AIoT安全需求持续升级 如何打造数据安全“保险柜”

　　设备一旦联网，就成了用户触达海量应用的锚点，也变成了网络攻击的靶子。智能网联汽车、智能手机、智能音箱、家用摄像头等IoT设备，正在监测用户的体征信息并成为人类感官系统的延伸。IoT设备的安全，不仅关乎隐私数据保护，也涉及到用户资产、声誉甚至生命安全的方方面面。

　　面向AIoT系统不断增强的数据处理能力和数据吞吐量，以及不断升级的安全需求，全流程、全链条的安全解决方案日益受到重视。

　　“安全不是一个单独的产品或模块，而是怎么在整个系统建立起安全的运行环境，以保护数据的获取、分析、存储、传输和展示。”安谋中国产品研发常务副总裁刘澍表示，“如果说安全芯片是锁，(基于IP的)安全技术就相当于保险柜。通过在整个体系建立可信的计算机制，支持OEM等厂商充分发挥创造力，为用户的带来丰富多彩的安全服务。”

　　AIoT复杂性呼吁全流程安全管理

　　AIoT系统包含用户、设备、网关、连接、云平台、应用等诸多节点，每个环节都需要安全组件的保驾护航。具体来看，安全组件主要分为安全设备、安全连接、安全云、安全生命周期管理四个层级。

　　在设备层面，安全组件的核心功能涉及安全启动、安全存储机制和加解密能力等。其中，安全启动是保障设备安全可信的前提;安全存储机制是设备存储关键及隐私数据的必要条件。加解密能力是安全机制的核心，也是实现安全系统的基本保障。

　　当设备和云端连接，需要基于安全传输层协议(TLS)、端到端通讯加密等组件建立安全连接，保障数据传输和运行安全。

　　除了少量缓存和边缘处理数据，大部分IoT数据存储在云端。云平台的数据和应用安全需要安全管理及校验方式的保护。

　　全生命周期的安全管理已经成为AIoT系统的标配。该机制面向系统的生命周期，进行固件的升级和功能管理，满足云端平台管理、监控、下发设备、收集设备等操作的安全需求。

　　为了应对AIoT的安全风险，Arm将安全作为重要的技术演进方向，在架构演进的过程中持续引入安全技术。Arm的TrustZone技术已经有十几年的演进历程，在最近的Armv8.3、8.4、8.5等架构升级上面，陆续引入PAC(Pointer Authentication Code)、 BTI (Branch Target Identification)及MTE(Memory Tag Extension)等相关技术。

　　“这些技术有两方面的目标。一是对代码进行隔离，从而减少程序的被攻击面。另外一方面是限制程序指令的执行流和数据流的流向，从而免受到黑客的攻击，为黑客攻击IOT设备带来额外的成本。” 安谋中国安全产品经理耿建华表示。

　　随着AIoT场景对数据处理能力的要求越来越强，承载的应用更加多样，面临的安全威胁也更加复杂。在这种趋势下，安谋中国发布面向AIoT系统的全栈安全解决方案“山海”S12，为从芯片安全 IP 层到云端安全应用和安全管理提供全链路的安全保护。

　　从硬件IP到云端服务的全栈安全方案

　　安谋中国从成立之初，就将安全产品线作为主要产品线。经历了3年研发，安谋中国已经发布了两代安全产品，拥有了20余家授权客户。

　　“山海”S12是安谋中国面向 AIoT 系统的全栈安全解决方案。2019年，安谋中国面向Cortex M系列的MCU场景，发布了“山海”第一代产品E10、E20。作为新一代产品，“山海”S12面向Cortex-A系列和R系列应用处理器。

　　相比MCU，应用处理器的数据处理能力更强，数据吞吐力更高，对加解密性能也提出了更高的要求。为此，“山海”S12提供了从硬件 IP 层到云端安全服务的一站式安全解决方案。同时，“山海”S12支持国内和国际两套密码算法，采取模块化设计，可灵活配置算法及能力，支持客户根据自身需求组合解决方案。“山海”S12还支持多达16个Host的能力，具备生命周期安全管理和通过3级密钥派生增强密钥安全的管理能力。

　　作为IP提供商，安谋中国为安全解决方案提供理念、机制和可信环境。在接受《中国电子报》采访时，刘澍表示，安全IP是一整套的安全机制，为信息读取、传输、保存和分析使用提供安全的运行环境，这种环境是靠安全芯片和多种校验方式共同实现，并贯穿设备的整个生命周期。

　　“我们更多的是提供一个可信计算环境的底层基础，在这个基础之上，我们可以有厂商把它做成安全芯片，也像银行一样将它做成服务机制。我们保证服务机制的数据安全，让用户的信息和服务商的信息都得到了很好的交互，这个交互是不会被泄露的，同时也是被有效隔离的。我们将这种安全机制赋能给芯片公司或者设备公司，去产生更多的创新产品和应用。” 刘澍说。

　　中国是AIOT应用场景最丰富、创新创业最有活力的市场，耿建华表示，希望通过创新来赋能中国的安全生态，与本土的合作伙伴一起共同成长。

　　“我们的安全产品是由本土化的公司来提供的，整个的产品的设计和实现的流程都是在国内来做的，包含了国家商用密码算法。” 耿建华指出，“对于本土合作伙伴和客户的定制化需求，以及安全设计和需求，我们能快速地响应并快速地支持到位，这是我们面向本土市场的优势和特点。”