物联网设备的安全保险库系统

物联网是黑客试图渗透计算机网络、掠夺信息或远程控制工厂设备和关键基础设施的最脆弱目标之一。面临的挑战是物联网设备的高安全成本。对制造商来说，不花时间在安全上制造产品更实惠——这可能会导致物联网设备中有限的计算和内存紧张。

在这方面,硅实验室正在努力提高物联网设备的防御能力。该公司计划在2020年中期为其微控制器安装一个安全子系统。Secure Vault技术隔离了安全密钥存储管理、加密和其他特性，使设备在缺省情况下更加安全。通过将其添加到无线微控制器中，Silicon Labs表示，当威胁暴露时，安全金库可以用于定期更新设备。

该公司物联网产品高级副总裁马特·约翰逊(Matt Johnson)表示，安全保险库是最先进的物联网集成软硬件保护套件之一。该系统具有专用的核心、内存和总线接口，与片上系统(SoC)的其他部分隔离。这不仅有助于简化安全物联网产品的开发，还有助于保护设备免受不可预见的威胁。

数以亿计的物联网设备没有得到足够的安全保护，黑客劫持这些设备可能会造成重大破坏。被侵入的设备可能被用来感染工厂系统或干扰医疗设备。连接锁的漏洞可以让攻击者远程打开一所房子的前门。一旦攻击者渗透到设备中，他们也可能利用它作为通往网络其他部分的网关。

为了消除发现的漏洞，许多制造商都在增加机制，在设备的使用寿命(可能超过10年)内进行安全更新。但这个过程本身也是一个潜在的弱点。设备需要验证更新的真实性和可信任性，才能关闭安全漏洞。它还需要阻止黑客拦截更新和干扰隐藏的秘密代码。

随着黑客对物联网设备进行复杂的攻击，Silicon Labs希望强调硬件对策作为防御前线的必要性。安全保险库是一个与芯片其他部分隔离的隐蔽子系统。其他供应商也在推出在设备电路板上物理隔离的安全元件和其他模块，例如，嵌入在苹果iphone中的安全外壳。

市场研究公司Omdia的高级分析师坦纳·约翰逊(Tanner Johnson)在一份声明中表示:“嵌入式安全是物联网产品的关键需求，单靠软件更新无法解决不安全硬件中的所有漏洞。”因此，硬件组件可以构成设备安全的第一线。”他说，与在设备制造后很长一段时间内试图保护受损设备相比，这些部件的成本可能更低。

许多物联网制造商正在添加安全芯片，作为设备不可更改的信任根(RoT)，每次系统重启时都要进行检查，以确认没有任何恶意更改。其他公司正在安装安全元素(SE)，它可以防止更毁灭性的攻击。恩智浦半导体(NXP Semiconductors)、瑞萨电子(Renesas Electronics)和其他顶级供应商也在为工厂和汽车中使用的微控制器添加安全元件。

硅谷实验室表示，安全金库为防止各种攻击增加了另一层保护。根据Silicon Labs的说法，如果信任的根源是一把挂锁，而安全元素是一个保险箱，那么安全保险库就是银行的保险库。系统对密钥进行存储和管理，密钥用于认证网络中的设备是否可信。它还可以用来阻止黑客通过篡改硬件来窃取数据。

安全保险库系统支持密钥的存储和管理，密钥作为设备不可变身份的证明。该技术还通过隐藏和隔离密钥与微控制器的其他电子过程来防止盗窃。这些密钥对于防止攻击者欺骗和克隆物联网设备以拦截信息或有价值的知识产权非常重要。

每次系统启动时，主密钥都会被擦除并替换，而不是保存在系统中，因为它可能被攻击者窃取。子系统中一个物理上不可克隆的函数抽出用于伪造主密钥的密码。这些代码基于芯片制造过程中的细微变化，因此，可以作为设备的独特指纹。不可更改的密码不能被克隆、被盗或共享。

Silicon Labs表示，安全金库还可以与工厂配置配对。该公司表示，它将与客户合作，在生产线上将证件(类似于出生证明)装入芯片。凭据可以用来保证芯片在其使用寿命内的真实性。它们可以被设备用来在网络上识别彼此，并了解它们是否有共享数据的权限。

物联网设备也需要保护，防止侧通道攻击。通过对硬件的物理访问，黑客能够监控功耗和嵌入式设备的其他内部操作。这些细节可以用来解开系统的密码，并揭示存储在内存凹槽中的秘密密钥。这些类型的漏洞对于黑客来说通常也是廉价的。

根据Silicon Labs的说法，安全保险库已经改进了对篡改的保护。它可以用来识别通过改变微处理器的电压或温度、虹吸出密钥或其他数据来故意破坏设备的企图。一旦警报响起，安全保险库就可以通过编程关闭或重启设备。客户还可以指示该公司销毁密钥，以防止黑客入侵。

此外，它还提供了其他对抗侧信道攻击的对策，包括差分功率分析(DPA)。这些攻击是基于来自设备的间接信息，从信号的定时到密码在后台运行时的功耗波动，以找出密钥。硅实验室表示，通过打乱设备上的计时信号和隐藏有价值的数据，密钥得到了保护。

“安全金库”系统还提供了安全引导，通过每次重置时对原始副本进行测试，保护设备免受代码篡改。此外，系统还设计了锁定设备调试接口的功能，防止攻击者利用端口漏洞进行攻击。Silicon Labs说，它还阻止黑客重新加载过时的固件到设备中，以重新打开之前修补过的故障。

Silicon Labs计划在2020年下半年之前开始销售带有Secure Vault的微控制器。