公鑰基礎(chǔ)設(shè)施（PKI）不僅適用于企業(yè)應(yīng)用程序 - 基于PKI的機器對機器（M2M）身份驗證策略可以形成安全嵌入式系統(tǒng)的骨干。

嵌入式系統(tǒng)現(xiàn)在普遍部署在各種大型市場中：工業(yè)、醫(yī)療、電信、家用電器、消費電子、汽車等。隨著互聯(lián)網(wǎng)采用的激增，越來越多的嵌入式設(shè)備和應(yīng)用程序正在連接到網(wǎng)絡(luò)，以利用Web的非凡優(yōu)勢。一些專家預(yù)測，聯(lián)網(wǎng)設(shè)備的數(shù)量將很快超過人類用戶的數(shù)量，并增長到更高的水平。

互聯(lián)網(wǎng)連接的消費產(chǎn)品和應(yīng)用程序的成功源于供應(yīng)商在提供易用性和安全性方面取得的顯著進展，從而消除了全球所有年齡段人群廣泛使用的主要障礙。數(shù)十億用戶現(xiàn)在自信地與公共和私營公司，銀行和衛(wèi)生組織進行在線交易。他們購買書籍，汽車，股票，退休計劃，保險單和許多其他東西。消費者和企業(yè)通過互聯(lián)網(wǎng)交換價值大大小小的美元產(chǎn)品。

許多安全機制，技術(shù)和政策已經(jīng)出現(xiàn)，使此類交易成為可能并保護交易方。此外，企業(yè)、銀行、電子商務(wù)公司和計算行業(yè)（硬件和軟件）已經(jīng)投入了大量資金來教育、啟用和監(jiān)控此類交易，并迅速響應(yīng)查詢。企業(yè) IT 人員、銀行支付網(wǎng)絡(luò)和電子商務(wù)系統(tǒng)提供商不斷監(jiān)督其網(wǎng)絡(luò)，以確保合法執(zhí)行交易，并在風險出現(xiàn)時盡早控制風險。

但是，數(shù)以百萬計的聯(lián)網(wǎng)設(shè)備呢-它們的安全性如何？

嵌入式互聯(lián)網(wǎng)需要強大的安全性

身份驗證技術(shù)（多因素）和密碼管理過程通常可供所有用戶使用，包括企業(yè)的消費者和員工。公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)在互聯(lián)網(wǎng)上被廣泛部署和有效使用，以確保每個用戶確實與合法的在線服務(wù)（如銀行，電子商務(wù)公司或政府機構(gòu)）進行交互。

鑒于越來越多的互聯(lián)網(wǎng)連接的嵌入式設(shè)備，一個重要的問題出現(xiàn)了：當這些設(shè)備處于無人監(jiān)督狀態(tài)并連接到Web時，它們將如何提供可靠和安全的服務(wù)？除非設(shè)備具有強大的安全功能，否則它們將高度暴露并且容易受到濫用和黑客攻擊。例如，如果遠程計算機無法高度確定地驗證它是否已從合法主機接收到該命令，那么它如何可靠地執(zhí)行該命令？知道數(shù)百萬部署的設(shè)備可以與公共基礎(chǔ)設(shè)施或私人住宅中的設(shè)備進行交互，弱身份驗證方法是否可以接受？考慮到風險，什么級別的保護是適當和充分的？

這是一個真正的問題。一個正在被重大舉措所確定的問題，包括智能電網(wǎng)，網(wǎng)絡(luò)安全，醫(yī)療保健自動化和其他需要強大保護的領(lǐng)域。這種情況現(xiàn)在帶來了一個技術(shù)機會：機器對機器（M2M）認證。

嵌入式設(shè)備采用PKI的挑戰(zhàn)

企業(yè) IT、電子商務(wù)、銀行和互聯(lián)網(wǎng)工程任務(wù)組的專家都知道，PKI 技術(shù)提供了當今最強大、最有效的身份驗證解決方案。然而，龐大的全球嵌入式設(shè)備市場已經(jīng)以孤立的方式發(fā)展，并且在很大程度上尚未采用這種經(jīng)過驗證的技術(shù)。延遲的原因包括：

· 硬件設(shè)計上非常嚴格的限制（有限的計算資源）：在大多數(shù)應(yīng)用中，主MCU沒有執(zhí)行PKI計算所需的資源。許多嵌入式系統(tǒng)設(shè)計仍然使用由存儲芯片構(gòu)建的過時的安全解決方案，這些解決方案的安全性較弱，不適合Web連接。

· 成本壓力和缺乏技能：PKI被認為是一種昂貴的技術(shù)，在設(shè)計和部署階段很難實現(xiàn)，并且需要嵌入式系統(tǒng)設(shè)計人員不常見的專業(yè)知識。因此，標準的現(xiàn)成存儲芯片被認為足夠好，并且易于包含在設(shè)計中。

· 不經(jīng)常連接到外部世界的專有環(huán)境：黑客攻擊的風險被低估了，和/或?qū)Ｓ械陌踩桨副徽J為足夠強大，可以成功抵御攻擊。

克服接受的障礙

嵌入式系統(tǒng)的計算技術(shù)正在迅速變化。如今，更多更高性能的微控制器以極具吸引力的價格面世。此外，一代安全MCU可以輕松集成到設(shè)計中，從而提供無與倫比的認證安全性，而不會影響主MCU的應(yīng)用性能。

瑞薩電子的三大創(chuàng)新正在為嵌入式系統(tǒng)設(shè)計人員社區(qū)帶來基于PKI的安全性。

首先，基于板ID的M2M認證芯片使用在迄今為止生產(chǎn)的數(shù)十億智能卡IC中經(jīng)過嚴格測試和驗證的相同安全技術(shù)，提供非常高的安全性。該芯片可以使用標準串行通信接口（I2C）連接到幾乎任何處理器（MCU或MPU）。該芯片集成了多種電氣和機械保護措施，使其防篡改，并在瑞薩電子的制造工廠生產(chǎn)，符合智能卡行業(yè)的嚴格安全標準，并得到銀行和政府ID簽發(fā)機構(gòu)的批準。

其次，一套完整的安全服務(wù)軟件和固件提供了一個M2M身份驗證解決方案，該解決方案采用全面的方法來最大限度地降低風險。它包括一套硬件和軟件組件以及合作伙伴服務(wù)，這些組件組合在一起，為嵌入式系統(tǒng)設(shè)計人員提供完整的服務(wù)。

最后，PKI 服務(wù)可從 OEM 的分銷合作伙伴處獲得。PKI的一個主要優(yōu)勢也是復(fù)雜性的一個因素，即必須為每個安全芯片生成唯一密鑰和證書（X509），從而為每個設(shè)備生成唯一密鑰和證書。直到最近，這個過程在經(jīng)濟上只適用于企業(yè)、電子商務(wù)和銀行市場的大客戶。瑞薩電子美國公司和安富利在信任鏈中合作，通過提供價格合理、安全、易于使用/部署的PKI解決方案，改變這種狀況，使其對其他公司更加可行。這種強大的安全解決方案符合行業(yè)標準，可供需要防止濫用的各種規(guī)模的公司使用。

這種合作關(guān)系提供了實施完整安全解決方案所需的關(guān)鍵服務(wù)組件。

· 信任根證書頒發(fā)機構(gòu)

· 子證書頒發(fā)機構(gòu)（可選）

· 用于為每個板ID芯片生成唯一證書和私鑰的系統(tǒng)

· 編程服務(wù)提供商，可以安全地在每個芯片中插入證書和密鑰對

任何嵌入式設(shè)備的安全性

這種產(chǎn)品、業(yè)務(wù)和服務(wù)模式的創(chuàng)新組合使瑞薩電子板ID安全解決方案能夠消除或顯著減少以前采用PKI技術(shù)的障礙。

公司不必是 IBM、通用電氣或 Google 即可成功應(yīng)用此安全技術(shù)。無論是出貨 20，000 種產(chǎn)品還是數(shù)十萬種產(chǎn)品，公司現(xiàn)在都可以創(chuàng)新和設(shè)計采用最先進的 PKI 安全技術(shù)的聯(lián)網(wǎng)嵌入式設(shè)備。這種能力將促進產(chǎn)品的開發(fā)，這些產(chǎn)品可以成為智能電網(wǎng)不斷增長的嵌入式互聯(lián)網(wǎng)或其他利用Web的雄心勃勃的計劃的一部分。

審核編輯：郭婷