|
作者:Swissbit安全解決方案副總裁Hubertus Grobbel 隨著各種設備、大型機械和制造工廠變得越來越智能,它們也變得越來越容易受到攻擊。在設計聯網設備、大型機械和制造工廠時,開發人員需要更加關注安全性。Swissbit提供一種靈活的基于硬件的方法,其中使用了TPM(可信平臺模塊)和數據加密。 為實現IT和數據安全性,各系統在通過互聯網或通過其所在的IoT物聯網中的網關進行通信時,需要具有唯一且不可克隆的標識。各系統還必須能夠發送、接收和存儲經過加密的需要高度安全性的數據。僅使用軟件的解決方案往往無法提供足夠的保護強度。這對開發人員和制造商而言都是巨大的挑戰。 存儲和安全專家Swissbit提供一種全新的基于硬件的方法。工業應用嵌入式系統開發人員都很熟悉Swissbit,該公司是歐洲唯一的獨立閃存產品制造商。許多人將這家生產基地位于德國的瑞士公司視為穩健耐用的PCIe和SATA接口的SSD、CompactFlash、USB閃存驅動器、SD和microSD存儲卡以及內置控制器的NAND BGA的首選供應商。 通過在數據存儲和保護方面所積累的數十年經驗,Swissbit開發了一種全新高級方法來保護嵌入式IoT設備的安全。之所以開發這種方法,是因為所有設備都需要存儲器來充當啟動媒體或存儲日志文件,或在網絡出現故障時緩存數據。這些存儲器接口能夠并且應該具有相關安全功能。 存儲卡的安全功能 全新的Swissbit安全解決方案所采用的閃存芯片是按照工業級要求進行生產和測試的。該芯片內置了特殊版本的durabit固件,其中集成了AES 256位加密器。DP(Data Protection,數據保護)版本能夠使用各種方式(CD-ROM模式、PIN保護、隱藏分區、WORM只讀模式)加密并保護所有數據。為了實現對物聯網通信進行基于硬件的保護,還需要另一個安全錨點。Swissbit的安全模塊會帶有如Infineon/NXP智能卡芯片CC EAL 5+/6+等解決方案,并提供API、SDK和PKCS#11庫,可用于應用開發。 指定物聯網設備ID 安全專家會推薦在加密手機通信中使用帶安全功能的microSD卡。跟人與人之間的通信類似,物聯網設備之間的通信也需要使用標識、身份驗證和授權。換句話說,一個物聯網設備如何知道從另一個設備接收到的數據或數據查詢是正確無誤的,并且消息的來源的確是系統的這一部分? 具有安全功能的Swissbit安全存儲介質可為應用和系統提供唯一標識。這樣,每個物聯網設備就都能獲得唯一的防偽ID,防止“標識竊取”等類型的網絡系統滲透攻擊,并對數據訪問進行限制。集成到存儲卡中的智能卡能為系統提供不可克隆的身份標識,將其轉換為唯一的可識別M2M(machine-to-machine,機器對機器)通信參與者,就可以利用它進行身份驗證、發送和接收加密的受保護數據。 Swissbit解決方案中另一個特定于設備的重要應用是Trusted Boot。Trusted Boot可確保軟件只能在特定的硬件或硬件類別上運行。具有該安全功能的閃存卡可用于管理軟件許可和功能激活。訪問控制、代碼加密和數字簽名能夠定義和管理不同產品的不同軟件配置。 可在現有設備上加裝并且面向未來 與焊接的TPM相比,可插拔安全模塊的想法似乎并不常見。然而,即使是不那么新款的機器和系統上也一般都會有USB接口或存儲卡接口。因此,Swissbit可插拔安全模塊的最大優勢在于,可以將安全存儲器輕松加裝到現有設備上,以實現保護。 這種對設備進行不斷更新的能力為不斷變化的網絡安全環境提供了另一個優勢。網絡安全攻防方法都會不斷發展,使安全功能與如工廠這樣的項目的生命周期相協調非常具有挑戰性。以后還有可能會出現需要向M2M通信參與者們分配經過改進的加密技術的新ID的情況。Swissbit的可加裝解決方案使這一切成為了可能。 前景 為了應對迅速增長的嵌入式物聯網設備市場的需求,Swissbit于2019年10月在德國柏林開設了新的工廠。該工廠配備了最先進的高階3D芯片封裝技術,可以為客戶開發和生產定制的系統級封裝和多芯片模塊設計。該技術不僅集成微控制器、NAND芯片和加密芯片,還集成傳感器、無線芯片和天線。通過在存儲器界面上使用包含TPM和加密模塊的安全解決方案僅僅是個開始,它還可以加入很多能夠小型化并被集成的其他功能。 (圖片來源Swissbit) 
具有安全功能的microSD卡的結構。
USB等存儲器接口可用于加裝TPM功能。 |
