在工業物聯網部署中，無線技術（不包括低功率）可大致分為蜂窩或短程無線。短距離無線包括 Wi-Fi、藍牙、Zigbee 和各種其他協議。

嵌入式系統設計人員通常決定使用現成且經過認證的無線模塊，而不是從頭開始設計無線通信電路。其中一些現在在單個模塊中適應各種頻率和協議。本文討論了 Wi-Fi 模塊的架構，以及設計人員通過使用此類模塊中可用的資源來提高物聯網設備和網絡安全性的機會。在實踐中，相同的通用方法可以應用于其他模塊，而不管所涉及的無線協議如何。

什么是 Wi-Fi 模塊？

Wi-Fi 模塊包括用于 2.4GHz 或 5GHz 頻段（或兩者）的無線收發器、天線和用于運行固件、使無線電能夠接收和傳輸數據以及操作協議的微控制器。微控制器的外部接口通常是 SPI、I 2 C、USB 或 UART。

圖 1：無線模塊的基本元素。

將 Wi-Fi 模塊連接到網絡

Wi-Fi 模塊需要運行 IEEE 802.11 標準定義的幾種不同協議才能連接到網絡。連接后，它們還必須運行所需的機器對機器協議。用于連接到云服務器的一組典型協議棧和函數可能包括：

TLS

TCP/IP

HTTP/S

FTP

MQTT

證書處理（安全）

加密密鑰使用（安全性）

由于成本和功率限制，Wi-Fi 模塊中的設備通常資源有限，因此通常會將一些網絡協議卸載到主機應用處理器。與調制解調器一樣，Wi-Fi 模塊通過 UART 接口使用 AT 命令。隨著模塊變得更加復雜，AT 命令變得更加強大，應用處理器的工作量也減少了。

無線系統分區

從安全的角度來看，一個重要的考慮因素是每個協議棧和安全功能應該駐留在哪里。早期的物聯網設備通常會在 Wi-Fi 模塊上運行 TCP/IP 和 HTTP 協議，而 HTTP 命令、客戶應用程序和安全證書由應用程序處理器處理。

由于 HTTPS 協議取代了 HTTP 以確保對通過 Internet 發送的數據進行加密，因此 HTTPS 協議棧通常包含在 Wi-Fi 模塊中，但 HTTPS 命令來自應用程序處理器。HTTPS 由 TLS 協議保護，需要使用加密技術。加密密鑰通常由應用處理器存儲在其本地安全存儲器中。然而，連接到應用處理器的安全元件通常用作替代的安全存儲機制。

圖 2：在哪里存儲各種協議棧、證書和密鑰是一個安全關鍵的決定。

上述方法的最大弱點是通過 UART/SPI 鏈路傳輸的數據通常是明文的。這意味著無法通過它安全地發送加密密鑰。當無線模塊連接到 IoT 設備（例如傳感器）時，這一挑戰會更加嚴重，然后您需要為用于安全管理此類設備的任何軟件平臺存儲根證書、URL 和 API，以及加密密鑰當它們連接到服務和應用程序時。

構建 Wi-Fi 模塊以加速物聯網設備管理

Crypto Quantique 的 QuarkLink (QL) 等軟件安全平臺可以節省數月的時間來實施安全連接到云服務器所需的復雜堆棧。這提供了針對流行微控制器的固件 API 和示例項目。該平臺通過簡單的圖形用戶界面提供物聯網設備的入職和生命周期管理。用戶幾乎不需要安全專業知識。數以千計的物聯網設備可以在幾分鐘內安全地連接到本地或基于云的服務器。

如果微控制器中有足夠的資源來存儲促進安全連接所需的元素，則可以配置更復雜的 Wi-Fi 模塊以在網絡中使用 QuarkLink。此類模塊還將具有到應用處理器的加密鏈接。然后將配置功能劃分，如圖 3 所示。

圖 3：具有簡化設備啟動和生命周期管理所需的 QuarkLink 資源的無線模塊。

選擇您的 Wi-Fi 模塊：選擇注意事項

在為安全物聯網應用選擇 Wi-Fi 模塊時，請選擇具有足夠處理器和內存資源的模塊，以便在模塊本身而非應用處理器中存儲和處理所選安全平臺的元素。這將降低開發可靠物聯網產品所需的復雜性和工程資源。

然后可以將工程工作集中在核心應用程序上，而無需調試復雜、安全的通信軟件堆棧。結果是更安全和可靠的結果，消除了 Wi-Fi 模塊和應用處理器之間過于復雜的通信的需要。

審核編輯 黃昊宇