提高工業(yè)物聯(lián)網(wǎng)端點設備的安全性是抵御網(wǎng)絡遭受攻擊的重要一環(huán)。無論是云服務器還是邊緣傳感器，最終都要節(jié)點上的端點設備得到了保護，才能保護整個系統(tǒng)。從很多因素來看，硬件具有更高的防篡改能力，可以提供比軟件更高的信任度和安全性。本文介紹了保護工業(yè)云免受網(wǎng)絡攻擊的幾種芯片級安全方法。

談到物聯(lián)網(wǎng)安全時，大多數(shù)人都會提到兩件事：一是建立信任根（RoT）作為安全基礎，二是不要只關注端點設備，而是要考慮整個生態(tài)系統(tǒng)和產(chǎn)品生命周期的安全性。

然而，我們必須重視端點設備的安全性，因為它們是防御網(wǎng)絡攻擊的重要一環(huán)。無論是云服務器還是邊緣傳感器，最終都要節(jié)點上的端點得到了保護，才能保護整個系統(tǒng)——至少可以降低遭受攻擊的可能。

因此，本文將著重討論設備的安全性?；ヂ?lián)設備使工廠的生產(chǎn)率和效率得到了提高，我們也必須從總體上考慮適用于整個工廠或環(huán)境的安全架構。

如工業(yè)互聯(lián)網(wǎng)聯(lián)盟（Industrial Internet Consortium）的安全架構所述，端點保護有助于邊緣和云端設備實現(xiàn)防御功能（圖1）。端點可以是工業(yè)物聯(lián)網(wǎng)（IIoT）系統(tǒng)中的任何一個元素，同時具有計算和通信功能，而其自身功能可能會暴露給防火墻外的任何人。這些端點可能是邊緣設備、通信基礎設施、云服務器或其間的任何設備，每個端點的硬件都有不同的局限性，因而可得到的保護級別也不同。

圖1：IIoT聯(lián)盟的IIoT安全架構中確定了端點各個部分的威脅和漏洞。（圖片來源：工業(yè)互聯(lián)網(wǎng)聯(lián)盟）

端點保護是通過端點中的權威身份識別功能——通常是信任根——來實現(xiàn)通信和連接的防御。因此，安全機制和技術應根據(jù)端點的具體功能和安全要求而在其上實施。

虛擬機將應用程序隔離在各自的區(qū)域中，但無論是裸機還是在其上運行的客戶操作系統(tǒng)，端點本身都有許多漏洞。

在這種情況下，一個常見的問題是，應通過硬件還是軟件來保護系統(tǒng)。大多數(shù)專家認為，從很多因素來看，硬件保護比軟件保護更可取，但主要還是因為硬件具有更高的防篡改能力，可以提供比軟件更高的信任度和安全性。

很多大型芯片供應商都提供某種硬件級安全保護，可能是可信平臺模塊（TPM）或安全單元（SE）這樣的硬件安全模塊，也可能是其他形式的片上系統(tǒng)嵌入式安全功能。其主要目標是實現(xiàn)強大的用戶身份鑒權和驗證，以防受到攻擊，并防止對機密或敏感信息的非法訪問。

安全單元

硬件安全解決方案的關鍵要素是安全單元，它存儲經(jīng)過加密的唯一標識符，以實現(xiàn)認證保護，確保讀取安全加載憑證，例如，提供大批量物聯(lián)網(wǎng)設備的注冊，確保只有授權設備才能訪問系統(tǒng)或云服務。大多數(shù)芯片供應商提供的安全單元都是微控制器的一部分，同時還提供某種監(jiān)控和身份管理系統(tǒng)。

意法半導體的STSAFE-A110可以集成到物聯(lián)網(wǎng)設備中，為本地或遠程主機提供身份驗證和安全的數(shù)據(jù)管理服務。該器件具有嵌入式安全操作系統(tǒng)，并采用通過了Common Criteria EAL5+認證的硬件。每個器件都帶唯一標識和X.509證書，以實現(xiàn)設備的安全連接。這個安全單元與STM32Cube開發(fā)生態(tài)系統(tǒng)集成在一起，可快速應用于需要身份驗證和安全連接的新型STM32 MCU設計。

恩智浦半導體的EdgeLock SE050 Plug and Trust安全單元系列是另一款開箱即用的物聯(lián)網(wǎng)設備安全單元，無需編寫安全代碼，可提供芯片級信任根以實現(xiàn)端到端的安全性。該產(chǎn)品通過了Common Criteria EAL 6+認證，可提供更好的安全性，作為即用型解決方案，它包含完整的產(chǎn)品支持包，可以簡化設計。

除了提供適用于不同MCU和MPU的庫之外，恩智浦的產(chǎn)品支持包還提供與多種常見操作系統(tǒng)的集成，包括Linux、Windows、RTOS和Android。該支持包包括主要應用的樣本代碼、大量的應用說明以及用于i.MX和Kinetis MCU的兼容開發(fā)套件，以加快最終的系統(tǒng)集成。其產(chǎn)品配置支持物聯(lián)網(wǎng)安全應用，例如傳感器數(shù)據(jù)保護、物聯(lián)網(wǎng)服務的安全訪問以及物聯(lián)網(wǎng)設備調(diào)試，是對現(xiàn)有應用的補充，如云服務的安全實施、設備到設備的身份驗證、設備完整性保護和證明，以及設備溯源和來源證明。

英飛凌的OPTIGA TPM系列產(chǎn)品也包含了多種安全控制器，用于保護嵌入式設備以及系統(tǒng)的完整性與真實性（圖2）。OPTIGA TPM SLM 9670是一款高質量的可信平臺模塊，它采用防篡改安全微控制器，適于工業(yè)應用。作為一種即用型解決方案，它具有安全編碼固件，滿足最新的可信計算組織（TCG）Family 2.0規(guī)范。其產(chǎn)品符合工業(yè)JEDEC JESD 47標準質量要求，并通過了Common Criteria EAL4+安全認證。

開發(fā)人員可以采用OPTIGA TPM來存儲私鑰，配合Sectigo身份管理解決方案，可為工廠提供完整的自動化證書頒發(fā)和管理解決方案。

圖2：TPM通過其獨特的背書密鑰和密鑰分層結構來支持密鑰及生命周期管理。非易失性存儲器可用于安全存儲敏感數(shù)據(jù)，例如證書，它基于防篡改硬件，安全功能包括傳感器和內(nèi)存加密功能，以增強對機密數(shù)據(jù)的保護。（圖片來源：英飛凌科技）

瑞薩電子于2019年10月推出的針對安全、可擴展物聯(lián)網(wǎng)應用的MCU RA系列產(chǎn)品采用開放式軟件平臺，客戶能夠通過與眾多廠商合作或利用現(xiàn)有傳統(tǒng)軟件平臺來開發(fā)物聯(lián)網(wǎng)端點。瑞薩電子將強大的信任根集成到硬件中，使其成為MCU的組成部分，安全功能的實現(xiàn)因此變得輕而易舉：客戶在完成設計后無需再考慮如何增加安全性。

存內(nèi)（In-memory）安全

隨著系統(tǒng)越來越依賴外部NOR閃存來保護聯(lián)網(wǎng)系統(tǒng)的代碼和數(shù)據(jù)，在存儲器中增加先進加密安全性的需求也在增長。由于閃存無法再嵌入到MCU中，幾家公司提供了能夠保護閃存本身的功能，為設計師提供了更大的靈活性。例如，英飛凌最近推出了Semper Secure，作為其Semper NOR閃存平臺的補充。

同時，美光的專有技術Authenta將NOR閃存與系統(tǒng)級硬件RoT相結合。閃存本身內(nèi)置的安全功能可通過芯片RoT實現(xiàn)先進的系統(tǒng)級保護，而無需添加新的硬件。它具有強大的內(nèi)置加密身份，通過現(xiàn)場更新和始終開啟的固件監(jiān)控，簡化了從供應鏈到設備入網(wǎng)的安全設備管理。

美光2019年10月推出了Authenta密鑰管理服務（KMS）平臺，可為多種工業(yè)應用提供云優(yōu)先部署模型。采用該平臺以后，已安裝Authenta的設備可以通過云服務開啟，從而降低了保護聯(lián)網(wǎng)設備安全性的難度和復雜度。

嵌入式SIM

對于遠程狀態(tài)監(jiān)控、資產(chǎn)跟蹤和預測性監(jiān)控等應用，芯片上的工業(yè)級嵌入式SIM（eSIM）是不錯的方法。意法半導體的ST4SIM符合GSMA標準，采用ST33G安全MCU，帶有防篡改Arm SecurCore SC300處理器和硬件加密加速器等額外的安全功能，提供了集硬件與軟件于一體的安全解決方案。

意法半導體指定合作伙伴Arkessa、Arm和Truphone提供和管理設備入網(wǎng)和服務開通平臺。通過靈活的終生訂閱管理，開通服務后，包含eSIM的物聯(lián)網(wǎng)設備會自動連接到蜂窩網(wǎng)絡。意法半導體表示，其合作伙伴/運營商可以訪問數(shù)以百計各種類型的蜂窩網(wǎng)絡，包括遍及世界各地的2G、3G、4G、低功耗廣域連接（LTE CAT-M）和窄帶物聯(lián)網(wǎng)（NB-IoT）。

物理不可克隆技術（PUF）

器件級安全性的另一種實現(xiàn)方法是物理不可克隆技術（Physically Unclonable Function），它利用硅制造工藝本身實現(xiàn)數(shù)據(jù)保護。盡管硅的生產(chǎn)工藝非常精密，但生產(chǎn)出來的每個電路存在細微差異。PUF技術正是利用這些微小的差異來生成唯一的數(shù)值，將其用作密鑰，對數(shù)字安全性起到重要作用。

PUF功能提供了一個數(shù)字指紋，可以作為芯片的唯一標識符，用于加密、身份識別、驗證和安全密鑰生成等。任何對密鑰進行物理探測的嘗試都會極大地改變PUF的電路特性，從而產(chǎn)生不同的數(shù)字。PUF密鑰只有在需要進行加密操作時才會生成，而且隨后可以立即擦除。因此，從理論上講，它提供了終極防護。

2020年初，Silicon Labs和美信都推出了采用PUF技術的安全增強功能。Silicon Labs在其Wireless Gecko Series 2平臺中為物聯(lián)網(wǎng)設備的無線片上系統(tǒng)添加了新的硬件安全功能，將安全軟件功能與PUF硬件技術結合起來。美信推出的MAX32520 ChipDNA Secure ARM Cortex-M4微控制器同樣集成了PUF，可提供多種保護級別。MCU的ChipDNA所生成的密鑰可直接用于對稱密鑰等功能，對存儲在安全IC非易失性存儲器中的數(shù)據(jù)進行加密/解密。

Crypto Quantique是一家初創(chuàng)公司，希望在硅制造過程中利用量子隧穿特性，使設備在物聯(lián)網(wǎng)系統(tǒng)中擁有多個“不可偽造”的安全身份。Crypto Quantique表示，利用其量子驅動安全芯片（QDSC），設備無需安全存儲即可重新生成密鑰，并且不需先前的信任關系或共享密鑰即可向遠程服務器證明自己的身份。

在納米級制造工藝中，半導體隧穿不可避免。芯片利用納米器件量子隧穿并根據(jù)隧穿厚度的不同來生成隨機數(shù)。利用QDSC中的量子效應，單個芯片可以根據(jù)需要生成多個唯一的、不可偽造的加密密鑰。Crypto Quantique不只是專注于設備及其知識產(chǎn)權許可，還提供密鑰管理服務，在設備的整個生命周期進行安全密鑰管理。

2019年成立的另一家公司PUFsecurity采用相同的量子隧穿技術，最近也推出了基于PUF的RoT知識產(chǎn)權，稱為PUFrt。這家初創(chuàng)公司指出，一些芯片制造商常用的SRAM PUF存在一個漏洞：每次開、關電源時，SRAM PUF上的數(shù)字會發(fā)生變化，所以需要進行大量的預處理和后處理才能確保PUF的穩(wěn)定性和可靠性。還有一些因素也會影響SRAM PUF，例如在持續(xù)上電和斷電時MOSFET對的失配程度，以及環(huán)境條件（例如溫度、噪聲、電壓和干擾）發(fā)生變化等。PUFsecurity表示其解決方案是將量子隧穿PUF與一次性可編程（OTP）方案結合起來進行電路設計，以此生成隨機數(shù)。因此，PUFrt功能可以提供ID、OTP中的密鑰存儲以及真正的隨機數(shù)生成。

上文描述了各種芯片級安全方法。為保護工業(yè)云免受網(wǎng)絡攻擊，我們應特別注意聯(lián)網(wǎng)端點設備中存在的安全漏洞。保護端點設備意味著需要最合適的芯片級安全和身份管理系統(tǒng)。

編輯：hfy