如何为嵌入式设备构筑安全防线

一个包含硬件和内置软件的设备就是我们常说的嵌入式系统，这些设备能独立完成一项功能或一组任务，它们中许多存储着重要的信息，有可能还会执行影响人类和环境的关键功能。现在，嵌入式设备已成黑客攻击的主要目标。由于许多由嵌入式设备驱动的小组件和机器在运行中必须连接到互联网，因此网络黑客就有机会窃取未经授权的访问权限，并运行恶意代码，这种攻击通常会蔓延到其他连接的组件乃至破坏整个系统。比如，攻击者入侵一辆处于自动驾驶模式的汽车后，相当于劫持了这辆汽车，黑客就可以操控汽车将其驶离正常行驶的道路，后果不堪设想。因此，嵌入式系统安全不仅是财务损失的问题，还可能是人命关天的大事。

嵌入式系统安全面临的挑战

嵌入式系统安全是网络安全的一个分支，专注于保护嵌入式软件系统免受可能未经授权的访问和网络攻击，或减轻此类活动造成的损失。在实际应用中，嵌入式软件系统既可以是简单的，如智能家居中的运动传感器，也可以是高度复杂的，如企业中的远程通信跟踪器和机器人等。其中一些解决方案可能需要嵌入式操作系统和应用软件来运行，而另一些解决方案也许仅有条形码阅读器即可。

虽然可供使用的嵌入式安全措施提供了保护嵌入式设备的软件和硬件的工具、流程和最佳实践，但由于嵌入式系统的硬件模块普遍比较小，有各种各样的内存和存储限制。因此，要将安全措施全部纳入其中在设计上仍存很大的挑战。这些挑战主要来自于：

第三方组件的使用

由于技术和经济方面的原因，许多嵌入式设备需要增加第三方硬件和软件组件才能正常工作，而这些组件通常没有经过严格的安全测试。事实上，这些组件很可能包含了恶意软件或容易受到恶意软件的攻击，为整个系统带来潜在的威胁。

标准化的缺乏

目前，网络保护和物联网行业的标准化程度比较低，安全设备的开发是嵌入式系统安全的主要挑战之一。然而，由于嵌入式系统缺乏统一的网络安全标准，制造商很难对他们使用的部件的安全性报有信心。

不安全的网络连接

5G的普及势不可挡，许多嵌入式系统和物联网设备将直接连接到互联网上。企业防火墙可以检测和防止网络攻击，但这种直连方式意味着那些嵌入式设备没有得到企业防火墙的保护。在这样一个资源受限的环境中实施严格的安全保护将变得非常困难。

过时的软件

许多带有内置软件的设备大多是移动设备，可以在现场使用。若更新或升级此类设备的内置软件，需要进行远程操作。事实是，在数量众多的小型嵌入式设备上定期更新固件并不是一件容易的事，但过时的固件通常充满很多极易被利用的漏洞。

长生命周期设备的安全维护

嵌入式设备的生命周期通常比个人电脑或消费电子产品的生命周期要长得多，这些设备往往要连续使用多年，人们很难预见未来十年可能出现的潜在安全威胁。

创建嵌入式系统安全的四个步骤

保证嵌入式系统足够安全绝非易事，目前行业里尚无针对所有嵌入式设备的通用安全策略。不过，设计人员可以尝试从以下四个方面入手去开发一个安全可靠的嵌入式系统。

一是评估潜在的威胁和漏洞。具体操作包括：分析产品的生命周期，评估开发商、硬件制造商、软件供应商、电信运营商、用户和任何相关方对最终产品安全的影响，确定所有可能的软件和物理攻击点及其发生的可能性，制定有安全要求的技术规范。

二是根据需求设计可靠的软件体系架构。充分利用中间件和虚拟化技术，进行组件划分，还应允许在共享平台上运行多个操作系统。

三是选择工具和组件。为嵌入式系统选择的软件开发平台其安全性至关重要，它必须符合国际或地区安全标准。系统硬件的选择亦是如此，从制造商和分销商处购买的所有电路板、传感器和外围设备都应符合解决方案所需的安全标准。

四是进行安全测试。嵌入式系统中硬件和软件组件的安全测试不应被忽视，要作为必选项独立于系统其他测试功能。

嵌入式系统安全设计要点

与普通数字解决方案相比，为嵌入式系统提供适当的安全级别更为棘手，因为它需要实施物理层和数字层两层保护：一方面，设备应能抵抗非法外部入侵以及物理损坏。比如使用防震外壳、安装监控摄像头等；另一方面，软件需能抵御黑客攻击和数据泄漏。

因此，嵌入式软件公司需要在包括初始化、运行和更新等所有阶段使用组合的数字安全机制来保护系统的安全。在设计中应着重考虑以下几点：

软件保护。确保整个软件体系结构受到保护，防止未经授权的更改。

数据保护。确保未经授权的用户无法访问存储在设备中的信息。比如采取通过身份验证、强密码和与设备的加密连接等措施。

设备保护。确保设备本身不遭受外部的物理破坏。可使用超强材料、电子锁、监控摄像头和其他外围设备等。现在，一些处理器或主板已具备检测设备外壳中物理入侵的能力。

谈到嵌入式系统安全，很多嵌入式设备的安全性大多集中在软件上。实际上，无论你的软件安全性有多强，如果硬件不“硬”，设备也是很容易受到攻击的。嵌入式系统中的硬件安全可通过包括密钥管理、加密和硬件功能隔离等措施来实现。

根据Persistence Market Research的分析，全球嵌入式安全市场在2021年度达到了5.23亿美元。移动设备、自主机器人以及医疗可穿戴产品等对嵌入式安全需求的不断增长，是推动嵌入式安全市场增长的主要推手。良好的应用前景以及巨大的市场潜力，必然会引起企业的极大关注，参与嵌入式安全的企业很多是颇具实力的跨国公司，如：Infineon、NXP、TI、STMicroelectronics、Maxim、Renesas等。

Maxim嵌入式安全解决方案

Maxim提供的DeepCover安全微控制器集成了先进的加密和物理保护机制，以最高安全等级应对侧道攻击、物理篡改和逆向工程。内部集成的安全NV SRAM，一旦检测到篡改事件，即刻擦除存储内容；专有的代码、数据实时加密技术，为外部存储器提供完备保护。

复杂的入侵式攻击常常是为了从安全IC获取密钥，如果获得密钥，IC提供的安全性将彻底崩塌。Maxim独有的ChipDNA嵌入式安全PUF技术被其称作是物理不可克隆（PUF）的安全加密技术，能有效防御入侵式攻击，原理是这些密钥自始至终不会静态存储在存储器或其它静态空间，也不会离开IC的电路边界，因此黑客也就无法盗窃一个并不存在的密钥。

在Maxim基于PUF的ChipDNA安全认证器中，每个密钥都来自IC的精确模拟特性，使其能够防御入侵式攻击。任何探针或其他侦测ChipDNA的操作都将改变底层电路特征，无法获取芯片加密函数使用的唯一值。

同样，由于ChipDNA电路操作是由生产条件决定的，逆向工程也无法获取其密钥。只有需要进行加密操作时，ChipDNA电路才会生成器件唯一的密钥，并且在使用后立即消失。此外，每片IC的独特ChipDNA密钥在整个温度、电压及IC工作寿命范围保持稳定的可重复性。

图1：MAX32520典型应用电路 (图源：Maxim)

MAX32520是Maxim推出的一款ChipDNA安全ARM Cortex-M4微控制器，它采用DeepCover嵌入式安全解决方案来保护敏感数据。DeepCover提供了可互操作、安全且经济高效的解决方案，用于构建新一代可信嵌入式系统和通信设备，如IoT、IoT网关以及无线接入点等。在MAX32520内部集成了专有的ChipDNA PUF技术，该技术包括PUF功能，可以防止侵入性物理攻击。MAX32520还采用ChipDNA输出作为密钥内容，以加密方式保护在设备上存储的所有数据包括用户固件。

Infineon嵌入式安全解决方案

OPTIGA TPM SLI 9670是一款经过质量强化的可信平台模块（Trusted Platform Module：TPM），专门用于汽车应用，基于采用先进硬件安全技术的防篡改安全微控制器。OPTIGA TPM SLI 9670符合汽车AEC-Q100标准，是汽车远程信息处理、网关、多媒体主机以及对安全要求高的ECU等应用的配套芯片，在防篡改和认证环境中提供硬件信任、加密和解密，以保护OTA软件更新或存储密钥。另外，这个TPM还根据通用标准EAL4+进行了安全认证。

图2：OPTIGA TPM SLI 9670内部硬件结构框图 (图源：Infineon)

OPTIGA TPM SLI 9670是基于硬件的嵌入式安全解决方案，其硬件由防篡改安全MCU、复杂的加密硬件模块和其他外围设备（如随机数发生器）组成。先进的硬件安全技术，包括内部存储器和总线加密，以及屏蔽和传感器，可防止物理和逻辑攻击。

Sectigo是全球最大的商业证书颁发机构（CA）和领先的网络安全解决方案公司，早在2020年4月，Sectigo就宣布与Infineon合作，使用Sectigo IoT Identity Manager为Infineon的OPTIGA TPM2.0提供自动证书设置。

结语

物联网将由数十亿数字设备、服务和其他具有无缝连接、交互和交换信息潜力的物理对象组成，只有解决了安全性问题，我们才能进一步讨论如何实现当前和未来的若干应用。日益增长的物联网应用增加了对嵌入式安全的需求，根据ResearchAndMarkets的预测，在2021—2026年期间，预计全球嵌入式安全市场的复合年增长率将达到5.5%。

嵌入式系统安全的重要组成部分是密码算法和硬件体系结构，并以此满足极低的内存和处理需求、可信平台模块和标准化安全协议。由于大多数嵌入式设备位于企业IT系统之外，因此必须将安全功能集成到此类设备中，它们才有能力独立自卫。因此，我们应该从嵌入式系统最早的设计阶段就将安全要求考虑在内，并根据这些要求选择软件工具和硬件部件，而这些硬件和软件特性将在很大程度上决定了嵌入式系统未来的安全功能。

审核编辑：郭婷