對(duì)于當(dāng)今開(kāi)發(fā)的每個(gè)嵌入式設(shè)備，都需要至關(guān)重要的強(qiáng)大安全性支持。物聯(lián)網(wǎng)設(shè)備中的黑客攻擊威脅格局日益嚴(yán)重，要求從設(shè)備的出廠發(fā)運(yùn)開(kāi)始就需要發(fā)揮其全面的安全性。本文將討論實(shí)現(xiàn)更強(qiáng)大IoT設(shè)備安全性的步驟，并解釋嵌入式安全性背后的不同概念，以及如何針對(duì)嵌入式設(shè)備安全性實(shí)施一致且包羅萬(wàn)象的方法。

引言

在任何嵌入式設(shè)計(jì)中實(shí)現(xiàn)安全功能都是一項(xiàng)艱巨的任務(wù)。每天都有關(guān)于黑客竊取敏感信息或由于客戶信息受到破壞而導(dǎo)致站點(diǎn)無(wú)法運(yùn)行的新聞，這些足以使開(kāi)發(fā)人員夜不能寐。安全威脅形勢(shì)在不斷變化，攻擊媒介（attack vector）和黑客也在不斷發(fā)展。這些新聞不僅僅限于消費(fèi)類(lèi)技術(shù)中的漏洞。 2020年末，一家半導(dǎo)體供應(yīng)商的全部生產(chǎn)能力被黑客綁架勒索，這是一個(gè)發(fā)生在非常接近促進(jìn)安全最佳實(shí)踐行業(yè)的事件。攻擊者或許認(rèn)為，以個(gè)人消費(fèi)者為目標(biāo)只會(huì)產(chǎn)生少量贖金，而以大型企業(yè)和組織為目標(biāo)則可以帶來(lái)數(shù)量更大的回報(bào)，因?yàn)槟繕?biāo)對(duì)象通常希望避免任何負(fù)面新聞。如今，在諸如工業(yè)物聯(lián)網(wǎng)（IIoT）之類(lèi)的操作技術(shù)（OT）領(lǐng)域，開(kāi)發(fā)人員面臨著巨大壓力，要求他們?yōu)槠湓O(shè)計(jì)的所有內(nèi)容實(shí)施最高安全等級(jí)防護(hù)。如圖1所示，網(wǎng)絡(luò)攻擊已從針對(duì)遠(yuǎn)程企業(yè)IT云服務(wù)器和數(shù)據(jù)中心轉(zhuǎn)向傳感器、邊緣節(jié)點(diǎn)和網(wǎng)關(guān)等本地設(shè)施，這種趨勢(shì)表明攻擊媒介發(fā)生了變化。例如，對(duì)網(wǎng)絡(luò)邊緣溫度傳感器節(jié)點(diǎn)的訪問(wèn)攻擊不僅會(huì)危害該單個(gè)設(shè)備，還能夠提供從傳感器攻擊更廣泛基礎(chǔ)架構(gòu)的機(jī)會(huì)。

圖1：攻擊媒介從遠(yuǎn)程到本地的變化格局。（來(lái)源：Silicon Labs）

監(jiān)管環(huán)境也在發(fā)生變化，美國(guó)和歐洲最近的立法為消費(fèi)和工業(yè)設(shè)備制定了基本框架。

在美國(guó)，諸如NIST.IR 8259之類(lèi)的聯(lián)邦立法正在準(zhǔn)備規(guī)定安全性問(wèn)題和建議，以克服針對(duì)IoT設(shè)備的安全性漏洞。一旦這些立法得到批準(zhǔn)，NIST標(biāo)準(zhǔn)將成為國(guó)際公認(rèn)的ISO IoT設(shè)備安全規(guī)范。美國(guó)的幾個(gè)州在滿足NIST.IR 8259的要求方面已經(jīng)非常超前。圖2僅突出顯示了該立法將要解決的一些基本安全原則問(wèn)題。

圖2：用于物聯(lián)網(wǎng)設(shè)備安全的NIST.IR 8259標(biāo)準(zhǔn)框架。（來(lái)源：Silicon Labs）

歐洲的標(biāo)準(zhǔn)組織ETSI也正在開(kāi)發(fā)類(lèi)似的監(jiān)管法規(guī)TS 103645。已經(jīng)批準(zhǔn)的歐洲標(biāo)準(zhǔn)EN 303 645，以及名為“消費(fèi)類(lèi)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全（Cybersecurity for Consumer Internet of Things）”將得到歐洲各國(guó)和澳大利亞等其他國(guó)家廣泛采用。

本文將討論實(shí)現(xiàn)更強(qiáng)大IoT設(shè)備安全性的步驟，并解釋嵌入式安全性背后的不同概念，以及如何針對(duì)嵌入式設(shè)備安全性實(shí)施一致且包羅萬(wàn)象的方法。

發(fā)現(xiàn)設(shè)備漏洞

對(duì)于嵌入式開(kāi)發(fā)人員，其安全要求眾所周知。但是，要實(shí)現(xiàn)這些安全性的必要步驟則比較困難且復(fù)雜。當(dāng)嵌入式設(shè)備相對(duì)獨(dú)立時(shí)，這可能要容易得多。但如今，網(wǎng)絡(luò)無(wú)處不在，使每個(gè)物聯(lián)網(wǎng)設(shè)備都容易受到攻擊。而且，往往攻擊者更有經(jīng)驗(yàn)，攻擊媒介也不僅限于TCP/IP網(wǎng)絡(luò)和端口。嵌入式設(shè)備的每個(gè)方面都可能具有潛在的攻擊面。了解可能的攻擊面有助于確定應(yīng)該使用哪種防護(hù)方法。

圖1將本地攻擊分為針對(duì)IoT設(shè)備的軟件或硬件，攻擊的類(lèi)型或許更復(fù)雜，例如差分功率分析（DPA），也可以通過(guò)獲得對(duì)設(shè)備JTAG端口的物理訪問(wèn)，并用惡意代碼對(duì)其進(jìn)行重新編程而使攻擊變得更加直接。 差分功率分析需要實(shí)時(shí)偵測(cè)設(shè)備的功耗，以確定設(shè)備可能正在做什么。隨著時(shí)間的積累，能夠建立一種數(shù)字圖像，確定嵌入式處理器可能正在做什么。加密功能特別耗費(fèi)計(jì)算資源和大量功率，黑客能夠識(shí)別出頻繁的數(shù)字加密和解密任務(wù)操作。一旦了解了處理器的操作，對(duì)手就可以使用故障處理將其強(qiáng)制進(jìn)入故障狀態(tài)，同時(shí)會(huì)使寄存器和端口可訪問(wèn)。對(duì)手使用的其他攻擊技術(shù)包括篡改系統(tǒng)時(shí)鐘，在外圍引腳上引入錯(cuò)誤信號(hào)以及將電源電壓降低，使處理器運(yùn)行變得更不穩(wěn)定，從而可能暴露隱蔽的密鑰和鎖定端口。

保護(hù)您的設(shè)備

在審查要在IoT設(shè)備中實(shí)施的安全機(jī)制時(shí)，工程團(tuán)隊(duì)可能會(huì)發(fā)現(xiàn)安全物聯(lián)網(wǎng)（Internet of Secure Things，IoXT）等行業(yè)框架是一個(gè)很好的起點(diǎn)。安全物聯(lián)網(wǎng)是一個(gè)行業(yè)主導(dǎo)的計(jì)劃，旨在使嵌入式開(kāi)發(fā)人員更輕松地實(shí)施保護(hù)物聯(lián)網(wǎng)設(shè)備安全的編程任務(wù)。 IoXT已建立了涵蓋物聯(lián)網(wǎng)安全性、可升級(jí)性和透明度的八項(xiàng)原則框架，工程師在設(shè)計(jì)物聯(lián)網(wǎng)設(shè)備時(shí)可以遵循這些原則。

安全物聯(lián)網(wǎng)八項(xiàng)原則

1．禁止通用密碼：設(shè)備使用唯一的默認(rèn)密碼，而不是通用密碼，以使對(duì)手無(wú)法廣泛控制數(shù)百個(gè)設(shè)備。

2．保護(hù)每個(gè)接口：在使用過(guò)程中，無(wú)論其目的如何，都應(yīng)對(duì)所有接口進(jìn)行加密和認(rèn)證。

3．使用經(jīng)過(guò)驗(yàn)證的加密方法：建議使用行業(yè)認(rèn)可的開(kāi)放式加密標(biāo)準(zhǔn)和算法。

4．默認(rèn)情況下的安全性：產(chǎn)品出廠發(fā)運(yùn)時(shí)應(yīng)啟用最高級(jí)別的安全性。

5．已簽名軟件的更新：應(yīng)該對(duì)無(wú)線軟件更新進(jìn)行簽名，以便接收設(shè)備可以在應(yīng)用更新之前對(duì)其進(jìn)行身份驗(yàn)證。

6．自動(dòng)軟件更新：設(shè)備應(yīng)自動(dòng)進(jìn)行經(jīng)過(guò)身份驗(yàn)證的軟件更新，以維護(hù)最新的安全補(bǔ)丁程序，而不是將更新任務(wù)留給消費(fèi)者。

7．漏洞報(bào)告方案：產(chǎn)品制造商應(yīng)為用戶提供一種報(bào)告潛在安全問(wèn)題的方法，以加快更新速度。

8．安全到期日：與保修計(jì)劃一樣，安全條款也應(yīng)在某個(gè)時(shí)候到期。制造商可以提供擴(kuò)展的支持方案，以幫助順延連續(xù)的安全支持和更新的成本。

實(shí)施全面的安全措施

隨著物聯(lián)網(wǎng)安全格局的快速變化，物聯(lián)網(wǎng)產(chǎn)品工程團(tuán)隊(duì)也在努力與不斷增長(zhǎng)的所需安全功能保持同步，能夠滿足此需求的一個(gè)平臺(tái)是Silicon Labs開(kāi)發(fā)的Secure Vault，它使用硬件和軟件功能的組合在SoC中提供全面的安全子系統(tǒng)。Silicon Labs第一個(gè)集成有Secure Vault的器件是多協(xié)議無(wú)線SoC EFM32MG21B。

Secure Vault已獲得行業(yè)安全組織PSA Certified和ioXt聯(lián)盟（ioXt Alliance）的認(rèn)證。 PSA Certified Level 2認(rèn)證基于與Arm共同創(chuàng)建的安全標(biāo)準(zhǔn)框架。

Secure Vault SoC在設(shè)備中集成了期望的所有安全功能，例如真正的隨機(jī)數(shù)生成器、加密引擎、信任根和安全啟動(dòng)功能。 Secure Vault通過(guò)增強(qiáng)的安全啟動(dòng)、DPA對(duì)策、防篡改檢測(cè)、安全密鑰管理和安全證明等特性進(jìn)一步加強(qiáng)安全功能。

在Secure Vault中，所有安全功能都位于安全元素子系統(tǒng)中，請(qǐng)參見(jiàn)圖4。

圖3：Silicon Labs Secure Vault的安全元素子系統(tǒng)。（來(lái)源：Silicon Labs）

黑客通常使用的一種攻擊方法是干擾啟動(dòng)代碼，用看似正常但實(shí)際運(yùn)行卻完全不同的指令替換代碼，將數(shù)據(jù)重新定向到其他服務(wù)器。 Secure Vault采用增強(qiáng)的引導(dǎo)過(guò)程，其中同時(shí)使用應(yīng)用微控制器和安全元素微控制器，并結(jié)合信任根和安全加載程序功能，僅僅執(zhí)行受信任的應(yīng)用程序代碼，參見(jiàn)圖5。

圖4：使用Silicon Labs Secure Vault的安全啟動(dòng)。（來(lái)源：Silicon Labs）

另一種黑客攻擊方法試圖將已安裝的固件回退（rollback）到具有安全漏洞的先前版本。這樣，黑客就可以破壞設(shè)備，從而利用其中的安全漏洞。借助Secure Vault，防回退預(yù)防措施通過(guò)使用數(shù)字簽名的固件來(lái)驗(yàn)證是否需要更新，參見(jiàn)圖6。

圖5：Secure Vault的防回退對(duì)策使用數(shù)字簽名對(duì)固件更新進(jìn)行身份驗(yàn)證。（來(lái)源：Silicon Labs）

某些系統(tǒng)以前使用可公共訪問(wèn)的唯一ID（UID）來(lái)標(biāo)識(shí)單個(gè)IoT設(shè)備。對(duì)于開(kāi)發(fā)人員而言，此類(lèi)UID有助于偽造產(chǎn)品，從而使產(chǎn)品的真實(shí)性受到質(zhì)疑。通過(guò)使用Secure Vault，可以生成唯一的ECC密鑰/公用密鑰對(duì)，并且密鑰可以安全地存儲(chǔ)在芯片上。應(yīng)用程序可以請(qǐng)求設(shè)備的證書(shū)，但是任何響應(yīng)需要使用設(shè)備的密鑰簽名，而不是隨證書(shū)一起發(fā)送，參見(jiàn)圖7。

圖6：使用Secure Vault進(jìn)行安全認(rèn)證的過(guò)程。（來(lái)源：Silicon Labs）

結(jié)論

對(duì)于當(dāng)今開(kāi)發(fā)的每個(gè)嵌入式設(shè)備，都需要至關(guān)重要的強(qiáng)大安全性支持。物聯(lián)網(wǎng)設(shè)備中的黑客攻擊威脅格局日益嚴(yán)重，要求從設(shè)備的出廠發(fā)運(yùn)開(kāi)始就需要發(fā)揮其全面的安全性。使用Secure Vault，可以確保產(chǎn)品開(kāi)發(fā)團(tuán)隊(duì)及其客戶從一開(kāi)始就具有防范可擴(kuò)展軟件攻擊的強(qiáng)大保護(hù)機(jī)制。

作者：Simon Holt, 貿(mào)澤電子
編輯：hfy