“英飛凌在安全芯片的設(shè)計初期就考慮了物聯(lián)網(wǎng)設(shè)備的特性��,在此基礎(chǔ)上開展定制化的開發(fā)���?�!庇w凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場經(jīng)理成皓說����。
以純軟件的方式來實現(xiàn)物聯(lián)網(wǎng)安全,勢必占用更多原本已經(jīng)非常緊張的主控和MCU的資源�����,而OPTIGA Trust M2 ID2則是以輕量化的資源占用來實現(xiàn)安全功能�����,無需額外占用主控端的資源����。另外,OPTIGA Trust M2 ID2以業(yè)界最小封裝來滿足尺寸較小又嚴苛要求的便攜類設(shè)備的需求����。
OPTIGA Trust M2 ID2的引人注目的還有一個亮點是在合理安全等級下實現(xiàn)設(shè)備的“0功耗”,此舉在于英飛凌采用業(yè)經(jīng)優(yōu)化后的外圍電路并引入類似橢圓加密算法(ECC)的輕量級加解密算法���。
絕大多數(shù)物聯(lián)網(wǎng)設(shè)備對成本十分敏感。OPTIGA Trust M2 ID2已經(jīng)納入到Linux��、MCU上經(jīng)常用到的RTOS等各種嵌入式操作系統(tǒng)中�,未來還將匹配更多,以最大程度降低成本。
除了硬件之外����,所有安全相關(guān)的代碼和底層操作系統(tǒng)都已集成并在DCAP上直接開源,這也是英飛凌賦予其最為關(guān)鍵的性能特點——“跨領(lǐng)域的產(chǎn)品設(shè)計”:設(shè)備廠商無需自行去開發(fā)復(fù)雜的安全應(yīng)用即可便捷����、快速落地。
OPTIGA Trust M2 ID2的封裝非常簡單��。作為一個不主動要求索取主控端數(shù)據(jù)����、只是被動執(zhí)行安全相關(guān)功能的元器件,它跟設(shè)備內(nèi)的主控端CPU或者MCU的連接����,只需要通過標準的I2C接口。
可以說�,英飛凌 OPTIGA Trust M2 ID2 是一款設(shè)計整體層面考慮到物聯(lián)網(wǎng)設(shè)備主要的訴求點而度身定制的安全芯片產(chǎn)品。
詳解OPTIGA Trust M2 ID2五大特性
發(fā)布會上�,成皓逐一介紹了OPTIGA Trust M2 ID2的五大主要特性。
其最大的特點是“易于開發(fā)性”���。
作為交鑰匙方案����,OPTIGA Trust M2 ID2大部分的安全功能已經(jīng)嵌入到了底層的操作系統(tǒng)中,最大程度簡化了開發(fā)流程��;客戶只需要根據(jù)上層應(yīng)用開發(fā)包直接去調(diào)用一些相關(guān)的接口����,很快就可以實現(xiàn)安全功能。
二是優(yōu)異的安全特性���。
OPTIGA Trust M2 ID2是一款提供最高安全認證等級�����、金融級別安全認證CC EAL 6+(high)認證����、具備銀行卡級別安全水平���、針對“軟件+硬件”一體化的的控制器��,支持X.509標準證書格式,硬件發(fā)生器也符合AIS-31認證標準�。
除此之外,OPTIGA Trust M2 ID2還以雙向認證、數(shù)據(jù)存儲保護���、全生命周期管理�����、平臺完整性保護等功能支持多應(yīng)用場景����。
以雙向認證為例���,在物聯(lián)網(wǎng)系統(tǒng)架構(gòu)中�����,云端�、服務(wù)端對設(shè)備的認證非常重要����,設(shè)備端對云端的鑒別也同樣重要。OPTIGA Trust M2 ID2可存儲多組密鑰和證書���,用以完成物聯(lián)網(wǎng)設(shè)備和云端�����、以及和其它設(shè)備之間的雙向認證��;加載安全芯片的設(shè)備����,可以和其它的控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進行雙向認證。
在鏈路通信安全方面�,很多物聯(lián)網(wǎng)的設(shè)備與應(yīng)用都沒有加密機制。OPTIGA Trust M2 ID2可以保障“設(shè)備和云端”以及和其它設(shè)備之間的通訊完全以加密的方式完成���。成皓表示�����,OPTIGA Shielded Connection的涵義����,就是英飛凌在保障物聯(lián)網(wǎng)設(shè)備與設(shè)備之間�、設(shè)備和云之間的數(shù)據(jù)加密傳輸之外,還以特有的安全機制在安全芯片和主控端MCU/CPU之間實現(xiàn)通信保密���,提升了整體安全等級�。
OPTIGA Trust M2 ID2通過I2C結(jié)構(gòu)進行數(shù)據(jù)傳遞,傳輸速率可達1Mbps���,數(shù)據(jù)寫入次數(shù)可以達到200萬次,支持物聯(lián)網(wǎng)設(shè)備可達10年的使用壽命��。
三是提供靈活好用的擴展工具包���。
四是個性化的應(yīng)用需求���。
針對工業(yè)互聯(lián)網(wǎng)等某些要求比較高的物理環(huán)境,OPTIGA Trust M2 ID2提供了從零下40攝氏度到零上105度的溫度支持��,操作電壓范圍從1.62V到5.5V�����,USON-10封裝形式尺寸最小可到3*3毫米����。
此外,OPTIGA Trust M2 ID2還提供安全固件升級的功能����。很多攻擊通過偽造固件包的方式來獲取對設(shè)備的控制權(quán)�,普通用戶因為缺乏鑒別能力而中招�����。OPTIGA Trust M2 ID2通過“可信任根”的功能����,幫助設(shè)備鑒別固件升級包來源是否合法;而“平臺完整性”的校驗功能�����,在系統(tǒng)在啟動后可鑒別搭載在設(shè)備上的操作系統(tǒng)或任何軟件是否有被篡改�����,成為提升抵御攻擊能力的一個手段�。
典型的安全應(yīng)用場景
OPTIGA Trust M2 ID2應(yīng)用廣泛,成皓舉例介紹了其中三個有代表性的場景���。
1. 智能音箱
智能音箱代替了傳統(tǒng)的藍牙音箱��,還能以語音形式上網(wǎng)與互動���,并演變成為一個對全屋智能家電語音交互的節(jié)點����,控制開關(guān)窗簾���、開門、下載音樂等的操作�。毫無例外,所有用戶都會擔心自己的對話記錄�、個人喜好等隱私被監(jiān)聽被泄漏。
OPTIGA Trust M2 ID2提供的數(shù)據(jù)存儲加密功能����,把需要提供的帳號密碼存儲到安全芯片內(nèi)部以防止被截取,數(shù)據(jù)的傳輸也是以加密方式完成的���,而雙向認證功能確保只有經(jīng)過認證來源合法的請求才能被接入�����。這樣即使系統(tǒng)被黑客侵入�����、數(shù)據(jù)被黑客攔截�����,原始數(shù)據(jù)也無法被破譯����。
2. 智能工廠
在國外,已經(jīng)發(fā)生了多起智能工廠遭受黑客攻擊���,導(dǎo)致整個產(chǎn)線癱瘓的事件����,嚴重的是企業(yè)核心技術(shù)遭竊�,生產(chǎn)經(jīng)營遭受巨大的威脅。在全球知名的數(shù)家制造業(yè)企業(yè)中��,英飛凌通過在智能化工廠的機械手臂等終端設(shè)備��,或者集成在PLC產(chǎn)品中�,嵌入OPTIGA Trust M2 ID2,對工業(yè)設(shè)備與工業(yè)邊緣網(wǎng)關(guān)通訊數(shù)據(jù)進行加密保護�����,驗證上傳數(shù)據(jù)的設(shè)備本身是否是在工廠內(nèi)實際工作而非黑客或者是第三方偽造的設(shè)備,為安全生產(chǎn)奠定基礎(chǔ)�。
相關(guān)的安全機制的建立,還幫助企業(yè)達到了精準操控和節(jié)省能耗的目的�。
3.網(wǎng)絡(luò)攝像頭
網(wǎng)絡(luò)攝像頭是物聯(lián)網(wǎng)應(yīng)用最為廣泛的設(shè)備之一。例如����,在家庭中可監(jiān)控冰箱中的食品數(shù)量、有效期���,家庭環(huán)境以及老人和小孩的生活狀態(tài);在工廠�,可管理設(shè)備的運行狀態(tài)、管控車間的物資進出等�,加上其“弱口令”的特點,也因此成為黑客重點“關(guān)照”的設(shè)備�。僅需在攝像頭中集成OPTIGA Trust M2 ID2芯片,就保證了視頻數(shù)據(jù)的安全傳輸��。
強強聯(lián)手拓展市場
OPTIGA Trust M2 ID2芯片在芯片生產(chǎn)階段就已經(jīng)預(yù)置了一款由阿里云提供的叫Link ID2的服務(wù)器分發(fā)的獨一無二的ID信息����,終端客戶首次聯(lián)網(wǎng)的時候就會完成一次設(shè)備的注冊,將證書����、密鑰等關(guān)鍵數(shù)據(jù)和信息以加密的方式存儲在設(shè)備的或云端����,即使設(shè)備遭受了外部攻擊�����,或者系統(tǒng)設(shè)計�����、軟件層面存在漏洞的話����,因為攻擊者沒有對安全芯片訪問的能力,這些數(shù)據(jù)也無法被外部截取和分析��。
這也是硬件安全芯片的優(yōu)勢�����。面向國內(nèi)市場����,與阿里云合作定制的Trust M2 ID2支持阿里云Link ID2的服務(wù)�,也凸顯英飛凌對于國內(nèi)市場的重視�。
這款安全芯片產(chǎn)品已經(jīng)在阿里云的網(wǎng)站及代理商的渠道上架。
值得一提的是��,上述這項安全和個性化數(shù)據(jù)寫入功能��,也開辟了一個全新的商務(wù)模式——設(shè)備制造商和云服務(wù)商可以通過收取服務(wù)費或授權(quán)費的方式探討更多合作的可能性���。
為何預(yù)置在阿里云的芯片中�����?成皓解釋說����,英飛凌與阿里��、阿里云的物聯(lián)網(wǎng)部門已經(jīng)開展了長期的合作���,阿里云對物聯(lián)網(wǎng)市場的影響力和國內(nèi)領(lǐng)先的市場占有率,加上其領(lǐng)導(dǎo)著一個名叫ICA(IoT connectivity alliance)的專門針對物聯(lián)網(wǎng)安全的生態(tài)聯(lián)盟(英飛凌也是其中的成員之一)�。
成皓告訴記者,與阿里這樣在物聯(lián)網(wǎng)行業(yè)有極大影響力的巨頭合作�,將逐漸影響對物聯(lián)網(wǎng)設(shè)備廠商和服務(wù)提供商對物聯(lián)網(wǎng)安全的認知和意識�;英飛凌也將與生態(tài)圈的終端客戶和合作伙伴一起參與從規(guī)范制訂到整個行業(yè)標準的過程���,未來也將考慮跟包括百度�����、騰訊等更多生態(tài)伙伴深入開展各方面的合作����;在Trust M層面���,英飛凌與AWS��、微軟云等主流云服務(wù)提供商已經(jīng)有了對應(yīng)的連接方案����。
志在改善全人類生活
物聯(lián)網(wǎng)正在改變?nèi)祟惖纳罘绞?��,雖然安全風險永在并且成為全球性的挑戰(zhàn)��,但人們并沒有必要因為潛在的風險產(chǎn)生抵觸和畏懼心理���。
成皓認為���,客戶始終將解決實際問題的能力作為產(chǎn)品或方案作為最重要的考量。他表示��,作為一家全球化的公司與物聯(lián)網(wǎng)和嵌入式安全領(lǐng)域的專家����,英飛凌正在借助一塊小小的安全芯片及相關(guān)方案,與包括阿里云在內(nèi)的公司合作����,提高物聯(lián)網(wǎng)生態(tài)圈的安全等級,幫助人類來更好����、更安心地享受物聯(lián)網(wǎng)帶來的便利和樂趣。
【注:OPTIGA是英飛凌公司注冊商標】
果-1.jpg)
