设备一旦联网,就成了用户触达海量应用的锚点,也变成了网络攻击的靶子。智能网联汽车、智能手机、智能音箱、家用摄像头等IoT设备,正在监测用户的体征信息并成为人类感官系统的延伸。IoT设备的安全,不仅关乎隐私数据保护,也涉及到用户资产、声誉甚至生命安全的方方面面。
面向AIoT系统不断增强的数据处理能力和数据吞吐量,以及不断升级的安全需求,全流程、全链条的安全解决方案日益受到重视。
“安全不是一个单独的产品或模块,而是怎么在整个系统建立起安全的运行环境,以保护数据的获取、分析、存储、传输和展示。”安谋中国产品研发常务副总裁刘澍表示,“如果说安全芯片是锁,(基于IP的)安全技术就相当于保险柜。通过在整个体系建立可信的计算机制,支持OEM等厂商充分发挥创造力,为用户的带来丰富多彩的安全服务。”
AIoT复杂性呼吁全流程安全管理
AIoT系统包含用户、设备、网关、连接、云平台、应用等诸多节点,每个环节都需要安全组件的保驾护航。具体来看,安全组件主要分为安全设备、安全连接、安全云、安全生命周期管理四个层级。
在设备层面,安全组件的核心功能涉及安全启动、安全存储机制和加解密能力等。其中,安全启动是保障设备安全可信的前提;安全存储机制是设备存储关键及隐私数据的必要条件。加解密能力是安全机制的核心,也是实现安全系统的基本保障。
当设备和云端连接,需要基于安全传输层协议(TLS)、端到端通讯加密等组件建立安全连接,保障数据传输和运行安全。
除了少量缓存和边缘处理数据,大部分IoT数据存储在云端。云平台的数据和应用安全需要安全管理及校验方式的保护。
全生命周期的安全管理已经成为AIoT系统的标配。该机制面向系统的生命周期,进行固件的升级和功能管理,满足云端平台管理、监控、下发设备、收集设备等操作的安全需求。
为了应对AIoT的安全风险,Arm将安全作为重要的技术演进方向,在架构演进的过程中持续引入安全技术。Arm的TrustZone技术已经有十几年的演进历程,在最近的Armv8.3、8.4、8.5等架构升级上面,陆续引入PAC(Pointer Authentication Code)、 BTI (Branch Target Identification)及MTE(Memory Tag Extension)等相关技术。
“这些技术有两方面的目标。一是对代码进行隔离,从而减少程序的被攻击面。另外一方面是限制程序指令的执行流和数据流的流向,从而免受到黑客的攻击,为黑客攻击IOT设备带来额外的成本。” 安谋中国安全产品经理耿建华表示。
随着AIoT场景对数据处理能力的要求越来越强,承载的应用更加多样,面临的安全威胁也更加复杂。在这种趋势下,安谋中国发布面向AIoT系统的全栈安全解决方案“山海”S12,为从芯片安全 IP 层到云端安全应用和安全管理提供全链路的安全保护。
从硬件IP到云端服务的全栈安全方案
安谋中国从成立之初,就将安全产品线作为主要产品线。经历了3年研发,安谋中国已经发布了两代安全产品,拥有了20余家授权客户。
“山海”S12是安谋中国面向 AIoT 系统的全栈安全解决方案。2019年,安谋中国面向Cortex M系列的MCU场景,发布了“山海”第一代产品E10、E20。作为新一代产品,“山海”S12面向Cortex-A系列和R系列应用处理器。
相比MCU,应用处理器的数据处理能力更强,数据吞吐力更高,对加解密性能也提出了更高的要求。为此,“山海”S12提供了从硬件 IP 层到云端安全服务的一站式安全解决方案。同时,“山海”S12支持国内和国际两套密码算法,采取模块化设计,可灵活配置算法及能力,支持客户根据自身需求组合解决方案。“山海”S12还支持多达16个Host的能力,具备生命周期安全管理和通过3级密钥派生增强密钥安全的管理能力。
作为IP提供商,安谋中国为安全解决方案提供理念、机制和可信环境。在接受《中国电子报》采访时,刘澍表示,安全IP是一整套的安全机制,为信息读取、传输、保存和分析使用提供安全的运行环境,这种环境是靠安全芯片和多种校验方式共同实现,并贯穿设备的整个生命周期。
“我们更多的是提供一个可信计算环境的底层基础,在这个基础之上,我们可以有厂商把它做成安全芯片,也像银行一样将它做成服务机制。我们保证服务机制的数据安全,让用户的信息和服务商的信息都得到了很好的交互,这个交互是不会被泄露的,同时也是被有效隔离的。我们将这种安全机制赋能给芯片公司或者设备公司,去产生更多的创新产品和应用。” 刘澍说。
中国是AIOT应用场景最丰富、创新创业最有活力的市场,耿建华表示,希望通过创新来赋能中国的安全生态,与本土的合作伙伴一起共同成长。
“我们的安全产品是由本土化的公司来提供的,整个的产品的设计和实现的流程都是在国内来做的,包含了国家商用密码算法。” 耿建华指出,“对于本土合作伙伴和客户的定制化需求,以及安全设计和需求,我们能快速地响应并快速地支持到位,这是我们面向本土市场的优势和特点。”