入门:嵌入式系统的PKI安全性
2022-08-31
来源:嵌入式计算
公钥基础设施 (PKI) 不仅适用于企业应用程序 - 基于 PKI 的机器对机器 (M2M) 身份验证策略可以构成安全嵌入式系统的支柱。
嵌入式系统现在广泛部署在各种大型市场:工业、医疗、电信、家用电器、消费、汽车等。随着 Internet 的普及,越来越多的嵌入式设备和应用程序连接到网络以利用 Web 的非凡优势。一些专家预测,联网设备的数量将很快超过人类用户的数量,并增长到更高的水平。
连接互联网的消费产品和应用程序的成功源于供应商在提供易用性和安全性方面取得的显着进步,从而消除了全球各个年龄段人群广泛使用的主要障碍。现在,数十亿用户满怀信心地与公共和私营公司、银行和卫生组织进行在线交易。他们购买书籍、汽车、股票、退休计划、保险单和许多其他东西。消费者和企业通过 Internet 交换大小美元价值的产品。
已经出现了许多安全机制、技术和策略,以使此类交易成为可能并保护交易方。此外,企业、银行、电子商务公司和计算行业(硬件和软件)已投入大量资金来教育、启用和监控此类交易并快速响应查询。企业 IT 人员、银行支付网络和电子商务系统提供商不断监督他们的网络,以确保交易合法执行,并在风险出现时及早控制。
但是数以百万计的联网设备又如何呢?它们的安全性如何?
嵌入式互联网需要强大的安全性
身份验证技术(多因素)和密码管理流程通常可供所有用户使用,包括企业的消费者和员工。公钥基础设施 (PKI) 技术在 Internet 上得到广泛部署和有效使用,以确保每个用户确实与银行、电子商务公司或政府机构等合法在线服务进行交互。
鉴于连接互联网的嵌入式设备数量不断增加,一个重要的问题出现了:当这些设备不受监督并连接到 Web 时,它们将如何提供可靠和安全的服务?除非设备具有强大的安全功能,否则它们很容易受到滥用和黑客攻击。例如,如果远程机器不能高度确定地验证它是否从合法主机接收到该命令,它如何能够可靠地执行命令?知道数以百万计的已部署设备可以与公共基础设施或私人住宅中的设备交互,弱身份验证方法是否可以接受?考虑到风险,什么水平的保护是适当和充分的?
这是一个真正的问题;智能电网、网络安全、医疗保健自动化和其他需要强有力保护的领域等重大举措正在确定这一点。这种情况现在提供了一个技术机会:机器对机器 (M2M) 身份验证。
嵌入式设备采用 PKI 的挑战
企业 IT、电子商务、银行和 Internet 工程任务组的专家都知道,PKI 技术提供了当今最强大和最有效的身份验证解决方案。然而,巨大的全球嵌入式设备市场以孤立的方式发展,并且大部分尚未采用这种经过验证的技术。延迟的原因包括:
· 对硬件设计非常严格的约束(有限的计算资源):在大多数应用中,主 MCU 没有执行 PKI 计算所需的资源。许多嵌入式系统设计仍然使用由存储芯片构建的过时安全解决方案,这些解决方案提供的安全级别较弱,不适合 Web 连接。
· 成本压力和缺乏技能: PKI 被认为是一种昂贵的技术,难以在设计和部署阶段实施,并且需要嵌入式系统设计人员通常不具备的专业知识。因此,标准的现成存储芯片被认为足够好,并且很容易包含在设计中。
· 不经常与外部世界连接的专有环境:黑客攻击的风险被低估,和/或专有安全方案被认为足够强大以成功抵御攻击。
克服接受障碍
嵌入式系统的计算技术正在迅速变化。如今,更多更高性能的微控制器以极具吸引力的成本提供。此外,一代安全 MCU 可以轻松集成到设计中,从而提供无与伦比的身份验证安全级别,而不会影响主 MCU 的应用性能。
瑞萨的三项主要创新正在为嵌入式系统设计人员社区带来基于 PKI 的安全性。
首先,基于 Board ID 的 M2M 身份验证芯片使用在迄今为止生产的数十亿智能卡 IC 中经过严格测试和验证的相同安全技术提供了非常高的安全级别。该芯片可以使用标准串行通信接口 (I2C) 连接到几乎任何处理器(MCU 或 MPU)。该芯片采用了多种电气和机械保护措施以防篡改,由瑞萨电子的制造工厂生产,符合智能卡行业的严格安全标准,并获得银行和政府身份证颁发机构的批准。
其次,一套完整的安全服务软件和固件提供了一个 M2M 身份验证解决方案,该解决方案采用全面的方法来最小化风险。它包括一套硬件和软件组件以及合作伙伴服务,它们结合起来为嵌入式系统设计人员提供完整的服务。
最后,PKI 服务可从 OEM 的分销合作伙伴处获得。PKI 的一个主要优势也是复杂性的一个因素,它需要为每个安全芯片以及每个设备生成唯一的密钥和证书 (X509)。直到最近,这个过程仅对企业、电子商务和银行市场的大客户在经济上是可行的。Renesas Electronics America 和 Avnet 建立了信任链,以改变这种状况,通过提供经济实惠、安全、易于使用/部署的 PKI 解决方案,使其对其他公司更可行。这种强大的安全解决方案符合行业标准,可供需要防止滥用的各种规模的公司使用。
这种合作伙伴关系提供了实施完整安全解决方案所需的关键服务组件。· 信任根证书颁发机构
· 子证书颁发机构(可选)
· 为每个 Board ID 芯片生成唯一证书和私钥的系统
· 可以在每个芯片中安全插入证书和密钥对的编程服务商
任何嵌入式设备的安全性
这种产品与业务和服务模式的创新组合使瑞萨电子董事会 ID 安全解决方案能够消除或显着减少以前采用 PKI 技术的障碍。
一家公司不必是 IBM、通用电气或谷歌就能成功应用此安全技术。无论是运送 20,000 件还是数十万件产品,公司现在都可以创新和设计采用最先进 PKI 安全技术的联网嵌入式设备。这种能力将促进产品的开发,这些产品可以成为不断增长的嵌入式 Internet 的一部分,用于智能电网或其他利用 Web 的雄心勃勃的计划。
更多信息可以来这里获取==>>电子技术应用-AET<<