物聯網 (IoT) 聯網設備的持續創新和廣泛采用帶來了廣泛的便利，改善了我們每天的生活。與此同時，物聯網設備的普遍性（市場觀察人士估計有數百億）也使其對那些從物聯網普及所提供的大量“敞開大門”中看到機會的不良行為者更具吸引力。在每一個點上，都存在允許攔截重要信息的惡意攻擊漏洞。對于物聯網帶來的所有進步和自動化，安全性至關重要，因為它影響設備制造商和最終用戶。

隨著網絡上設備數量的激增，物聯網安全攻擊的數量和種類都在增加，即使是那些提供最安全連接的設備也是如此。物聯網安全是復雜的，包含許多層，涉及網絡各個層面的硬件和軟件工作，游戲規則不斷變化。連接的設備在攻擊可以來自任何地方的環境中運行，并且必須能夠適應不斷變化的威脅環境。隨著可以訪問的數據的數量和價值的增加，黑客的方法變得越來越復雜。例如，啟用 AI 的攻擊很常見，因為違規使用高級算法繞過看似安全的系統和網絡。

安全性是任何連接設備的基本要求，但實施安全解決方案并不是“一刀切”的主張。不同的應用程序有特定的需求和限制——性能、外形尺寸、功耗、操作環境和成本等等。當然，應用程序正在處理的數據的價值差異很大。與包含大量高度機密和個人數據的復雜醫療網絡相比，考慮一個僅監控您的每日步數的健身追蹤器；后者需要更高級別的安全和保障措施。

從物聯網 SoC 設計開始就考慮安全性

每個物聯網設備都有安全設計考慮，必須在 SoC 設計過程的最早階段考慮。最低要求，例如開機和關機時的保護，以及運行時和連接到網絡時或設備相互通信時的基本安全性，都是必不可少的。此外，設計師必須考慮有關數據保護的法律。例如，歐洲有全球數據保護條例 (GDPR)，如果私人用戶數據受到損害，該條例將對企業處以高額罰款。美國的一個例子是健康保險流通與責任法案 (HIPAA)，該法案規定了如何保護醫療保健和醫療保險行業維護的個人身份信息 (PII) 免受欺詐和盜竊。從那里，

在這篇文章中，我們將概述安全物聯網設計之戰中的兩種武器。

tRoot 實現了安全的信任根

從 SoC 設計的角度來看，安全性既有硬件的影響，也有軟件的影響；工程師的工具箱需要解決這兩個問題的方法，從 RTL 設計到系統驗證。一個關鍵的推動因素是預先驗證的 IP 子系統，它可以很容易地集成到 SoC 中，為各種安全功能和應用程序提供可擴展的平臺。

Synopsys DesignWare IP產品包括tRoot 硬件安全模塊 (HSM)，該模塊專為在連接設備中實施安全的硬件信任根而創建。該解決方案支持開發有效信任根的所有基本要素，為保護敏感數據和操作提供安全邊界。它包括一個安全 CPU、用于密鑰傳輸保護的多個安全密鑰服務器、用于提供外部存儲器訪問保護和運行時篡改檢測的安全指令和數據控制器，以及防止側信道攻擊的加密加速。

信任根可以通過多種方法啟動，包括簡單地加載其受保護的內存區域并發出可用固件的信號。或者，它可以使用硬件狀態機從外部閃存加載，直接從 SPI 存儲器中運行，或各種其他方法。啟動時，信任根從提供的設備身份輸入中派生其內部密鑰，并為自己執行自測和代碼驗證。如果通過了這些測試，它可以繼續使用安全引導過程來驗證芯片中其他子系統的代碼。

信任根用于執行多項功能，包括 SoC 上電和運行時操作期間的安全監控、用于驗證 SoC 上代碼和/或數據有效性的安全驗證/身份驗證、存儲保護、安全通信以及密鑰管理。

tRoot HSM 提供強大的硬件保護，同時高度可配置、靈活并保持高性能。tRoot HSM 用于在受信任的執行環境中提供安全功能，作為運行大多數系統應用程序的主機處理器的伴侶。為了最大限度地減少攻擊向量的數量，tRoot HSM 使用一個簡單的接口，與主機處理器進行有限的交互。同時，它提供了一個完全可編程的平臺，可以在設備的整個生命周期內提供各種服務。

tRoot 使用獨特的代碼保護機制保護物聯網設備，該機制提供運行時篡改檢測和響應以及代碼隱私保護，而無需增加更多專用安全內存的成本。這一獨特的功能允許 tRoot 的固件駐留在任何非安全內存空間中，從而降低了系統復雜性和成本。

iSIM 提供靈活且適應性強的物聯網安全

tRoot HSM 可用于實施基于熟悉的 SIM 卡概念的不斷發展的安全方法。移動運營商多年來一直使用 SIM 卡來保護他們的設備和網絡免受欺詐和濫用，并確保客戶的通信安全。

傳統的 SIM 卡已經演變成新的形式，包括 eSIM 格式：一種可以焊接在板上的芯片，而不是插入 SIM 卡插槽的卡。這允許設備在制造設備時包含 SIM 硬件安全元件。eSIM 提供了額外的好處，即能夠遠程安裝和管理連接配置文件和用戶身份。

為了進一步解決物聯網設備的成本和尺寸要求，正在向集成 SIM (iSIM) 發展，它不是作為單獨的安全元件芯片實施，而是與調制解調器或應用芯片集成。該技術已成功地將分立芯片和模塊集成到一個結合了應用程序、調制解調器和 SIM 功能的 SoC 中。

Synopsys 與包括Truphone在內的多家 eSIM/iSIM 操作系統和服務提供商合作，提供完整的解決方案，包括硬件、軟件和服務，使移動網絡運營商和產品制造商能夠安全地連接和管理全球蜂窩網絡中的設備。

包含 iSIM 的 SoC 減少了組件數量，簡化了電路板集成，并實現了芯片內的資源共享。無需為 SIM 卡或芯片、應用處理器芯片和調制解調器模塊復制內存控制器和外圍設備等資源，而是可以在這些不同子系統之間在芯片上共享一些資源。

實施 iSIM 可能很復雜，這就是與 tRoot HSM 輕松集成的原因所在。使用 tRoot HSM 的設計人員可以創建一個可信的執行環境，在邏輯上和物理上將 iSIM 軟件堆棧的所有處理與其他組件隔離和屏蔽，例如應用處理器或可能篡改 iSIM 處理的直接內存訪問 (DMA) 引擎和泄露密鑰。除了提供高級別的安全性之外，該處理還具有能源和面積效率，以支持低成本、電池供電的物聯網設備的長壽命。

從頭開始的物聯網安全

安全性是物聯網部署的關鍵要素，但在 SoC 和系統開發的早期階段卻常常被忽視。事后才考慮安全可能會導致數據泄露，尤其是在智能互聯設備時代。必須從一開始就將安全性設計到物聯網設備中，制造商需要采用安全設計思維，從芯片級別開始保護他們的產品和客戶的數據。

審核編輯：符乾江