“英飛凌在安全芯片的設(shè)計(jì)初期就考慮了物聯(lián)網(wǎng)設(shè)備的特性,在此基礎(chǔ)上開展定制化的開發(fā)�?����!庇w凌科技安全互聯(lián)系統(tǒng)事業(yè)部市場(chǎng)經(jīng)理成皓說�。
以純軟件的方式來實(shí)現(xiàn)物聯(lián)網(wǎng)安全��,勢(shì)必占用更多原本已經(jīng)非常緊張的主控和MCU的資源�����,而OPTIGA Trust M2 ID2則是以輕量化的資源占用來實(shí)現(xiàn)安全功能��,無需額外占用主控端的資源�。另外,OPTIGA Trust M2 ID2以業(yè)界最小封裝來滿足尺寸較小又嚴(yán)苛要求的便攜類設(shè)備的需求��。
OPTIGA Trust M2 ID2的引人注目的還有一個(gè)亮點(diǎn)是在合理安全等級(jí)下實(shí)現(xiàn)設(shè)備的“0功耗”�����,此舉在于英飛凌采用業(yè)經(jīng)優(yōu)化后的外圍電路并引入類似橢圓加密算法(ECC)的輕量級(jí)加解密算法。
絕大多數(shù)物聯(lián)網(wǎng)設(shè)備對(duì)成本十分敏感��。OPTIGA Trust M2 ID2已經(jīng)納入到Linux�、MCU上經(jīng)常用到的RTOS等各種嵌入式操作系統(tǒng)中,未來還將匹配更多�����,以最大程度降低成本����。
除了硬件之外,所有安全相關(guān)的代碼和底層操作系統(tǒng)都已集成并在DCAP上直接開源�����,這也是英飛凌賦予其最為關(guān)鍵的性能特點(diǎn)——“跨領(lǐng)域的產(chǎn)品設(shè)計(jì)”:設(shè)備廠商無需自行去開發(fā)復(fù)雜的安全應(yīng)用即可便捷����、快速落地。
OPTIGA Trust M2 ID2的封裝非常簡(jiǎn)單�����。作為一個(gè)不主動(dòng)要求索取主控端數(shù)據(jù)、只是被動(dòng)執(zhí)行安全相關(guān)功能的元器件����,它跟設(shè)備內(nèi)的主控端CPU或者M(jìn)CU的連接,只需要通過標(biāo)準(zhǔn)的I2C接口���。
可以說,英飛凌 OPTIGA Trust M2 ID2 是一款設(shè)計(jì)整體層面考慮到物聯(lián)網(wǎng)設(shè)備主要的訴求點(diǎn)而度身定制的安全芯片產(chǎn)品�。
詳解OPTIGA Trust M2 ID2五大特性
發(fā)布會(huì)上,成皓逐一介紹了OPTIGA Trust M2 ID2的五大主要特性����。
其最大的特點(diǎn)是“易于開發(fā)性”。
作為交鑰匙方案����,OPTIGA Trust M2 ID2大部分的安全功能已經(jīng)嵌入到了底層的操作系統(tǒng)中,最大程度簡(jiǎn)化了開發(fā)流程���;客戶只需要根據(jù)上層應(yīng)用開發(fā)包直接去調(diào)用一些相關(guān)的接口���,很快就可以實(shí)現(xiàn)安全功能。
二是優(yōu)異的安全特性��。
OPTIGA Trust M2 ID2是一款提供最高安全認(rèn)證等級(jí)���、金融級(jí)別安全認(rèn)證CC EAL 6+(high)認(rèn)證�����、具備銀行卡級(jí)別安全水平���、針對(duì)“軟件+硬件”一體化的的控制器���,支持X.509標(biāo)準(zhǔn)證書格式,硬件發(fā)生器也符合AIS-31認(rèn)證標(biāo)準(zhǔn)�。
除此之外,OPTIGA Trust M2 ID2還以雙向認(rèn)證����、數(shù)據(jù)存儲(chǔ)保護(hù)、全生命周期管理�����、平臺(tái)完整性保護(hù)等功能支持多應(yīng)用場(chǎng)景���。
以雙向認(rèn)證為例�����,在物聯(lián)網(wǎng)系統(tǒng)架構(gòu)中��,云端�、服務(wù)端對(duì)設(shè)備的認(rèn)證非常重要,設(shè)備端對(duì)云端的鑒別也同樣重要��。OPTIGA Trust M2 ID2可存儲(chǔ)多組密鑰和證書��,用以完成物聯(lián)網(wǎng)設(shè)備和云端�、以及和其它設(shè)備之間的雙向認(rèn)證�����;加載安全芯片的設(shè)備����,可以和其它的控制器及生態(tài)系統(tǒng)內(nèi)的設(shè)備進(jìn)行雙向認(rèn)證。
在鏈路通信安全方面��,很多物聯(lián)網(wǎng)的設(shè)備與應(yīng)用都沒有加密機(jī)制�。OPTIGA Trust M2 ID2可以保障“設(shè)備和云端”以及和其它設(shè)備之間的通訊完全以加密的方式完成。成皓表示���,OPTIGA Shielded Connection的涵義���,就是英飛凌在保障物聯(lián)網(wǎng)設(shè)備與設(shè)備之間�、設(shè)備和云之間的數(shù)據(jù)加密傳輸之外��,還以特有的安全機(jī)制在安全芯片和主控端MCU/CPU之間實(shí)現(xiàn)通信保密�,提升了整體安全等級(jí)。
OPTIGA Trust M2 ID2通過I2C結(jié)構(gòu)進(jìn)行數(shù)據(jù)傳遞���,傳輸速率可達(dá)1Mbps�,數(shù)據(jù)寫入次數(shù)可以達(dá)到200萬次����,支持物聯(lián)網(wǎng)設(shè)備可達(dá)10年的使用壽命。
三是提供靈活好用的擴(kuò)展工具包�。
四是個(gè)性化的應(yīng)用需求。
針對(duì)工業(yè)互聯(lián)網(wǎng)等某些要求比較高的物理環(huán)境���,OPTIGA Trust M2 ID2提供了從零下40攝氏度到零上105度的溫度支持���,操作電壓范圍從1.62V到5.5V,USON-10封裝形式尺寸最小可到3*3毫米�����。
此外,OPTIGA Trust M2 ID2還提供安全固件升級(jí)的功能���。很多攻擊通過偽造固件包的方式來獲取對(duì)設(shè)備的控制權(quán)�,普通用戶因?yàn)槿狈﹁b別能力而中招�。OPTIGA Trust M2 ID2通過“可信任根”的功能,幫助設(shè)備鑒別固件升級(jí)包來源是否合法�;而“平臺(tái)完整性”的校驗(yàn)功能,在系統(tǒng)在啟動(dòng)后可鑒別搭載在設(shè)備上的操作系統(tǒng)或任何軟件是否有被篡改��,成為提升抵御攻擊能力的一個(gè)手段��。
典型的安全應(yīng)用場(chǎng)景
OPTIGA Trust M2 ID2應(yīng)用廣泛�,成皓舉例介紹了其中三個(gè)有代表性的場(chǎng)景����。
1. 智能音箱
智能音箱代替了傳統(tǒng)的藍(lán)牙音箱,還能以語音形式上網(wǎng)與互動(dòng)��,并演變成為一個(gè)對(duì)全屋智能家電語音交互的節(jié)點(diǎn)����,控制開關(guān)窗簾�����、開門���、下載音樂等的操作。毫無例外���,所有用戶都會(huì)擔(dān)心自己的對(duì)話記錄����、個(gè)人喜好等隱私被監(jiān)聽被泄漏����。
OPTIGA Trust M2 ID2提供的數(shù)據(jù)存儲(chǔ)加密功能,把需要提供的帳號(hào)密碼存儲(chǔ)到安全芯片內(nèi)部以防止被截取��,數(shù)據(jù)的傳輸也是以加密方式完成的�����,而雙向認(rèn)證功能確保只有經(jīng)過認(rèn)證來源合法的請(qǐng)求才能被接入�。這樣即使系統(tǒng)被黑客侵入、數(shù)據(jù)被黑客攔截�����,原始數(shù)據(jù)也無法被破譯。
2. 智能工廠
在國(guó)外����,已經(jīng)發(fā)生了多起智能工廠遭受黑客攻擊,導(dǎo)致整個(gè)產(chǎn)線癱瘓的事件���,嚴(yán)重的是企業(yè)核心技術(shù)遭竊��,生產(chǎn)經(jīng)營(yíng)遭受巨大的威脅��。在全球知名的數(shù)家制造業(yè)企業(yè)中�����,英飛凌通過在智能化工廠的機(jī)械手臂等終端設(shè)備�����,或者集成在PLC產(chǎn)品中,嵌入OPTIGA Trust M2 ID2�,對(duì)工業(yè)設(shè)備與工業(yè)邊緣網(wǎng)關(guān)通訊數(shù)據(jù)進(jìn)行加密保護(hù),驗(yàn)證上傳數(shù)據(jù)的設(shè)備本身是否是在工廠內(nèi)實(shí)際工作而非黑客或者是第三方偽造的設(shè)備��,為安全生產(chǎn)奠定基礎(chǔ)。
相關(guān)的安全機(jī)制的建立�����,還幫助企業(yè)達(dá)到了精準(zhǔn)操控和節(jié)省能耗的目的��。
3.網(wǎng)絡(luò)攝像頭
網(wǎng)絡(luò)攝像頭是物聯(lián)網(wǎng)應(yīng)用最為廣泛的設(shè)備之一�。例如,在家庭中可監(jiān)控冰箱中的食品數(shù)量��、有效期�,家庭環(huán)境以及老人和小孩的生活狀態(tài);在工廠����,可管理設(shè)備的運(yùn)行狀態(tài)、管控車間的物資進(jìn)出等���,加上其“弱口令”的特點(diǎn)���,也因此成為黑客重點(diǎn)“關(guān)照”的設(shè)備。僅需在攝像頭中集成OPTIGA Trust M2 ID2芯片�����,就保證了視頻數(shù)據(jù)的安全傳輸。
強(qiáng)強(qiáng)聯(lián)手拓展市場(chǎng)
OPTIGA Trust M2 ID2芯片在芯片生產(chǎn)階段就已經(jīng)預(yù)置了一款由阿里云提供的叫Link ID2的服務(wù)器分發(fā)的獨(dú)一無二的ID信息�����,終端客戶首次聯(lián)網(wǎng)的時(shí)候就會(huì)完成一次設(shè)備的注冊(cè)��,將證書�����、密鑰等關(guān)鍵數(shù)據(jù)和信息以加密的方式存儲(chǔ)在設(shè)備的或云端�,即使設(shè)備遭受了外部攻擊,或者系統(tǒng)設(shè)計(jì)���、軟件層面存在漏洞的話���,因?yàn)楣粽邲]有對(duì)安全芯片訪問的能力,這些數(shù)據(jù)也無法被外部截取和分析���。
這也是硬件安全芯片的優(yōu)勢(shì)�����。面向國(guó)內(nèi)市場(chǎng)��,與阿里云合作定制的Trust M2 ID2支持阿里云Link ID2的服務(wù)���,也凸顯英飛凌對(duì)于國(guó)內(nèi)市場(chǎng)的重視。
這款安全芯片產(chǎn)品已經(jīng)在阿里云的網(wǎng)站及代理商的渠道上架����。
值得一提的是,上述這項(xiàng)安全和個(gè)性化數(shù)據(jù)寫入功能�����,也開辟了一個(gè)全新的商務(wù)模式——設(shè)備制造商和云服務(wù)商可以通過收取服務(wù)費(fèi)或授權(quán)費(fèi)的方式探討更多合作的可能性�����。
為何預(yù)置在阿里云的芯片中���?成皓解釋說��,英飛凌與阿里��、阿里云的物聯(lián)網(wǎng)部門已經(jīng)開展了長(zhǎng)期的合作�����,阿里云對(duì)物聯(lián)網(wǎng)市場(chǎng)的影響力和國(guó)內(nèi)領(lǐng)先的市場(chǎng)占有率�����,加上其領(lǐng)導(dǎo)著一個(gè)名叫ICA(IoT connectivity alliance)的專門針對(duì)物聯(lián)網(wǎng)安全的生態(tài)聯(lián)盟(英飛凌也是其中的成員之一)���。
成皓告訴記者�,與阿里這樣在物聯(lián)網(wǎng)行業(yè)有極大影響力的巨頭合作�����,將逐漸影響對(duì)物聯(lián)網(wǎng)設(shè)備廠商和服務(wù)提供商對(duì)物聯(lián)網(wǎng)安全的認(rèn)知和意識(shí)�����;英飛凌也將與生態(tài)圈的終端客戶和合作伙伴一起參與從規(guī)范制訂到整個(gè)行業(yè)標(biāo)準(zhǔn)的過程��,未來也將考慮跟包括百度���、騰訊等更多生態(tài)伙伴深入開展各方面的合作���;在Trust M層面,英飛凌與AWS、微軟云等主流云服務(wù)提供商已經(jīng)有了對(duì)應(yīng)的連接方案���。
志在改善全人類生活
物聯(lián)網(wǎng)正在改變?nèi)祟惖纳罘绞剑m然安全風(fēng)險(xiǎn)永在并且成為全球性的挑戰(zhàn)�,但人們并沒有必要因?yàn)闈撛诘娘L(fēng)險(xiǎn)產(chǎn)生抵觸和畏懼心理。
成皓認(rèn)為�����,客戶始終將解決實(shí)際問題的能力作為產(chǎn)品或方案作為最重要的考量��。他表示�����,作為一家全球化的公司與物聯(lián)網(wǎng)和嵌入式安全領(lǐng)域的專家�����,英飛凌正在借助一塊小小的安全芯片及相關(guān)方案��,與包括阿里云在內(nèi)的公司合作�����,提高物聯(lián)網(wǎng)生態(tài)圈的安全等級(jí),幫助人類來更好���、更安心地享受物聯(lián)網(wǎng)帶來的便利和樂趣�。
【注:OPTIGA是英飛凌公司注冊(cè)商標(biāo)】
果-1.jpg)
