物聯(lián)網(wǎng) （IoT） 和其他細(xì)分市場正在推動架構(gòu)和連接解決方案，這些解決方案具有具有挑戰(zhàn)性的電源、安全性、資源和其他限制。對于聯(lián)網(wǎng)傳感器，這些約束使得最佳安全態(tài)勢更加難以創(chuàng)建和維護(hù)。

如第1 部分和第 2 部分所述，帶有 TSS 2.0 的 TPM 為許多市場和應(yīng)用程序提供了高級安全性。雖然TPM提供了多種安全選項，但由于嵌入式微控制器（MCU）或片上系統(tǒng)（SoC）的成本、復(fù)雜性和物理空間限制，某些應(yīng)用（尤其是物聯(lián)網(wǎng)解決方案、系統(tǒng)和組件）可能沒有TPM或類似的硅基功能。

TCG 針對這些限制的解決方案是設(shè)備標(biāo)識符組合引擎 （DICE），這是可信計算組中 DICE 架構(gòu)工作組的新規(guī)范。該規(guī)范以接近零的成本定義了物聯(lián)網(wǎng)的基礎(chǔ)安全性。簡單的硬件 （HW） 要求使 DICE 幾乎可以適應(yīng)任何系統(tǒng)或組件。

作為首批利用DICE提供的功能的公司之一，微軟對DICE的實施被稱為健壯，彈性，可恢復(fù)的物聯(lián)網(wǎng)或RIoT。DICE 和 RIoT 提供基于硬件的身份和證明，以及密封、數(shù)據(jù)完整性、設(shè)備恢復(fù)和安全更新的基礎(chǔ)。

在 DICE 架構(gòu)中，設(shè)備啟動（啟動）是分層的。從唯一設(shè)備機(jī)密 （UDS） 開始，創(chuàng)建對設(shè)備以及每個層和配置唯一的機(jī)密或密鑰。此派生方法意味著，如果引導(dǎo)不同的代碼或配置，機(jī)密將不同。如果存在漏洞并泄露了機(jī)密，則修補(bǔ)代碼會自動對設(shè)備重新生成密鑰。

如圖1所示，上電（復(fù)位）無條件啟動DICE程序。DICE對UDS具有獨占訪問權(quán)限，每一層使用加密單向函數(shù)（OWF）計算下一層的密鑰。在這個派生鏈中，每一層都必須保護(hù)它收到的秘密。圖 1 中的分支（紅色箭頭）說明了代碼或配置更改的結(jié)果。更新提供了一種在錯誤代碼泄露機(jī)密時恢復(fù)設(shè)備或組件的方法。

圖 1：DICE 模型（頂行）和更改的影響（紅色箭頭）。

DICE可以用作啟用許多高價值方案的基礎(chǔ)。例如，DICE可用于安全的遠(yuǎn)程設(shè)備恢復(fù)（網(wǎng)絡(luò)彈性平臺計劃）。它可以恢復(fù)無響應(yīng)（即p0wned，掛起等）設(shè)備，成本大大降低，因為不需要物理設(shè)備交互。

另一個例子是供應(yīng)鏈管理（“組件的DICE”）。最近發(fā)生的幾次破壞性網(wǎng)絡(luò)攻擊是供應(yīng)鏈中引入的惡意軟件的結(jié)果。DICE認(rèn)證使最終客戶對供應(yīng)鏈的信任要少得多，而只信任存儲子系統(tǒng)或閃存供應(yīng)商。

此外，強(qiáng)大的加密身份、真實性、許可和更多信任方面使DICE成為建立可信傳感器節(jié)點的理想屬性。

實現(xiàn)所需的信任級別

在靈活的安全框架中，一種尺寸并不適合所有人。DICE提供最低的硅要求和低進(jìn)入門檻 - 這是網(wǎng)絡(luò)傳感應(yīng)用的兩個關(guān)鍵因素。同時，它為基于硬件的強(qiáng)大加密設(shè)備標(biāo)識和證明、靜態(tài)數(shù)據(jù)保護(hù)（密封）以及安全設(shè)備更新和恢復(fù)提供了基礎(chǔ)。隨著SoC、MCU和閃存供應(yīng)商等供應(yīng)商的公開發(fā)布，系統(tǒng)設(shè)計人員現(xiàn)在是時候研究DICE如何為傳感器和其他物聯(lián)網(wǎng)連接節(jié)點提供更高的安全性了。

這篇由三部分組成的文章展示了互聯(lián)工業(yè)應(yīng)用中的傳感節(jié)點如何從計算機(jī)、網(wǎng)絡(luò)和存儲段已經(jīng)實施的更高安全性中受益。

審核編輯：郭婷