摘要:个人和局域网无线网络由IEEE802.15和802.11协议家族主导。这通常需要做出选择,主要是因为没有一个标准可以满足我们对范围、功率和比特率的所有要求。现在,安全性必须在需求列表中占据优先地位。 |
个人和局域网无线网络由IEEE802.15和802.11协议家族主导。这通常需要做出选择,主要是因为没有一个标准可以满足我们对范围、功率和比特率的所有要求。现在,安全性必须在需求列表中占据优先地位。
2.4GHz的通用频率使得使用一个物理接口(无线电)支持多种协议成为可能。硬件级别的这种通用性为集成创造了机会。多协议无线微控制器(MCU)的可用性正在增长。理论上,一个具有IEEE802.15.4兼容无线电的单一设备可以支持蓝牙、Thread和Zigbee以及专有协议。
多年来,大多数标准化无线协议的安全特性已经根据需求得到了改进。其中许多安全特性在实现时是可选的,因此oem需要了解其应用程序需要哪些安全特性、所选择的协议提供什么以及如何实现它们。物联网安全的新立法将强调这些功能的重要性。
蓝牙可以说是无线个人区域网络(W-PAN)组合中最通用和最积极发展的标准。它可以与Thread和Zigbee等协议一起使用,每个协议都有自己独特的优势。随着核心规范的每次发布,它的安全特性都得到了改进。
最近,Matter作为一个公共层出现,为不同生态系统设计的设备提供更大的互操作性。Matter的目标是智能家电行业,使新设备更简单、更安全地接入现有网络。Matter通过Thread和Wi-Fi运行,但Matter设备在设备调试阶段使用蓝牙来发现和加入网络。
为响应实际需求,引入Matter是现代连接设备需要多协议mcu的完美示例。无线网络需要对不同的协议变得更加宽容。这超越了在无线电频谱的同一部分共存。这意味着创建能够在通信时使用不同协议的网络。
在有限的功率预算、空间、重量和成本下,选择一种能够在单一、高度集成、低功耗解决方案中提供尽可能多功能的多协议设备非常重要。在当今的互联环境中,对芯片级安全的需求从未如此重要。
增加无线连接的安全性
与一些协议不同,蓝牙被设想为电缆连接的替代品,因此它在应用中总是提供灵活性。当手机变得无处不在时,它迅速成为音频外设的标准,这在某种程度上定义了它的发展。但从本质上讲,蓝牙是一种低功耗无线通信解决方案,可以应用于许多方面。
核心规范的5.4版本带来了四个主要的增强,使蓝牙在W-PAN应用中更加有用。这些都是:
•带有响应的定期广告(PAwR)
•加密广告数据
•leGATT安全级别特性
•广告编码选择
在高层次上,这些增强都增加了更大的灵活性和便利性,并提高了安全性。
对于多协议mcu,如意法半导体的STM32WBA5系列,蓝牙只是支持的无线协议之一。为所有无线传输提供相同级别的安全需要专用硬件。
意法半导体STM32WBA系列多协议无线微控制器(图片来源:意法半导体STM32WBA系列)
集成的硬件元素为安全性提供了基础,所有其他特性都可以在此基础上构建。这个基础被称为信任根(RoT)。RoT负责验证系统中的其他组件,包括硬件和软件。这些设备的完整性和真实性由RoT检查,RoT本身通常是一个硬件元素,被设计为防篡改和防止网络攻击。
欧盟的无线电设备指令(RED)和即将出台的网络恢复法案(CRA)规定了制造商必须采取的措施,以使其产品进入欧盟市场。此外,截至2025年8月,所有射频设备还必须符合《网络弹性法》中的具体条款。
合规将是强制性的,但目前尚不清楚如何实现这一目标。很明显,通过行业安全标准认证的硬件元素将是必不可少的。物联网平台安全评估标准(SESIP)被视为对物联网设备信息技术安全评估通用标准的解释。SESIP是欧洲标准(EN17927),在欧洲市场得到认可。
STM32WBA54和STM32WBA55无线mcu系列中的硬件元件旨在使oem能够将其物联网设备认证为SESIP3级。这将符合美国网络信任标志和欧盟RED/CRA的要求。
SESIPLevel3认证包括独立评估和漏洞分析。评估机构寻找进入设备的方法,称为攻击路径。独立实验室将可以访问RoT固件的源代码和底层硬件的完整文档。
意法半导体的STM32WBA系列是市场上第一款通过SESIP3级认证的无线mcu。使用SESIPLevel3认证的无线MCU开发产品意味着最终产品将更容易达到RED和CRA要求,因为它们是强制性的。由于MCU是连接设备中的主要漏洞,这意味着OEM可以自信地为最终产品申请相同级别的认证。
信任的硬件根
STM32WBA5系列是基于ArmCortex-M33内核的TrustZone。Armv8-M扩展支持安全和非安全状态。核心有四种引导模式,包括RSS(根安全服务)。在意法半导体生产期间,这些服务嵌入到设备的闪存中。每个设备也有一个唯一的96位标识和证书。
集成了两种AES(advancedencryptionstandard)硬件加速器:secureadvancedencryptionstandardSAES和AES。两者都可以用于使用AES算法加密和解密数据。AES支持保存在密钥寄存器中的256位软件密钥,而SAES还支持派生硬件唯一密钥(DHUK)、引导硬件密钥(BHK)以及DHUK和BHK的异或。
其他安全硬件特性包括公钥加速器、HASH硬件加速器和真正的随机数生成器。它们还包括一个循环冗余校验计算单元。这些设备还可以防止差分功率分析和相关的侧信道攻击。
结论
物联网中安全性差的成本继续成为头条新闻。世界各地的新立法旨在纠正旅行方向,给原始设备制造商施加压力,要求他们实施弹性安全措施。
同时,有一种趋势是使用更多的无线协议,这可能会增加攻击路径。现在,添加保护所有物理接口的安全措施至关重要。
OEM厂商应该寻找经过认证的解决方案,在使用无线协议时提供更大的灵活性,同时提高底层平台的安全性。ST的STM32WBA5系列是第一个满足SESPIP3级认证要求的无线MCU,并提供多协议功能。
编辑:Harris