公鑰基礎(chǔ)設(shè)施 (PKI) 不僅適用于企業(yè)應(yīng)用程序 - 基于 PKI 的機(jī)器對(duì)機(jī)器 (M2M) 身份驗(yàn)證策略可以構(gòu)成安全嵌入式系統(tǒng)的支柱,。
嵌入式系統(tǒng)現(xiàn)在廣泛部署在各種大型市場:工業(yè),、醫(yī)療、電信,、家用電器、消費(fèi),、汽車等,。隨著 Internet 的普及,越來越多的嵌入式設(shè)備和應(yīng)用程序連接到網(wǎng)絡(luò)以利用 Web 的非凡優(yōu)勢,。一些專家預(yù)測,,聯(lián)網(wǎng)設(shè)備的數(shù)量將很快超過人類用戶的數(shù)量,并增長到更高的水平,。
連接互聯(lián)網(wǎng)的消費(fèi)產(chǎn)品和應(yīng)用程序的成功源于供應(yīng)商在提供易用性和安全性方面取得的顯著進(jìn)步,,從而消除了全球各個(gè)年齡段人群廣泛使用的主要障礙。現(xiàn)在,,數(shù)十億用戶滿懷信心地與公共和私營公司,、銀行和衛(wèi)生組織進(jìn)行在線交易。他們購買書籍,、汽車,、股票、退休計(jì)劃,、保險(xiǎn)單和許多其他東西,。消費(fèi)者和企業(yè)通過 Internet 交換大小美元價(jià)值的產(chǎn)品。
已經(jīng)出現(xiàn)了許多安全機(jī)制,、技術(shù)和策略,,以使此類交易成為可能并保護(hù)交易方。此外,,企業(yè),、銀行、電子商務(wù)公司和計(jì)算行業(yè)(硬件和軟件)已投入大量資金來教育,、啟用和監(jiān)控此類交易并快速響應(yīng)查詢,。企業(yè) IT 人員、銀行支付網(wǎng)絡(luò)和電子商務(wù)系統(tǒng)提供商不斷監(jiān)督他們的網(wǎng)絡(luò),,以確保交易合法執(zhí)行,,并在風(fēng)險(xiǎn)出現(xiàn)時(shí)及早控制。
但是數(shù)以百萬計(jì)的聯(lián)網(wǎng)設(shè)備又如何呢,?它們的安全性如何?
嵌入式互聯(lián)網(wǎng)需要強(qiáng)大的安全性
身份驗(yàn)證技術(shù)(多因素)和密碼管理流程通??晒┧杏脩羰褂?,包括企業(yè)的消費(fèi)者和員工。公鑰基礎(chǔ)設(shè)施 (PKI) 技術(shù)在 Internet 上得到廣泛部署和有效使用,,以確保每個(gè)用戶確實(shí)與銀行,、電子商務(wù)公司或政府機(jī)構(gòu)等合法在線服務(wù)進(jìn)行交互。
鑒于連接互聯(lián)網(wǎng)的嵌入式設(shè)備數(shù)量不斷增加,一個(gè)重要的問題出現(xiàn)了:當(dāng)這些設(shè)備不受監(jiān)督并連接到 Web 時(shí),,它們將如何提供可靠和安全的服務(wù),?除非設(shè)備具有強(qiáng)大的安全功能,否則它們很容易受到濫用和黑客攻擊,。例如,,如果遠(yuǎn)程機(jī)器不能高度確定地驗(yàn)證它是否從合法主機(jī)接收到該命令,它如何能夠可靠地執(zhí)行命令,?知道數(shù)以百萬計(jì)的已部署設(shè)備可以與公共基礎(chǔ)設(shè)施或私人住宅中的設(shè)備交互,,弱身份驗(yàn)證方法是否可以接受?考慮到風(fēng)險(xiǎn),,什么水平的保護(hù)是適當(dāng)和充分的,?
這是一個(gè)真正的問題;智能電網(wǎng),、網(wǎng)絡(luò)安全,、醫(yī)療保健自動(dòng)化和其他需要強(qiáng)有力保護(hù)的領(lǐng)域等重大舉措正在確定這一點(diǎn)。這種情況現(xiàn)在提供了一個(gè)技術(shù)機(jī)會(huì):機(jī)器對(duì)機(jī)器 (M2M) 身份驗(yàn)證,。
嵌入式設(shè)備采用 PKI 的挑戰(zhàn)
企業(yè) IT,、電子商務(wù)、銀行和 Internet 工程任務(wù)組的專家都知道,,PKI 技術(shù)提供了當(dāng)今最強(qiáng)大和最有效的身份驗(yàn)證解決方案,。然而,巨大的全球嵌入式設(shè)備市場以孤立的方式發(fā)展,,并且大部分尚未采用這種經(jīng)過驗(yàn)證的技術(shù),。延遲的原因包括:
· 對(duì)硬件設(shè)計(jì)非常嚴(yán)格的約束(有限的計(jì)算資源):在大多數(shù)應(yīng)用中,主 MCU 沒有執(zhí)行 PKI 計(jì)算所需的資源,。許多嵌入式系統(tǒng)設(shè)計(jì)仍然使用由存儲(chǔ)芯片構(gòu)建的過時(shí)安全解決方案,,這些解決方案提供的安全級(jí)別較弱,不適合 Web 連接,。
· 成本壓力和缺乏技能: PKI 被認(rèn)為是一種昂貴的技術(shù),,難以在設(shè)計(jì)和部署階段實(shí)施,并且需要嵌入式系統(tǒng)設(shè)計(jì)人員通常不具備的專業(yè)知識(shí),。因此,,標(biāo)準(zhǔn)的現(xiàn)成存儲(chǔ)芯片被認(rèn)為足夠好,并且很容易包含在設(shè)計(jì)中,。
· 不經(jīng)常與外部世界連接的專有環(huán)境:黑客攻擊的風(fēng)險(xiǎn)被低估,,和/或?qū)S邪踩桨副徽J(rèn)為足夠強(qiáng)大以成功抵御攻擊。
克服接受障礙
嵌入式系統(tǒng)的計(jì)算技術(shù)正在迅速變化,。如今,,更多更高性能的微控制器以極具吸引力的成本提供,。此外,一代安全 MCU 可以輕松集成到設(shè)計(jì)中,,從而提供無與倫比的身份驗(yàn)證安全級(jí)別,,而不會(huì)影響主 MCU 的應(yīng)用性能。
瑞薩的三項(xiàng)主要?jiǎng)?chuàng)新正在為嵌入式系統(tǒng)設(shè)計(jì)人員社區(qū)帶來基于 PKI 的安全性,。
首先,,基于 Board ID 的 M2M 身份驗(yàn)證芯片使用在迄今為止生產(chǎn)的數(shù)十億智能卡 IC 中經(jīng)過嚴(yán)格測試和驗(yàn)證的相同安全技術(shù)提供了非常高的安全級(jí)別。該芯片可以使用標(biāo)準(zhǔn)串行通信接口 (I2C) 連接到幾乎任何處理器(MCU 或 MPU),。該芯片采用了多種電氣和機(jī)械保護(hù)措施以防篡改,,由瑞薩電子的制造工廠生產(chǎn),符合智能卡行業(yè)的嚴(yán)格安全標(biāo)準(zhǔn),,并獲得銀行和政府身份證頒發(fā)機(jī)構(gòu)的批準(zhǔn),。
其次,一套完整的安全服務(wù)軟件和固件提供了一個(gè) M2M 身份驗(yàn)證解決方案,,該解決方案采用全面的方法來最小化風(fēng)險(xiǎn),。它包括一套硬件和軟件組件以及合作伙伴服務(wù),它們結(jié)合起來為嵌入式系統(tǒng)設(shè)計(jì)人員提供完整的服務(wù),。
最后,,PKI 服務(wù)可從 OEM 的分銷合作伙伴處獲得。PKI 的一個(gè)主要優(yōu)勢也是復(fù)雜性的一個(gè)因素,,它需要為每個(gè)安全芯片以及每個(gè)設(shè)備生成唯一的密鑰和證書 (X509),。直到最近,這個(gè)過程僅對(duì)企業(yè),、電子商務(wù)和銀行市場的大客戶在經(jīng)濟(jì)上是可行的,。Renesas Electronics America 和 Avnet 建立了信任鏈,以改變這種狀況,,通過提供經(jīng)濟(jì)實(shí)惠,、安全、易于使用/部署的 PKI 解決方案,,使其對(duì)其他公司更可行,。這種強(qiáng)大的安全解決方案符合行業(yè)標(biāo)準(zhǔn),可供需要防止濫用的各種規(guī)模的公司使用,。
這種合作伙伴關(guān)系提供了實(shí)施完整安全解決方案所需的關(guān)鍵服務(wù)組件,。· 信任根證書頒發(fā)機(jī)構(gòu)
· 子證書頒發(fā)機(jī)構(gòu)(可選)
· 為每個(gè) Board ID 芯片生成唯一證書和私鑰的系統(tǒng)
· 可以在每個(gè)芯片中安全插入證書和密鑰對(duì)的編程服務(wù)商
任何嵌入式設(shè)備的安全性
這種產(chǎn)品與業(yè)務(wù)和服務(wù)模式的創(chuàng)新組合使瑞薩電子董事會(huì) ID 安全解決方案能夠消除或顯著減少以前采用 PKI 技術(shù)的障礙,。
一家公司不必是 IBM,、通用電氣或谷歌就能成功應(yīng)用此安全技術(shù)。無論是運(yùn)送 20,000 件還是數(shù)十萬件產(chǎn)品,,公司現(xiàn)在都可以創(chuàng)新和設(shè)計(jì)采用最先進(jìn) PKI 安全技術(shù)的聯(lián)網(wǎng)嵌入式設(shè)備。這種能力將促進(jìn)產(chǎn)品的開發(fā),這些產(chǎn)品可以成為不斷增長的嵌入式 Internet 的一部分,,用于智能電網(wǎng)或其他利用 Web 的雄心勃勃的計(jì)劃,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
