雖然今天的加密算法可以使用專用加密硬件或在通用硬件上運行的軟件來實現(xiàn)，但基于硬件的方法更好。表 1 顯示了原因。

表 1.硬件與軟件加密比較

幾乎所有使用嵌入式硬件的物聯(lián)網(wǎng)設(shè)備都包含訪問互聯(lián)網(wǎng)的啟動固件或可下載數(shù)據(jù)，因此它們?nèi)菀资艿桨踩{。啟動固件保存在設(shè)備內(nèi)部的非易失性存儲器中，并定期更新以糾正和增強某些功能。

由于物聯(lián)網(wǎng)設(shè)備必須可信，因此必須驗證設(shè)備固件和關(guān)鍵數(shù)據(jù)的真實性。在理想情況下，啟動固件和配置數(shù)據(jù)將在出廠時鎖定。然而，現(xiàn)實情況是，客戶希望通過互聯(lián)網(wǎng)提供固件更新和重新配置。這為惡意行為者使用這些網(wǎng)絡(luò)接口作為惡意軟件的渠道創(chuàng)造了機會。如果有人獲得了對物聯(lián)網(wǎng)設(shè)備的控制權(quán)，他們可能會出于惡意目的控制該設(shè)備。因此，任何聲稱來自授權(quán)來源的代碼都必須經(jīng)過身份驗證，然后才能被允許使用。

惡意軟件可以通過多種方式引入物聯(lián)網(wǎng)設(shè)備：

通過物理訪問設(shè)備，攻擊者可以通過 USB、以太網(wǎng)或其他物理連接引入惡意軟件。

攻擊者可以通過訪問未修補的系統(tǒng)來引入惡意軟件。

攻擊者可以攔截 DNS 請求，并將 IoT 設(shè)備重定向到托管惡意軟件或損壞配置數(shù)據(jù)的惡意源。

真實的網(wǎng)站可能會被錯誤配置，從而允許攻擊者控制該網(wǎng)站，并將正版固件替換為包含攻擊者惡意軟件的固件。

安全啟動和安全下載可以防止惡意軟件。這兩種措施都使物聯(lián)網(wǎng)設(shè)備能夠信任從命令/控制中心接收的更新。如果命令/控制中心想要完全信任物聯(lián)網(wǎng)設(shè)備，則應對物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)進行身份驗證。

通過身份驗證和完整性，固件和配置數(shù)據(jù)在制造階段加載，所有后續(xù)更新都經(jīng)過數(shù)字簽名。這樣，數(shù)字簽名就可以在設(shè)備的整個生命周期內(nèi)實現(xiàn)信任。為了有效，數(shù)字簽名必須由加密算法計算，并且算法必須是公開的并經(jīng)過充分驗證。

對于沒有安全微控制器的嵌入式設(shè)備，DS28C36 DeepCover具有執(zhí)行所需計算能力來驗證下載固件或數(shù)據(jù)的真實性和完整性。安全認證器是一種經(jīng)濟高效的基于硬件的IC解決方案。DS28C36提供了一套核心加密工具，源自集成的非對稱（ECC-P256）和對稱（SHA-256）安全功能。該器件還包括一個 FIPS/NIST 真隨機數(shù)發(fā)生器 （TRNG）、8Kb 安全 EEPROM、一個僅遞減計數(shù)器、兩個可配置 GPIO 引腳和一個唯一的 64 位 ROM 標識號。

審核編輯：郭婷