保護(hù)工業(yè)云免受網(wǎng)絡(luò)攻擊的各種芯片級安全方法

提高工業(yè)物聯(lián)網(wǎng)端點(diǎn)設(shè)備的安全性是抵御網(wǎng)絡(luò)遭受攻擊的重要一環(huán)。無論是云服務(wù)器還是邊緣傳感器，最終都要節(jié)點(diǎn)上的端點(diǎn)設(shè)備得到了保護(hù)，才能保護(hù)整個(gè)系統(tǒng)。從很多因素來看，硬件具有更高的防篡改能力，可以提供比軟件更高的信任度和安全性。本文介紹了保護(hù)工業(yè)云免受網(wǎng)絡(luò)攻擊的幾種芯片級安全方法。

談到物聯(lián)網(wǎng)安全時(shí)，大多數(shù)人都會提到兩件事：一是建立信任根（RoT）作為安全基礎(chǔ)，二是不要只關(guān)注端點(diǎn)設(shè)備，而是要考慮整個(gè)生態(tài)系統(tǒng)和產(chǎn)品生命周期的安全性。

然而，我們必須重視端點(diǎn)設(shè)備的安全性，因?yàn)樗鼈兪欠烙W(wǎng)絡(luò)攻擊的重要一環(huán)。無論是云服務(wù)器還是邊緣傳感器，最終都要節(jié)點(diǎn)上的端點(diǎn)得到了保護(hù)，才能保護(hù)整個(gè)系統(tǒng)——至少可以降低遭受攻擊的可能。

因此，本文將著重討論設(shè)備的安全性。互聯(lián)設(shè)備使工廠的生產(chǎn)率和效率得到了提高，我們也必須從總體上考慮適用于整個(gè)工廠或環(huán)境的安全架構(gòu)。

如工業(yè)互聯(lián)網(wǎng)聯(lián)盟（Industrial Internet Consortium）的安全架構(gòu)所述，端點(diǎn)保護(hù)有助于邊緣和云端設(shè)備實(shí)現(xiàn)防御功能（圖1）。端點(diǎn)可以是工業(yè)物聯(lián)網(wǎng)（IIoT）系統(tǒng)中的任何一個(gè)元素，同時(shí)具有計(jì)算和通信功能，而其自身功能可能會暴露給防火墻外的任何人。這些端點(diǎn)可能是邊緣設(shè)備、通信基礎(chǔ)設(shè)施、云服務(wù)器或其間的任何設(shè)備，每個(gè)端點(diǎn)的硬件都有不同的局限性，因而可得到的保護(hù)級別也不同。

圖1：IIoT聯(lián)盟的IIoT安全架構(gòu)中確定了端點(diǎn)各個(gè)部分的威脅和漏洞。（圖片來源：工業(yè)互聯(lián)網(wǎng)聯(lián)盟）

端點(diǎn)保護(hù)是通過端點(diǎn)中的權(quán)威身份識別功能——通常是信任根——來實(shí)現(xiàn)通信和連接的防御。因此，安全機(jī)制和技術(shù)應(yīng)根據(jù)端點(diǎn)的具體功能和安全要求而在其上實(shí)施。

虛擬機(jī)將應(yīng)用程序隔離在各自的區(qū)域中，但無論是裸機(jī)還是在其上運(yùn)行的客戶操作系統(tǒng)，端點(diǎn)本身都有許多漏洞。

在這種情況下，一個(gè)常見的問題是，應(yīng)通過硬件還是軟件來保護(hù)系統(tǒng)。大多數(shù)專家認(rèn)為，從很多因素來看，硬件保護(hù)比軟件保護(hù)更可取，但主要還是因?yàn)橛布哂懈叩姆来鄹哪芰Γ梢蕴峁┍溶浖叩男湃味群桶踩浴?/p>

很多大型芯片供應(yīng)商都提供某種硬件級安全保護(hù)，可能是可信平臺模塊（TPM）或安全單元（SE）這樣的硬件安全模塊，也可能是其他形式的片上系統(tǒng)嵌入式安全功能。其主要目標(biāo)是實(shí)現(xiàn)強(qiáng)大的用戶身份鑒權(quán)和驗(yàn)證，以防受到攻擊，并防止對機(jī)密或敏感信息的非法訪問。

安全單元

硬件安全解決方案的關(guān)鍵要素是安全單元，它存儲經(jīng)過加密的唯一標(biāo)識符，以實(shí)現(xiàn)認(rèn)證保護(hù)，確保讀取安全加載憑證，例如，提供大批量物聯(lián)網(wǎng)設(shè)備的注冊，確保只有授權(quán)設(shè)備才能訪問系統(tǒng)或云服務(wù)。大多數(shù)芯片供應(yīng)商提供的安全單元都是微控制器的一部分，同時(shí)還提供某種監(jiān)控和身份管理系統(tǒng)。

意法半導(dǎo)體的STSAFE-A110可以集成到物聯(lián)網(wǎng)設(shè)備中，為本地或遠(yuǎn)程主機(jī)提供身份驗(yàn)證和安全的數(shù)據(jù)管理服務(wù)。該器件具有嵌入式安全操作系統(tǒng)，并采用通過了Common Criteria EAL5+認(rèn)證的硬件。每個(gè)器件都帶唯一標(biāo)識和X.509證書，以實(shí)現(xiàn)設(shè)備的安全連接。這個(gè)安全單元與STM32Cube開發(fā)生態(tài)系統(tǒng)集成在一起，可快速應(yīng)用于需要身份驗(yàn)證和安全連接的新型STM32 MCU設(shè)計(jì)。

恩智浦半導(dǎo)體的EdgeLock SE050 Plug and Trust安全單元系列是另一款開箱即用的物聯(lián)網(wǎng)設(shè)備安全單元，無需編寫安全代碼，可提供芯片級信任根以實(shí)現(xiàn)端到端的安全性。該產(chǎn)品通過了Common Criteria EAL 6+認(rèn)證，可提供更好的安全性，作為即用型解決方案，它包含完整的產(chǎn)品支持包，可以簡化設(shè)計(jì)。

除了提供適用于不同MCU和MPU的庫之外，恩智浦的產(chǎn)品支持包還提供與多種常見操作系統(tǒng)的集成，包括Linux、Windows、RTOS和Android。該支持包包括主要應(yīng)用的樣本代碼、大量的應(yīng)用說明以及用于i.MX和Kinetis MCU的兼容開發(fā)套件，以加快最終的系統(tǒng)集成。其產(chǎn)品配置支持物聯(lián)網(wǎng)安全應(yīng)用，例如傳感器數(shù)據(jù)保護(hù)、物聯(lián)網(wǎng)服務(wù)的安全訪問以及物聯(lián)網(wǎng)設(shè)備調(diào)試，是對現(xiàn)有應(yīng)用的補(bǔ)充，如云服務(wù)的安全實(shí)施、設(shè)備到設(shè)備的身份驗(yàn)證、設(shè)備完整性保護(hù)和證明，以及設(shè)備溯源和來源證明。

英飛凌的OPTIGA TPM系列產(chǎn)品也包含了多種安全控制器，用于保護(hù)嵌入式設(shè)備以及系統(tǒng)的完整性與真實(shí)性（圖2）。OPTIGA TPM SLM 9670是一款高質(zhì)量的可信平臺模塊，它采用防篡改安全微控制器，適于工業(yè)應(yīng)用。作為一種即用型解決方案，它具有安全編碼固件，滿足最新的可信計(jì)算組織（TCG）Family 2.0規(guī)范。其產(chǎn)品符合工業(yè)JEDEC JESD 47標(biāo)準(zhǔn)質(zhì)量要求，并通過了Common Criteria EAL4+安全認(rèn)證。

開發(fā)人員可以采用OPTIGA TPM來存儲私鑰，配合Sectigo身份管理解決方案，可為工廠提供完整的自動化證書頒發(fā)和管理解決方案。

圖2：TPM通過其獨(dú)特的背書密鑰和密鑰分層結(jié)構(gòu)來支持密鑰及生命周期管理。非易失性存儲器可用于安全存儲敏感數(shù)據(jù)，例如證書，它基于防篡改硬件，安全功能包括傳感器和內(nèi)存加密功能，以增強(qiáng)對機(jī)密數(shù)據(jù)的保護(hù)。（圖片來源：英飛凌科技）

瑞薩電子于2019年10月推出的針對安全、可擴(kuò)展物聯(lián)網(wǎng)應(yīng)用的MCU RA系列產(chǎn)品采用開放式軟件平臺，客戶能夠通過與眾多廠商合作或利用現(xiàn)有傳統(tǒng)軟件平臺來開發(fā)物聯(lián)網(wǎng)端點(diǎn)。瑞薩電子將強(qiáng)大的信任根集成到硬件中，使其成為MCU的組成部分，安全功能的實(shí)現(xiàn)因此變得輕而易舉：客戶在完成設(shè)計(jì)后無需再考慮如何增加安全性。

存內(nèi)（In-memory）安全

隨著系統(tǒng)越來越依賴外部NOR閃存來保護(hù)聯(lián)網(wǎng)系統(tǒng)的代碼和數(shù)據(jù)，在存儲器中增加先進(jìn)加密安全性的需求也在增長。由于閃存無法再嵌入到MCU中，幾家公司提供了能夠保護(hù)閃存本身的功能，為設(shè)計(jì)師提供了更大的靈活性。例如，英飛凌最近推出了Semper Secure，作為其Semper NOR閃存平臺的補(bǔ)充。

同時(shí)，美光的專有技術(shù)Authenta將NOR閃存與系統(tǒng)級硬件RoT相結(jié)合。閃存本身內(nèi)置的安全功能可通過芯片RoT實(shí)現(xiàn)先進(jìn)的系統(tǒng)級保護(hù)，而無需添加新的硬件。它具有強(qiáng)大的內(nèi)置加密身份，通過現(xiàn)場更新和始終開啟的固件監(jiān)控，簡化了從供應(yīng)鏈到設(shè)備入網(wǎng)的安全設(shè)備管理。

美光2019年10月推出了Authenta密鑰管理服務(wù)（KMS）平臺，可為多種工業(yè)應(yīng)用提供云優(yōu)先部署模型。采用該平臺以后，已安裝Authenta的設(shè)備可以通過云服務(wù)開啟，從而降低了保護(hù)聯(lián)網(wǎng)設(shè)備安全性的難度和復(fù)雜度。

嵌入式SIM

對于遠(yuǎn)程狀態(tài)監(jiān)控、資產(chǎn)跟蹤和預(yù)測性監(jiān)控等應(yīng)用，芯片上的工業(yè)級嵌入式SIM（eSIM）是不錯(cuò)的方法。意法半導(dǎo)體的ST4SIM符合GSMA標(biāo)準(zhǔn)，采用ST33G安全MCU，帶有防篡改Arm SecurCore SC300處理器和硬件加密加速器等額外的安全功能，提供了集硬件與軟件于一體的安全解決方案。

意法半導(dǎo)體指定合作伙伴Arkessa、Arm和Truphone提供和管理設(shè)備入網(wǎng)和服務(wù)開通平臺。通過靈活的終生訂閱管理，開通服務(wù)后，包含eSIM的物聯(lián)網(wǎng)設(shè)備會自動連接到蜂窩網(wǎng)絡(luò)。意法半導(dǎo)體表示，其合作伙伴/運(yùn)營商可以訪問數(shù)以百計(jì)各種類型的蜂窩網(wǎng)絡(luò)，包括遍及世界各地的2G、3G、4G、低功耗廣域連接（LTE CAT-M）和窄帶物聯(lián)網(wǎng)（NB-IoT）。

物理不可克隆技術(shù)（PUF）

器件級安全性的另一種實(shí)現(xiàn)方法是物理不可克隆技術(shù)（Physically Unclonable Function），它利用硅制造工藝本身實(shí)現(xiàn)數(shù)據(jù)保護(hù)。盡管硅的生產(chǎn)工藝非常精密，但生產(chǎn)出來的每個(gè)電路存在細(xì)微差異。PUF技術(shù)正是利用這些微小的差異來生成唯一的數(shù)值，將其用作密鑰，對數(shù)字安全性起到重要作用。

PUF功能提供了一個(gè)數(shù)字指紋，可以作為芯片的唯一標(biāo)識符，用于加密、身份識別、驗(yàn)證和安全密鑰生成等。任何對密鑰進(jìn)行物理探測的嘗試都會極大地改變PUF的電路特性，從而產(chǎn)生不同的數(shù)字。PUF密鑰只有在需要進(jìn)行加密操作時(shí)才會生成，而且隨后可以立即擦除。因此，從理論上講，它提供了終極防護(hù)。

2020年初，Silicon Labs和美信都推出了采用PUF技術(shù)的安全增強(qiáng)功能。Silicon Labs在其Wireless Gecko Series 2平臺中為物聯(lián)網(wǎng)設(shè)備的無線片上系統(tǒng)添加了新的硬件安全功能，將安全軟件功能與PUF硬件技術(shù)結(jié)合起來。美信推出的MAX32520 ChipDNA Secure ARM Cortex-M4微控制器同樣集成了PUF，可提供多種保護(hù)級別。MCU的ChipDNA所生成的密鑰可直接用于對稱密鑰等功能，對存儲在安全IC非易失性存儲器中的數(shù)據(jù)進(jìn)行加密/解密。

Crypto Quantique是一家初創(chuàng)公司，希望在硅制造過程中利用量子隧穿特性，使設(shè)備在物聯(lián)網(wǎng)系統(tǒng)中擁有多個(gè)“不可偽造”的安全身份。Crypto Quantique表示，利用其量子驅(qū)動安全芯片（QDSC），設(shè)備無需安全存儲即可重新生成密鑰，并且不需先前的信任關(guān)系或共享密鑰即可向遠(yuǎn)程服務(wù)器證明自己的身份。

在納米級制造工藝中，半導(dǎo)體隧穿不可避免。芯片利用納米器件量子隧穿并根據(jù)隧穿厚度的不同來生成隨機(jī)數(shù)。利用QDSC中的量子效應(yīng)，單個(gè)芯片可以根據(jù)需要生成多個(gè)唯一的、不可偽造的加密密鑰。Crypto Quantique不只是專注于設(shè)備及其知識產(chǎn)權(quán)許可，還提供密鑰管理服務(wù)，在設(shè)備的整個(gè)生命周期進(jìn)行安全密鑰管理。

2019年成立的另一家公司PUFsecurity采用相同的量子隧穿技術(shù)，最近也推出了基于PUF的RoT知識產(chǎn)權(quán)，稱為PUFrt。這家初創(chuàng)公司指出，一些芯片制造商常用的SRAM PUF存在一個(gè)漏洞：每次開、關(guān)電源時(shí)，SRAM PUF上的數(shù)字會發(fā)生變化，所以需要進(jìn)行大量的預(yù)處理和后處理才能確保PUF的穩(wěn)定性和可靠性。還有一些因素也會影響SRAM PUF，例如在持續(xù)上電和斷電時(shí)MOSFET對的失配程度，以及環(huán)境條件（例如溫度、噪聲、電壓和干擾）發(fā)生變化等。PUFsecurity表示其解決方案是將量子隧穿PUF與一次性可編程（OTP）方案結(jié)合起來進(jìn)行電路設(shè)計(jì)，以此生成隨機(jī)數(shù)。因此，PUFrt功能可以提供ID、OTP中的密鑰存儲以及真正的隨機(jī)數(shù)生成。

上文描述了各種芯片級安全方法。為保護(hù)工業(yè)云免受網(wǎng)絡(luò)攻擊，我們應(yīng)特別注意聯(lián)網(wǎng)端點(diǎn)設(shè)備中存在的安全漏洞。保護(hù)端點(diǎn)設(shè)備意味著需要最合適的芯片級安全和身份管理系統(tǒng)。

編輯：hfy