每個(gè)PUF電路生成的唯一二進(jìn)位值具有較高的加密品質(zhì),並保證在溫度,電壓和設(shè)備的使用壽命內(nèi)具有可重複性。
基於ChipDNA的MAX32520透過其PUF技術(shù)提供多層保護(hù),採用業(yè)內(nèi)最先進(jìn)的金鑰保護(hù)技術(shù)為加密操作提供最安全的金鑰。元件使用防篡改PUF金鑰進(jìn)行快閃記憶體加密,安全導(dǎo)入功能支援信任根和串列快閃記憶體模擬。此外,當(dāng)系統(tǒng)遭受惡意攻擊時(shí),PUF金鑰固有的物理防護(hù)功能無需電池即可主動(dòng)銷毀金鑰。迄今為止,即使最安全的保護(hù)方案也需要在電池供電的前提下才能實(shí)現(xiàn)這一最高等級的金鑰保護(hù)。
Maxim內(nèi)建物理反複製技術(shù)MAX32520 ChipDNATM安全Arm Cortex-M4微控制器,符合金融及政府應(yīng)用要求的安全微控制器,可廣泛用於IoT、醫(yī)療健康、工業(yè)和計(jì)算系統(tǒng)。Maxim的PUF技術(shù)提供多層保護(hù),是最先進(jìn)的高成效金鑰保護(hù)方案。
採用ChipDNA技術(shù)的安全物聯(lián)網(wǎng)微控制器
MAX32520提供了5項(xiàng)安全防護(hù)功能包括:防篡改:ChipDNA PUF電路產(chǎn)生的金鑰具有強(qiáng)大的防物理攻擊能力,確保用於資料和系統(tǒng)保護(hù)的金鑰不會落入駭客之手;.IP保護(hù):採用PUF技術(shù)的快閃記憶體加密功能使得受保護(hù)的敏感性資料能夠抵禦最先進(jìn)的物理探測手段,提供目前市場中最可靠的IP保護(hù);先進(jìn)加密功能:DeepCover安全微控制器配備相容SP 800-90A和SP 800-90B的TRNG (真亂數(shù)發(fā)生器) 、硬體加速器,支援AES-256、ECDSA P-521和SHA-512演算法,能夠保護(hù)所有使用者資料;大儲存容量:提供高達(dá)2MB安全快閃記憶體,確保先進(jìn)應(yīng)用在高度安全環(huán)境下運(yùn)行;5.高成效:該安全控制器基於先進(jìn)的過程節(jié)點(diǎn)技術(shù),提供先進(jìn)安全性、120 MHz ARM Cortex M4處理器和充足的記憶體空間,省去了其他安全敏感應(yīng)用中常見的元件,例如電池、篡改監(jiān)測IC和系統(tǒng)管理處理器。
意法半導(dǎo)體旁路STSAFE安全元件提供安全保障
意法半導(dǎo)體(ST)STSAFE-A110 安全元件(Secure Element,SE)導(dǎo)入新的資料安全功能,透過嚴(yán)格的驗(yàn)真防偽技術(shù),防止產(chǎn)品被仿造假冒,以保護(hù)物聯(lián)網(wǎng)(IoT)環(huán)境中的消費(fèi)性和工業(yè)裝置。
意法半導(dǎo)體(ST)STSAFE-A110 安全元件(Secure Element,SE)導(dǎo)入新的資料安全功能,透過嚴(yán)格的驗(yàn)真防偽技術(shù),防止產(chǎn)品被仿造假冒,以保護(hù)物聯(lián)網(wǎng)(IoT)環(huán)境中的消費(fèi)性和工業(yè)裝置。
該晶片配有嵌入式安全作業(yè)系統(tǒng),而硬體透過了Common Criteria Evaluation Assurance Level 5+ (EAL5+)認(rèn)證測試。每個(gè)晶片均配有唯一裝置識別碼和X.509證書,便於裝置安全連接到網(wǎng)路或其他設(shè)備。量身定制的命令集可確保強(qiáng)大設(shè)備身份驗(yàn)證,以監(jiān)視設(shè)備使用情況,以協(xié)助附近的主機(jī)建立秘密頻道(TLS),並維護(hù)主機(jī)平臺的完整性。
用于品牌保護(hù)和固定嵌入式系統(tǒng)的turnkey解決方案
STSAFE-A110具備最先進(jìn)之經(jīng)標(biāo)準(zhǔn)認(rèn)證的安全保護(hù)功能,並為使用者提供雲(yún)端證書安全載入使用權(quán)限,能夠大量註冊連網(wǎng)裝置,確保只有授權(quán)的裝置才能使用線上服務(wù)。這個(gè)重要的安全個(gè)人化過程可以在意法半導(dǎo)體的安全工廠完成,使連網(wǎng)裝置製造過程中的保密資料管理變得更簡單和安全。
此外,意法半導(dǎo)體最新的SE安全模組與STM32Cube開發(fā)生態(tài)系統(tǒng)整合,可與需要身份驗(yàn)證和安全連網(wǎng)能力的新STM32設(shè)計(jì)專案合併在一起。X-NUCLEO-SAFEA1擴(kuò)充板則可以加快應(yīng)用研發(fā)速度,並支援所有的STM32 Nucleo開發(fā)板,以及免費(fèi)的X-CUBE-SAFEA1 和 X-CUBE-SBSFU套裝軟體。STSAFE-A110生態(tài)系統(tǒng)可實(shí)現(xiàn)無縫安全。
STSAFE-A110無縫安全生態(tài)系統(tǒng)
目前各國都加快了資安相關(guān)的法規(guī)制定,已經(jīng)落地的比如歐盟的GDRP《通用數(shù)據(jù)保護(hù)條例》,國際系會(ISA)標(biāo)準(zhǔn)與聯(lián)邦咨詢安全管理法(FISMA)等等,針對IoT設(shè)備的安全問題,陸續(xù)有美國加州SB327法案、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)NISTIR 8259以及歐洲電信協(xié)會(ETSI)的TS 103645等等。但這些法案引用的到IC上仍然過于籠統(tǒng),缺乏明晰地規(guī)格,而難以區(qū)分。因此具體到產(chǎn)品上的時(shí)候,仍依各自對資安問題的理解進(jìn)行設(shè)計(jì)。技術(shù)方面仍然以RoT(root of trust),ARM核心則從trustzone結(jié)構(gòu)走向PSA安全認(rèn)證體系,最新的ic“指紋”級技術(shù)---PUF,我們看到像Maxim Silcon Labs公司亦開始部署產(chǎn)品。而ST半導(dǎo)體除了Saft-A110系列專用安全芯片之外,其最新的STM32WL MCU已經(jīng)采用了自研的的類似trustzone結(jié)構(gòu),增強(qiáng)IoT邊緣節(jié)點(diǎn)設(shè)備的安全功能。
另據(jù)某大廠透露的消息,ARM有可能在下一代內(nèi)核的ip中部署PUF,以降低這一技術(shù)的使用門檻,進(jìn)一步提升IoT設(shè)備的安全能力,同時(shí)也增加了中小型公司在這一領(lǐng)域的競爭力。
本月熱點(diǎn) HOME
欄目熱點(diǎn) HOME
- 業(yè)界資訊
是德科技 FieldFox 手持式分析儀配合 VDI 擴(kuò)頻模塊,實(shí)現(xiàn)毫米波分析功能 -
業(yè)界資訊
推進(jìn)ECU板對板連接,提升自動(dòng)駕駛水平
02-06 -
新品報(bào)到
阜博集團(tuán)發(fā)布DreamMaker新產(chǎn)品
03-28 -
業(yè)界資訊
香港生產(chǎn)力促進(jìn)局2021年「成就智上」年度主題
02-28 -
業(yè)界資訊
西門子收購 Dotmatics,將 AI 驅(qū)動(dòng)的工業(yè)軟件版圖擴(kuò)展至生命科學(xué)領(lǐng)域
04-06 -
業(yè)界資訊
西門子收購 Dotmatics,將 AI 驅(qū)動(dòng)的工業(yè)軟件版圖擴(kuò)展至生命科學(xué)領(lǐng)域
04-06