新闻  |   论坛  |   博客  |   在线研讨会
IOT物联网安全:TrustZone与SE安全芯片的关系
电子禅石 | 2019-09-10 18:57:45    阅读:4740   发布文章

关于安全的话题,一直以来都是一个热门的话题,早在2013年到2015年,那时安全的话题在手机圈是个炙热的话题,而到了2019年,IOT物联网圈子讨论的最多的话题,也是安全,从芯片和设备公司,大家都为选型满足自己安全要求的技术为迷茫。本文主要介绍,在IOT领域里安全芯片和TrustZone的关系。


■■ 安全芯片SE和TrustZone到底什么区别? 分别用在什么场景? 以及什么关系?

最直接的答案是SE和TrustZone不是竞争关系,而是互补关系,各自发挥长处解决不同的问题,比如手机。手机同时支持TrustZone和SE ,两者之间并不矛盾。TrustZone已经成为手机的安全基础,例如数字版权保护,生物识别支付、系统安全, BYOD等场景都是依赖于TrustZone来保证,而普通的应用场景,如交通卡、eSIM , strongbox等则是通过SE来实现。

 11.png


  安全芯片技术已经非常成熟,有安全的生产环境,密钥管理体系,同时能够防止物理攻击,也有很多安全芯片通过了CC EAL 4+的认证,使IOT设备集成了安全芯片来提升安全性!比较典型的场景就是存放证书,实现IOT设备和云端的双向认证。


那么物联网设备为什么集成了SE ,还需要使用TrustZone来做进一步的保护呢?

主要是因为两者针对的攻击面是不一样的。 安全是系统级别的方案,如果有一个环节出了问题,那么所做的安全方案都前功尽弃,好比建房子,需要从房屋结构,门的材质,防盗窗,以及地基等全面考虑,而不只是简单的买把锁就能保证房子安全。   


  IOT的系统级别安全方案也类似于建造房屋,平台安全架构(PSA)给出了IOT设备的安全基本功能,如果缺失任何环节的话都可能会造成安全问题。

12.png


存在隐患的安全类别


■■ 当下IOT系统越来越复杂,所以在设计方案时,安全方面我们要考虑哪些呢?

Ø 到底要保护什么?

Ø 保护资产的最大价值是什么?

Ø 保护范围是什么?


弄清楚这三点,我们就能知道我们要保护的是:系统安全,而不是某个点。集成SE安全芯片的保护范围在芯片本身,而安全芯片的频率比较低,资源受限,比较难做应用扩展,很难解决系统级别的安全问题,那么TrustZone刚好可以补充这些问题。


TrustZone是指令集级别的安全解决方案,是从芯片设计最早阶段从最底层来解决安全问题,例如隔离环境,安全启动 ,安全升级和防止回滚攻击等,另外TrustZone天生具备灵活的优势,可以非常灵活来管理安全外设,提供运行时的保护,资源可配置,能够动态分配安全资源满足更多的应用场景的要求, TrustZone+安全芯片会逐渐成为IOT的趋势。

 

13.png


使用TrustZone和加密芯片SE可解决哪些问题:

Ø 安全芯片:存放证书,版权保护,身份认证,设备鉴权

Ø TrustZone:安全启动,安全升级,防回滚攻击,安全存储,安全设备管理,安全调试,用户密码,生物特征的安全性。


14.png


*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。

参与讨论
登录后参与讨论
属于自己原创的技术积累分享,成为嵌入式系统研发高手。
推荐文章
最近访客