物联网的基础信任

物联网 （IoT） 和其他细分市场正在推动架构和连接解决方案，这些解决方案在功耗、安全性、资源和其他方面都面临着挑战。对于联网传感器，这些限制使得创建和维护最佳安全态势变得更加困难。

如第 1 部分和第 2 部分所述，TSS 2.0 的 TPM 为许多市场和应用程序提供了高级安全性。虽然TPM提供了多种安全选项，但由于嵌入式微控制器（MCU）或片上系统（SoC）的成本，复杂性和物理空间限制，某些应用，特别是在物联网解决方案，系统和组件中，可能没有TPM或类似的硅基功能。

TCG 针对这些限制的解决方案是设备标识符组合引擎 （DICE），这是可信计算组中 DICE 体系结构工作组的新规范。该规范以接近零的成本定义了物联网的基本安全性。简单的硬件（HW）要求使DICE几乎可以适应任何系统或组件。

作为首批利用DICE提供的功能的公司之一，微软对DICE的实施被称为健壮，弹性，可恢复的物联网或RIoT。DICE 和 RIoT 提供基于硬件的标识和证明，以及密封、数据完整性、设备恢复和安全更新的基础。

在 DICE 体系结构中，设备启动（引导）是分层的。从唯一设备机密 （UDS） 开始，将创建对设备以及每个层和配置唯一的机密或密钥。此派生方法意味着，如果引导不同的代码或配置，则机密会有所不同。如果存在漏洞并且泄露了机密，则修补代码会自动重新键入设备。

如图1所示，上电（复位）无条件启动DICE。DICE 具有对 UDS 的独占访问权限，并且每层使用加密单向函数 （OWF） 计算下一层的机密。在此派生链中，每一层都必须保护它接收的密钥。图 1 中的分支（红色箭头）说明了代码或配置更改的结果。更新提供了一种在错误代码泄漏机密时恢复设备或组件的方法。

图 1：DICE 模型（顶行）和更改的影响（红色箭头）。

DICE可以作为基础，实现许多高价值的场景。例如，DICE可用于安全的远程设备恢复（网络弹性平台计划）。它可以恢复无响应（即p0wned，挂起等）设备，成本大大降低，因为不需要物理设备交互。

另一个例子是供应链管理（“组件的DICE”）。最近发生的几次破坏性网络攻击是供应链中引入恶意软件的结果。DICE 认证使最终客户对供应链的信任要少得多，而只信任存储子系统或闪存供应商。

此外，强大的加密身份，真实性，许可和更多的信任方面使DICE成为建立可信传感器节点的理想属性。

实现所需的信任级别

在灵活的安全框架中，一种尺寸并不适合所有人。DICE提供最低的硅要求和低进入门槛 - 这是网络传感应用的两个关键因素。同时，它为基于硬件的强大加密设备标识和证明、静态数据保护（密封）以及安全设备更新和恢复提供了基础。随着SoC、MCU和闪存供应商的公开公告以及更多即将推出的公告，系统设计人员是时候研究DICE如何为传感器和其他物联网连接节点提供更高的安全性了。

本文由三部分组成，展示了互联工业应用中的传感节点如何从计算机、网络和存储段已经实现的更高安全性中受益。

审核编辑：郭婷