嵌入式開發(fā)：嵌入式系統(tǒng)的PKI安全

　　嵌入式系統(tǒng)現(xiàn)在廣泛應(yīng)用于各種大型市場：工業(yè)、醫(yī)療、電信、家用電器、消費者、汽車和其他行業(yè)。隨著互聯(lián)網(wǎng)的普及，在嵌入式開發(fā)中，越來越多的嵌入式設(shè)備和應(yīng)用程序連接到網(wǎng)絡(luò)，以利用網(wǎng)絡(luò)的非凡優(yōu)勢。一些專家預(yù)測，網(wǎng)絡(luò)連接設(shè)備的數(shù)量將很快超過人類用戶的數(shù)量，并增長到更高的水平。

　　但數(shù)以百萬計的網(wǎng)絡(luò)連接設(shè)備呢?它們的安全性如何?

　　嵌入式Internet需要強大的安全性

　　身份驗證技術(shù)(多因素)和密碼管理過程通常適用于所有用戶，包括企業(yè)的消費者和員工。公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)在互聯(lián)網(wǎng)上得到廣泛部署和有效使用，以確保每個用戶確實與合法的在線服務(wù)(如銀行、電子商務(wù)公司或政府機構(gòu))進行交互。

　　鑒于越來越多的互聯(lián)網(wǎng)連接嵌入式設(shè)備，一個重要的問題出現(xiàn)了：當(dāng)這些設(shè)備處于無人監(jiān)督狀態(tài)并連接到網(wǎng)絡(luò)時，它們將如何提供可靠和安全的服務(wù)?除非設(shè)備具有強大的安全功能，否則它們會高度暴露，容易被誤用和黑客攻擊。例如，如果遠程計算機不能高度確定地驗證它是否從合法主機接收到了命令，那么該如何可靠地執(zhí)行該命令?如果知道數(shù)百萬部署的設(shè)備可以與公共基礎(chǔ)設(shè)施或私人住宅中的設(shè)備交互，那么弱認證方法是否可以接受?考慮到風(fēng)險，什么程度的保護是適當(dāng)和充分的?

　　在嵌入式開發(fā)中，這是一個真正的問題;其中一個正在被包括智能電網(wǎng)、網(wǎng)絡(luò)安全、醫(yī)療保健自動化和其他需要強有力保護的領(lǐng)域在內(nèi)的主要倡議所確定。這種情況現(xiàn)在提供了一個技術(shù)機會：機器對機器(M2M)認證。

　　嵌入式設(shè)備采用PKI的挑戰(zhàn)

　　PKI技術(shù)提供了當(dāng)今最強大、最有效的身份驗證解決方案。然而，巨大的全球嵌入式設(shè)備市場已經(jīng)以孤立的方式發(fā)展，并且在很大程度上還沒有采用這種成熟的技術(shù)。延遲的原因包括：

　　l 硬件設(shè)計受到非常嚴格的限制(有限的計算資源)：在大多數(shù)應(yīng)用中，主MCU沒有執(zhí)行PKI計算所需的資源。許多嵌入式系統(tǒng)設(shè)計仍然使用過時的安全解決方案，這些解決方案由內(nèi)存芯片構(gòu)建，安全性較弱，不適合網(wǎng)絡(luò)連接。

　　l 成本壓力和缺乏技能：在嵌入式開發(fā)中，PKI被認為是一種昂貴的技術(shù)，在設(shè)計和部署階段很難實施，并且需要嵌入式系統(tǒng)設(shè)計者通常不具備的專業(yè)知識。因此，標準的現(xiàn)成存儲芯片被認為是足夠好的，并且易于包括在設(shè)計中。

　　l 專有環(huán)境通常不與外部世界連接：黑客風(fēng)險被低估，和/或?qū)Ｓ邪踩桨副徽J為足夠強大，能夠成功抵御攻擊。

　　

　　克服接受障礙

　　嵌入式系統(tǒng)的計算技術(shù)正在迅速變化。如今，更多更高性能的微控制器以極具吸引力的價格提供。此外，一代安全MCU可以容易地集成到設(shè)計中，從而在不影響主MCU的應(yīng)用性能的情況下提供無與倫比的認證安全級別。

　　瑞薩的三項主要創(chuàng)新為嵌入式系統(tǒng)設(shè)計者社區(qū)帶來了基于PKI的安全性。

　　首先，基于板ID的M2M認證芯片使用迄今為止生產(chǎn)的數(shù)十億智能卡IC中經(jīng)過嚴格測試和驗證的相同安全技術(shù)，為嵌入式開發(fā)人員提供了非常高的安全級別。該芯片可以使用標準串行通信接口(I2C)連接到幾乎任何處理器(MCU或MPU)。該芯片結(jié)合了多種電氣和機械保護措施，以防篡改，并在瑞薩電子的制造工廠生產(chǎn)，這些工廠符合智能卡行業(yè)的嚴格安全標準，并獲得了銀行和政府身份證頒發(fā)機構(gòu)的批準。

　　其次，一套完整的安全服務(wù)軟件和固件提供了一種M2M認證解決方案，該解決方案采用全面的方法來最小化風(fēng)險。它包括一套硬件和軟件組件以及合作伙伴服務(wù)，它們結(jié)合起來為嵌入式系統(tǒng)設(shè)計人員提供完整的服務(wù)。

　　最后，可以從OEM的分銷合作伙伴處獲得PKI服務(wù)。PKI的一個主要優(yōu)點也是復(fù)雜性因素，即必須為每個安全芯片以及因此為每個設(shè)備生成唯一密鑰和證書(X509)。直到最近，這一過程在經(jīng)濟上僅適用于企業(yè)、電子商務(wù)和銀行市場的大客戶。

　　任何嵌入式設(shè)備的安全性

　　產(chǎn)品、業(yè)務(wù)和服務(wù)模式創(chuàng)新的結(jié)合使瑞薩董事會ID安全解決方案能夠消除或顯著減少以前采用PKI技術(shù)的障礙。

　　一家公司不必是IBM、通用電氣或谷歌就能成功應(yīng)用這項安全技術(shù)。無論是運送20000種產(chǎn)品還是數(shù)十萬種產(chǎn)品，公司現(xiàn)在都可以創(chuàng)新和設(shè)計結(jié)合了最先進的PKI安全技術(shù)的Web連接嵌入式設(shè)備。這一能力將有助于嵌入式開發(fā)人員開發(fā)產(chǎn)品，這些產(chǎn)品可以成為智能電網(wǎng)或其他利用網(wǎng)絡(luò)的重大項目的日益增長的嵌入式互聯(lián)網(wǎng)的一部分。