一、安全操作系统
1、TEE
基于硬件隔离技术将安全业务运行在TEE可信执行环境,保护安全资产。 TEE具有以下四种特点:
- 易移植:多芯片平台已集成(MTK、NXP、RK,、Samsung、TI、JLQ、Spreadtrum等);
- 产品资质:通过TEE安全认证和GP功能性测试认证;
- 量产实绩:国内外终端设备搭载量15亿+;在智能汽车IVI、T-Box、RSE、CGW等ECU广泛应用;
- 生态完备:提供配套工具、技术服务、现场支持。
2、ISEE-M
ISEE-M是loT芯片内的可信安全操作系统,以芯片硬件安全能力为根本,为互联网终端提供安全可信的执行环境及方便丰富的集成应用开发能力。ISEE-M可信安全操作系统用来保护物联网设备端信息安全。多层面的、可扩展的软件系统方案,Zero-Coding易开发维护。 ISEE-M特点:
- 基于硬件的信任根
- 小可信计算基
- 密码学身份
- 安全启动、升级
- 安全存储
- 安全设备认证和证明
- 安全网络连接
- 小规格
- <96KB 闪存
- <32KB 内存
3、RISC-V
二、密码学服务
1、HSM
三、安全产线
1、ISEE-P
ISEE-P是IoT产线安全生产集成方案及服务。以满足IoT设备所有方、业务运营方实际安全要求为目的,为设备制造方在生产阶段提供安全的镜像、密钥及第三方数据的管理能力。 ISEE-P安全产线支持图形界面跨平台,包括安全产线服务和产线工位工具,实现安全产线的端对端系统,同时与多个ISEE-P工位工具做业务交互,简单配置可实现不同项目共用ISEE-P工具集。 1)ISEE-P特点:
- 安全产线服务
- 产品维护
- 配额管理
- 生产用KeyBox下发
- 镜像加密/设备端解密
- 产线工位工具
- 镜像烧录
- 镜像解密
- 密钥灌装
- 生产状态监控
2)ISEE-P功能及所解决的问题:
- 与生产商的产线集成;
- 结合ISEE-P/ISEE-P安全基础能力,管理设备镜像,加密传输镜像,生产链条中,镜像全密文传输,设备端烧录时在设备内部解密,避免镜像泄露;
- 管理产线所需的密钥,防止泄露,确保密钥在产线生产环境中以完整、可靠的方式安全灌装到设备中;
- 实时监控密钥灌装情况;
- 满足业务运营的生产安全要求;
- 支持离线和在线两种生产方式;
- 支持工厂防呆。
四、安全服务平台
1、Crypto2X(C2X)统一安全接入平台
1)企业证书/密码管理系统所面临的问题 在企业繁多的业务下,密钥与证书管理系统面临诸多风险与挑战:
- 业务视角:企业业务系统与具体的证书密钥服务提供商强绑定,可选择空间小;
- 成本视角:部分证书密钥服务提供商采用设备、系统低价,业务层定制开发高价的模式,导致业务长期整体成本上升;
- 敏捷视角:企业每次新增业务都需要与证书密钥服务供应商签署新的开发合同,开发周期长;
- 安全视角:业务分属不同的部门,各部门自行维护本部门业务的证书、密钥体系,导致证书、密钥体系分布碎片化,不同的供应商单独设计及部署,导致系统建设及维护能力的参差不齐,容易出现安全短板。
2)C2X统一安全接入平台的价值及功能特点 豆荚C2X统一安全接入平台,统一了企业的证书、密码等安全服务的入口,实现了与证书、密钥服务供应商的解耦。
- 扩大业务选择范围:企业更换供应商不对业务造成影响。
- 降低采购成本:企业可自行决定业务模块的开发者,从而控制整体采购成本。
- 敏捷开发,降低开发成本:模块化架构,基于模板的开发套件,让开发者仅关注业务,有效降低了业务模块开发成本。豆荚可协助企业构建在C2X平台上自主开发业务模块的能力。一般可以降低50%~70%的业务模块开发成本。
- 避免碎片化,提升安全性,可控性:各业务的证书、密钥通过安全服务平台统一规划,统一设计,统一部署,统一维护,统一监管,统一审计,将各项业务的证书、密钥服务能力进行对齐。
2、ISEE-C
ISEE-C是豆荚提供的 IoT云上可信安全方案及服务,以可信计算理论和密码学为基础,为物联网系统平台提供端到端设备安全认证、安全连接、业务数据加密、秘钥管理等基础安全能力。 ISEE-C提供物联网设备身份认证服务。针对物联网设备计算能力、联网能力,提供涵盖硬件、软件等不同安全等级的解决方案。全流程可视化配置,实现从研发到工厂,从设备到服务器,端到端的数据加密解决方案,全面提升物联网设备与数据的安全可信。 1) ISEE-C特点:
- 密钥生命周期管理
- 设备认证服务
- 面向IoT业务服务的设备认证
- 面向IoT物联网平台的设备认证
- 安全审计
- 设备认证统计
- 生产管理服务
- ISEE-P生产节点管理
- 信任根配额管理
- 设备镜像管理
- 设备镜像加密服务
2) ISEE-C功能及所能解决的问题:
- 端到端的安全可信数据传输
- 对于自有IoT平台和公共IoT平台的数据所有权的灵活配置
- 自有IoT平台:可将ISEE-C设备认证集成到自有IoT平台中,作为自有IoT平台的可选设备认证方式,提高设备认证的安全等级。
- 公共IoT平台:在IoT设备与客户业务服务器之间实现端到端的加密,公共IoT平台只是作为消息传输通道,无法查看、解密客户的业务数据。