隨著我們將運(yùn)動(dòng)鞋，冰箱，咖啡機(jī)和我們的心臟起搏器和門鎖等所有東西連接起來，限制訪問機(jī)密信息等安全問題再次變得越來越重要。隨著我們通過物聯(lián)網(wǎng)（IoT）通信基礎(chǔ)設(shè)施進(jìn)行無線連接，這已成為一個(gè)更加令人擔(dān)憂的問題。

本文著眼于現(xiàn)代高速無線鏈路以及它們可以隨身攜帶的安全措施。并確保我們的數(shù)據(jù)和財(cái)產(chǎn)是安全的，并防止惡作劇和混亂。這里引用的所有部件，數(shù)據(jù)表，教程和開發(fā)系統(tǒng)都可以在Digi-Key的網(wǎng)站上找到。

網(wǎng)絡(luò)和處理器安全性

對(duì)于有線網(wǎng)絡(luò)，必須建立一個(gè)分接點(diǎn)才能通過網(wǎng)絡(luò)訪問原始數(shù)據(jù)流。如果知道您希望通過第2層交換機(jī)隱蔽連接的機(jī)器或設(shè)備的IP地址和MAC地址的生命值，則沖突域外的點(diǎn)仍然可以獲得訪問權(quán)限。

隨著對(duì)網(wǎng)絡(luò)的訪問，數(shù)據(jù)包嗅探最終可能會(huì)暴露網(wǎng)絡(luò)上可直接訪問的所有節(jié)點(diǎn)。然后，可以將偽造的數(shù)據(jù)包注入網(wǎng)絡(luò)，并且可以訪問服務(wù)并打開套接字，這樣您就可以克服任何安全密碼和加密措施（并非每個(gè)服務(wù)都被加密）。

隨著無線設(shè)備作為點(diǎn)對(duì)點(diǎn)，ad-hoc或網(wǎng)狀結(jié)構(gòu)的一部分連接，所有數(shù)據(jù)包都更容易暴露;當(dāng)接近潛在的闖入者時(shí)。這是一個(gè)關(guān)鍵點(diǎn)。無線安全性，尤其是物聯(lián)網(wǎng)連接設(shè)備，指的是設(shè)備的無線可訪問性或?qū)ζ鋽?shù)據(jù)的無線訪問，這兩者都可能是易受攻擊的。

設(shè)備制造商提供了幾種嘗試解決此安全問題的方法。像飛思卡爾ARM Cortex A-9 MCIMX6S5DVM10AB這樣的高端處理器提供了啟動(dòng)安全性以及專門針對(duì)電子商務(wù)的數(shù)字版權(quán)管理（DRM）功能（圖1）。這有助于保護(hù)下載甚至固件更新，這些更新也可以通過無線方式進(jìn)行。

圖1：處理器內(nèi)部的安全性不再是第二個(gè)想法，螺栓 - 除處理器內(nèi)核外，特別是在使用無線訪問時(shí)。從啟動(dòng)代碼到J-Tag端口的所有內(nèi)容都需要提供一定程度的保護(hù)，防止篡改和不必要的訪問。 Fuse風(fēng)格的OTP功能還可以在部署后修復(fù)引導(dǎo)加載程序。

設(shè)計(jì)師應(yīng)了解可用于保護(hù)設(shè)計(jì)的技巧和技巧。例如，飛思卡爾部件在啟動(dòng)時(shí)啟動(dòng)，以驗(yàn)證防篡改操作。 A-HAB（高級(jí)高保障啟動(dòng)）使用嵌入式增強(qiáng)功能，包括SHA-256加密，它具有2048位TSA密鑰以及版本控制，即使在熱啟動(dòng)操作期間也能保護(hù)。

請(qǐng)注意，處理器內(nèi)部的專用硬件塊利用了一種稱為ARM Trust Zone的技術(shù)，該技術(shù)使用體系結(jié)構(gòu)分區(qū)將中斷，內(nèi)存映射區(qū)域甚至I/O映射區(qū)域分隔到指定的訪問區(qū)域。在片上使用安全RAM和真正的隨機(jī)和偽隨機(jī)序列號(hào)生成器生成NIST認(rèn)證的哈希碼，并且在硬件中添加中央安全單元與其他硬件/軟件一起使用以確保正確識(shí)別IC模塊（IIM）和安全級(jí)別的運(yùn)營(yíng)模式。

J-tag端口也需要保護(hù)，即使這些端口通常不是無線的。實(shí)時(shí)時(shí)鐘也是如此。操縱時(shí)間戳和時(shí)間可以允許某些預(yù)定事件在設(shè)備的安全性中打開漏洞。

飛思卡爾的安全非易失性存儲(chǔ)（SNVS）功能塊和加密加速和保證模塊包含使用16 KB安全RAM的加密和哈希引擎，甚至還具有運(yùn)行時(shí)完整性檢查功能。

一個(gè)很好的功能是電氣保險(xiǎn)絲陣列，它使設(shè)計(jì)人員能夠設(shè)置啟動(dòng)模式和功能和硬件模塊的安全級(jí)別。 512 x 8保險(xiǎn)絲盒只能通過專用的片上OTP控制器和控制接口訪問，以保持防篡改和安全。

另一種技術(shù)是稱為Watch Dog Trust Zone計(jì)時(shí)器的專用看門狗計(jì)時(shí)器。它可以防止看門狗“饑餓”，它可以通過阻止正常操作系統(tǒng)切換到TZ模式來危及安全性。使用安全中斷時(shí)，如果不進(jìn)行維修，TZ看門狗會(huì)向TSU發(fā)出安全違規(guī)信號(hào)。普通模式軟件無法對(duì)此進(jìn)行編程或取消激活。

確保處理器（尤其是多核處理器）的安全性不僅僅是一項(xiàng)全職工作。幸運(yùn)的是，飛思卡爾已將其技術(shù)和功能封裝到其IMX處理器的安全參考手冊(cè)中。 1

專注于安全基礎(chǔ)設(shè)施通信

當(dāng)通過數(shù)據(jù)進(jìn)行通信時(shí)一個(gè)從未打算保證安全的網(wǎng)絡(luò)（如TCP/IP），所使用的加密技術(shù)可以產(chǎn)生很大的不同。請(qǐng)記住，任何偵聽器都可以捕獲數(shù)據(jù)包并記錄它們，這允許離線處理以嘗試反向設(shè)計(jì)加密代碼和密鑰，以便恢復(fù)本來安全的數(shù)據(jù)。此外，量子計(jì)算的進(jìn)步可能使每一個(gè)密鑰或密碼都可以立即被嘗試，從而消除了我們現(xiàn)在認(rèn)為需要1000臺(tái)計(jì)算機(jī)1000年才能嘗試每種可能的排列時(shí)的錯(cuò)誤安全感。

Wi-Fi是迄今為止最流行的實(shí)時(shí)，多用戶無線網(wǎng)絡(luò)，用于數(shù)據(jù)和控制。 Wi-Fi證券可以很好地抵御大多數(shù)不成熟的入侵者。然而，由于窗戶上的警報(bào)貼紙會(huì)阻止許多竊賊，那些真正想要進(jìn)入的人將不會(huì)被阻止。這就是為什么即使是關(guān)鍵基礎(chǔ)設(shè)施和危險(xiǎn)環(huán)境的交換機(jī)和傳感器等離散功能也都采用了自己的安全措施。

霍尼韋爾WDRR系列無線繼電器就是一個(gè)例子。霍尼韋爾基于2.4 GHz 802.15.4互連技術(shù)，采用嵌入式128位ASE安全引擎，保護(hù)其傳感器和交換機(jī)系列免受未經(jīng)授權(quán)的無線接入。

WDRR1A03A0A等部件使用帶有128位ASE安全密鑰的16位PAN網(wǎng)絡(luò)ID，通過無許可證的WPAN點(diǎn)對(duì)點(diǎn)連接，無線通信最長(zhǎng)305米（圖2）。這是在保持密封符合NEMA IP66/67標(biāo)準(zhǔn)的情況下完成的。請(qǐng)注意外部連接的天線，以便在可能有噪聲和受阻的環(huán)境中使用此范圍。

圖2：特別重要的是無線基礎(chǔ)設(shè)施和工廠節(jié)點(diǎn)。例如，如果一百英尺以外的汽車中的技術(shù)嫻熟的黑客能夠進(jìn)入煉油廠混合閥門，那么生命損失和財(cái)產(chǎn)損失可能是災(zāi)難性的。除了內(nèi)部加密之外，諸如指示設(shè)備何時(shí)配對(duì)的LED之類的簡(jiǎn)單功能可以在操作員獲得未授權(quán)訪問時(shí)為其提供可視隊(duì)列。

開發(fā)自定義安全性

已經(jīng)建立了許多安全協(xié)議和標(biāo)準(zhǔn)來確保互操作性。但是，并非所有人都需要遵守這些標(biāo)準(zhǔn)。例如，如果您要?jiǎng)?chuàng)建自己的基于IoT的設(shè)備，該設(shè)備在兩點(diǎn)之間具有專用和專用鏈接，則可以自由地與網(wǎng)絡(luò)的其余部分實(shí)施標(biāo)準(zhǔn)安全性，并在兩個(gè)專有節(jié)點(diǎn)之間創(chuàng)建專用安全鏈接。

開發(fā)工具包可以讓工程師開發(fā)和測(cè)試加密和安全設(shè)置。大多數(shù)微型和RF微型制造商在其文檔中提供開發(fā)支持，參考和應(yīng)用說明。

以Atmel的Crypto開發(fā)和入門套件為例。像AT88CK101STK8這樣的套件允許您實(shí)施和測(cè)試防篡改和安全措施（圖3）。作為其CryptoAuthentification系列的一部分，Atmel還提供了幾個(gè)有用的培訓(xùn)課程，包括用于其Crypto產(chǎn)品的視頻產(chǎn)品培訓(xùn)模塊。

圖3：Cryto-開發(fā)工具包提供了標(biāo)準(zhǔn)和自定義加密技術(shù)的窗口。處理器子板可以路由到GPIO以指示逐級(jí)驗(yàn)證編碼和解碼。

注意并提醒

雖然過去的安全問題仍然有效，但無線通信的廣泛使用增加了可能通過我們的手持設(shè)備進(jìn)行的新的入侵層和電話，或通過物聯(lián)網(wǎng)基礎(chǔ)設(shè)施相關(guān)設(shè)備，如化學(xué)工廠或液體丙烷中心的閥門。

如果惡作劇的黑客能夠找到方法，物聯(lián)網(wǎng)帶來的諸多好處很快就會(huì)變成一場(chǎng)噩夢(mèng)。如果我們安裝的應(yīng)用程序有后門，我們自己可能會(huì)成為薄弱環(huán)節(jié)。更重要的是，入侵者突然不必親自去做骯臟的工作;全球連接的物聯(lián)網(wǎng)設(shè)備可以從世界另一端的點(diǎn)訪問。固件和軟件更新也可以提供開放。

如果我們都擁有一個(gè)私密且沒有連接到互聯(lián)網(wǎng)的網(wǎng)絡(luò)，我們可以相當(dāng)確定我們的房屋，娛樂系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施元素的鏈接是安全的;但我們沒有，所以在那之前，用戶要小心。