安全漏洞是致命的，但在設(shè)計中采用防范措施，如將安全相關(guān)硬件隔離到“信任區(qū)”，可約束從該區(qū)域外對內(nèi)容的訪問，還可持續(xù)監(jiān)控溫度和電壓的變化。

信任區(qū)是建立IoT安全的基石

在安全防范措施中，系統(tǒng)分區(qū)時將安全相關(guān)硬件、軟件和數(shù)據(jù)隔離到“信任區(qū)”中，嚴(yán)格約束所有從外部區(qū)域?qū)π湃蝺?nèi)容的訪問。不安全的軟件無法直接訪問安全資源。信任區(qū)隔離安全相關(guān)的微控制器單元（MCU）硬件、軟件與外部設(shè)備（圖1）。

圖1：一般安全嵌入式系統(tǒng)構(gòu)架必須隔離安全相關(guān)的MCU硬件、軟件和外部設(shè)備。（圖源：作者）

信任區(qū)內(nèi)

安全啟動和安全下載

若攻擊者成功欺騙嵌入式系統(tǒng)將假代碼視為真代碼接受，則所有數(shù)據(jù)都會丟失。所有代碼必須驗證為可信代碼。設(shè)備制造期間，在工廠生成公/私鑰對。公鑰儲存在MCU的安全位置，通常位于一次編程（OTP）存儲器中。MCU在開機(jī)啟動或接收下載內(nèi)容時，會對照密鑰驗證代碼，拒絕不一致的代碼。

硬件加速器

實施高級加密標(biāo)準(zhǔn)（AES）、Rivest–Shamir–Adleman公鑰密碼系統(tǒng)（RSA）或橢圓曲線Diffie-Hellman（ECDH）算法都需要密集計算，因此，安全嵌入式系統(tǒng)中的微控制器通常都包含硬件加速器，以加快日常密碼運(yùn)算的速度。然后，MCU中的專用指令下達(dá)給加速器，以執(zhí)行諸如AES加密和解密等功能。

安全的實時時鐘（RTC）

安全的實時時鐘（RTC）通過在時鐘設(shè)置中禁用系統(tǒng)運(yùn)行來防止黑客篡改。此功能通常與監(jiān)控設(shè)備結(jié)合在一起，可持續(xù)檢查系統(tǒng)電壓，一旦主電源斷電立即切換至備用電池；若備用電池電壓下降，監(jiān)控器將發(fā)出篡改事件信號。

真隨機(jī)數(shù)發(fā)生器（TRNG）

安全系統(tǒng)中的隨機(jī)數(shù)至關(guān)重要，用于生成隨機(jī)的密碼密鑰，從而實現(xiàn)安全的數(shù)據(jù)傳輸。軟件算法可生成較長的偽隨機(jī)序列。但它是固定不變的，因此易于受到攻擊。所以，安全的微控制器應(yīng)配置硬件真隨機(jī)數(shù)發(fā)生器（TRNG），以生成無法預(yù)測的輸出。TRNG的歷史頗為精彩——早期源自蠟團(tuán)的線上TRNG的數(shù)字通過蠟燈生成，但現(xiàn)代化的發(fā)生器采用熱噪聲或幾個自由運(yùn)行振蕩器之間的互動作為隨機(jī)源。

溫度和電壓監(jiān)控

在側(cè)信道攻擊中，通過對物理硬件參數(shù)進(jìn)行測量和分析來獲取系統(tǒng)或芯片的加密運(yùn)行并提取保密的密鑰。例如，巨大的溫度和電壓變化可能被用來實施硬件攻擊。若系統(tǒng)電壓中斷，片上環(huán)境監(jiān)控器會切換到備用電池，同時私鑰歸零。

為IoT應(yīng)用實施信任區(qū)

為嵌入式物聯(lián)網(wǎng)（IoT）應(yīng)用實施信任區(qū)有好幾種方法。其中一種方法就是使用外部設(shè)備來替代或增強(qiáng)MCU的安全性能，并提供構(gòu)建其他安全相關(guān)特性所需的信任安全區(qū)。外部設(shè)備還能將安全組件與復(fù)雜的MCU或內(nèi)存保護(hù)單元（MPU）硬件隔離開來，使其更容易保護(hù)信任區(qū)免受安全相關(guān)的故障與攻擊。Microchip ATECC608A就是一款理想的安全設(shè)備，能夠支持并增強(qiáng)任何基于MPU或MCU的IoT應(yīng)用。

Microchip ATECC608A作為IoT的信任區(qū)

Microchip ATECC608A占位尺寸極小，可滿足IoT應(yīng)用的關(guān)鍵安全要求，不僅功耗極低，具有易于連接的接口，而且在寬電壓范圍內(nèi)只需一個GPIO。作為一種“不可知的”設(shè)備，該器件能與各種MPU和MCU器件搭配使用。ATECC608A甚至能為極強(qiáng)健的IoT應(yīng)用提供所有安全和加密功能，而且占位面積極小。其中一些高級功能包括：

可儲存16個密鑰、證書或數(shù)據(jù)的安全硬件密鑰存儲

硬件支持非對稱簽名、驗證和密鑰協(xié)議，采用ECDSA（FIPS186-3橢圓曲線數(shù)字簽名）算法

ECDH：FIPS SP800-56A橢圓曲線Diffie-Hellman

支持NIST標(biāo)準(zhǔn)P256橢圓曲線

支持SHA-256與AES-128

支持安全啟動

Ephemeral臨時密鑰生成

隨機(jī)數(shù)生成（RNG），符合FIPS 800-90 A/B/C

兩個高耐久性單調(diào)計數(shù)器

保證唯一的72位序列號

ATEC608A有三種不同的型號，每一種都預(yù)設(shè)有基本功能，以便更加輕松地支持常見安全應(yīng)用。三種型號如下：

ATECC608A Trust&GO型號，優(yōu)化用于基于TLS的網(wǎng)絡(luò)安全認(rèn)證。該器件預(yù)先配置并提供默認(rèn)指紋證書及密鑰。配置與證書鎖定在機(jī)器中，無法更改。云基礎(chǔ)設(shè)施不需要通過證書頒發(fā)機(jī)構(gòu)來驗證指紋證書，極大地簡化了實施與部署工作。ATECC608A-TNGTLS集成的其他重要功能包括AES128硬件加速器、基于硬件的加密密鑰存儲以及密碼對策，消除了與軟件缺陷有關(guān)的潛在安全攻擊。ATECC608A Trust&Go器件兼容AWS IoT多賬號注冊構(gòu)架。

ATECC608A TrustFLEX型號，優(yōu)化用于基于TLS的網(wǎng)絡(luò)安全認(rèn)證。該器件預(yù)先配置為安全器件，其用途比設(shè)備對云安全認(rèn)證Trust&GO型號更多。云基礎(chǔ)設(shè)施，不論是公共網(wǎng)絡(luò)還是私有網(wǎng)絡(luò)，均可實施基于口令的認(rèn)證或客戶證書認(rèn)證（傳統(tǒng)PKI型號）。它提供的預(yù)構(gòu)架實施可用于額外認(rèn)證、固件驗證、安全啟動協(xié)助、密鑰輪替等功能。ATECC608A TrustFlex型號兼容AWS IoT、Microsoft Azure、Google Cloud Platform以及一般Transport Layer Security（TLS）網(wǎng)絡(luò)，具有用于WolfSSL、mBedTLS和CycloneSSL的代碼示例。

ATECC608A TrustCUSTOM型號是完全可根據(jù)應(yīng)用進(jìn)行定制的安全組件，可滿足超出Trust&GO和TrustFLEX用例的安全要求。

Microchip ATECC608A用DM320118開發(fā)套件

為加速基于ATECC608A應(yīng)用的開發(fā)，Microchip提供了DM320118開發(fā)套件。該套件包含全部三種型號的ATECC608A器件，以及一個用于應(yīng)用開發(fā)的板載MCU（ATSAMD21）（圖2）。該套件使用USB端口下載和調(diào)試應(yīng)用代碼。三個型號的ATECC608A器件共享一個I2C總線，控制以信任安全區(qū)為特色的MCU。

圖2：ATECC608A與框圖（圖源：Microchip）

有眾多軟件工具可幫助開發(fā)人員創(chuàng)建針對套件的應(yīng)用項目：

Microchip CryptoAuthentication信任平臺包含用于常見用途的各種示例、配置器以及培訓(xùn)資料。

CryptoAuthLib使得與Microchip的CryptoAuthentication器件搭配使用簡單直接。CryptoAuthLib設(shè)計支持硬件抽象層（HAL），以便更輕松地擴(kuò)展到其他微控制器。

MPLABX IDE是一款可在Windows、macOS和Linux 環(huán)境下運(yùn)行的集成開發(fā)環(huán)境（IDE）。這些工具可利用板載SAM D21微控制器開發(fā)新的嵌入式應(yīng)用。該工具將自動使用板載nEDBG調(diào)試器對SAM D21微控制器進(jìn)行編程。調(diào)試器也可用于將主控制器的調(diào)試信息通過COM端口傳回終端窗口。

可從貿(mào)澤產(chǎn)品頁面了解關(guān)于DM320118的詳細(xì)信息。

結(jié)語

IoT應(yīng)用的強(qiáng)大安全性必須建立在具有安全功能的信任區(qū)的堅實基礎(chǔ)之上，才能保護(hù)應(yīng)用避免黑客攻擊和軟件故障。Microchip ATCC608A器件及相關(guān)開發(fā)平臺可大幅加快IoT穩(wěn)健安全實施的開發(fā)速度。

審核編輯 ：李倩