保護您的 IoT 產(chǎn)品

       IoT 安全是保護公司品牌、產(chǎn)品的終端用戶隱私和商業(yè)可行性的關(guān)鍵。人們可以通過遠程互聯(lián)網(wǎng)攻擊和物理實際攻擊來利用漏洞。

使用 Silicon Labs EFR32FG23 產(chǎn)品家族的開發(fā)人員可以獲得由 Secure Vault 提供的更高級別的 IoT 安全性。

FG23 安全功能

安全認(rèn)證

       許多物聯(lián)網(wǎng)設(shè)備具有標(biāo)識（UID），但UID是公共的，可以復(fù)制?？截愂菐艉彤a(chǎn)品真實性的一個問題，可能會威脅商業(yè)模式和用戶帳戶的安全。Silicon Labs產(chǎn)品在IC生產(chǎn)過程中具有的設(shè)備證書。設(shè)備證書包括一個由Silicon Labs私鑰簽名的公鑰，該私鑰是一個永遠不會離開芯片上安全密鑰存儲的秘密。安全元素使用一個認(rèn)證命令，允許它通過對Silicon Labs證書鏈的驗證向云證明自己。Silicon Labs產(chǎn)品的開發(fā)人員可以在生產(chǎn)過程中創(chuàng)建自己的設(shè)備證書。

       在目前部署的任何物聯(lián)網(wǎng)系統(tǒng)中，很難確定是否有胭脂或設(shè)備加入了您的網(wǎng)絡(luò)。這些產(chǎn)品可能會侵蝕您的收入流和品牌，或者，它們可能被用于更惡意的目的，如對您的信息數(shù)據(jù)庫發(fā)起樞軸攻擊。因此，必須能夠肯定地證明加入IoT網(wǎng)絡(luò)的任何設(shè)備的真實性。

       安全認(rèn)證是一種安全的保險庫功能，它從Silicon Labs在制造過程中創(chuàng)建的安全身份開始。在最終測試期間，芯片本身在芯片上創(chuàng)建了一對公鑰/私鑰。私鑰安全地存儲在本地，永遠不會離開芯片，甚至Silicon Labs都不知道。然后將相應(yīng)的公鑰插入設(shè)備證書中，然后將設(shè)備證書插回芯片中。出廠的每一塊支持安全保管庫的芯片都包含一個秘密私鑰和一份受安全保管庫功能保護的生產(chǎn)出生證明。

       此安全身份是能夠執(zhí)行安全認(rèn)證的關(guān)鍵。一旦產(chǎn)品使用Silicon Labs提供的具有安全標(biāo)識的安全保險庫零件制造，就可以在該產(chǎn)品生命周期內(nèi)的任何時間對其進行身份驗證?？梢詮漠a(chǎn)品和Silicon Labs證書頒發(fā)機構(gòu)網(wǎng)站遠程請求生產(chǎn)認(rèn)證鏈。一旦檢索到該鏈，就可以用它來驗證該設(shè)備是否由Silicon Labs生產(chǎn)，以驗證該設(shè)備的真實性。除了驗證出生證書鏈外，還可以通過向芯片發(fā)送質(zhì)詢并讓芯片使用從未離開芯片的秘密私鑰簽署質(zhì)詢來驗證模具本身。然后，該簽名可以通過檢索到的設(shè)備證書中的設(shè)備公鑰進行檢查，如果匹配，那么您可以確定這是離開我們工廠的同一個晶圓。

安全密鑰管理

您的密鑰必須保持機密，以維護安全體系結(jié)構(gòu)-擁有足夠的安全密鑰存儲是至關(guān)重要的。

攻擊者使用入侵設(shè)備對閃存內(nèi)容進行提取，當(dāng)攻擊者學(xué)會如何從設(shè)備中提取密鑰或內(nèi)容時，他們使用相同的攻擊向量攻擊其他設(shè)備。物理上不可壓縮的函數(shù)會根據(jù)單個設(shè)備的缺陷創(chuàng)建一個秘密、隨機和的密鑰。PUF密鑰對安全密鑰存儲中的所有密鑰進行加密，應(yīng)用程序可以在密鑰保持機密的同時處理這些密鑰。PUF密鑰在啟動時生成，不存儲在閃存中。

安全密鑰存儲

加密密鑰通常是設(shè)備中價值的資產(chǎn)。

安全元件可以設(shè)計成產(chǎn)品安全子系統(tǒng)，當(dāng)直接集成到芯片中時，可提供低成本、節(jié)能的解決方案。安全元素旨在通過使加密密鑰與應(yīng)用程序隔離但可供應(yīng)用程序使用來保護加密密鑰。私鑰可以設(shè)置為不可導(dǎo)出以幫助強制執(zhí)行機密性，而公鑰可以設(shè)置為不可變以強制執(zhí)行完整性。

防篡改

物理篡改可以訪問隱藏在解決方案中的密鑰和數(shù)據(jù)。

篡改攻擊來自單個或多個向量。 常見的攻擊包括電壓毛刺、磁干擾和強制溫度調(diào)節(jié)。 防篡改提供對外部篡改信號（例如開箱、故障和邏輯攻擊）的快速硬件檢測，從而允許分析和升級直至設(shè)備變磚（包括設(shè)備變磚）。

智能網(wǎng)關(guān)的應(yīng)用

       智能網(wǎng)關(guān)作為智能家居系統(tǒng)中的設(shè)備接入和管控中心，不僅要求數(shù)據(jù)處理能力強、安全可靠，還需要通信穩(wěn)定，特別是無線通信要求發(fā)射功率大，接收靈敏度高。本文主要介紹Silicon Labs的無線SoC收發(fā)芯片EFR32FG23A020F256在智能網(wǎng)關(guān)上的應(yīng)用，20dBm發(fā)送功率，接收功耗低至4mA@433 MHz (100 kbps 2GFSK)，能夠匹配網(wǎng)關(guān)無線傳輸需求。

      目前智能家居網(wǎng)關(guān)主要支持的無線通信主要有WiFi、ZigBee、BLE MESH和Sub-G（1GHz以下）等通信協(xié)議和方式，其中Sub-G因為傳輸距離遠，穿透性強等特點，在安防設(shè)備上應(yīng)用廣泛。EFR32FG23系列無線SoC收發(fā)芯片內(nèi)置32位ARM Cortex-M33 內(nèi)核，工作頻率為 78 MHz，可支持到512 kB FLASH和 64 kB RAM，無線通信頻點覆蓋1 GHz以下絕大部分頻譜，非常適合智能網(wǎng)關(guān)Sub-G頻段的無線通信需求。單顆芯片能夠滿足大部分頻譜資源要求，能快速迭代出不同區(qū)域市場的新產(chǎn)品。

EFR32FG23A020F256作為SoC類型的Sub-G無線收發(fā)芯片，在網(wǎng)關(guān)上應(yīng)用主要優(yōu)勢有：

1、 內(nèi)置高性能32位ARM Cortex-M33內(nèi)核，能夠獨立實現(xiàn)Sub-G從設(shè)備的對接協(xié)議，實時響應(yīng)速度快，無需占用過多的智能網(wǎng)關(guān)主控的資源，模塊化設(shè)計，系統(tǒng)更加穩(wěn)定可靠；

2、 發(fā)射功率高達20dBm，接收靈敏度可達-125.8 dBm（4.8 kbps 915 MHz O-QPSK）無線傳輸距離遠，穿透性性強；

3、 支持FSK、GFSK、MSK、OOK和OQPSK DSSS調(diào)制方式，能夠兼容目前絕大部分Sub-G頻段的傳感器節(jié)點或者設(shè)備，網(wǎng)關(guān)兼容性更好；

4、 20dBm發(fā)射功率時功耗85.5mA、433MHz（100 kbps 2GFSK）接收功耗僅4.0mA，產(chǎn)品功耗在同類產(chǎn)品中性能更佳；

5、 內(nèi)置AES128/192/256、SHA-1、SHA-2/256/384/512等國際標(biāo)準(zhǔn)加密算法硬件加速器，能夠?qū)崿F(xiàn)產(chǎn)品的無線通信數(shù)據(jù)加密，確保產(chǎn)品信息安全；

6、 支持433/868/915MHz等通用的ISM免費無線頻段，能夠快速實現(xiàn)產(chǎn)品化推廣設(shè)計。