如何確保物聯(lián)網(wǎng)安全
互聯(lián)網(wǎng)的東西開(kāi)辟了一個(gè)新的宇宙的連接和智能設(shè)備,可以一起工作提供幾乎無(wú)限的能力,并利用這些新功能將個(gè)性化。物聯(lián)網(wǎng)的價(jià)值大多來(lái)自產(chǎn)品和服務(wù)對(duì)客戶的個(gè)人,和直接的需要的自定義功能。物聯(lián)網(wǎng)的最大挑戰(zhàn)將進(jìn)來(lái)保護(hù)機(jī)密信息免受未經(jīng)授權(quán)的訪問(wèn)以及授權(quán)訪問(wèn),只有我們舒適的信息泄露。
幸運(yùn)的是,為保護(hù)我們的機(jī)密信息和通信也進(jìn)行身份驗(yàn)證的發(fā)件人和接收器與我們希望誰(shuí)來(lái)安全地共享信息時(shí)存在的方法。然而,這種方法涉及了大量的數(shù)學(xué)中,復(fù)雜的加密算法的核心。幸運(yùn)的是,這些數(shù)學(xué)算法可以埋里面我們使用內(nèi)聯(lián)網(wǎng),以便我們不需要明白這密碼是“如何”實(shí)現(xiàn)細(xì)節(jié)的電子設(shè)備。然而,它并幫助要有一點(diǎn)背景這些加密算法為我們以及可以提供的安全性,我們需要保護(hù)我們的勇敢新物聯(lián)網(wǎng)世界中的設(shè)備的類(lèi)型做了“什么”。
圖 1:物聯(lián)網(wǎng)需要先進(jìn)的安全,保護(hù)我們的隱私。
安全通信
加密的較早的用途之一涉及在哪里一個(gè)字母取代了另一條短消息整個(gè)熟悉替代代碼。如果接收方知道替代公式,也許簡(jiǎn)單轉(zhuǎn)變 cypher 在那里在消息中的“A”將變成“B”和“B”在郵件中變成了一個(gè)“C”,它很容易對(duì)消息進(jìn)行解碼??吹郊用艿南⒌娜魏稳硕疾恢赖膬?nèi)容,除非他們也知道的機(jī)密密鑰。不幸的是,這些簡(jiǎn)單的類(lèi)型的密碼證明很容易解碼與幾個(gè)審判錯(cuò)誤嘗試。
現(xiàn)代的數(shù)字世界,原來(lái)我們可以使用更加復(fù)雜的方法來(lái)加密郵件 — — 使用的計(jì)算機(jī)或甚至 Mcu 的強(qiáng)大處理能力的方法。這些方法仍然使用熟悉的概念的一個(gè)秘密密鑰和加密算法來(lái)加密消息,但也可以使用數(shù)字信號(hào)處理技術(shù) (加密數(shù)學(xué)函數(shù)),使它很難解密該消息沒(méi)有秘密密鑰。不幸的是,可用使用現(xiàn)代計(jì)算機(jī)的處理能力也可以使它易于是過(guò)于簡(jiǎn)單化的中斷代碼。因此,需要有上升創(chuàng)建對(duì)于即使是強(qiáng)大的數(shù)字計(jì)算機(jī),打破“蠻力”(審判和錯(cuò)誤) 方法過(guò)于復(fù)雜的代碼。
用數(shù)學(xué)方法來(lái)創(chuàng)建難破加密函數(shù)的常用方法是找一個(gè)數(shù)學(xué)問(wèn)題,是很難解決,但它可以是解決更輕松地與一個(gè)“提示”。作為一個(gè)例子,考慮產(chǎn)品的兩個(gè)非常大的素?cái)?shù)??梢宰C明的是,是否你只知道該產(chǎn)品,它是耗費(fèi)時(shí)間來(lái)計(jì)算確定的兩個(gè)主要因素。也可以證明該消息可以被加密,它只能是解密很快如果已知的兩個(gè)主要因素 (即,暗示) 的方式使用本產(chǎn)品。而且在此基礎(chǔ)上,這些事實(shí)允許您發(fā)布該產(chǎn)品公開(kāi)作為您的“公鑰”,任何人如欲向您發(fā)送安全郵件可以使用知識(shí),只知道素?cái)?shù)因子的人,才可以解密該消息。如果這個(gè)人也有一個(gè)公鑰可以響應(yīng)使用他們的公鑰來(lái)加密您的留言,他們消息導(dǎo)致一個(gè)安全通信通道!這個(gè)安全通道的一個(gè)常見(jiàn)用途是發(fā)送鍵可以用作共享機(jī)密的仍然是非常強(qiáng)勁,其他加密算法,但需要計(jì)算功耗低于公開(kāi)密鑰體制。
圖 2:公共和私人安全密鑰將用來(lái)保護(hù)我們的隱私在虛擬物聯(lián)網(wǎng)世界
消息身份驗(yàn)證
因?yàn)槿魏稳硕伎梢园l(fā)送加密的郵件,一個(gè)關(guān)注周?chē)募用苓^(guò)程驗(yàn)證發(fā)件人說(shuō)他們是。幸運(yùn)的是一種驗(yàn)證發(fā)件人使用方法公共密鑰。你可以在加密的郵件返回給發(fā)件人,包括一個(gè)隨機(jī)數(shù)字,問(wèn),他們把你送那數(shù)字后面在加密的郵件。如果隨機(jī)數(shù)收到并且是正確的發(fā)件人已經(jīng)證明他們知道如何解密使用密鑰與他們的公鑰關(guān)聯(lián)的消息,事情只有他們能夠做。因此,你可以現(xiàn)在可以確保消息是真實(shí)的和來(lái)自指定發(fā)件人。
消息的完整性
此外,至關(guān)重要的是確保消息不被截獲,并不修改第三方。如果消息發(fā)送一封電子郵件中的文本作為,翻轉(zhuǎn)幾位將通常使文本無(wú)法讀取,所以你可能會(huì)認(rèn)為所有這類(lèi)活動(dòng)會(huì)明顯。然而,考慮一個(gè)例子涉及到嵌入式 MCU 的代碼更新。翻轉(zhuǎn)有些雙邊投資條約將最終代碼發(fā)生劇烈變化,保持單片機(jī)做它的工作。如果它的工作是調(diào)節(jié)溫度在大型通信開(kāi)關(guān),你可以想象可能發(fā)生的麻煩。因此,它是必須找到方法來(lái)保證消息的完整性,所以可以立即檢測(cè)篡改。
這樣做的常用方法包括生成一個(gè)標(biāo)簽 (通常稱(chēng)為消息身份驗(yàn)證代碼或 MAC),在以復(fù)雜的方式,對(duì)在郵件正文中的所有位都取決于。把它作為更多地參與版本的奇偶校驗(yàn),檢測(cè)如果已經(jīng)翻轉(zhuǎn)中有一個(gè)位。此標(biāo)記是添加和加密和郵件正文。接收器可以解密該消息 (包括標(biāo)記),然后重新生成標(biāo)簽從解密的消息正文。如果再生的標(biāo)記匹配一個(gè)嵌入在消息中沒(méi)有被篡改。請(qǐng)注意 MAC 需要一個(gè)共享的密鑰,以確保沒(méi)有其他人可以生成 mac。
行業(yè)標(biāo)準(zhǔn)被用于創(chuàng)建一系列的信息安全標(biāo)準(zhǔn)。高級(jí)加密標(biāo)準(zhǔn) (AES) 建立由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì) (NIST) 是一種最普遍的和普遍實(shí)施與塊大小為 128、 192 和 256 位。由發(fā)送方和接收方都使用同一個(gè)密鑰 — — 所謂的對(duì)稱(chēng)節(jié)拍,而不是使用不同的密鑰由發(fā)送者和接收者的公共密鑰系統(tǒng) — — 所以它通常是使用公共密鑰消息交換,往往只是單個(gè)會(huì)話。
MCU 廠商取得容易實(shí)現(xiàn) AES 安全功能,包括微控制器內(nèi)部的專(zhuān)用的硬件。例如,德州儀器 MSP430FR5969 單片機(jī)家族包括專(zhuān)用的硬件 AES 加速外圍實(shí)施所需的加密和解密功能。外圍設(shè)備還包括存儲(chǔ)在加密或解密操作 (長(zhǎng)一連串的變化、 替換、 互換,Xor 所有受安全密鑰) 和安全密鑰過(guò)程中使用的國(guó)家記憶。設(shè)計(jì)工程師只需加載 128 位塊到狀態(tài)記憶和指定的函數(shù) — — 加密或解密 — — 將自動(dòng)啟動(dòng)。由此產(chǎn)生的加密或解密輸出從狀態(tài)內(nèi)存宣讀了。
圖 3:AES 硬件加速器在德州儀器 MSP430FR59xx 單片機(jī)。(來(lái)源: 德州儀器)
類(lèi)似的硬件加速器可以找到其他常見(jiàn)的加密功能如 MAC 功能用于生成身份驗(yàn)證摘要。最常見(jiàn)的 MAC 算法是安全哈希函數(shù) (SHA) 標(biāo)準(zhǔn)建立了由 NIST。硬件加速器也在供沙在 Mcu。例如,飛思卡爾動(dòng)力學(xué) K6x 家庭的設(shè)備提供硬件加速協(xié)處理器的各種標(biāo)準(zhǔn),包括 AES 和沙。該協(xié)處理器可以從 CPU 獨(dú)立運(yùn)行和使用內(nèi)存映射的接口,以便可以緩沖為加密加速器單位 (CAU) 的命令和數(shù)據(jù)。因?yàn)檫@個(gè)單位作為協(xié)處理器的體系結(jié)構(gòu),它可以無(wú)需 CPU 干預(yù)操作并可大幅度地提高效率,如果加密功能占很大比例的處理要求。
圖 4:飛思卡爾動(dòng)力學(xué) K60 單片機(jī)加密加速器外設(shè) (來(lái)源: 飛思卡爾半導(dǎo)體)
實(shí)現(xiàn)安全功能的其他方法
除了提供硬件加速外設(shè)和協(xié)處理器,廠家還提供其他安全功能,以幫助保護(hù)我們的隱私在物聯(lián)網(wǎng)宇宙膨脹。例如,Atmel 提供特別安全內(nèi)存設(shè)備,像AT88SC0204CA。它采用對(duì)稱(chēng)相互身份驗(yàn)證、 數(shù)據(jù)加密和 MAC 操作為通過(guò)標(biāo)準(zhǔn)的單片機(jī)串行接口訪問(wèn)系統(tǒng)內(nèi)敏感信息的存儲(chǔ)提供一個(gè)安全的地方。有額外的篡改檢測(cè)電路,此信息仍然是安全從硬件攻擊嘗試訪問(wèn)安全信息。
另一種方法是在更多的專(zhuān)用的形式,可以在與單片機(jī)結(jié)合實(shí)施安全功能。格言產(chǎn)生一系列的設(shè)備,使用沙 256 硬件實(shí)現(xiàn)跨標(biāo)準(zhǔn)的 1 線接口安全地傳輸數(shù)據(jù)。單片機(jī)的外圍身份驗(yàn)證器,像格言 DS24L65,將標(biāo)準(zhǔn)的 I2C 接口轉(zhuǎn)換成安全的 1 線接口,可以連接到各種安全 1 線外設(shè),如格言 DS28EL22、 上沙 256 基于 MAC 硬件芯片 2Kbit EEPROM 和保證唯一的 64 位 ROM ID 代碼。主機(jī)到奴隸身份驗(yàn)證用于保護(hù) DS28EL22 用戶內(nèi)存中被修改的 nonauthenTIc 的主機(jī)。長(zhǎng)沙-256 MAC,DS28EL22 生成,是從用戶內(nèi)存、 芯片上秘密、 主機(jī)隨機(jī)挑戰(zhàn)和 64 位 ROM ID 非常強(qiáng)健安全性中數(shù)據(jù)計(jì)算的。請(qǐng)注意,這些設(shè)備可以包含在一套標(biāo)準(zhǔn)的外圍使用 I2C 連接,比如智能傳感器,進(jìn)行身份驗(yàn)證的傳感器從預(yù)期的制造商,他們沒(méi)有被篡改。當(dāng)傳感器的讀數(shù)用于生成實(shí)用程序和類(lèi)似的“收現(xiàn)付”業(yè)務(wù)的收入,這一點(diǎn)尤其重要。
結(jié)論
用來(lái)保護(hù)機(jī)密數(shù)據(jù)的方法 — — Mcu 與專(zhuān)用的加密支持常用的安全算法,關(guān)閉芯片加密記憶存儲(chǔ)敏感信息或硬件級(jí)別的身份驗(yàn)證,以確保外設(shè)是否真實(shí)。