安全元件和 TPM 如何保护物联网

• 阶段 1：“事物”，如传感器和执行器
• 阶段 2：网关和数据采集
• 阶段 3：边缘数据处理设备（最大限度减少发送到云端的数据）
• 阶段 4：云（公共和私有）以及远程应用程序

在这四个阶段中，每一个阶段都必须考虑物理设备的安全性或其网络安全性。如果不采取端到端的安全措施，每个阶段都可能在其他阶段中暴露出关键信息。 在过去十年中，出现了一种突破性的方法，可确保所有物联网阶段的端到端安全性。安全元件和可信平台模块，通常称为 TPM，是物理加密微控制器，专门设计用于通过集成的加密密钥保护所有系统硬件。本文着眼于物联网安全的各个阶段，TPM 安全技术是如何出现的，以及该技术如何与内置处理器安全结合使用。

物联网的第一阶段到第二阶段

物联网的第一阶段由“事物”组成，如智能灯、传感器、致动器、可穿戴设备，甚至电器。在这些终端设备中，每台设备都通过互联网网关或集线器以无线或有线方式连接到网络（物联网的第二阶段）。这些设备之间的双向连接包括从设备收集的信息、从网关到设备的命令，甚至端点的软件更新。不管交换什么数据，这些信息的安全性对于最终用户和支持最终用户的系统来说都至关重要。

例如，住宅无线安全摄像头系统可能包含有关其用户或周围环境的敏感信息，例如人们通常何时在家或不在家。如果这些信息在设备和互联网集线器之间被截获，则整个架构的网络安全就会被认为受到威胁。另外，如果网关根据提示连接到“假冒”或恶意端点，专有软件可能会被拦截，或者恶意信息可能会被共享。同样，在回滚攻击中，具有已知问题或潜在后门的先前版本的软件可以在无保护的无线 (OTA) 更新期间发送到受损设备。

安全元件和 TPM 可以通过安全加密密钥和认证授权实现设备到设备的身份验证，以确保第一阶段到第二阶段的连接（连接到网关设备的“事物”）始终不会受到网络威胁。这种基于硬件的安全方法确保每台设备都通过其预期的连接点进行安全认证。

在上述两个例子中，第一个例子的 TPM 可以防止身份验证违规，因为端点连接到预期的网关，并且信息在接收时是安全的。在第二个例子中，端点上的安全元件可以验证安全网关连接到经过认证的端点设备。安全元件和 TPM 可以提供唯一的设备身份和其他连接设备的本机身份验证，使系统更不容易受到网络攻击。

同样值得注意的是，安全元件的进步已经创造无需网关即可认证直接云连接的方法。一些边缘设备现在无需网关直接连接到云，巩固了第一阶段到第二阶段的连接。

为了在全球范围内实现标准化的 TPM 规范，并为各种设备提供经认证的安全性，可信计算组织 (TCG) 于 2003 年成立。

“可信计算组织 (TCG) 是一家非营利性组织，旨在开发、定义和推广开放的、供应商中立的全球行业规范和标准，支持基于硬件的可信根，用于可互操作的可信计算平台。TCG 的核心技术包括可信平台模块 (TPM)、可信网络通信 (TNC) 以及网络安全和自加密驱动器的规范和标准。TCG 还设有工作组，将信任的核心概念扩展到云安全、虚拟化以及从企业到物联网的其他平台和计算服务中。”

第二阶段：物联网网关和数据采集系统

在传统的物联网系统中，第二阶段设备（如网关和数据采集系统）然后连接到第三阶段边缘 IT 设备，如分析、预处理和数据聚合系统。个人电脑和本地服务器被视为第三阶段设备，因为它们包含可用于本地管理第一和第二阶段设备的数据采集和处理系统。它们可以根据来自不同传感器的多个数据点做出决策，并采取实时行动，而无需前往云端进行处理。这允许将更少量的数据（在某些情况下还有元数据）发送到云，用于数据跟踪或更高级别的系统管理。 网关和本地数据处理设备之间的网络安全可以采取多种形式。根据行业的不同，这些数据可能非常简单，也可能非常复杂，甚至可能包含个人信息、知识产权或其他至关重要的信息。

TPM 通常用于边缘处理阶段，以保护比设备和网关或集线器之间更复杂的嵌入式系统。通常有一个更高级别的操作系统在微处理器上运行，可以利用 TPM 的优势。例如，TPM 可以验证安全软件更新和加密，检测代码中的错误或操作，防止回滚攻击，实现安全启动，以及处理设备管理。为实现这种高级别的安全性，第二阶段和第三阶段设备中使用的 TPM 通常会保护操作系统，如 Linux、嵌入式 Windows、Windows 或专有嵌入式操作系统。

物联网的第三阶段到第四阶段

第三阶段到第四阶段的安全是最复杂的，可以从 TPM 网络安全中受益。来自边缘 IT、计算机和本地服务器与数据中心和云服务的通信需要通过云主机（如 Amazon Web Services）进行高级集成。这些高级 TPM 主要用于安全启动、OTA 更新、安全数据加密、供应链支持、设备管理、固件安全、设备身份和设备认证。

此外，TPM 还可以防止本地攻击、旁路攻击、故障注入，甚至是入侵性硬件攻击。这些 TPM 可能具有专用的双重计算、加密、数字签名处理、IP 保护，甚至可以防篡改。TPM 也可以在此阶段用于验证来自云端的命令是否合法，并确认从边缘 IT 节点提交到云端的信息是安全的，并且被传送到正确的服务器。

TPM 通常出现在个人电脑和物联网管理系统中，并常用于现代计算应用中。例如，如果计算机的启动或引导时间被认为超出了正常范围，这可能是固件或系统配置发生意外变化的迹象。如果 TPM 认为这种行为不可接受，高度安全的应用程序和系统设置就会被阻止。只要满足必要的加密密钥和身份验证标准，OEM 或系统管理员就可以完全定制 TPM 可以采取的操作。

片上安全性可能导致过度设计

在定制的嵌入式解决方案中，硬件设计最佳实践要求硬件开销应最小化。确保嵌入式设计中使用的所有硬件都有其用途，而不是过度设计，这一点至关重要。例如，远程健康监测设备通常只需要很少的本地处理能力，但需要足够的安全性，防止对这些设备使用的网络进行网络攻击。为了保护患者的机密信息并符合当地法规，工程师在设计远程健康监护仪时，可能会使用片上安全系统（而不是 TPM）来防止可能的网络攻击，因此可能会过度设计嵌入式 MCU 的其余部分。一个更有效的替代方案是将简单的 MCU 与 TPM 配对，以最大限度减少过度设计，并显著降低 BOM 成本。

与其他片上嵌入式安全解决方案相比，TPM 以更低的成本提供更高的安全性，并为工程师的设计提供更大的灵活性。

安全元件和 TPM 安全性

可信平台模块技术的基础是标准化，以确保在物联网解决方案中以高效的价格获得最高质量的网络安全。虽然安全元件和 TPM 已经在任务关键型安全和加密应用中使用十多年，但 TPM 的基础现已在整个物联网堆栈中实施，以确保每个阶段的必要安全性。

物联网原始设备制造商利用安全元件和 TPM 来防止伪造、网络攻击和未经认证的连接，从而间接保护他们免受知识产权损失，并有助于维护品牌信心和市场份额。安全元件和 TPM 可用于验证您的设备和物联网基础设施的真实性、完整性和保密性，同时可帮助原始设备制造商降低成本。

要了解有关安全解决方案的更多信息，立即下载 Arrow 嵌入式安全解决方案电子书。

了解更多关于电子书的信息