安全I(xiàn)C如何保護(hù)物聯(lián)網(wǎng)設(shè)備中的傳輸數(shù)據(jù)

智能互聯(lián)設(shè)備讓我們的生活更加便利。但另一方面，這些設(shè)備的激增也意味著我們的更多數(shù)據(jù)（包括個人和/或敏感信息）容易受到安全漏洞的影響。保護(hù)傳輸中和靜止的數(shù)據(jù)從未像現(xiàn)在這樣重要。

傳輸層安全 （TLS） 協(xié)議是安全套接字層 （SSL） 的繼承者，可防止在物聯(lián)網(wǎng) （IoT） 設(shè)備通過 Internet 通信時對傳輸中的數(shù)據(jù)進(jìn)行竊聽或篡改。它本質(zhì)上在客戶端和服務(wù)器之間創(chuàng)建了一個安全的通信通道。當(dāng)我們訪問受 SSL 證書保護(hù)的網(wǎng)站時，我們看到的超文本傳輸??協(xié)議安全 （HTTPS） 將 HTTP 與 SSL/TLS 結(jié)合在一起，以提供與 Web 服務(wù)器的加密通信以及對 Web 服務(wù)器的安全標(biāo)識。

TLS 涉及“握手階段”，該階段使用非對稱密鑰就對稱密鑰對達(dá)成一致，該對稱密鑰對僅用于該會話，并實現(xiàn)高效、快速的數(shù)據(jù)加密和解密。安全 IC 可以處理此握手階段，存儲私有會話密鑰并在單獨的設(shè)備中執(zhí)行加密/解密，并針對已知的黑客攻擊和攻擊方法采取對策。如果私鑰和證書沒有安全地存儲并防止不當(dāng)修改，這些資產(chǎn)可能會受到攻擊。存在侵入性攻擊，攻擊者試圖打開設(shè)備外殼以操縱內(nèi)存內(nèi)容、更換固件或探測 PCB 痕跡。還有非侵入式攻擊，目標(biāo)是設(shè)備固件中的邏輯錯誤。

幸運的是，有一種低成本、低復(fù)雜度的解決方案可以確保 TLS 協(xié)議在連接的嵌入式系統(tǒng)中的實施，同時還可以減輕設(shè)備應(yīng)用處理器的負(fù)擔(dān)。

嵌入式設(shè)備中 TLS 集成的缺陷

TLS 協(xié)議的優(yōu)點之一是它可以使用現(xiàn)成的軟件庫相當(dāng)容易地集成到任何應(yīng)用程序中。但是，即使您有一個無錯誤的 TLS 堆棧，在您的軟件中集成和使用 TLS 庫仍然可能存在缺陷。嵌入式設(shè)備中 TLS 集成的常見弱點包括：

跳過證書驗證

弱密碼套件

認(rèn)證機構(gòu)證書保護(hù)不足

會話密鑰的公開

泄露的客戶端身份驗證密鑰

使用糟糕的加密實現(xiàn)和低質(zhì)量的隨機數(shù)

為了擁有真正安全的 TLS 方案并避免我們討論過的陷阱，需要遵循一組最低限度的規(guī)則。在使用時保護(hù)會話密鑰、利用安全加密算法以及安全地存儲客戶端的私有身份驗證密鑰是其中的規(guī)則。同樣有效的是使用配套的安全 IC 來保護(hù) TLS 實施。在不對您設(shè)計的應(yīng)用處理器增加任何額外負(fù)擔(dān)的情況下，安全 IC 可以固有地防止 TLS 實施的許多漏洞。閱讀我的應(yīng)用筆記 “使用安全配套 IC 保護(hù) TLS 實現(xiàn)”，深入了解 TLS 實現(xiàn)陷阱以及MAXQ1061等安全 IC 如何實現(xiàn)可以幫助您避免這些陷阱。MAXQ1061即使在資源受限的嵌入式系統(tǒng)中也能實現(xiàn)TLS。安全 IC 還通過在握手、會話密鑰計算和包加密/解密期間保護(hù)身份驗證的關(guān)鍵步驟來增強 TLS 協(xié)議的內(nèi)在安全性。

審核編輯：郭婷