設(shè)備一旦聯(lián)網(wǎng)，就成了用戶觸達(dá)海量應(yīng)用的錨點(diǎn)，也變成了網(wǎng)絡(luò)攻擊的靶子。智能網(wǎng)聯(lián)汽車、智能手機(jī)、智能音箱、家用攝像頭等IoT設(shè)備，正在監(jiān)測(cè)用戶的體征信息并成為人類感官系統(tǒng)的延伸。IoT設(shè)備的安全，不僅關(guān)乎隱私數(shù)據(jù)保護(hù)，也涉及到用戶資產(chǎn)、聲譽(yù)甚至生命安全的方方面面。

面向AIoT系統(tǒng)不斷增強(qiáng)的數(shù)據(jù)處理能力和數(shù)據(jù)吞吐量，以及不斷升級(jí)的安全需求，全流程、全鏈條的安全解決方案日益受到重視。

“安全不是一個(gè)單獨(dú)的產(chǎn)品或模塊，而是怎么在整個(gè)系統(tǒng)建立起安全的運(yùn)行環(huán)境，以保護(hù)數(shù)據(jù)的獲取、分析、存儲(chǔ)、傳輸和展示。”安謀中國(guó)產(chǎn)品研發(fā)常務(wù)副總裁劉澍表示，“如果說(shuō)安全芯片是鎖，(基于IP的)安全技術(shù)就相當(dāng)于保險(xiǎn)柜。通過(guò)在整個(gè)體系建立可信的計(jì)算機(jī)制，支持OEM等廠商充分發(fā)揮創(chuàng)造力，為用戶的帶來(lái)豐富多彩的安全服務(wù)?！?/span>

AIoT復(fù)雜性呼吁全流程安全管理

AIoT系統(tǒng)包含用戶、設(shè)備、網(wǎng)關(guān)、連接、云平臺(tái)、應(yīng)用等諸多節(jié)點(diǎn)，每個(gè)環(huán)節(jié)都需要安全組件的保駕護(hù)航。具體來(lái)看，安全組件主要分為安全設(shè)備、安全連接、安全云、安全生命周期管理四個(gè)層級(jí)。

在設(shè)備層面，安全組件的核心功能涉及安全啟動(dòng)、安全存儲(chǔ)機(jī)制和加解密能力等。其中，安全啟動(dòng)是保障設(shè)備安全可信的前提；安全存儲(chǔ)機(jī)制是設(shè)備存儲(chǔ)關(guān)鍵及隱私數(shù)據(jù)的必要條件。加解密能力是安全機(jī)制的核心，也是實(shí)現(xiàn)安全系統(tǒng)的基本保障。

當(dāng)設(shè)備和云端連接，需要基于安全傳輸層協(xié)議（TLS）、端到端通訊加密等組件建立安全連接，保障數(shù)據(jù)傳輸和運(yùn)行安全。

除了少量緩存和邊緣處理數(shù)據(jù)，大部分IoT數(shù)據(jù)存儲(chǔ)在云端。云平臺(tái)的數(shù)據(jù)和應(yīng)用安全需要安全管理及校驗(yàn)方式的保護(hù)。

全生命周期的安全管理已經(jīng)成為AIoT系統(tǒng)的標(biāo)配。該機(jī)制面向系統(tǒng)的生命周期，進(jìn)行固件的升級(jí)和功能管理，滿足云端平臺(tái)管理、監(jiān)控、下發(fā)設(shè)備、收集設(shè)備等操作的安全需求。

為了應(yīng)對(duì)AIoT的安全風(fēng)險(xiǎn)，Arm將安全作為重要的技術(shù)演進(jìn)方向，在架構(gòu)演進(jìn)的過(guò)程中持續(xù)引入安全技術(shù)。Arm的TrustZone技術(shù)已經(jīng)有十幾年的演進(jìn)歷程，在最近的Armv8.3、8.4、8.5等架構(gòu)升級(jí)上面，陸續(xù)引入PAC（Pointer Authentication Code）、 BTI (Branch Target Identification)及MTE（Memory Tag Extension）等相關(guān)技術(shù)。

“這些技術(shù)有兩方面的目標(biāo)。一是對(duì)代碼進(jìn)行隔離，從而減少程序的被攻擊面。另外一方面是限制程序指令的執(zhí)行流和數(shù)據(jù)流的流向，從而免受到黑客的攻擊，為黑客攻擊IOT設(shè)備帶來(lái)額外的成本?！?安謀中國(guó)安全產(chǎn)品經(jīng)理耿建華表示。

隨著AIoT場(chǎng)景對(duì)數(shù)據(jù)處理能力的要求越來(lái)越強(qiáng)，承載的應(yīng)用更加多樣，面臨的安全威脅也更加復(fù)雜。在這種趨勢(shì)下，安謀中國(guó)發(fā)布面向AIoT系統(tǒng)的全棧安全解決方案“山?！盨12，為從芯片安全 IP 層到云端安全應(yīng)用和安全管理提供全鏈路的安全保護(hù)。

從硬件IP到云端服務(wù)的全棧安全方案

安謀中國(guó)從成立之初，就將安全產(chǎn)品線作為主要產(chǎn)品線。經(jīng)歷了3年研發(fā)，安謀中國(guó)已經(jīng)發(fā)布了兩代安全產(chǎn)品，擁有了20余家授權(quán)客戶。

“山?！盨12是安謀中國(guó)面向 AIoT 系統(tǒng)的全棧安全解決方案。2019年，安謀中國(guó)面向Cortex M系列的MCU場(chǎng)景，發(fā)布了“山?！钡谝淮a(chǎn)品E10、E20。作為新一代產(chǎn)品，“山?！盨12面向Cortex-A系列和R系列應(yīng)用處理器。

相比MCU，應(yīng)用處理器的數(shù)據(jù)處理能力更強(qiáng)，數(shù)據(jù)吞吐力更高，對(duì)加解密性能也提出了更高的要求。為此，“山海”S12提供了從硬件 IP 層到云端安全服務(wù)的一站式安全解決方案。同時(shí)，“山?！盨12支持國(guó)內(nèi)和國(guó)際兩套密碼算法，采取模塊化設(shè)計(jì)，可靈活配置算法及能力，支持客戶根據(jù)自身需求組合解決方案。“山?！盨12還支持多達(dá)16個(gè)Host的能力，具備生命周期安全管理和通過(guò)3級(jí)密鑰派生增強(qiáng)密鑰安全的管理能力。

作為IP提供商，安謀中國(guó)為安全解決方案提供理念、機(jī)制和可信環(huán)境。在接受《中國(guó)電子報(bào)》采訪時(shí)，劉澍表示，安全I(xiàn)P是一整套的安全機(jī)制，為信息讀取、傳輸、保存和分析使用提供安全的運(yùn)行環(huán)境，這種環(huán)境是靠安全芯片和多種校驗(yàn)方式共同實(shí)現(xiàn)，并貫穿設(shè)備的整個(gè)生命周期。

“我們更多的是提供一個(gè)可信計(jì)算環(huán)境的底層基礎(chǔ)，在這個(gè)基礎(chǔ)之上，我們可以有廠商把它做成安全芯片，也像銀行一樣將它做成服務(wù)機(jī)制。我們保證服務(wù)機(jī)制的數(shù)據(jù)安全，讓用戶的信息和服務(wù)商的信息都得到了很好的交互，這個(gè)交互是不會(huì)被泄露的，同時(shí)也是被有效隔離的。我們將這種安全機(jī)制賦能給芯片公司或者設(shè)備公司，去產(chǎn)生更多的創(chuàng)新產(chǎn)品和應(yīng)用。” 劉澍說(shuō)。

中國(guó)是AIOT應(yīng)用場(chǎng)景最豐富、創(chuàng)新創(chuàng)業(yè)最有活力的市場(chǎng)，耿建華表示，希望通過(guò)創(chuàng)新來(lái)賦能中國(guó)的安全生態(tài)，與本土的合作伙伴一起共同成長(zhǎng)。

“我們的安全產(chǎn)品是由本土化的公司來(lái)提供的，整個(gè)的產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)的流程都是在國(guó)內(nèi)來(lái)做的，包含了國(guó)家商用密碼算法?！?耿建華指出，“對(duì)于本土合作伙伴和客戶的定制化需求，以及安全設(shè)計(jì)和需求，我們能快速地響應(yīng)并快速地支持到位，這是我們面向本土市場(chǎng)的優(yōu)勢(shì)和特點(diǎn)?！?nbsp;