隨著各種設(shè)備、大型機(jī)械和制造工廠變得越來越智能，它們也變得越來越容易受到攻擊。在設(shè)計聯(lián)網(wǎng)設(shè)備、大型機(jī)械和制造工廠時，開發(fā)人員需要更加關(guān)注安全性。Swissbit提供一種靈活的基于硬件的方法，其中使用了TPM（可信平臺模塊）和數(shù)據(jù)加密。

為實現(xiàn)IT和數(shù)據(jù)安全性，各系統(tǒng)在通過互聯(lián)網(wǎng)或通過其所在的IoT物聯(lián)網(wǎng)中的網(wǎng)關(guān)進(jìn)行通信時，需要具有唯一且不可克隆的標(biāo)識。各系統(tǒng)還必須能夠發(fā)送、接收和存儲經(jīng)過加密的需要高度安全性的數(shù)據(jù)。僅使用軟件的解決方案往往無法提供足夠的保護(hù)強(qiáng)度。這對開發(fā)人員和制造商而言都是巨大的挑戰(zhàn)。

存儲和安全專家Swissbit提供一種全新的基于硬件的方法。工業(yè)應(yīng)用嵌入式系統(tǒng)開發(fā)人員都很熟悉Swissbit，該公司是歐洲唯一的獨立閃存產(chǎn)品制造商。許多人將這家生產(chǎn)基地位于德國的瑞士公司視為穩(wěn)健耐用的PCIe和SATA接口的SSD、CompactFlash、USB閃存驅(qū)動器、SD和microSD存儲卡以及內(nèi)置控制器的NAND BGA的首選供應(yīng)商。

通過在數(shù)據(jù)存儲和保護(hù)方面所積累的數(shù)十年經(jīng)驗，Swissbit開發(fā)了一種全新高級方法來保護(hù)嵌入式IoT設(shè)備的安全。之所以開發(fā)這種方法，是因為所有設(shè)備都需要存儲器來充當(dāng)啟動媒體或存儲日志文件，或在網(wǎng)絡(luò)出現(xiàn)故障時緩存數(shù)據(jù)。這些存儲器接口能夠并且應(yīng)該具有相關(guān)安全功能。

存儲卡的安全功能

全新的Swissbit安全解決方案所采用的閃存芯片是按照工業(yè)級要求進(jìn)行生產(chǎn)和測試的。該芯片內(nèi)置了特殊版本的durabit固件，其中集成了AES 256位加密器。DP（Data Protection，數(shù)據(jù)保護(hù)）版本能夠使用各種方式（CD-ROM模式、PIN保護(hù)、隱藏分區(qū)、WORM只讀模式）加密并保護(hù)所有數(shù)據(jù)。為了實現(xiàn)對物聯(lián)網(wǎng)通信進(jìn)行基于硬件的保護(hù)，還需要另一個安全錨點。Swissbit的安全模塊會帶有如Infineon/NXP智能卡芯片CC EAL 5+/6+等解決方案，并提供API、SDK和PKCS#11庫，可用于應(yīng)用開發(fā)。

指定物聯(lián)網(wǎng)設(shè)備ID

安全專家會推薦在加密手機(jī)通信中使用帶安全功能的microSD卡。跟人與人之間的通信類似，物聯(lián)網(wǎng)設(shè)備之間的通信也需要使用標(biāo)識、身份驗證和授權(quán)。換句話說，一個物聯(lián)網(wǎng)設(shè)備如何知道從另一個設(shè)備接收到的數(shù)據(jù)或數(shù)據(jù)查詢是正確無誤的，并且消息的來源的確是系統(tǒng)的這一部分？ 具有安全功能的Swissbit安全存儲介質(zhì)可為應(yīng)用和系統(tǒng)提供唯一標(biāo)識。這樣，每個物聯(lián)網(wǎng)設(shè)備就都能獲得唯一的防偽ID，防止“標(biāo)識竊取”等類型的網(wǎng)絡(luò)系統(tǒng)滲透攻擊，并對數(shù)據(jù)訪問進(jìn)行限制。集成到存儲卡中的智能卡能為系統(tǒng)提供不可克隆的身份標(biāo)識，將其轉(zhuǎn)換為唯一的可識別M2M（machine-to-machine，機(jī)器對機(jī)器）通信參與者，就可以利用它進(jìn)行身份驗證、發(fā)送和接收加密的受保護(hù)數(shù)據(jù)。

Swissbit解決方案中另一個特定于設(shè)備的重要應(yīng)用是Trusted Boot。Trusted Boot可確保軟件只能在特定的硬件或硬件類別上運行。具有該安全功能的閃存卡可用于管理軟件許可和功能激活。訪問控制、代碼加密和數(shù)字簽名能夠定義和管理不同產(chǎn)品的不同軟件配置。

可在現(xiàn)有設(shè)備上加裝并且面向未來

與焊接的TPM相比，可插拔安全模塊的想法似乎并不常見。然而，即使是不那么新款的機(jī)器和系統(tǒng)上也一般都會有USB接口或存儲卡接口。因此，Swissbit可插拔安全模塊的最大優(yōu)勢在于，可以將安全存儲器輕松加裝到現(xiàn)有設(shè)備上，以實現(xiàn)保護(hù)。

這種對設(shè)備進(jìn)行不斷更新的能力為不斷變化的網(wǎng)絡(luò)安全環(huán)境提供了另一個優(yōu)勢。網(wǎng)絡(luò)安全攻防方法都會不斷發(fā)展，使安全功能與如工廠這樣的項目的生命周期相協(xié)調(diào)非常具有挑戰(zhàn)性。以后還有可能會出現(xiàn)需要向M2M通信參與者們分配經(jīng)過改進(jìn)的加密技術(shù)的新ID的情況。Swissbit的可加裝解決方案使這一切成為了可能。

前景

為了應(yīng)對迅速增長的嵌入式物聯(lián)網(wǎng)設(shè)備市場的需求，Swissbit于2019年10月在德國柏林開設(shè)了新的工廠。該工廠配備了最先進(jìn)的高階3D芯片封裝技術(shù)，可以為客戶開發(fā)和生產(chǎn)定制的系統(tǒng)級封裝和多芯片模塊設(shè)計。該技術(shù)不僅集成微控制器、NAND芯片和加密芯片，還集成傳感器、無線芯片和天線。通過在存儲器界面上使用包含TPM和加密模塊的安全解決方案僅僅是個開始，它還可以加入很多能夠小型化并被集成的其他功能。

作者：Swissbit安全解決方案副總裁Hubertus Grobbel（圖片來源Swissbit）

具有安全功能的microSD卡的結(jié)構(gòu)。

USB等存儲器接口可用于加裝TPM功能。