全副武裝的物聯(lián)網(wǎng)安全，從安全閃存到MCU再到云端的全鏈路設(shè)計

在物聯(lián)網(wǎng)應(yīng)用的早期，由于安全并非設(shè)計過程中被優(yōu)先考慮的因素，不具備安全特性的物聯(lián)網(wǎng)設(shè)備比比皆是，約占96%以上。然而近兩年，我們看到不少芯片廠商開始推出基于物聯(lián)網(wǎng)安全的芯片級解決方案。華邦電子作為一家存儲芯片廠商，意識到物聯(lián)網(wǎng)的存儲安全的重要性，推出了安全閃存產(chǎn)品。近日，華邦與新唐、青蓮云共同推出了物聯(lián)網(wǎng)設(shè)備的安全解決方案。

華邦電子外掛式安全閃存應(yīng)對物聯(lián)網(wǎng)安全

近日，華邦電子安全解決方案行銷處處長陳宏瑋接受包括電子發(fā)燒友網(wǎng)在內(nèi)的少數(shù)媒體采訪時指出設(shè)計安全閃存的初衷，是因為目前大多數(shù)SoC和MCU使用的外掛閃存不具備任何安全功能。在很多遠程攻擊的案例當中，黑客攻擊的是存放在閃存里面的固件。又由于SoC、MCU的設(shè)計采用比較先進的工藝制程，便不會用嵌入式閃存，一是工藝原因，二是成本相對較高。那么，要確保本來放在嵌入式閃存里面的重要資料或者固件安全，就必須仰賴外掛閃存的安全性。

華邦使用的外掛式閃存，也就是使用的NOR 閃存制程的做法，成本有優(yōu)勢，并且在容量上比較有彈性，提供不同的容量去滿足不同的應(yīng)用。

陳宏瑋分析，常見的IoT的攻擊，原則上都是可擴展攻擊，大多數(shù)是遠程攻擊，即remote attack。另一個物聯(lián)網(wǎng)安全的重要特點即是，平臺分位恢復(fù)力（Resilience），包括防止攻擊、偵測攻擊以及如何從攻擊中復(fù)原。華邦將這三個因素融入到了W77Q安全閃存的產(chǎn)品設(shè)計中。



W77Q和標準型的SPI NOR flash相比，在pin to pin兼容的基礎(chǔ)上，增加了一些標準型產(chǎn)品不具備的安全功能，用來強化flash本身的安全性。例如系統(tǒng)恢復(fù)力，也就是保護、偵測、復(fù)原?？筛?，同時可以提供安全的數(shù)據(jù)存儲。另外就是安全的OTA固件更新，這也是此次華邦與新唐以及青蓮云合作的完整解決方案的一個重要應(yīng)用。還有，W77Q也提供安全的SPI接口，同時也可以保護存儲在閃存的內(nèi)容，并可以實現(xiàn)反克隆。

目前，華邦W77Q目前獲得多個認證，包括CC EAL2，IEC62443，SESIP，Arm PSA，以及規(guī)劃車用安全的相關(guān)認證。

新唐MCU強化安全認證，M2351SF搭載華邦W77Q安全閃存

新唐科技MCU開發(fā)與應(yīng)用事業(yè)群資深技術(shù)經(jīng)理凌立民介紹說，NuMicroM235x系列基于Arm Cortex-M23的內(nèi)核，目前為止主要發(fā)展了三個子系列，第一個是M2351，也伴隨M261、M262、M263，統(tǒng)稱為M26x。這個系列提供512Kb的閃存，96Kb的內(nèi)存。M2351平臺獲得了Arm的PSA認證，包括Level1、Level2以及Functional API。此系列是新唐第一款應(yīng)用于IoT安全的解決方案，其中M2351和M26x的差別在于有沒有enable TrustZone。新唐與青蓮云合作的產(chǎn)品，是基于有TrustZone功能的M2351平臺。

第二個是M2351SF系列。因為有了M2351安全認證的保證，所以新唐更加有信心來推出M2351SF。M2351SF的最主要特點是，因其搭載了華邦W77Q安全閃存，所以可提供更多的閃存擴充彈性，容量包括512Kb，2M，4M。

新唐基于M2351與華邦W77Q合封的M2351SF系列，也有這個資格可以獲得Common Criteria認證。目前看來，若對M2351SF進行安全認證，估計可以通過CC EAL 2+認證，甚至有機會到CC EAL3。

凌立民指出，安全認證可以借鑒傳統(tǒng)的安全級別的分類，從而使業(yè)界知道，原來在傳統(tǒng)的，像智能卡、公交卡或者護照這些傳統(tǒng)安全等級分類之下，即使要部署IoT應(yīng)用的領(lǐng)域，同樣可以找到相對應(yīng)安全級別的MCU產(chǎn)品，Secure Flash的等品可以拿到通過安全認證的產(chǎn)品用來發(fā)展IoT的終端裝置。否則使用傳統(tǒng)的智能卡或是護照芯片，用來發(fā)展IoT的裝置，資源是非常不足的。

M2354系列是新唐在今年不久前才發(fā)布的全新系列?；谥暗腗2351，M2354系列更進一步地發(fā)展出對于硬件密碼算法器旁通道攻擊的防護。估計M2354系列可以通過PSA的認證級別3，相當于CC EAL3。

青蓮云提供可信執(zhí)行環(huán)境，并在云端為OTA固件更新安全護航

在此次三方合作中，華邦提供安全閃存，新唐提供安全認證的MCU，青蓮云則提供物聯(lián)網(wǎng)設(shè)備可信執(zhí)行環(huán)境。

在我們的手機上，因為存在可信執(zhí)行環(huán)境系統(tǒng)，它運行在CPU硬件的一個安全區(qū)的環(huán)境內(nèi)，手機上的人臉、指紋信息存儲在手機硬件的安全區(qū)，所以，即使黑客攻破了非安全區(qū)的操作系統(tǒng)，也不能拿到安全區(qū)的隱私數(shù)據(jù)。物聯(lián)網(wǎng)設(shè)備同樣需要這樣的可信執(zhí)行環(huán)境。

青蓮云聯(lián)合創(chuàng)始人王科巖表示，早在2018年，新唐推出M2351系列，青蓮云和新唐合作了搭載可信執(zhí)行環(huán)境的一款產(chǎn)品，用以解決物聯(lián)網(wǎng)設(shè)備上的隱私數(shù)據(jù)、敏感信息，商業(yè)的保密算法等關(guān)鍵數(shù)據(jù)的存儲。另外還包括了系統(tǒng)的安全啟動，以及提供加解密引擎的功能。



具體來說，利用Arm的TrustZone隔離技術(shù)，將MCU在硬件層分成了安全區(qū)和非安全區(qū)，青蓮云的TinyTEE把敏感信息、商業(yè)保密算法存儲在安全區(qū)，這樣即使黑客攻擊了設(shè)備硬件，拿到了非安全區(qū)的操作權(quán)限，能夠讀取非安全區(qū)的內(nèi)存，看到操作系統(tǒng)的任務(wù)切換等行為，但是因為硬件隔離的原因，黑客無法拿到安全區(qū)的數(shù)據(jù)。這樣就可以保障敏感信息或者安全數(shù)據(jù)的安全。目前，青蓮云陸續(xù)地適配了一系列的MCU，包括新唐、恩智浦、意法半導(dǎo)體等等。

可信執(zhí)行環(huán)境的特點在于，它是底層的分區(qū)隔離，基于TrustZone硬件隔離的技術(shù)。支持靈活的flash擴展，如支持華邦W77Q的外掛flash，在外掛flash中可以存儲更多的數(shù)據(jù)以及安全算法。這些數(shù)據(jù)通過flash提供的加解密接口進行加密。另外外掛flash也可以存儲固件，在此過程中固件也被flash默認進行加密。這樣即使黑客拿到了開發(fā)板，取下flash也拿不到里面的固件，這就對固件形成了安全保障。

王科巖分析說，TinyTEE產(chǎn)品提供可信應(yīng)用校驗，通過建立信任根和信任鏈，對固件和應(yīng)用進行合法性、完整性的校驗。另外TinyTEE產(chǎn)品還可提供安全存儲，可對隱私數(shù)據(jù)進行安全存儲，還提供通用的密碼算法。因為青蓮云是做云計算的公司，也天然地支持了一些物聯(lián)網(wǎng)的安全應(yīng)用，包括雙向的身份認證、一機一密、密鑰的管理等等。此外，TinyTEE的產(chǎn)品是符合Global Platform 的TEE標準，通過了Arm PSA標準的Level1的認證。

物聯(lián)網(wǎng)安全級別

我們看到針對物聯(lián)網(wǎng)安全，各芯片廠商推出的產(chǎn)品的安全級別不盡相同。那么我們該如何定義物聯(lián)網(wǎng)實際應(yīng)用當中需要的安全級別呢?

對于電子發(fā)燒友網(wǎng)記者提出的這個問題，陳宏瑋表示，結(jié)合德國的BSI（德國的政府的認證單位）所做的分析可以看出，比如工控方面的安全要求，乃至互聯(lián)網(wǎng)在歐盟ETSI定義的終端產(chǎn)品安全要求，事實上這些標準里面，定位（mapping）出來的認證安全級別，就是落在CC EAL2、CC EAL3這樣的范圍。

因此，華邦的認證，事實上是基于Common Criteria以及SESIP，SESIP是Global Platform現(xiàn)在在推的一個互聯(lián)網(wǎng)安全認證。我們可以使用已經(jīng)通過認證的標準，去定位到比如說IEC 62443這些其他場景的安全要求。

至于高級別的安全認證例如EAL6+，華邦也能夠提供高階的安全認證產(chǎn)品。這取決于應(yīng)用場景對于安全性的需求。

值得一提的是，對于車載應(yīng)用，華邦能夠提供同時滿足多種安全認證與車用功能性安全認證（ISO26262）的安全閃存。華邦W75F目前是業(yè)界唯一一個同時滿足CCEAL5+以及ISO26262 ASIL-D認證的安全閃存。

陳宏瑋指出，目前含有嵌入式閃存的制程工藝還停留在28、40納米的階段，相比現(xiàn)在SoC前進到5納米、7納米而言，落后很多代。在去年11月，在EuroSmart網(wǎng)站上公告顯示，外掛式閃存安全性的重要性問題。它被寫入PP0084。在國際上，外掛式閃存的安全性已經(jīng)獲得大家越來越多的重視。而華邦的優(yōu)勢正在于設(shè)計安全可靠性的外掛式閃存。

凌立民也表示，安全認證是趨勢所在，不認證難免讓客戶在使用產(chǎn)品的時候無所適從。在客戶所選用的微控制器時，不管是密碼算法，或是整體的產(chǎn)品生命周期，或是它過去常被忽略的固件版本升級服務(wù)，例如OTA（遠程固件安全更新），都能夠提供一個完整的安全方案，節(jié)省客戶的開發(fā)時間。新唐作為Arm生態(tài)圈里非常重要的一員，正和Arm一起在推廣PSA認證，目的是希望讓客戶設(shè)計物聯(lián)網(wǎng)智能環(huán)境的產(chǎn)品時，能夠有所參考。

三方合作，環(huán)環(huán)相扣，打造全鏈路物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)安全從硬件到軟件到云端是一個生態(tài)鏈的合作，陳宏瑋表示，物聯(lián)網(wǎng)安全與這三者環(huán)環(huán)相扣，借由軟硬結(jié)合的解決方案實現(xiàn)信任鏈的閉環(huán)。

在此次合作中，新唐微控制器用于為產(chǎn)品開發(fā)與服務(wù)創(chuàng)新提供保障，并在保證裝置成本優(yōu)勢的同時，還能提供產(chǎn)品整個生命周期的數(shù)據(jù)安全。這就需要硬件安全區(qū)域，以及將關(guān)鍵數(shù)據(jù)存儲在華邦安全閃存當中，從而保障數(shù)據(jù)安全。青蓮云利用TrustZone的架構(gòu)，移植TEE OS，基于此環(huán)境，青蓮云可以執(zhí)行安全應(yīng)用。

最終，通過比較全面完整、逐級各個端點的安全防護，實現(xiàn)物聯(lián)網(wǎng)設(shè)備的全鏈路安全。