終端設(shè)備安全和隱私對(duì)物聯(lián)網(wǎng)消費(fèi)者至關(guān)重要
TrustZone 是由 ARM 為其 Cortex-M 處理器開發(fā)的安全軟件技術(shù)。Silicon Labs 已采用此技術(shù),并將其與我們的協(xié)議棧集成,以創(chuàng)建一個(gè)安全系統(tǒng),將關(guān)鍵材料隱藏在無(wú)線協(xié)議棧中的,同時(shí)仍然為客戶提供相同的協(xié)議棧 API。
TrustZone 如何運(yùn)作?
TrustZone 將內(nèi)存邏輯分離為安全處理環(huán)境 (SPE) 和非安全處理環(huán)境(如下圖所示)。
有一個(gè)預(yù)定義的、受限制的命令列表,可以從 NSPE 傳遞到 SPE。這樣做是為了最大限度地減少對(duì) SPE 的暴露,并保持存儲(chǔ)在此處的數(shù)據(jù)安全。
例如,如果無(wú)線協(xié)議棧希望在 SPE 中存儲(chǔ)密鑰,則特定的 PSA 加密 API 命令可以通過(guò) PSA 驅(qū)動(dòng)程序傳遞到安全子系統(tǒng),這些密鑰將使用硬件唯一的 TrustZone 存儲(chǔ)密鑰進(jìn)行整合。隨后將加密密鑰存儲(chǔ)在 NVM3 存儲(chǔ)中。
具有 TrustZone 功能的 Vault Mid 部件
具有 TrustZone 功能的 Vault High 部件
為什么 TrustZone 對(duì)保護(hù)物聯(lián)網(wǎng)設(shè)備很重要?
當(dāng)今,物聯(lián)網(wǎng)產(chǎn)品開發(fā)面臨的最嚴(yán)峻的挑戰(zhàn)圍繞著安全。
安全和隱私
TrustZone 提供了一種安全的方式來(lái)存儲(chǔ)無(wú)線密鑰和設(shè)備使用的其他固件,以防止應(yīng)用程序漏洞。
例如,我們的藍(lán)牙低功耗 (LE) 醫(yī)療設(shè)備,如使用 Secure Vault 中等程度安全功能的血糖儀,沒有安全密鑰存儲(chǔ)功能。密鑰以明文形式存儲(chǔ)在閃存中,這并不是安全存儲(chǔ)密鑰的方式。
借助 TrustZone,這些密鑰將以加密方式存儲(chǔ),從而確保終端設(shè)備的安全性。
要詳細(xì)了解 Secure Vault? Mid 和 Secure Vault? High 部件的不同之處,請(qǐng)參閱 Silicon Labs IoT 產(chǎn)品安全表。
可通過(guò) PSA 2 級(jí)認(rèn)證
PSA 2 級(jí)認(rèn)證的一個(gè)要求是通過(guò)硬件機(jī)制將 SPE 隔離,以保護(hù)關(guān)鍵服務(wù)和相關(guān)資產(chǎn)免受非安全處理環(huán)境的影響。隨著 TrustZone 的推出,Vault-Mid 部件現(xiàn)在可防止邏輯軟件攻擊,并且可通過(guò) PSA 2 級(jí)認(rèn)證。
安全可靠、無(wú)需額外費(fèi)用
TrustZone API 可在 Secure Vault-Mid 和 Secure Vault-High 部件上安裝和使用,客戶無(wú)需支付額外費(fèi)用。
針對(duì)物聯(lián)網(wǎng)終端設(shè)備的攻擊向量超過(guò) 50% 是遠(yuǎn)程邏輯攻擊。
TrustZone 將支持哪些協(xié)議棧?
TrustZone 現(xiàn)已可用于所有使用 Secure Vault-Mid 和 Secure Vault-High 安全功能的藍(lán)牙低功耗和藍(lán)牙網(wǎng)狀網(wǎng)絡(luò)設(shè)備。
TrustZone 安全的優(yōu)勢(shì)
TrustZone 可用于所有藍(lán)牙 LE 應(yīng)用以及任何使用密鑰的應(yīng)用,例如:
