集成 SIM 的安全连接释放移动物联网的能量

Synopsys 产品营销经理 Dana Neustadter

简介

传感器、目标跟踪器、安全摄像头、智能交通信号灯、可穿戴设备和智能电表等联网的 IoT 设备正在迅速普及。大量联网 IoT 设备都使用蜂窝网络技术进行通信。5G 正在为新的设备发展浪潮奠定基础,促进实现更大规模的快速 IoT 连接。NB-IoT 和 LTE-M 是为 IoT 应用设计的低功耗广域 (LPWA) 通信技术,将继续伴随 5G 的演进向前发展。

随着具有各种功能的 IoT 设备面市,用户在购买产品后就会寻求无缝的安全连接和软件升级。安全和远程管理需求可通过基于直接集成到芯片组中的用户识别模块 (SIM) 技术的经济实惠且可扩展的解决方案满足。集成 SIM (iSIM) 技术为网络提供了强大的设备识别和认证能力,它可作为安全通信的信任锚,相较分立设备具有更低的成本和更高的潜在安全性。除了为用户带来的安全优势外,集成的 SIM 还可以帮助移动网络运营商保护其网络免受诈骗和滥用。

用户喜欢 SIM 具有的安全性,但传统的 SIM 技术只能将一张 SIM 卡绑定到一家移动网络运营商。要更换网络运营商,用户就得更换 SIM 卡。这对于手机而言相当容易,但对于具有内置 SIM 的小型或大规模部署的 IoT 设备而言(例如数千户家庭使用的智能电表),则较为困难。

新的 IoT 设备需要接受各家网络运营商颁发的证书,并且通常是同时接受多家运营商的证书,这与几年前以运营商为中心的模式完全不同。为了成功扩展并保护 IoT 设备,系统架构师正在将对运营商的灵活支持设计到芯片当中。

本文展示了端到端 iSIM 解决方案如何实现无缝安全的 IoT 蜂窝网络连接,为广大企业提供一种可扩展的模式,能够对数以百万的设备执行管理并实现盈利。

iSIM:移动 IoT 的未来

过去 20 年中,SIM 卡在移动通信的快速发展方面发挥了至关重要的作用,而且随着时间的推移,SIM 卡出现了各种新功能并推出了不同的外形尺寸(图 1),以支持新的、功能更强和/或更小的设备。

在消费类和 IoT 设备中,标准 SIM 卡现在正在向嵌入式 SIM (eSIM) 转变。GSMA 推动制定的 eSIM 新标准允许设备在制造时包含固定的 SIM 硬件安全元件,而不是在制成之后插入运营商提供的分立 SIM 卡。GSMA 标准化 eSIM 协议使移动运营商能够远程安装和管理现场设备的连接配置文件和用户身份。eSIM 也称为 eUICC(嵌入式通用集成电路卡),可作为焊接到电路板上的安全元件芯片提供。

尽管 SIM 技术至今发展迅速,但消费者和产品设计人员仍在寻找更加优化、安全且灵活的解决方案,以更快的速度“解锁” IoT。他们偏爱更开放的生态模式,以便任何移动运营商都能够控制任何设备,同时还能优化成本、尺寸、功耗和性能。这些市场需求催生的结果是从 eSIM 到 iSIM 的演变。iSIM 是基于 eSIM/eUICC 远程配置功能构建的,但它直接嵌入到调制解调器或片上系统 (SoC) 中。 

图 1:iSIM 的发展历程 

iSIM 解决方案

iSIM 在全行业的采用正在推动构建更加开放的移动网络运营商生态系统,同时还缩减了尺寸和功耗。iSIM 使设计人员能够将以前需要分立芯片和模块的功能(如应用处理器、调制解调器和 SIM)集成到单个 SoC 中(图 2)。 

图 2:集成了应用处理器、调制解调器和 iSIM 安全模块且能使用蜂窝网络的 SoC

实施集成解决方案可以减少组件数量,简化 PCB 并实现更高效的资源共享。例如,在 SoC 上使用 iSIM,代替需要应用程序和调制解调器处理器及其自有非易失性存储器的 SIM 卡或 eSIM 芯片,能够实现上述某些元件的共用。此外,还可省去用于独立芯片之间通信的外设。

带有 iSIM 信任根的硬件安全模块

Synopsys 提供多种 iSIM 解决方案选项,供设计人员在实施 iSIM 安全模块时进行选择:

  • tRoot Fx 硬件安全模块 (HSM) 是具有硬件 (RTL)、参考软件和工具的可配置解决方案。这样,客户就能使用 eSIM/eUICC 操作系统,配合客户自有、或 Synopsys 合作伙伴或其他第三方提供商提供的远程配置服务完成解决方案了(图 3)。

图 3:tRoot Fx HSM 框图

  • iSIM 专用 tRoot V330 硬件安全模块是一套完整的解决方案,其中包含硬件 (RTL) 和 Global Platform 认证的 eSIM/eUICC 软件。它可以作为一项可选的附加服务提供,例如预先集成的引导通信配置文件和 Synopsys 合作伙伴 Truphone 提供的 GSMA 认证 Io3 平台,能够以无线方式安全地配置和管理移动运营商配置文件。引导配置文件提供开箱即用的全球连接,可用于初始配置签约运营商的设备。该解决方案不局限于 Truphone,可用于任何移动运营商。设备制造商可以选择仅在开机时使用引导配置文件,也可以选择在设备的生命周期持续使用(图 4)。

图 4:iSIM 专用 tRoot HSM 和 Truphone Io3 托管服务提供的完整芯片到云解决方案

DesignWare tRoot HSM 是 Synopsys 高度安全的硬件安全模块,具有信任根,可轻松集成到 SoC 中。此类 HSM 提供可扩展的平台,配合一个或多个主处理器,在可信执行环境中提供各种安全功能。

tRoot HSM 利用独特的代码保护机制保护 IoT 设备,提供运行时篡改检测和响应以及代码隐私保护,无需额外部署专用安全内存及其带来的成本。这一独特的功能允许 tRoot 的固件驻留在任何非安全的存储空间中,从而降低系统的复杂性和成本。通常情况下,tRoot 程序会驻留在共享的系统(闪存)存储器中。安全指令控制器的机密性和完整性设置使得该存储器专用于 tRoot,并且不会被芯片中或外部的其他子系统所修改。

tRoot V330 HSM 的 eSIM/eUICC 软件包含 JavaCard 虚拟机和 Global Platform 运行环境。它带来了灵活性,支持 iSIM 解决方案添加安全小程序和扩展安全功能。此外,它还包含一个实现 SIM 身份验证和远程配置协议的软件层。

它还能与远程 SIM 配置平台集成,可实现在整个生命周期内对设备及其首选连接执行端对端控制。远程 SIM 配置取代了设备制造商和移动运营商现有的 SIM 履行流程,使连接激活比连接到 WiFi 接入点更简单。Truphone 针对移动运营商提供的 Io3 SIM 配置平台可以生成、管理、托管和安装 eSIM 配置文件,该文件可以随时通过无线方式安全地安装到设备上。

结语

IoT 在改善我们的日常生活方面取得了惊人的进步,但要将当前最初步的 IoT 部署扩展到几十亿台设备上,仍有许多障碍需要克服。尽管人们对设备滥用、数据隐私和恶意攻击一致表现出担忧,但 IoT 安全仍未获得足够重视。iSIM 技术为 IoT 设备今后的无缝安全连接和管理简化了流程,朝着对数十亿台设备的广泛普及迈出了一步。

图 5:iSIM 的实施为消费者带来多重利好

Synopsys 为 iSIM 和其他应用程序(包括 iSIM 专用 tRoot HSM)提供广泛的硬件和软件安全功能。HSM 集成了 Truphone 软件,保障蜂窝 IoT 设备的移动连接安全。Synopsys 的 iSIM 专用 tRoot HSM 结合了 Truphone 的 Io3 平台和全球蜂窝网络通信,为移动网络运营商和产品制造商提供必要的硬件、软件和服务,以便安全地连接和管理全球蜂窝网络中的设备。

 

网站网页:DesignWare 的 iSIM 专用 tRoot 硬件安全模块

新闻发布:Synopsys 和 Truphone 利用集成的 SIM IP 和托管服务解决方案实现安全的无线配置