如何在嵌入式系统中实现身份验证，提高安全性

物联网就是共享，无论是数据，控制还是一般访问。那些完全理解这一点的人 - 那些最聆听最大声安全的人 - 也理解需要实施的措施，以确保减轻任何安全问题。虽然加密通过公共网络传递的所有数据并非不可能，但问题仍然是有时数据可能会传递给错误的代理。出于这个原因，许多人认为认证将是实现物联网的基础。验证发出访问请求的任何代理的身份的能力将极大地降低恶意活动的风险。

本文着眼于如何实现身份验证，特别关注如何在嵌入式系统中实现身份验证，突出显示现在集成在MCU中的硬件和软件功能，以及它们如何实现有助于提高连接到物联网的任何嵌入式系统的一般安全性。

秘密酱

互联网访问敏感系统所带来的威胁是它可能使这些系统受到攻击;在商业中可能使金融数据易受攻击，但在物联网中可能很好地转化为机器中的操作参数变化或对建筑物的访问。这里的不同之处在于，人类仍然主要“忽视”商业世界，而物联网旨在在很大程度上消除人类互动的需要和费用。

此外，可能需要执行任何更改的速度可能导致人工交互无法实现。电机控制经常被引用作为一个例子;能够根据变化的负载修改电动机的参数可以显着提高效率，需要自主的动作才能完全有效。确保传递给控制电路的任何新参数都是有效的，需要验证发送方，数据或两者。

对发件人进行身份验证是可能的，但现在采用的标准方法是对数据进行身份验证 - 或者更确切地说，检查数据在发送和接收之间是否未更改。今天，这是使用安全散列算法（SHA）实现的，这种方法为可以自由共享但“实际上”从不复制的数据返回“校验和”。通过算法运行数据，生成校验和，并且要将数据验证为真实，本地生成的校验和必须与从远程代理传递的校验和匹配。

分享校验和或“消化”（因为它更准确地知道）是安全的这一事实是因为该算法被设计为仅返回任何给定数据的一个可能的摘要。在这方面，它不像常规校验和，可以很容易地复制不同的数据。此外，已经开发了该算法，以便“实际上”不可能从摘要的值推导出数据。

使用MPU实现SHA正变得司空见惯;很常见，许多制造商现在已经实现了硬件加速，以及MPU的主要核心。这使得算法能够更快，更安全地执行，同时不占用宝贵的核心资源。它也可以是降低整体系统功率的有效方法。 SHA现在可以在嵌入式处理器中使用，例如德州仪器的Sitara AM35x系列和Atmel的SAMA5系列，两者都实现了ARM Cortex-A类应用处理器内核。

高级加密

除了安全哈希算法之外，高级加密标准（AES）现在也广泛用于本地加密或解密数据，通常是在空中更新已实施。通常，这需要至少一个密钥，本地存储在安全的非易失性存储器中。与AES一样，使用相同密钥进行加密和解密的算法称为对称密钥算法。

许多MCU现在支持AES，以便允许将代码/数据存储在外部存储设备中。使用加密可以通过代码在现场修改来降低攻击风险。它还用于在制造外包时验证设备，因为它可以防止克隆或过度制造。

使用许多特定步骤实现加密，这些步骤可以作为MCU中的功能实现，通常存储在固件中并通过API调用。一个例子是Atmel的AES Bootloader，它可以运行在具有引导加载程序功能和至少1 KB SRAM的8位AVR微控制器上。图1显示了AES Bootloader的加密流程图。

图1：由Atmel的Bootloader执行的AES加密的典型流程。

与SHA一样，AES加速现在也在一个数字上实现从8位到32位的MCU，例如Atmel的AT97SC3204，它具有加密加速器引擎（图2）。另一系列具有硬件加速AES解密/加密功能的设备是恩智浦的LPC18S系列。

图2：加密引擎有助于使Atmel的AT97SC3204完全符合可信计算组的可信平台模块规范（V1.2）。

AES加密/解密的另一个重要方面是密钥生成;通常，密钥越长，加密信息越安全。出于这个原因，许多支持AES的MCU也将集成一个真随机数发生器，但德州仪器的基于FRAM的MSP430FR5xx和MSP430FR6xx混合信号MCU系列比这更进一步，实现了一个真正的随机数种子，它是独一无二的。每个设备。这些设备的另一个好处是能够为每个会话生成一个新密钥并将其存储在FRAM中; FRAM的低功耗操作使得在功率受限的设备（例如由电池供电的设备，预期会有许多物联网节点）中更频繁地存储数量变得可行，同时最小化由电源波动引起的过程的外部检测在写入传统闪存时，“窥探者”可能会很明显。

结论

在嵌入式系统中使用SHA和AES已变得相对普遍，这些系统可能具有较高的攻击风险，或者在制造过程中发生外包时。然而，随着物联网降低传统障碍，所有嵌入式系统中对更高身份验证的需求可能会增加。安全性一再被认为是对物联网最大的担忧之一;从保护财产的获取，到保持敏感的医疗和/或生物识别数据安全，现在需要更高的警惕性遍及所有部门。

解决方案不是减少连接;鉴于物联网的性质，这似乎不是一个选择。解决方案是通过添加加密和身份验证等措施，使连接更加健壮。因此，半导体制造商将继续在越来越多的MCU中实现更高的安全性功能。