隨著物聯網的迅猛發展，與人身或財產安全相關的設備迫切需要提高安全性，例如智能家居里的智能門鎖、攝像頭、智能音箱，還有智慧工廠、電動汽車的充電樁等。那么，如何保證這些物聯網設備的高安全性，且又易于設計開發？另外，現在很多MCU/CPU等主控芯片也帶有越來越多的安全功能，為何還需要額外的安全芯片？

近日，英飛凌科技發布了物聯網上云芯片——OPTIGA? Trust M2 ID2，優勢是可以支持阿里云Link ID2的服務。為此，英飛凌科技安全互聯系統事業部市場經理成皓先生向電子產品世界等媒體介紹了物聯網安全芯片的特點，以及如何實現高安全性。

英飛凌科技安全互聯系統事業部市場經理 成皓

1   基于硬件最安全

目前物聯網設備常用的安全方案有三類（如下圖）。

1）   沒有安全。由于很多邊緣側的設備資源比較有限，或處于成本考慮，因此很多設備廠商在設備設計的初期沒有考慮去引入相關的安全機制，這導致邊緣側的設備成為易于被攻擊的對象。

2）基于軟件實現的安全。很多企業和服務提供商基于成本等考量，會有基于軟件實現的方案。確實基于軟件實現的方案可以用來防御一些邏輯通話上的非法訪問，和減少軟件自身漏洞帶來的風險。但是同時也有一些問題，例如軟件是運行在通用的MCU、CPU環境中，數據易于被訪問和讀取，因而易于被復制和篡改、分析和理解。最重要的一點是基于純軟件的方案，在安全系統里無法做到整個系統可信任的“根”。

3）基于硬件的安全。最大的優勢是可以用于抵御針對硬件級別的攻擊。例如英飛凌此次發布的OPTIGA? Trust M2 ID2，其中一些經過特殊設計的精簡邏輯，會更好地保護數據的存儲。即使通過一些非常專業的反向工程，也無法輕易地破取和破解原始數據。此外，一些專業的設計和標準的代碼也非常難以被破解和理解。最重要的一點是基于硬件的安全芯片方案可以為整個系統的安全做到一個可信任的“根”，也是作為系統可信任的來源。

2   物聯網設備設計面臨的挑戰與需求

物聯網設備主要有以下6個特點。

●   MCU/CPU，即主控資源非常有限。如果以純軟件方式來實現，勢必會占用更多原本已經非常緊張的主控/MCU的資源。相比之下，安全芯片會以非常輕量化的資源占用來實現安全功能，同時不會占用主控端的資源。

●   貼片空間的限制，因為一些物聯網設備/家電設備/便攜式設備的尺寸越來越小。

●   功耗的限制。

●   成本的敏感性。

●   輕量化的操作系統。

●   跨領域的產品設計。因而需要易于集成、易用。

3   Trust M2 ID2的主要優勢

Trust M2 ID2產品的特點很多（如下圖），突出特點是易于開發和高安全性。

1）易用開發方面，有完整的交鑰匙式的解決方案，客戶定制化證書燒錄，基于硬件抽象層架構的主端C源碼包，有完善的評估工具。

2）從安全特性來說，Trust M2 ID2是一款經過最高安全認證等級、金融級別安全認證等級CC EAL 6+（high）認證的安全控制器，支持X.509標準的證書格式，硬件發生器符合AIS-31認證標準。

具有OPTIGA? Shielded Connection。因為在物聯網設備里，除了考慮設備與設備之間、設備與云端之間的數據需要加密之外，本身的安全芯片和主控端MCU/CPU通信也是鏈路傳輸的過程，這有一套特有的安全機制。所以英飛凌保證的是所有在鏈路上傳輸的數據，不管是設備和云端，還是設備內部的數據傳遞全是加密進行的傳遞，提升了整體安全等級。

此外還有雙向認證功能。OPTIGA? Trust M2 ID2可以存儲多組密鑰和證書，用來完成物聯網設備和云端、以及和其它設備之間的雙向認證。同時，加載安全芯片的設備可以和其它的控制器及生態系統內的設備進行雙向認證。所以，需要強調的一點是，①在物聯網整個系統架構中，除了云端或者服務端對設備的認證非常重要之外，設備端對于云端的鑒別也是非常重要的。所以英飛凌的方案是一個雙向認證的功能，而不是單向認證。

典型應用場景是如下幾個。

●   固件安全升級。 目前在很多物聯網攻擊的模式里，很多攻擊（包括黑客攻擊）是通過偽造一些固件包的方式，企圖來獲取對設備的控制權。一般的用戶沒有能力去鑒別。例如我現在收到了一個固件升級包是否是完整、來源合法的升級包？再例如手機升級，但對于一般用戶,沒有能力去判斷自己現在手機上收到的升級包是否是合法來源的。所以這種升級過程是有很大風險的，會導致設備被黑客或非法分子監聽或控制。OPTIGA? Trust M2 ID2可以通過“可信任根”的功能，幫助設備實現鑒別固件升級包來源的功能。

●   個人化數據的寫入。 具體結合到OPTIGA? Trust M ID2產品，在該芯片的生產階段就已經預置了一款由阿里云的Link ID2的服務器分發的獨一無二的ID信息，終端客戶（IoT設備廠商的客戶）直接用嵌入這款安全芯片到終端設備中即可使用。使用方式是嵌入這款安全芯片之后，它第一次聯網的時候就會完成一次Link ID2設備在云端的注冊。因此，英飛凌提供相關的安全和個性化數據寫入的功能之外，也為這些設備制造商和云服務商提供了一些全新的商務模式。例如他們可以通過收取服務費或授權費的方式，來獲得更多的商務模式的可能性擴展。

●   數據安全存儲。 這是比較容易理解的一種功能，還可以把一些用戶的關鍵數據與信息，例如證書、密鑰，通過加密的方式，存儲在設備的內部，好處是存儲在安全芯片內部的數據，哪怕設備遭受了外部的攻擊，盡管外部的系統設計或軟件層面有一些漏洞，因為黑客或攻擊者沒有對安全芯片訪問的能力，存儲在安全芯片內部的數據也無法被外部去截取和分析。這也是硬件安全芯片比較大的優勢。

●   “平臺完整性”的校驗。主要針對某些系統需要安全啟動的場景下，設備有能力來判斷目前放在這個設備上的操作系統或軟件是否被篡改，進而來抵御攻擊能力的一個手段。

4   安全芯片的應用案例

1）   智能音箱

智能音箱除了能夠代替傳統的藍牙音箱欣賞音樂之外，還可以以更便捷的語音形式上網，同時可以和用戶進行語音方面的互動。另外，很多智能音箱提供商把智能音箱作為對全屋智能家電語音交互的節點，可控制窗簾、開門、下載音樂等。

通過英飛凌的OPTIGA? Trust M2 ID2可實現數據存儲、加密等功能，例如，很多時候，需要提供云服務提供商帳號密碼才能登陸智能音箱進行安全操控，可以把這些賬戶信息/ID信息或密碼存儲到安全芯片內部。另外，可以通過安全芯片的雙向認證功能，保證智能音箱只處理一些經過合法來源認證的信息。例如這時突然有黑客或陌生人通過一些偽造遠程語音信息的方式來“開門”或“開窗”，智能音箱有能力鑒別它的信息，或鑒別對智能音箱進行操控的設備是否是合法來源。

再有，可以保證所有的設備和服務端云端交互的數據都是通過加密的形式進行傳遞的。例如，可能有些智能音箱里的關鍵數據需要上傳到云端，可以保證鏈路上的數據都是加密的，就算被黑客進行數據攔截，它也無法破譯原始數據的信息。

2）   智能工廠

國外已有兩三家知名的生產企業在智能化工廠的終端設備，諸如機械手臂、集成PLC上的產品里，嵌入了Trust M的安全芯片。主要實現的功能是用于端到端的數據加密。同時，生產企業通過Trust M2 ID2芯片可以來驗證上傳數據的設備是否是合法的設備、是否是在工廠內實際工作的設備，而非黑客或者是第三方偽造的設備。

3）   網絡攝像頭

網絡攝像頭是被黑客重點攻擊的設備之一。除了公共場合里的攝像頭，也有家用攝像頭。例如冰箱里的攝像頭，主要對冰箱里的食物拍攝、統計，并及時提醒用戶；很多超市的貨架上也安置了攝像頭，便于工作人員管理貨架。家用攝像頭主要用于監控，例如可以防止竊賊、遠程觀看家中老人和小孩的情況。不過此時，由于網絡攝像頭可監控的特性，也會成為很多不法分子的攻擊對象。

目前很多攝像頭被入侵的一個主要原因是它的“弱口令”。一般很多出廠密碼就會默認設置admin了，所以對于黑客攻擊來說，攻擊這類設備非常容易。所以通過在攝像頭里去集成OPTIGA? Trust M2 ID2芯片，可以保證攝像頭本身與云服務之間通訊數據進行安全加密，這些關鍵數據在鏈路上傳輸時無法被破解。

5   哪些場景需要硬件安全芯片？

所以是否需要用安全硬件芯片，要看具體在應用場景里面需要用到哪些安全級別。例如，對某些成本比較敏感或安全訴求不是很高的應用場景里，例如智能門鈴，并不需要安全級別如此高的安全芯片產品。而在一些對安全訴求會一些比較明確（如：智能門鎖、智能音箱）的場景，需要用到像Trust M2 ID2這樣的安全芯片。

安全級別不高的場合，可以用MCU/CPU等，因為其本身也自帶了一些硬件安全功能，更多的是基于純軟件或者叫軟件殺消功能。

專業的安全防護，需要用到英飛凌Trust M2 ID2安全芯片，優勢是經過CC EAL6+安全認證，所以安全級別比傳統的在主控芯片里集成的安全方案會高很多。

6   英飛凌在物聯網安全的整個布局

英飛凌OPTIGA?系列布局整個物聯網市場，包括網絡側的節點、設備的節點，以及節點與節點之間的認證，還是某一個節點對于配件的認證，都有相應的解決方案。

其中，OPTIGA? Connect eSIM方案目前主要解決的是“設備連接到網絡”，主要側重的是“連接”，主要是通過蜂窩網絡連接到運營商的解決方案，側重點是運營商的檔案（profile）和資料可以通過空中貨物方式下載到eSIM卡里去，所以主要是起到“連接”的作用。

OPTIGA?系列還有Trust B的安全芯片，主要用于單向的設備或配件認證。例如很多手機上會要求對電池，或者家電設備的某一凈水器需要對濾芯做一個單向認證，是否是原裝出廠的配件。

此次主要介紹的Trust M2 ID2會側重在物聯網設備節點終端做節點保護和云端雙向認證。

英飛凌的OPTIGA? TPM安全芯片會放在云端的服務器端，去做基于Linux系統非常繁重的設備里的可信任根。目前TPM產品已有很多的商用案例。