網(wǎng)絡安全正成為一個關鍵問題，因為我們的生活越來越多地由數(shù)字設備和云服務器調(diào)解。物聯(lián)網(wǎng)（IoT）部門認識到網(wǎng)絡安全對我們的福祉及其增長的重要性，因此已開始制定安全標準，測試和認證策略來解決這個問題。世界各地的監(jiān)管機構也在加緊努力，制定和頒布立法，要求物聯(lián)網(wǎng)開發(fā)商和生態(tài)系統(tǒng)運營商對其實施的系統(tǒng)的影響負責，有時對安全故障處以嚴厲的懲罰。

對于開發(fā)物聯(lián)網(wǎng)芯片、設備并使用它們創(chuàng)建物聯(lián)網(wǎng)生態(tài)系統(tǒng)的公司來說，一個關鍵挑戰(zhàn)是確保其大規(guī)模實施時的安全性。雖然包含少量設備的桌面演示可能表明物聯(lián)網(wǎng)安全策略是有效的，但大規(guī)模實施該策略需要許多組織尚未獲得的技能和工具。問題的核心是尋找一種方法來保護物聯(lián)網(wǎng)芯片、設備和生態(tài)系統(tǒng)所需的唯一身份和加密密鑰所涉及的復雜性。好消息是，硬件和軟件解決方案正在興起，使非安全專家的設計人員現(xiàn)在更容易將尖端的安全技術和策略應用于他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)，并對其進行長期管理。

網(wǎng)絡安全的根源：身份和信任

信任是網(wǎng)絡安全戰(zhàn)略的核心，身份是信任的核心。想想與一群陌生人的對話：在我們知道我們在和誰說話之前，我們不能相信我們的貢獻不會被濫用，誤解或歪曲。網(wǎng)絡安全也是如此：要信任具有有價值信息的設備，您首先需要知道它是物聯(lián)網(wǎng)生態(tài)系統(tǒng)的合法成員，而不是偽裝成一個不受信任的設備，或者是濫用被盜身份的合法設備的克隆。

在物聯(lián)網(wǎng)中建立信任的一種方法是為每個合法設備提供一個唯一的標識符，該標識符可用于驗證其在目標生態(tài)系統(tǒng)中的合法性。標識符還可以作為生成加密密鑰的密鑰構建塊，可用于證明身份，保護秘密信息的存儲，確保通信的隱私，并提供登錄物聯(lián)網(wǎng)云服務所需的設施。反過來，這些功能有助于確保存儲在物聯(lián)網(wǎng)設備上并在物聯(lián)網(wǎng)設備之間共享的數(shù)據(jù)的完整性，這對于避免涉及欺騙數(shù)據(jù)的惡意攻擊至關重要。

重申一下，身份支持身份驗證，從而建立信任，從而允許機密性（隱私），從而確保所存儲或傳輸信息的完整性。那么，我們?nèi)绾卧谖锫?lián)網(wǎng)芯片、設備和生態(tài)系統(tǒng)中建立強大而安全的身份呢？

實現(xiàn)唯一標識符

有兩種主要方法可以確保設備具有唯一標識。第一種是在片外系統(tǒng)中創(chuàng)建可證明的加密身份，然后找到一種安全的方式讓設備能夠訪問它，這個過程通常被稱為“密鑰注入”。這種方法被廣泛使用，但要求使用它的人信任密鑰注入過程的安全性。如果鑰匙注入是在內(nèi)部完成的，這可能很簡單，但如果必須在合同制造工廠或地球另一端的晶圓廠完成，則必要的信任可能更難建立和維持。

這些標識符通常被注入到保護它們的安全元素中，使用加密存儲和硬件設計等功能，使物理和電氣黑客攻擊更加困難。作為其更廣泛的安全基礎架構的一部分，安全元件通常與其他專業(yè)功能（如加密加速器）一起集成到片上系統(tǒng)（SoC）中。安全元件也可作為獨立器件提供，例如意法半導體的STSAFE-A110，它可以提供強大的身份驗證功能，幫助建立安全的通信通道，保護數(shù)據(jù)，并幫助驗證數(shù)字簽名。

按鍵注入的一個缺點是其成本。它既需要硬件資源，如片上存儲器或安全的板外存儲，也需要高度專業(yè)化的服務，以極其嚴格的實施方式處理密鑰注入。

噴碼工藝

鑰匙注入的挑戰(zhàn)在于，這是一個復雜的過程，客戶必須相信設備制造商可以在整個物理設施和ICT基礎設施中以及長期內(nèi)保持其每一步完全安全。如果在其生產(chǎn)線上進行注入的公司允許其服務器在幾年后被黑客入侵，那么現(xiàn)在應用復雜的密鑰注入策略來保護您的物聯(lián)網(wǎng)生態(tài)系統(tǒng)設備是沒有用的。維持這種紀律是昂貴的。

為了說明所涉及的復雜性，讓我們看一下意法半導體為其STM32MP1系列安全微控制器開發(fā)的密鑰注入工藝，其中包括保護關鍵操作（加密算法）的功能，并且可以在芯片的一次性可編程區(qū)域中存儲關鍵數(shù)據(jù)（密鑰）。

意法半導體表示，其安全秘密配置（SSP）策略和工具鏈使秘密數(shù)據(jù)能夠安全地注入（即機密性、身份驗證和完整性檢查）到設備中，即使在合同制造站點等不受信任的環(huán)境中也是如此。

意法半導體SSP流程圖

根據(jù)意法半導體應用筆記中的高層觀點，SSP流程包括以下內(nèi)容：

SSP 映像（已加密）可從 STM32 受信任的包創(chuàng)建者工具獲得

使用 AES 密鑰對硬件安全模塊進行編程

使用STM32MP1簽名工具對SSP安全固件進行簽名

啟動 SSP 流程

ROM 代碼加載 SSP 安全固件

設備證書

STM32MP1 系列設備認證

提供與 SSP 映像串聯(lián)的許可證（已加密）

檢索 AES 解密密鑰并解密機密

驗證安全固件

從解密的機密對 OTP 進行編程

確切的細節(jié)不如它們說明安全連接到生產(chǎn)線上的設備并使用數(shù)據(jù)對其進行編程所涉及的復雜性的方式重要，這些數(shù)據(jù)的真實性，機密性和完整性一直保持到將其解壓縮在設備的安全區(qū)域中。

Rambus還提供了一個安全的芯片配置平臺，用于將秘密值注入硬件模塊或SoC，但它適用于更廣泛的設備。該公司表示，它是世界上最大的第三方定制芯片配置商，已經(jīng)在多條生產(chǎn)線上運行，并擁有60多家客戶。

該平臺允許直接安裝在模塊或SoC生產(chǎn)線上的設備生成和跟蹤安全證書，以最大限度地降低最終設備受到損害的風險。

Rambus 安全芯片配置平臺使用安裝在 SoC 生產(chǎn)線上的設備來注入密鑰

Rambus認為，其服務在13個SoC合作伙伴的晶圓廠內(nèi)運行，使啟用嵌入式安全功能并將機密加載到生產(chǎn)線上的設備中的能力更容易獲得。它說，這種編程服務只有大批量設備和已經(jīng)開發(fā)了自己的鑰匙注入基礎設施的設備制造商才能真正使用。Rambus還認為，由于它與多個SoC供應商合作，因此它可以充當來自多個供應商的設備中包含的各種安全功能的通用接口。

物理不可克隆函數(shù)的價值

為設備提供唯一標識的第二種方法是在其中包含物理不可克隆功能 （PUF）。這使用戶能夠在無可爭議的事實之上構建他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全架構 - 其中的每個設備都可以由于其物理硬件的某些原因而被唯一識別。

PUF通常由可尋址的設備或電路元件陣列組成，其特性受到IC制造過程中隨機變化的強烈影響。通過良好的設計，這意味著盡管資源豐富的黑客理論上可以逐層探測甚至復制SoC，但他們?nèi)匀粺o法復制其唯一身份，因為它源于制造過程的設備到設備可變性產(chǎn)生的特征。

目前有兩種主要形式的PUF在使用。第一種通過讀取SRAM單元陣列在打開時沉降到的邏輯狀態(tài)來推導出唯一的恒等式。這種方法的挑戰(zhàn)是確保電池在器件的整個生命周期內(nèi)繼續(xù)以相同的狀態(tài)啟動。這種方法也可能不能在未來的深亞微米制造工藝上很好地擴展。

第二種方法，如Crypto Quantique的QDID產(chǎn)品所使用的那樣，比較由量子效應引起的通過兩個器件絕緣勢壘的泄漏電流，并根據(jù)哪個電流更大來設置二進制值。這種方法生成高度隨機但穩(wěn)健可重復的輸出狀態(tài)源。它還具有區(qū)域效率，使設計人員能夠包含豐富的隨機值源，這些隨機值可以用作唯一標識符和多個新加密密鑰的基礎，這些值在器件的整個生命周期內(nèi)都可用作基礎。

一些示例安全設備

宏力士在其 ArmorFlash 產(chǎn)品中使用 PUF，這是一種獨立的存儲設備，可為 NOR、SLC NAND 或 e.MMC 閃存提供安全的身份、身份驗證和加密鏈路。該產(chǎn)品還使用安全協(xié)議，確保它與主機之間的每個數(shù)據(jù)傳輸都是唯一的，即使重復讀出其安全內(nèi)存的相同位置也是如此。這可以防止攻擊者收集有關設備讀取特定數(shù)據(jù)位置的頻率的信息。nVidia在2019年宣布，它將使用ArmorFlash來保護其自動駕駛平臺中使用的數(shù)據(jù)的安全性，利用其加密功能，完整性檢查以及創(chuàng)建安全通信通道和協(xié)議的能力。

Silex Insight 提供的是用于 SoC 安全的單個模塊，作為半導體 IP 模塊提供，以整合到 SoC 中。

芯展的電子安全模塊依賴于PUF

該塊圍繞PUF構建其安全性，并包括安全密鑰存儲，安全CPU和加密加速內(nèi)核的選擇。它還具有安全啟動、通過專用接口訪問安全存儲、安全地處理無線軟件更新以及啟用安全調(diào)試等功能。

瑞薩電子提供32位微控制器、RX系列（專有CPU內(nèi)核）和RA系列（ARM內(nèi)核），其中包括瑞薩安全IP（RSIP）、用于保護數(shù)字身份和加密密鑰的專有硬件。它還具有保護身份驗證程序不被篡改的功能。瑞薩電子表示，其具有RSIP保護的RX / RA系列可用于構建具有信任根的系統(tǒng)，從而提供自我維持的安全性。

瑞薩電子還強調(diào)了RX/RA部件在有效的“數(shù)字生命周期管理”中可以發(fā)揮的作用，即在整個運行生命周期內(nèi)維護物聯(lián)網(wǎng)設備和生態(tài)系統(tǒng)的安全性。

瑞薩電子對物聯(lián)網(wǎng)設備數(shù)字生命周期管理的看法

該圖概述了數(shù)字生命周期管理的主要階段：設計過程中的密鑰生成：

在制造過程中安全上傳密鑰和固件

每個設備的密鑰管理可防止偽造

在現(xiàn)場安全操作，防止竊聽通信

現(xiàn)場安全固件更新

使設備部署更輕松的解決方案

報廢管理

招生問題

瑞薩電子強調(diào)管理物聯(lián)網(wǎng)設備的部署，這揭示了大規(guī)模部署物聯(lián)網(wǎng)設備時的另一個關鍵問題：許多物聯(lián)網(wǎng)設備開發(fā)人員將通過第三方物聯(lián)網(wǎng)中心服務（如Microsoft Azure或亞馬遜網(wǎng)絡服務）運行其物聯(lián)網(wǎng)生態(tài)系統(tǒng)。通過這些服務注冊設備涉及一系列復雜的交換，以對每個設備進行身份驗證，檢查它是否未被篡改，創(chuàng)建證書，然后使用它們建立安全通信。

瑞薩電子、意法半導體、麥宏力士和Silex Insight選擇了加密匡迪克的QuarkLink平臺，幫助客戶在沒有專業(yè)加密知識的情況下，從芯片到云端配置、載入和管理設備。下圖顯示了使用 Silex Insight 的 eSecure IP 連接到物聯(lián)網(wǎng)中心服務并由其管理的設備所涉及的過程。

QuarkLink 如何處理在 IoT 中心注冊 IoT 設備的復雜過程

隨著物聯(lián)網(wǎng)的發(fā)展，保護物聯(lián)網(wǎng)設備的重要性也在增加。實現(xiàn)這一目標的挑戰(zhàn)是確保在任意位置運行并通過任意鏈路進行通信的任意設備仍然可以保持安全。

好消息是，半導體行業(yè)正在通過推出各種標準產(chǎn)品來應對這一挑戰(zhàn)，這些產(chǎn)品包括安全功能，以及用于在SoC中包含安全功能的半導體IP模塊。該行業(yè)還在開發(fā)各種策略，為設備配備支持這些安全功能所需的唯一標識符和加密密鑰。

更好的消息是，工具和服務正在出現(xiàn)，可以幫助沒有內(nèi)部安全經(jīng)驗的開發(fā)人員使用尖端的安全技術保護和管理他們的物聯(lián)網(wǎng)設備和生態(tài)系統(tǒng)。

審核編輯：郭婷