OmniShield:为行动、汽车或物联网应用提供更高安全性

消费者今天利用电子装置能做的事情比以往任何时候都多;于此同时,这些各式装置产生的重要数据对潜在犯罪者来说,也已变得极有价值。此外,另一个挑战是,安装来自不可信任来源的应用程序会使辨识与阻止可能的安全入侵变得更为困难。

现在有一种新推出的OmniShield解决方案,能协助业者与消费者在平台的层级来克服这样的安全疑虑。此方案能为芯片制造商与OEM业者提供他们在开发更佳装置时所需的先进安全架构。图1是OmniShield的软硬件架构示意,本文将说明OmniShield在今日连网世界中的一些使用案例。

1

OmniShield硬件与软件架构

穿戴式装置、智能型手机与平板计算机

当谈到行动运算时,我们通常是指智能型手机和平板计算机。去年,行动装置已扩展至涵盖更多样的新型态装置,包括穿戴式装置、二合一笔电,以及其他行动装置。

这些装置能够彼此沟通并与外部的世界沟通;你可以在午休时间用手机玩游戏,然后回家后再在平板计算机上继续玩。你的智慧手表可以监控你的心跳,再把数据传给手机;你的穿戴式装置还能存取电子邮件,并在收到新讯息时发简讯通知你。你还能把个人用的平板计算机带去工作,并在开会时用它来记录重要信息。

2

适合行动和穿戴式应用的OmniShield方案

由于行动装置的软件(操作系统和应用程序)与硬件(芯片)的快速演进,以上这些使用案例都已经成为事实。但是,没有受到妥善保护的装置很容易就会成为黑客的攻击目标。

透过在硬件层级上建置安全性,行动芯片能够把用户数据存放在不同的区域中,因此一个安全性上面的弱点并不会影响到整个平台的完整性。举例来说,如果一个下载的游戏感染到恶意软件,黑客还是无法窃取你的银行账号或健康信息。你还能把个人与工作数据完全隔开,因此能确保高度机密信息的完整隐私。

另一个使用案例是有关付费媒体内容的串流。以前,供货商必须依赖智能卡来进行加密,但这会增加芯片成本、并降低整体的效能。透过利用OmniShield,行动处理器能显示在非安全区的Android媒体播放器上执行的内容,而解密的部分会放在远离操作系统的区域,并在单独且安全的可信任执行环境(Trusted Execution Environment,TEE)中处理。

由于OmniShield是在统一的内存上执行,因此用来暂存数据的缓冲器也会受到保护。此外,内容会与其他在背景执行的软件隔离,例如以GPU来执行多个应用程序的案例。

消费性与工业用IoT

一年前在美国曾发生过一个案例,有几台智能型电冰箱觉得光是冷藏气泡酒的功能还不够看,它们把处理功能转而用来向全球的企业与个人发出垃圾邮件,一天内可发出三次高达10万封的大量邮件;之后又发生了黑客透过冷暖空调(HVAC)系统入侵攻击目标,并造成高达4.2亿美元的损失。

新闻报导揭露,在这上述两个案例中,黑客都能轻松绕过制造商设计的软件安全系统并成功入侵。

这些都是现今某些消费性和工业用的IoT装置会遭到黑客攻击的例子。此外,我们看到目前业界预测,IoT未来将成长至高达数十亿台的规模;因此,如何克服安全疑虑,并打造新的业务模式都是必须面对的挑战。

3

IoT网关与边缘装置可能会被攻击的区域

透过采用OmniShield解决方案,OEM业者能建置从硬件一直到云端层级的完整安全性;例如包含MIPS M5150处理器的连网处理器平台(M5150是支持硬件虚拟化与多重TEE的微控制器)。

内建这些MCU的装置能为远程装置管理与服务布署建立安全的管道,并能在Linux等支持绘图用户接口的操作系统上执行。此外,M-class处理器具备防窜改(anti-tamper)的除错接口,不会让黑客有能趁虚而入的后门。

大部分的智能型装置都将与云端的基础架构连结。Imagination开发了一个名为FlowCloud的IoT平台,能为业者提供一套具扩充性、安全性与易用性的解决方案,支持包括装置与用户身分认证、异步传讯验证、异步传讯服务、事件记录、数据储存、安全交易与电子支付。

汽车

全球制造商都开始在行动芯片中增加新功能,试图将信息娱乐、仪表板导航、自动停车、无线通信连接或碰撞侦测/预防等特性带到智能型汽车中。一直到现在,这通常是由个别处理器或是执行软件虚拟化技术的单一平台来处理--但会影响效能并增加功耗。

这也让汽车容易受到窜改的风险。去年,德国汽车俱乐部(ADAC)表示,德国的黑客能利用汽车韧体中的瑕疵从远程打开已经上锁且连结上网汽车。

透过采用OmniShield平台,藉由在嵌入式单芯片上安全地执行多项功能,汽车制造商能降低成本并简化设计。由于OmniShield包含跨平台的安全虚拟化技术,CPU+GPU子系统能在隔离的区域中同时执行信息娱乐系统和碰撞侦测系统,以确保故障安全防护功能的运作。

4

OmniShield在汽车的多种应用

此外,控制各种重要功能(ABS、动力转向、传动控制等)的嵌入式控制单元(ECU)也能采用OmniShield来确保运作效能且免于被窜改。

数字电视与机顶盒

连网家庭的技术需求将在未来数年内持续地大幅成长;为满足这些需求,业者必须能够开发出内建高效能技术的灵活解决方案。

家庭用的消费性电子装置也需要前瞻性的安全设计,使用者才能随时地在任何装置上享受高质量的视讯与音频内容。传统上,广播内容是利用在个别芯片上建置的单独区隔的加密引擎来保护的。但是,这个方法有几个缺点:通常会有软件整合的问题,此外,利用个别芯片会增加功耗并降低效能(特别是Full HD或Ultra HD内容)。

OmniShield可支持多种加密内容的标准,针对DVB应用,该平台能处理条件存取(CA)等标准的数字密钥,并同时在电视的用户接口上加密与显示串流内容。软件架构师还能利用OmniShield平台安全地建置更先进的功能,像是屏幕分割功能,让广播内容能够与社交媒体的应用程序一起显示。

结论

以上的各种范例显示,现在为连网装置建置先进的安全性功能的重要性已更胜以往。业界正体认到,安全性必须是多方位的;利用OmniShield建置并扩展至高阶应用程序的平台层级的多层次安全性,将能符合OEM业者与消费者的真正需求。

来源:EDN电子

精彩专辑《物联网》阅读同主题信息。
--电子创新网--
粤ICP备12070055号