嵌入式開發(fā)：嵌入式系統(tǒng)的PKI安全

　　嵌入式系統(tǒng)現(xiàn)在廣泛應用于各種大型市場：工業(yè)、醫(yī)療、電信、家用電器、消費者、汽車和其他行業(yè)。隨著互聯(lián)網(wǎng)的普及，在嵌入式開發(fā)中，越來越多的嵌入式設備和應用程序連接到網(wǎng)絡，以利用網(wǎng)絡的非凡優(yōu)勢。一些專家預測，網(wǎng)絡連接設備的數(shù)量將很快超過人類用戶的數(shù)量，并增長到更高的水平。

　　但數(shù)以百萬計的網(wǎng)絡連接設備呢?它們的安全性如何?

　　嵌入式Internet需要強大的安全性

　　身份驗證技術(多因素)和密碼管理過程通常適用于所有用戶，包括企業(yè)的消費者和員工。公鑰基礎設施(PKI)技術在互聯(lián)網(wǎng)上得到廣泛部署和有效使用，以確保每個用戶確實與合法的在線服務(如銀行、電子商務公司或政府機構)進行交互。

　　鑒于越來越多的互聯(lián)網(wǎng)連接嵌入式設備，一個重要的問題出現(xiàn)了：當這些設備處于無人監(jiān)督狀態(tài)并連接到網(wǎng)絡時，它們將如何提供可靠和安全的服務?除非設備具有強大的安全功能，否則它們會高度暴露，容易被誤用和黑客攻擊。例如，如果遠程計算機不能高度確定地驗證它是否從合法主機接收到了命令，那么該如何可靠地執(zhí)行該命令?如果知道數(shù)百萬部署的設備可以與公共基礎設施或私人住宅中的設備交互，那么弱認證方法是否可以接受?考慮到風險，什么程度的保護是適當和充分的?

　　在嵌入式開發(fā)中，這是一個真正的問題;其中一個正在被包括智能電網(wǎng)、網(wǎng)絡安全、醫(yī)療保健自動化和其他需要強有力保護的領域在內的主要倡議所確定。這種情況現(xiàn)在提供了一個技術機會：機器對機器(M2M)認證。

　　嵌入式設備采用PKI的挑戰(zhàn)

　　PKI技術提供了當今最強大、最有效的身份驗證解決方案。然而，巨大的全球嵌入式設備市場已經(jīng)以孤立的方式發(fā)展，并且在很大程度上還沒有采用這種成熟的技術。延遲的原因包括：

　　l 硬件設計受到非常嚴格的限制(有限的計算資源)：在大多數(shù)應用中，主MCU沒有執(zhí)行PKI計算所需的資源。許多嵌入式系統(tǒng)設計仍然使用過時的安全解決方案，這些解決方案由內存芯片構建，安全性較弱，不適合網(wǎng)絡連接。

　　l 成本壓力和缺乏技能：在嵌入式開發(fā)中，PKI被認為是一種昂貴的技術，在設計和部署階段很難實施，并且需要嵌入式系統(tǒng)設計者通常不具備的專業(yè)知識。因此，標準的現(xiàn)成存儲芯片被認為是足夠好的，并且易于包括在設計中。

　　l 專有環(huán)境通常不與外部世界連接：黑客風險被低估，和/或專有安全方案被認為足夠強大，能夠成功抵御攻擊。

　　

　　克服接受障礙

　　嵌入式系統(tǒng)的計算技術正在迅速變化。如今，更多更高性能的微控制器以極具吸引力的價格提供。此外，一代安全MCU可以容易地集成到設計中，從而在不影響主MCU的應用性能的情況下提供無與倫比的認證安全級別。

　　瑞薩的三項主要創(chuàng)新為嵌入式系統(tǒng)設計者社區(qū)帶來了基于PKI的安全性。

　　首先，基于板ID的M2M認證芯片使用迄今為止生產的數(shù)十億智能卡IC中經(jīng)過嚴格測試和驗證的相同安全技術，為嵌入式開發(fā)人員提供了非常高的安全級別。該芯片可以使用標準串行通信接口(I2C)連接到幾乎任何處理器(MCU或MPU)。該芯片結合了多種電氣和機械保護措施，以防篡改，并在瑞薩電子的制造工廠生產，這些工廠符合智能卡行業(yè)的嚴格安全標準，并獲得了銀行和政府身份證頒發(fā)機構的批準。

　　其次，一套完整的安全服務軟件和固件提供了一種M2M認證解決方案，該解決方案采用全面的方法來最小化風險。它包括一套硬件和軟件組件以及合作伙伴服務，它們結合起來為嵌入式系統(tǒng)設計人員提供完整的服務。

　　最后，可以從OEM的分銷合作伙伴處獲得PKI服務。PKI的一個主要優(yōu)點也是復雜性因素，即必須為每個安全芯片以及因此為每個設備生成唯一密鑰和證書(X509)。直到最近，這一過程在經(jīng)濟上僅適用于企業(yè)、電子商務和銀行市場的大客戶。

　　任何嵌入式設備的安全性

　　產品、業(yè)務和服務模式創(chuàng)新的結合使瑞薩董事會ID安全解決方案能夠消除或顯著減少以前采用PKI技術的障礙。

　　一家公司不必是IBM、通用電氣或谷歌就能成功應用這項安全技術。無論是運送20000種產品還是數(shù)十萬種產品，公司現(xiàn)在都可以創(chuàng)新和設計結合了最先進的PKI安全技術的Web連接嵌入式設備。這一能力將有助于嵌入式開發(fā)人員開發(fā)產品，這些產品可以成為智能電網(wǎng)或其他利用網(wǎng)絡的重大項目的日益增長的嵌入式互聯(lián)網(wǎng)的一部分。