IOT物聯網安全：TrustZone與SE安全芯片的關系

關于安全的話題，一直以來都是一個熱門的話題，早在2013年到2015年，那時安全的話題在手機圈是個炙熱的話題，而到了2019年，IOT物聯網圈子討論的最多的話題，也是安全，從芯片和設備公司，大家都為選型滿足自己安全要求的技術為迷茫。本文主要介紹，在IOT領域里安全芯片和TrustZone的關系。

■■ 安全芯片SE和TrustZone到底什么區別? 分別用在什么場景? 以及什么關系?

最直接的答案是SE和TrustZone不是競爭關系,而是互補關系,各自發揮長處解決不同的問題，比如手機。手機同時支持TrustZone和SE ,兩者之間并不矛盾。TrustZone已經成為手機的安全基礎,例如數字版權保護,生物識別支付、系統安全, BYOD等場景都是依賴于TrustZone來保證，而普通的應用場景，如交通卡、eSIM , strongbox等則是通過SE來實現。

安全芯片技術已經非常成熟，有安全的生產環境，密鑰管理體系，同時能夠防止物理攻擊，也有很多安全芯片通過了CC EAL 4+的認證，使IOT設備集成了安全芯片來提升安全性！比較典型的場景就是存放證書，實現IOT設備和云端的雙向認證。

■■那么物聯網設備為什么集成了SE ,還需要使用TrustZone來做進一步的保護呢?

主要是因為兩者針對的攻擊面是不一樣的。安全是系統級別的方案,如果有一個環節出了問題,那么所做的安全方案都前功盡棄,好比建房子,需要從房屋結構,門的材質,防盜窗,以及地基等全面考慮,而不只是簡單的買把鎖就能保證房子安全。

IOT的系統級別安全方案也類似于建造房屋，平臺安全架構(PSA)給出了IOT設備的安全基本功能,如果缺失任何環節的話都可能會造成安全問題。

■■ 當下IOT系統越來越復雜，所以在設計方案時，安全方面我們要考慮哪些呢?

?到底要保護什么?

?保護資產的最大價值是什么?

?保護范圍是什么?

弄清楚這三點，我們就能知道我們要保護的是：系統安全,而不是某個點。集成SE安全芯片的保護范圍在芯片本身,而安全芯片的頻率比較低,資源受限,比較難做應用擴展,很難解決系統級別的安全問題,那么TrustZone剛好可以補充這些問題。

TrustZone是指令集級別的安全解決方案,是從芯片設計最早階段從最底層來解決安全問題,例如隔離環境，安全啟動 ,安全升級和防止回滾攻擊等,另外TrustZone天生具備靈活的優勢,可以非常靈活來管理安全外設，提供運行時的保護,資源可配置,能夠動態分配安全資源滿足更多的應用場景的要求, TrustZone+安全芯片會逐漸成為IOT的趨勢。

使用TrustZone和加密芯片SE可解決哪些問題：

?安全芯片：存放證書,版權保護，身份認證，設備鑒權

? TrustZone：安全啟動,安全升級,防回滾攻擊,安全存儲,安全設備管理，安全調試,用戶密碼,生物特征的安全性。

? 天浩旭可提供TrustZone和加密芯片SE相應的解決方案，確保在物聯網的應用上安全可靠的運行。更多詳情可與我們聯系。