恩智浦创新EdgeLock安全区域
- 陈毅斌/台北
-
恩智浦半导体宣布推出EdgeLock安全区域(secure enclave),其为一款经过预先配置的自我管理式(self-managed)自主内建(autonomous on-die)安全子系统,能够为物联网边缘装置提供智能保护,防范攻击和威胁。
安全区域以内建安全子系统方式,完全整合在恩智浦即将推出的i.MX 8ULP、i.MX 8ULP-CS和i.MX 9应用处理器中,降低为物联网应用实现可靠且具系统级安全智能的复杂性。透过该安全区域,开发人员能够更加轻松实现安全目标,进而有时间专心研究如何以全新方式实现其边缘应用差异化。
透过将安全区域整合至众多即将推出的EdgeVerse处理器系列,恩智浦为开发人员提供广泛的可扩展性选项,以便在数千个边缘应用上轻松部署安全功能,其应用包含智能家庭装置、穿戴式装置、可携式健康保健装置、智能家电、嵌入式控制和工业物联网系统。
恩智浦半导体总裁暨加密与安全部门主管Wolfgang Steinbauer表示:「部署在边缘的数十亿物联网产品已成为具有吸引力的攻击目标。提供奠基于隔离性强的安全架构,使设备制造商专注于功能,并依靠恩智浦经过测试和验证的安全功能。我们以恩智浦在提供端对端网络安全解决方案方面的丰富经验为基础,设计了EdgeLock安全区域,帮助简化可靠安全机制的部署,并满足对可扩展且易于实现的物联网安全性不断成长的需求。嵌入式开发人员现可专注研究应用,应对上市时间挑战,让EdgeLock安全区域技术来处理物联网安全保护的潜在复杂性。」
「安全HQ」芯片中的堡垒
独立的内建(on-die)硬件安全子系统具有自己的专用安全核心、内部ROM、安全RAM以及支持进阶防御旁通道攻击(side-channel attack)的对称和非对称加密加速器和杂凑函数(hash-function),为SoC其他用户可程序设计(programmable)核心提供一系列安全服务。
从本质上来说,安全区域功能类似于在系统单芯片(SoC)内的安全总部或堡垒,储存和保护关键资产,包括RoT和加密金钥,以保护系统免受实体和网络攻击。
该子系统与处理应用和实时处理功能的其他处理器核心相互隔离。该物理隔离的架构支持SoC中明确定义的安全范围,简化安全物联网产品的开发,并透过隔离安全金钥储存管理、加密及其他重要安全特性来增强SoC和应用安全性。
安全区域提供灵活的策略和控制,能够将安全实践扩展至主流加密之外。其允许自主管理关键的安全功能,包含透过广泛加密服务增强的芯片信任根、运行验证、信任配置、SoC安全启动执行和细密式(fine-grained)金钥管理,以实现高端攻击防御,同时简化安全认证路径。先进的篡改检测和回应技术能够保护整个信任根,确保受保护的处理器在运行期间的功能完整性。根据设计,当检测到攻击时,安全区域系统将进行拦截。
当终端使用者应用在处理器上运行时,EdgeLock安全区域设计用于智能追踪电源转换。当应用处理器的异构核心进入不同功率模式时,其独特的「功率传感」能力透过执行安全性原则来强化抵抗与防范全新攻击表面(attack surface)。
该子系统使用托管代理,将安全性扩展到安全HQ外的SoC域。这些自主代理可建立并维持系统级安全能力,管理金钥并跨域执行策略。该代理透过SoC内的专用汇流排独立运行,以确保其他系统域(例如运行Linux或RTOS的系统域)始终受到保护,尤其是在功率模式转换期间。
预先配置的安全策略帮助开发人员降低实现安全功能的复杂性,避免代价高昂的整合错误,进而加快产品上市。EdgeLock安全区域支持区域外的配置服务,提供更简单的安全认证途径。该内建安全技术亦支持最新的物联网使用情境,如安全连结至公有云/私有云、装置至装置间认证和传感器数据保护。
