“英飛凌在安全芯片的設(shè)計(jì)初期就考慮了物聯(lián)網(wǎng)設(shè)備的特性��,在此基礎(chǔ)上開展定制化的開發(fā)��?!庇w凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場(chǎng)經(jīng)理成皓說(shuō)。
以純軟件的方式來(lái)實(shí)現(xiàn)物聯(lián)網(wǎng)安全�����,勢(shì)必占用更多原本已經(jīng)非常緊張的主控和MCU的資源�����,而OPTIGA Trust M2 ID2則是以輕量化的資源占用來(lái)實(shí)現(xiàn)安全功能�,無(wú)需額外占用主控端的資源。另外����,OPTIGA Trust M2 ID2以業(yè)界最小封裝來(lái)滿足尺寸較小又嚴(yán)苛要求的便攜類設(shè)備的需求。
OPTIGA Trust M2 ID2的引人注目的還有一個(gè)亮點(diǎn)是在合理安全等級(jí)下實(shí)現(xiàn)設(shè)備的“0功耗”��,此舉在于英飛凌采用業(yè)經(jīng)優(yōu)化后的外圍電路并引入類似橢圓加密算法(ECC)的輕量級(jí)加解密算法��。
絕大多數(shù)物聯(lián)網(wǎng)設(shè)備對(duì)成本十分敏感��。OPTIGA Trust M2 ID2已經(jīng)納入到Linux����、MCU上經(jīng)常用到的RTOS等各種嵌入式操作系統(tǒng)中,未來(lái)還將匹配更多����,以最大程度降低成本。
除了硬件之外���,所有安全相關(guān)的代碼和底層操作系統(tǒng)都已集成并在DCAP上直接開源����,這也是英飛凌賦予其最為關(guān)鍵的性能特點(diǎn)——“跨領(lǐng)域的產(chǎn)品設(shè)計(jì)”:設(shè)備廠商無(wú)需自行去開發(fā)復(fù)雜的安全應(yīng)用即可便捷���、快速落地�。
OPTIGA Trust M2 ID2的封裝非常簡(jiǎn)單����。作為一個(gè)不主動(dòng)要求索取主控端數(shù)據(jù)、只是被動(dòng)執(zhí)行安全相關(guān)功能的元器件�,它跟設(shè)備內(nèi)的主控端CPU或者M(jìn)CU的連接�����,只需要通過(guò)標(biāo)準(zhǔn)的I2C接口��。
可以說(shuō)�����,英飛凌 OPTIGA Trust M2 ID2 是一款設(shè)計(jì)整體層面考慮到物聯(lián)網(wǎng)設(shè)備主要的訴求點(diǎn)而度身定制的安全芯片產(chǎn)品����。
詳解OPTIGA Trust M2 ID2五大特性
發(fā)布會(huì)上�����,成皓逐一介紹了OPTIGA Trust M2 ID2的五大主要特性���。
其最大的特點(diǎn)是“易于開發(fā)性”�。
作為交鑰匙方案����,OPTIGA Trust M2 ID2大部分的安全功能已經(jīng)嵌入到了底層的操作系統(tǒng)中,最大程度簡(jiǎn)化了開發(fā)流程����;客戶只需要根據(jù)上層應(yīng)用開發(fā)包直接去調(diào)用一些相關(guān)的接口����,很快就可以實(shí)現(xiàn)安全功能���。
二是優(yōu)異的安全特性。
OPTIGA Trust M2 ID2是一款提供最高安全認(rèn)證等級(jí)�����、金融級(jí)別安全認(rèn)證CC EAL 6+(high)認(rèn)證����、具備銀行卡級(jí)別安全水平、針對(duì)“軟件+硬件”一體化的的控制器���,支持X.509標(biāo)準(zhǔn)證書格式�����,硬件發(fā)生器也符合AIS-31認(rèn)證標(biāo)準(zhǔn)���。
除此之外�����,OPTIGA Trust M2 ID2還以雙向認(rèn)證����、數(shù)據(jù)存儲(chǔ)保護(hù)����、全生命周期管理、平臺(tái)完整性保護(hù)等功能支持多應(yīng)用場(chǎng)景��。
以雙向認(rèn)證為例���,在物聯(lián)網(wǎng)系統(tǒng)架構(gòu)中�,云端�����、服務(wù)端對(duì)設(shè)備的認(rèn)證非常重要���,設(shè)備端對(duì)云端的鑒別也同樣重要���。OPTIGA Trust M2 ID2可存儲(chǔ)多組密鑰和證書���,用以完成物聯(lián)網(wǎng)設(shè)備和云端、以及和其它設(shè)備之間的雙向認(rèn)證���;加載安全芯片的設(shè)備�����,可以和其它的控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進(jìn)行雙向認(rèn)證。
在鏈路通信安全方面����,很多物聯(lián)網(wǎng)的設(shè)備與應(yīng)用都沒有加密機(jī)制。OPTIGA Trust M2 ID2可以保障“設(shè)備和云端”以及和其它設(shè)備之間的通訊完全以加密的方式完成����。成皓表示,OPTIGA Shielded Connection的涵義�,就是英飛凌在保障物聯(lián)網(wǎng)設(shè)備與設(shè)備之間、設(shè)備和云之間的數(shù)據(jù)加密傳輸之外�,還以特有的安全機(jī)制在安全芯片和主控端MCU/CPU之間實(shí)現(xiàn)通信保密,提升了整體安全等級(jí)��。
OPTIGA Trust M2 ID2通過(guò)I2C結(jié)構(gòu)進(jìn)行數(shù)據(jù)傳遞����,傳輸速率可達(dá)1Mbps�����,數(shù)據(jù)寫入次數(shù)可以達(dá)到200萬(wàn)次���,支持物聯(lián)網(wǎng)設(shè)備可達(dá)10年的使用壽命。
三是提供靈活好用的擴(kuò)展工具包����。
四是個(gè)性化的應(yīng)用需求。
針對(duì)工業(yè)互聯(lián)網(wǎng)等某些要求比較高的物理環(huán)境���,OPTIGA Trust M2 ID2提供了從零下40攝氏度到零上105度的溫度支持���,操作電壓范圍從1.62V到5.5V,USON-10封裝形式尺寸最小可到3*3毫米��。
此外��,OPTIGA Trust M2 ID2還提供安全固件升級(jí)的功能���。很多攻擊通過(guò)偽造固件包的方式來(lái)獲取對(duì)設(shè)備的控制權(quán)��,普通用戶因?yàn)槿狈﹁b別能力而中招�。OPTIGA Trust M2 ID2通過(guò)“可信任根”的功能,幫助設(shè)備鑒別固件升級(jí)包來(lái)源是否合法���;而“平臺(tái)完整性”的校驗(yàn)功能���,在系統(tǒng)在啟動(dòng)后可鑒別搭載在設(shè)備上的操作系統(tǒng)或任何軟件是否有被篡改,成為提升抵御攻擊能力的一個(gè)手段����。
典型的安全應(yīng)用場(chǎng)景
OPTIGA Trust M2 ID2應(yīng)用廣泛��,成皓舉例介紹了其中三個(gè)有代表性的場(chǎng)景���。
1. 智能音箱
智能音箱代替了傳統(tǒng)的藍(lán)牙音箱����,還能以語(yǔ)音形式上網(wǎng)與互動(dòng)�����,并演變成為一個(gè)對(duì)全屋智能家電語(yǔ)音交互的節(jié)點(diǎn)�,控制開關(guān)窗簾�����、開門�����、下載音樂等的操作��。毫無(wú)例外�,所有用戶都會(huì)擔(dān)心自己的對(duì)話記錄��、個(gè)人喜好等隱私被監(jiān)聽被泄漏�����。
OPTIGA Trust M2 ID2提供的數(shù)據(jù)存儲(chǔ)加密功能�����,把需要提供的帳號(hào)密碼存儲(chǔ)到安全芯片內(nèi)部以防止被截取����,數(shù)據(jù)的傳輸也是以加密方式完成的,而雙向認(rèn)證功能確保只有經(jīng)過(guò)認(rèn)證來(lái)源合法的請(qǐng)求才能被接入。這樣即使系統(tǒng)被黑客侵入�����、數(shù)據(jù)被黑客攔截�����,原始數(shù)據(jù)也無(wú)法被破譯����。
2. 智能工廠
在國(guó)外,已經(jīng)發(fā)生了多起智能工廠遭受黑客攻擊�,導(dǎo)致整個(gè)產(chǎn)線癱瘓的事件,嚴(yán)重的是企業(yè)核心技術(shù)遭竊����,生產(chǎn)經(jīng)營(yíng)遭受巨大的威脅�����。在全球知名的數(shù)家制造業(yè)企業(yè)中�����,英飛凌通過(guò)在智能化工廠的機(jī)械手臂等終端設(shè)備,或者集成在PLC產(chǎn)品中����,嵌入OPTIGA Trust M2 ID2,對(duì)工業(yè)設(shè)備與工業(yè)邊緣網(wǎng)關(guān)通訊數(shù)據(jù)進(jìn)行加密保護(hù)�����,驗(yàn)證上傳數(shù)據(jù)的設(shè)備本身是否是在工廠內(nèi)實(shí)際工作而非黑客或者是第三方偽造的設(shè)備����,為安全生產(chǎn)奠定基礎(chǔ)。
相關(guān)的安全機(jī)制的建立����,還幫助企業(yè)達(dá)到了精準(zhǔn)操控和節(jié)省能耗的目的。
3.網(wǎng)絡(luò)攝像頭
網(wǎng)絡(luò)攝像頭是物聯(lián)網(wǎng)應(yīng)用最為廣泛的設(shè)備之一�����。例如��,在家庭中可監(jiān)控冰箱中的食品數(shù)量��、有效期���,家庭環(huán)境以及老人和小孩的生活狀態(tài)�;在工廠,可管理設(shè)備的運(yùn)行狀態(tài)�、管控車間的物資進(jìn)出等,加上其“弱口令”的特點(diǎn)���,也因此成為黑客重點(diǎn)“關(guān)照”的設(shè)備��。僅需在攝像頭中集成OPTIGA Trust M2 ID2芯片���,就保證了視頻數(shù)據(jù)的安全傳輸。
強(qiáng)強(qiáng)聯(lián)手拓展市場(chǎng)
OPTIGA Trust M2 ID2芯片在芯片生產(chǎn)階段就已經(jīng)預(yù)置了一款由阿里云提供的叫Link ID2的服務(wù)器分發(fā)的獨(dú)一無(wú)二的ID信息����,終端客戶首次聯(lián)網(wǎng)的時(shí)候就會(huì)完成一次設(shè)備的注冊(cè),將證書����、密鑰等關(guān)鍵數(shù)據(jù)和信息以加密的方式存儲(chǔ)在設(shè)備的或云端,即使設(shè)備遭受了外部攻擊�����,或者系統(tǒng)設(shè)計(jì)�、軟件層面存在漏洞的話,因?yàn)楣粽邲]有對(duì)安全芯片訪問(wèn)的能力����,這些數(shù)據(jù)也無(wú)法被外部截取和分析。
這也是硬件安全芯片的優(yōu)勢(shì)�。面向國(guó)內(nèi)市場(chǎng),與阿里云合作定制的Trust M2 ID2支持阿里云Link ID2的服務(wù)���,也凸顯英飛凌對(duì)于國(guó)內(nèi)市場(chǎng)的重視�。
這款安全芯片產(chǎn)品已經(jīng)在阿里云的網(wǎng)站及代理商的渠道上架����。
值得一提的是,上述這項(xiàng)安全和個(gè)性化數(shù)據(jù)寫入功能����,也開辟了一個(gè)全新的商務(wù)模式——設(shè)備制造商和云服務(wù)商可以通過(guò)收取服務(wù)費(fèi)或授權(quán)費(fèi)的方式探討更多合作的可能性。
為何預(yù)置在阿里云的芯片中����?成皓解釋說(shuō),英飛凌與阿里�����、阿里云的物聯(lián)網(wǎng)部門已經(jīng)開展了長(zhǎng)期的合作,阿里云對(duì)物聯(lián)網(wǎng)市場(chǎng)的影響力和國(guó)內(nèi)領(lǐng)先的市場(chǎng)占有率����,加上其領(lǐng)導(dǎo)著一個(gè)名叫ICA(IoT connectivity alliance)的專門針對(duì)物聯(lián)網(wǎng)安全的生態(tài)聯(lián)盟(英飛凌也是其中的成員之一)。
成皓告訴記者��,與阿里這樣在物聯(lián)網(wǎng)行業(yè)有極大影響力的巨頭合作����,將逐漸影響對(duì)物聯(lián)網(wǎng)設(shè)備廠商和服務(wù)提供商對(duì)物聯(lián)網(wǎng)安全的認(rèn)知和意識(shí);英飛凌也將與生態(tài)圈的終端客戶和合作伙伴一起參與從規(guī)范制訂到整個(gè)行業(yè)標(biāo)準(zhǔn)的過(guò)程�,未來(lái)也將考慮跟包括百度、騰訊等更多生態(tài)伙伴深入開展各方面的合作���;在Trust M層面�����,英飛凌與AWS�、微軟云等主流云服務(wù)提供商已經(jīng)有了對(duì)應(yīng)的連接方案�。
志在改善全人類生活
物聯(lián)網(wǎng)正在改變?nèi)祟惖纳罘绞剑m然安全風(fēng)險(xiǎn)永在并且成為全球性的挑戰(zhàn)��,但人們并沒有必要因?yàn)闈撛诘娘L(fēng)險(xiǎn)產(chǎn)生抵觸和畏懼心理��。
成皓認(rèn)為��,客戶始終將解決實(shí)際問(wèn)題的能力作為產(chǎn)品或方案作為最重要的考量�����。他表示��,作為一家全球化的公司與物聯(lián)網(wǎng)和嵌入式安全領(lǐng)域的專家�,英飛凌正在借助一塊小小的安全芯片及相關(guān)方案,與包括阿里云在內(nèi)的公司合作���,提高物聯(lián)網(wǎng)生態(tài)圈的安全等級(jí)��,幫助人類來(lái)更好���、更安心地享受物聯(lián)網(wǎng)帶來(lái)的便利和樂趣。
【注:OPTIGA是英飛凌公司注冊(cè)商標(biāo)】
果-1.jpg)
