以Wi-Fi模組提升物聯網安全性

作者 : Chris Jones,Crypto Quantique物聯網安全專家

本文重點在於瞭解 Wi-Fi 模組的架構,以及設計人員如何使用這些模組中的可用資源來提高物聯網裝置和網路安全性…

在工業物聯網(Industrial IoT;IIoT)部署中,無線技術(不包括低功耗)可以大致分為蜂巢式或短距離無線。短距離無線技術包括Wi-Fi、藍牙(Bluetooth)、Zigbee和其他各種協議。

嵌入式系統設計人員通常決定使用現成且經認證的無線模組,而非從頭開始設計無線通訊電路。其中有些現在已能在單個模組中適應多種頻率和協議。本文討論Wi-Fi模組的架構,以及設計人員使用這些模組中的可用資源來提高物聯網裝置和網路安全性的機會。實際上,無論其涉及哪一種無線協議,相同的通用方法均可應用於其他模組。

什麼是Wi-Fi模組?

Wi-Fi模組包括一個2.4GHz或5GHz頻段(或兩者都有)的無線收發器、天線以及一個微控制器(MCU),用於執行韌體,讓無線電能夠接收和發送資料以及操作協議。連接MCU的外部介面通常是SPI、I2C、USB或UART。

Wi-Fi module security figure 1

1:無線模組的基本元素。

連接Wi-Fi模組至網路

Wi-Fi模組需要執行由IEEE 802.11標準定義的幾種不同協議,才能連接到網路。一旦連接至網路後,它們還必須執行所需的機器對機器(M2M)協議。用於連接到雲端伺服器的一組典型協議堆疊和功能可能包括:

  • TLS
  • TCP/IP
  • HTTP/S
  • FTP
  • MQTT
  • 認證處理(安全性)
  • 加密密鑰運用(安全性)

由於成本和功耗限制,Wi-Fi模組內的裝置通常資源有限,因此通常會將一些網路通訊協議卸載到主機應用處理器。如同數據機一樣,Wi-Fi模組透過UART介面而使用AT命令。隨著模組變得越來越複雜,AT命令變得越來越強大,同時也減輕了應用處理器的工作負載。

無線系統劃分

從安全角度來看,一個重要的考慮因素是每個協議堆疊和安全功能應該駐留在哪裡。早期的物聯網裝置通常在Wi-Fi模組上執行TCP/IP和HTTP協議,而HTTP命令、客戶應用和安全認證則由應用處理器處理。

隨著HTTPS協議取代HTTP協議,以確保網際網路上發送資料加密,HTTPS協議堆疊通常包含在Wi-Fi模組中,但HTTPS命令則來自於應用處理器。HTTPS受到TLS協議的保護,必須使用加密技術。密鑰通常由應用處理器儲存在其本地安全記憶體中。然而,連接到應用處理器的安全元件通常被用於作為替代的安全儲存機制。

Wi-Fi module security figure 2

圖2:在哪裡儲存各種協議堆疊、認證和密鑰,是一項安全攸關的決策。

上述途徑的最大缺點在於透過UART/SPI鏈路傳輸的資料通常是無干擾的。這意味著無法經由它安全地發送密鑰。在無線模組連接到感測器等物聯網裝置的情況下,這一挑戰會變得更加嚴峻,當這些裝置連接到服務和應用時,除了加密密鑰之外,您還需要為用於安全管理這些裝置的任何軟體平台儲存根認證、URL和API。

建構Wi-Fi模組以加速物聯網裝置管理

諸如Crypto Quantique的QuarkLink (QL)等軟體安全平台可以在實現安全連接到雲端伺服器所需的複雜堆疊上節省幾個月的時間。這針對普遍使用的MCU提供韌體API和專案示例。該平台透過簡單的繪圖使用者介面(GUI)提供物聯網裝置的入門和生命週期管理。使用者幾乎不需要安全專業知識。數以千計的物聯網裝置可以在幾分鐘內安全地連接到本地或基於雲端的伺服器。

如果在其MCU中有足夠的資源來儲存促進安全連接所需的元素,那麼更複雜的Wi-Fi模組則可以被配置為在網路中使用QuarkLink。這種模組還將具有加密連結,可連接至應用處理器。功能劃分如3所示配置。

Wi-Fi module security figure 3

3:帶有QuarkLink資源的無線模組,可用於簡化裝置入網及其生命週期管理。

Wi-Fi模組的選擇指南

為安全物聯網應用選擇Wi-Fi模組時,請選擇具有足夠處理器和記憶體資源的模組,以便在模組本身而非應用處理器中儲存和處理所選安全平台的元素。這將有助於降低開發可靠物聯網產品的複雜度以及所需的工程資源。

工程工作因而得以更專注於核心應用,而無需除錯複雜的安全通訊軟體堆疊。其結果將會更加安全和可靠,從而消除Wi-Fi模組和應用處理器之間過於複雜的通訊需求。

編譯:Susan Hong

(參考原文:How to achieve better IoT security in Wi-Fi modules,by Chris Jones)

加入LINE@,最新消息一手掌握!

發表評論