物联网安全可信计算环境系列之三： 系统整体方案介绍

NXP管管

本系列文章对构建在LPC55SXX芯片上的安全可信计算环境ISEE-M产品所涉及的诸多方面进行介绍，共由以下五部分组成：


《终端平台基础设计》，对ISEE-M的整体设计架构进行介绍（点击查看）
《终端平台开发套件》，对ISEE-M的开发工具环境进行简介以及开发示例演示（点击查看）
《系统整体方案介绍》，对基于ISEE-M产品上构建的系统整体解决方案进行介绍（本文）
《生产线配套工具》，对基于ISEE-M产品上生产产线安全问题的思考和解决办法进行介绍（待续）
《生命周期管理》，对基于ISEE-M产品上研发的终端产品的维护、升级安全问题的思考和解决办法的介绍（待续）


上一期我们对ISEE-M的开发环境进行了具体的介绍，相信通过工程和示例的展示，可以了解到在LPC55SXX系列芯片上部署和开发安全可信也可以是便捷和高效的！而这期我们要介绍在LPC55SXX系列安全芯片和ISEE-M系列可信计算环境为基础为物联网安全可信提供系统整体解决方案。还没看过上一期的同学，欢迎进入上方链接了解详情~

物联网终端安全问题

下面简要列举了在物联网整体方案中的安全点，也是在实际物联网整体可信安全中需要思考解决的一些问题：


物理安全（Physical Security ）


安全引导（Insecure boot）


密码服务（Lack of crypto services）


密钥安全（Unsecured Key）


关键算法、逻辑安全（insecure critical Algo&logic）


设备认证（Weak authentication）


通讯安全（Insecure Communication）


开源安全风险（Open source security）


授权用户，非授权指令（Authorized user，Unauthorized command）


在实践中，每一个安全点，每一类安全问题都有不同层面的、多种的解决方法。在现在网络安全、数据安全越来越重要，在物联网可信安全这个更加多样化、环境更加复杂，更加需要硬件、软件的安全能力结合；更加需要从云、管、端、边的协调一致的安全策略；更加需要从芯片、可信计算环境、操作系统、应用、云服务以及生产、检测、使用等各个环节来考虑安全，才能让物联网为企业和人更好的服务！
随着最底层的芯片硬件的安全能力的提升（如LPC55SXX系列安全芯片），为解决物联网的安全问题提供了更根本的、更经济，更便捷，更系统的解决方案。

软硬件结合的端到端安全可信

恩智浦LPC55SXX系列安全芯片和豆荚科技ISEE-M可信执行环境的结合，为客户提供软硬一体的、端到端的、安全可信的物联网解决方案。


安全可信方案概要


我们软硬结合的方案以物联网终端芯片可信计算环境为基础、支持不同等保安全级别要求的终端芯片（含trustzone）、安全密码引擎（硬件加密引擎、软件加密引擎）、不同形态及不同用途的安全单元（如SE、SIM、TPM等）、安全附件（摄像头、指纹、安全屏等）；
我们的终端侧解决方案可以确保物联网终端芯片内系统程序、业务程序、终端参数、业务数据和用户数据不被篡改或非法获取；
为物联网终端提供安全操作系统、安全密钥服务、安全端到端数据通讯交互、安全设备认证及安全运营维护监测管理。
为云、管、端、边一体协调的、统一的安全策略，提供可靠的安全能力，可信的服务保障！

系统整体方案


现在的物联网的应用业务，已经不可以靠简单的硬件堆积、部分软件的加固来提高整体的安全性！以我们多年大量实际项目在手机、智能终端上对应支付、金融、生物识别、AI等领域应用的高要求，结合在汽车、工业等物联网领域的积极探索和实践，我们理解认为物联网安全可信的系统整体解决方案，需要做到以下几个方面：
基于芯片级的嵌入式安全，在物联网设备终端侧提供便捷可靠的专业开发环境、开发测试套件，广泛适配适用的标准API接口；灵活丰富的通用组件；有能力支持物联网多样复杂的综合业务安全需求。
为生产环节的定制服务是基础性安全的保证，要满足不同生产环境，支持不同的生产管理系统，还要符合不同的物联网产品、业务的安全要求，要有强有力的定制开发，落地服务保障及丰富的业务安全要求应对经验。
物联网安全是为其应用、业务需要服务的，安全OTA对应用、可信应用乃至于可信环境的升级管理都是有必要的，使得端到端的安全通讯、设备认证、设备管理，直到定制监测服务等等的安全能力都是系统整体方案必须提供的。
对应于这几方面，我们以ISEE产品系列来满足物联网对安全可信系统方案的需求。

ISEE可信产品系列

ISEE-M


ISEE-M是可信计算环境。

ISEE-M和承载其的恩智浦LPC55SXX系列安全芯片是安全可信的物联网系统整体方案的基础产品。


具体ISEE-M产品，请回看本系列的第一篇、第二篇文章！


ISEE-M产品解决了物联网终端设备方，既要安全可信，又要快速开发、经济可靠、通用标准、灵活适配复杂多样的物联网安全可信综合业务需求。


ISEE-P


ISEE-P是为保障物联网设备安全可信生产的定制软硬件产品 。


为物联网设备生产过程提供一体化系统安全解决方案；满足物联网设备不同生产模式、不同生产流程、不同生产环境的安全定制化需求；解决设备制造方、业务提供方及合作方多角色的不同安全需求；设备生产过程中保障OTA密钥、业务密钥、设备密钥等密钥的安全；定制化产线生产、检测工具套件、节省成本、安全高效。


具体ISEE-P的介绍请您关注近期将推出的本系列第四期的文章！


ISEE-C


ISEE-C是与物联网终端芯片可信计算环境ISEE-M相配合，可安全、广泛的为整体的物联网云管端安全解决方案提供服务。帮助客户屏蔽复杂的安全技术操作，通过采用整体方案，快速便捷的利用安全基础设施实现对上层业务的安全增强。

基本功能有：安全OTA、密钥管理、设备管理、设备认证、安全通信、数据安全及安全管理等方面。


具体ISEE-C的介绍请您关注近期将推出的本系列第五期的文章！

安全可信能力，服务物联网

随着物联网的发展，其所涉及的方面前所未有的广泛，安全在各个方面之间的关联影响异常复杂，使得安全可信在物联网整体解决方案变得需要从芯片端到云业务端的全产业链都需要加入进来，并深度融入业务的生态系统中。
恩智浦LPC55SXX系列安全芯片和豆荚科技ISEE-M系列可信计算环境的系统整体方案为物联网提供基础可靠的安全可信能力、优秀便捷的软硬件服务！






作者：豆荚科技                               文章出处：恩智浦MCU加油站

阅读全文

00-405686

很详细，学习学习