作者:Swissbit安全解决方案副总裁Hubertus Grobbel
随着各种设备、大型机械和制造工厂变得越来越智能,它们也变得越来越容易受到攻击。在设计联网设备、大型机械和制造工厂时,开发人员需要更加关注安全性。Swissbit提供一种灵活的基于硬件的方法,其中使用了TPM(可信平台模块)和数据加密。
为实现IT和数据安全性,各系统在通过互联网或通过其所在的IoT物联网中的网关进行通信时,需要具有唯一且不可克隆的标识。各系统还必须能够发送、接收和存储经过加密的需要高度安全性的数据。仅使用软件的解决方案往往无法提供足够的保护强度。这对开发人员和制造商而言都是巨大的挑战。
存储和安全专家Swissbit提供一种全新的基于硬件的方法。工业应用嵌入式系统开发人员都很熟悉Swissbit,该公司是欧洲唯一的独立闪存产品制造商。许多人将这家生产基地位于德国的瑞士公司视为稳健耐用的PCIe和SATA接口的SSD、CompactFlash、USB闪存驱动器、SD和microSD存储卡以及内置控制器的NAND BGA的首选供应商。
通过在数据存储和保护方面所积累的数十年经验,Swissbit开发了一种全新高级方法来保护嵌入式IoT设备的安全。之所以开发这种方法,是因为所有设备都需要存储器来充当启动媒体或存储日志文件,或在网络出现故障时缓存数据。这些存储器接口能够并且应该具有相关安全功能。
存储卡的安全功能
全新的Swissbit安全解决方案所采用的闪存芯片是按照工业级要求进行生产和测试的。该芯片内置了特殊版本的durabit固件,其中集成了AES 256位加密器。DP(Data Protection,数据保护)版本能够使用各种方式(CD-ROM模式、PIN保护、隐藏分区、WORM只读模式)加密并保护所有数据。为了实现对物联网通信进行基于硬件的保护,还需要另一个安全锚点。Swissbit的安全模块会带有如Infineon/NXP智能卡芯片CC EAL 5+/6+等解决方案,并提供API、SDK和PKCS#11库,可用于应用开发。
指定物联网设备ID
安全专家会推荐在加密手机通信中使用带安全功能的microSD卡。跟人与人之间的通信类似,物联网设备之间的通信也需要使用标识、身份验证和授权。换句话说,一个物联网设备如何知道从另一个设备接收到的数据或数据查询是正确无误的,并且消息的来源的确是系统的这一部分? 具有安全功能的Swissbit安全存储介质可为应用和系统提供唯一标识。这样,每个物联网设备就都能获得唯一的防伪ID,防止“标识窃取”等类型的网络系统渗透攻击,并对数据访问进行限制。集成到存储卡中的智能卡能为系统提供不可克隆的身份标识,将其转换为唯一的可识别M2M(machine-to-machine,机器对机器)通信参与者,就可以利用它进行身份验证、发送和接收加密的受保护数据。
Swissbit解决方案中另一个特定于设备的重要应用是Trusted Boot。Trusted Boot可确保软件只能在特定的硬件或硬件类别上运行。具有该安全功能的闪存卡可用于管理软件许可和功能激活。访问控制、代码加密和数字签名能够定义和管理不同产品的不同软件配置。
可在现有设备上加装并且面向未来
与焊接的TPM相比,可插拔安全模块的想法似乎并不常见。然而,即使是不那么新款的机器和系统上也一般都会有USB接口或存储卡接口。因此,Swissbit可插拔安全模块的最大优势在于,可以将安全存储器轻松加装到现有设备上,以实现保护。
这种对设备进行不断更新的能力为不断变化的网络安全环境提供了另一个优势。网络安全攻防方法都会不断发展,使安全功能与如工厂这样的项目的生命周期相协调非常具有挑战性。以后还有可能会出现需要向M2M通信参与者们分配经过改进的加密技术的新ID的情况。Swissbit的可加装解决方案使这一切成为了可能。
前景
为了应对迅速增长的嵌入式物联网设备市场的需求,Swissbit于2019年10月在德国柏林开设了新的工厂。该工厂配备了最先进的高阶3D芯片封装技术,可以为客户开发和生产定制的系统级封装和多芯片模块设计。该技术不仅集成微控制器、NAND芯片和加密芯片,还集成传感器、无线芯片和天线。通过在存储器界面上使用包含TPM和加密模块的安全解决方案仅仅是个开始,它还可以加入很多能够小型化并被集成的其他功能。
(图片来源Swissbit)
具有安全功能的microSD卡的结构。
USB等存储器接口可用于加装TPM功能。
来源:Swissbit