為了確保物聯網（IoT）的安全，連網設備需要一系列片上安全功能，諸如不可變的設備身份、具有信任根的安全啟動、密鑰的安全存儲，以及搭配高熵隨機數發生器的硬件加速加解密等功能。鑒于持續增加的物聯網安全事件，立法人員正在加速推動立法，為部分物聯網設備或應用領域制定最低的安全級別。集成的安全組件不僅可以協助解決這些無法避免的問題，還能提供額外的優勢，如安全軟件更新和安全調試端口解鎖，而使用外部安全組件是不容易實現這些功能的。

因應市場設計趨勢，Silicon Labs（亦稱“芯科科技”）的Secure Vault先進安全功能套件可搭載于Wireless Gecko Series 2平臺，將一流的安全軟件與物理不可克隆功能（PUF）硬件技術相結合，從而大大降低了物聯網安全漏洞和知識產權受損的風險。

安全組件的變革

在過去，安全組件（Secure Element，SE）是安裝在智能卡或專用集成電路（IC）上的實體器件，提供主機系統安全相關的服務，如安全密鑰存儲或主機系統的安全識別。主機系統可經加密連接后進行通信。這種方法的優勢是把物料清單（BOM）中的安全組件變成可選項，在寬松的安全要求下可節省應用的成本。隨著安全組件以智能卡的形式出現，安全設備的身份識別可以輕松地從一臺主機轉移到另一臺主機，此模式目前受到許多應用案例的青睞。

但是，對于最先進的物聯網設備，強大的安全功能應該是必備的，而非可選項。據福布斯（Forbes）雜志報道，對物聯網設備的網絡攻擊在2019年激增了300％，僅2019年上半年連接至互聯網的物聯網設備就遭受到29億次攻擊。那些未直接連接至互聯網的智能家居設備，實際遭受的攻擊數量預計會少幾個數量級。然而，連網設備易受攻擊的問題已成為負面的新聞話題，從而影響了物聯網行業以及受攻擊設備的制造商。因應智能設備漏洞的相關報道，監管機構和消費者權益協會一直在游說制定相關的法律框架，強制部分物聯網設備制定安全級別。如美囯加州最近在實施規范物聯網設備安全性的新法律，其他州和國家政府也紛紛效仿。

由于市場渴望特定的產品系列具有安全組件提供的部分或全部安全功能，安全組件在BOM中可選而帶來的所有優勢已蕩然無存。而且BOM上的每一個項目都意味著智能設備成本的增加，這不僅僅是安全組件本身的硬件成本，還包括印制電路板（PCB）上組件的取放、檢查和測試成本等等。使用集成到主機中的安全組件則可以節省相當可觀的成本，除了降低成本和硬件設計的復雜度之外，因為攻擊主機和安全組件之間的通信線路而導致的安全性問題也可得到解決。

安全組件的功能

內部和外部的安全組件都可提供下列部分或全部功能：

不可變的設備身份

不可變的設備身份包括唯一且防篡改的設備身份，用于設備身份識別和提供設備認證的安全憑證。這個功能可能包括唯一的設備識別碼、安全憑證或其他安全手段，例如基于令牌的認證。重點是，除非入侵設備所付出的代價遠高于能獲得的潛在回報，否則設備身份識別安全不會受到威脅。

安全密鑰存儲

安全密鑰存儲實質上就是受保護的閃存區，其受安全組件控制且只能經由安全組件存取。根據Kerckhoffs原理，最好的加密算法只有在密鑰數據不會受邊信道的攻擊而被提取的情況下才是安全的。在這類攻擊中，無需破解加密算法，也不用暴力侵入設備，就可以提取密鑰數據。安全組件可以確保安全密鑰數據不能經由設備的調試接口被提取，甚至被劫持的應用程序也無法取得該數據。

硬件加密加速器

硬件加密加速器不僅節省復雜加密操作的時間和功耗，還可以采取最新對策以防止差分功率分析（DPA）等類型的邊信道攻擊。與安全密鑰存儲結合在一起時，給定的安全密鑰可以永遠不離開安全組件，而是指示安全組件去使用安全密鑰存儲庫中的特定密鑰執行限定的加密操作。只有數據負載在安全組件和應用程序之間交換，在此操作期間，應用程序不但看不到，也無法提取實際密鑰。

高熵隨機數發生器

秘密的隨機數對于加密算法和密鑰的產生至關重要，其用于現在許多通信和安全協議的安全性和加密上。創建真隨機數發生器（TRNG）是一個復雜的過程，因為數字算法先天上就不利于創建真正的隨機數。如果確認生成的隨機數有任何規律，黑客就可以利用該弱點來減少獲取密鑰所耗費的時間和精力。為了克服這一限制，隨機數發生器以片上電路硬件外設的形式實現，通過專用的電路設計來生成非常高熵的隨機數。

集成安全組件的附加功能

集成的安全組件可以提供下列附加的獨特功能。

安全解鎖調試端口

如果未鎖好，則任何系統級芯片（SoC）的調試端口都將構成一個重大的安全漏洞。所以最佳的安全性實踐是產品進入生產線之前須鎖好或是停用調試的存取功能。大多數SoC都包含調試端口鎖定機制。通過集成的安全組件可以提供安全的調試端口解鎖功能，以更容易對現場取回的設備進行故障分析。

此舉對于現場試用以及向“友好的客戶”推薦初始產品特別有用，甚至在往后的階段，我們也希望對從現場退回的設備進行故障分析以提高產品質量。通過出示唯一的解鎖令牌可以開啟調試端口的訪問。此令牌可利用制造商生成的私鑰發出可撤銷且唯一的身份標識符。安全解鎖調試端口的主要好處在于設備解鎖時不必刪除設備數據，進而減少故障排除時間，同時增強故障根本成因的分析能力。

具有完整信任根和安全加載程序的安全啟動

常見的安全啟動實現方式包括將用于驗證程序代碼的公鑰存儲到一次性可編程存儲器中。由于公鑰變得不可逆，因此只有用對應的私鑰簽名的程序代碼才能通過身份驗證和執行。身份驗證步驟通常由某種形式的啟動加載程序執行。

我們使用集成的安全組件后，可以根據圖1所示，來采取完整的信任鏈步驟。依圖示可見，我們實際上擁有雙核心體系結構，第一個核心是安全組件本身，具有自己的專用閃存、ROM、RAM和外圍設備。第二個核心是通常更加強大的應用程序核心，帶有典型的物聯網SoC設計應具有的存儲器和外圍設備。

安全啟動過程從安全組件開始。具體看，啟動從安全且不可變的ROM開始，同時由安全組件來執行對第一階段啟動加載程序的身份認證。在此過程中，第一階段啟動加載程序的更新檢查也要由安全加載程序執行。一旦安全組件被完全驗證及可以使用后，第二個（應用程序）核心也隨之啟動，同時對第二階段啟動加載程序進行身份驗證，并根據需要進行安全加載程序的更新。最后，第二階段啟動加載程序會檢查、更新（如果適用）并驗證應用程序代碼。此過程如圖1所示。

圖1 具有完整信任根和安全加載程序的安全啟動

關于防范攻擊的對策，一種很好的做法是要遵循嚴格的規則，即僅允許下列可更新部件的固件升級到新的版本：

第一階段啟動加載程序；

第二階段啟動加載程序；

應用程序。

這種方式可防止通過安裝較舊的固件來利用已知漏洞。同時，這也可以避免反復對簽名和加密的升級程序進行解密，因為在這個過程中，可以使用邊信道攻擊（例如差分功率分析）來提取安全密鑰。

結論

智能物聯網設備需要最先進的安全特性，這不僅是為了達到更好的管理，也是為了遵守許多地區和垂直市場所要求的法律規范。在黑客與設備制造商永無止境的軍備競賽中，集成的安全組件可提供卓越的價值和較低的成本來確保設備的安全。與專用的外部安全組件相比，集成的安全組件可以節省更多成本。構建安全調試端口解鎖和具有完整信任根的安全啟動這些安全特性所需要的前提條件，只有集成的安全組件才能滿足。