從一開始，PC、工業(yè)系統(tǒng)和各種計(jì)算設(shè)備就被設(shè)計(jì)為單獨(dú)的計(jì)算點(diǎn)。因此，安全性從來都不是頭等大事。

然而，今天一切都是相互聯(lián)系的。物聯(lián)網(wǎng)和工業(yè)4.0引入了最初未被考慮的新的安全威脅。因此，我們對(duì)構(gòu)建、管理和維護(hù)電子系統(tǒng)的思考方式也必須改變。

保護(hù)連接設(shè)備比大多數(shù)人想象的要早得多，并且遠(yuǎn)遠(yuǎn)超出了單個(gè)工程師或公司的工作。即使在使用強(qiáng)大組件的系統(tǒng)中，漏洞也可能早在半導(dǎo)體制造階段就出現(xiàn)，并在整個(gè)固件開發(fā)、應(yīng)用程序編程和將設(shè)備連接到網(wǎng)絡(luò)的過程中持續(xù)存在。

不幸的是，沒有單點(diǎn)解決方案可以抵御所有這些潛在的威脅媒介。但是，工具、流程和方法正在變得可用，可以減輕嵌入式和物聯(lián)網(wǎng)工程師的一些安全負(fù)擔(dān)。

您應(yīng)該多早開始保護(hù)您的產(chǎn)品？

為了回答上述問題，重要的是要考慮任何連接設(shè)備的基本開端 - 它的硅。在這方面，產(chǎn)品的制造與以后如何使用同樣重要。

讓我們看看像格芯（GF）這樣的公司，其位于紐約馬耳他的Fab 8 300 mm制造工廠在滿負(fù)荷生產(chǎn)時(shí)每年能夠生產(chǎn)超過70萬片晶圓。該工廠生產(chǎn)14納米GPU和CPU，如AMD基于Zen的Ryzen和Epyc SoC，以及支持?jǐn)?shù)據(jù)中心處理到5G網(wǎng)絡(luò)的各種其他半導(dǎo)體。

Fab 8是格芯最先進(jìn)的制造工廠，部分原因是它幾乎完全自動(dòng)化。它還符合 ITAR 標(biāo)準(zhǔn)。

《國(guó)際交通和武器條例》（ITAR）是出口限制，有助于控制美國(guó)軍需品清單（USML）中確定的軍事相關(guān)技術(shù)的流動(dòng)。雖然進(jìn)出口管制似乎與物聯(lián)網(wǎng)設(shè)備安全沒有任何關(guān)系，但它們幾乎與物聯(lián)網(wǎng)設(shè)備安全有關(guān)。

這是因?yàn)槿魏问褂么祟惍a(chǎn)品的供應(yīng)商都必須滿足一長(zhǎng)串要求才能保持與ITAR的合規(guī)性。這些包括：

生產(chǎn)車間的人員限制

限制使用移動(dòng)設(shè)備

工作冗余副本，以防止在發(fā)生攻擊時(shí)停工

要求所有晶圓廠員工使用數(shù)字工作站

使用無紙化系統(tǒng)，限制未經(jīng)授權(quán)的信息查看

“ITAR的成立是為了控制和防止向美國(guó)政府發(fā)布關(guān)鍵技術(shù)，敏感技術(shù)，”格芯航空航天和國(guó)防業(yè)務(wù)線主任Ezra Hall說。“你可以想象美國(guó)政府可能為之制造半導(dǎo)體的所有敏感類型的應(yīng)用，這些應(yīng)用屬于ITAR，其中包括非半導(dǎo)體。

ITAR合規(guī)性確保制造設(shè)施與生產(chǎn)在那里生產(chǎn)的設(shè)備相同，如果不是更安全的話?；魻栔赋?，使Fab 8符合ITAR法規(guī)開辟了巨大的市場(chǎng)機(jī)會(huì)，在“美國(guó)最先進(jìn)的純半導(dǎo)體工廠園區(qū)”制造的所有設(shè)備都遵循相同的安全制造實(shí)踐。

保護(hù)設(shè)備內(nèi)存

一旦設(shè)備通過初始階段，供應(yīng)商就需要決定如何使存儲(chǔ)在其中的內(nèi)存和信息盡可能安全。無論是通過安全啟動(dòng)還是TEE等過程，都必須保護(hù)內(nèi)存以保護(hù)整個(gè)設(shè)備。

安全硬件（如可信執(zhí)行環(huán)境 （TEE））的主要目的是保護(hù)存儲(chǔ)在內(nèi)存中的重要指令和 IP。畢竟，這就是為什么許多系統(tǒng)選擇從這些區(qū)域運(yùn)行其安全啟動(dòng)過程的原因。

但是，盡管像 Arm TrustZone 這樣的 TEE 解決方案越來越多，但許多開發(fā)人員仍在努力應(yīng)對(duì) TPM、內(nèi)存保護(hù)單元 （MPU） 和其他安全硬件元素的復(fù)雜性。事實(shí)上，Swissbit安全解決方案副總裁Hubertus Grobbel指出，安全啟動(dòng)等流程的最大挑戰(zhàn)只是讓開發(fā)人員易于理解和使用。

更具體地說，如何在不將自己鎖定的情況下使用這些技術(shù)？

“看看開發(fā)人員擁有的各種選項(xiàng)，例如連接到處理器旁邊或集成到處理器中的TPM或安全元件，或集成到處理器中的軟件安全性，”Grobbel說?！巴ǔ＃阋灿幸粋€(gè)信任區(qū)，對(duì)吧？

“一旦［你集成了一個(gè)安全解決方案］在CPU中，你或多或少地粘在CPU上。如果CPU中有什么東西壞了，你就會(huì)陷入CPU硬件的困境，這些硬件在整個(gè)生命周期中可能無法維護(hù)和管理。因此，我們的方法是提供一種安全性，該安全性已集成到開發(fā)人員無論如何都需要的東西中。

“這就是存儲(chǔ)。

Swissbit 最近發(fā)布了樹莓派安全啟動(dòng)解決方案，這是一種基于 PS-45u-DP-microSD 卡“樹莓版”的數(shù)據(jù)加密和訪問保護(hù)機(jī)制（圖 2）。根據(jù) Grobbel 的說法，該解決方案非常適合保護(hù)系統(tǒng)免受未經(jīng)授權(quán)的數(shù)據(jù)訪問、代碼操縱和 IP 違規(guī)的影響。更好的是，它附帶了一個(gè)配套的軟件開發(fā)工具包（SDK）。

圖 2.瑞士比特安全

Raspberry Pi SDK 的安全啟動(dòng)解決方案提供了一個(gè)基于 U-Boot 主線和內(nèi)核的開源預(yù)啟動(dòng)環(huán)境，允許所有級(jí)別的開發(fā)人員訪問現(xiàn)代 MCU 和 MPU 上提供的相同類型的安全功能。此外，該解決方案的開源特性使用戶能夠靈活地修改其安全實(shí)現(xiàn)，以滿足其特定應(yīng)用程序和系統(tǒng)資源的需求。

保護(hù)設(shè)備的最大挑戰(zhàn)

除了引導(dǎo)過程之外，仍然需要保護(hù)在連接的設(shè)備上運(yùn)行的更高級(jí)別的應(yīng)用程序軟件，因?yàn)榇舜a中的錯(cuò)誤可能會(huì)提供對(duì)其他敏感系統(tǒng)實(shí)用程序的不需要的訪問。

海頓·波維（Haydn Povey）是IAR系統(tǒng)公司安全事務(wù)所的首席執(zhí)行官兼嵌入式安全解決方案總經(jīng)理，他意識(shí)到了這一點(diǎn)。作為回應(yīng)，IAR發(fā)布了C-Trust開發(fā)工具套件，該套件允許沒有深厚技術(shù)安全知識(shí)的開發(fā)人員輕松加密其應(yīng)用程序代碼，幾乎不需要軟件返工。

C-Trust 通過加密過程將應(yīng)用程序綁定到目標(biāo)硬件的元素來實(shí)現(xiàn)這一點(diǎn)，從而延續(xù)通過安全啟動(dòng)等操作實(shí)現(xiàn)的信任鏈（圖 3）。

圖 3.嵌入式信任和 C 信任流程

“我們使用密碼學(xué)首先確保設(shè)備是正確的設(shè)備，”Povey說。因此，例如，對(duì)于意法半導(dǎo)體器件，我們利用了它們集成的SFI或安全固件安裝功能，以便我們可以保證它是使用加密技術(shù)的有效意法半導(dǎo)體器件。然后，我們可以控制該設(shè)備以創(chuàng)建配對(duì)，然后以加密格式加載應(yīng)用程序。

“即使有人坐在計(jì)算機(jī)和正在編程的設(shè)備之間，他們也只能看到垃圾。我們可以確保您打算加載到該設(shè)備上的應(yīng)用程序是正確的應(yīng)用程序。

C-Trust 安裝的手動(dòng)部分涉及選擇應(yīng)用程序?qū)⒂糜讷@取資源訪問權(quán)限的受信任內(nèi)存區(qū)域。但這也使開發(fā)人員有機(jī)會(huì)設(shè)置權(quán)限，以防止來自不受信任的內(nèi)存區(qū)域的數(shù)據(jù)到達(dá)嘗試訪問它的應(yīng)用程序。

如圖 3 所示，C-Trust 的所有功能都可以通過 IAR 嵌入式工作臺(tái)環(huán)境進(jìn)行訪問。

認(rèn)證安全性

當(dāng)然，物聯(lián)網(wǎng)設(shè)備的標(biāo)志是它以某種方式連接到某種類型的網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)甚至可能是互聯(lián)網(wǎng)本身。

從物聯(lián)網(wǎng)安全的角度來看，這給許多工程師帶來的挑戰(zhàn)是，他們正在處理資源嚴(yán)重受限的端點(diǎn)設(shè)備。這些系統(tǒng)通常沒有基于 Web 的加密（如 AES-256）所需的本地計(jì)算或內(nèi)存資源。

為了應(yīng)對(duì)這一挑戰(zhàn)，像Veridify（以前稱為SecureRF）這樣的公司正在開發(fā)“輕量級(jí)”加密方法，這些方法在ROM和RAM有限的小尺寸系統(tǒng)中是可行的。例如，該公司的設(shè)備所有權(quán)管理和注冊(cè)（DOME）客戶端是一個(gè)軟件庫，為超緊湊的物聯(lián)網(wǎng)邊緣系統(tǒng)提供配置，管理和安全連接工具，并提供即使在低時(shí)鐘速度運(yùn)行的CPU上也可以快速運(yùn)行的加密。

“就嵌入式客戶端本身的資源而言，通常我們說需要多達(dá)20KB的ROM來包含DOME客戶端庫。在任何時(shí)候，它都可能使用800字節(jié)的RAM，“Veridify德雷克史密斯的開發(fā)副總裁說。

DOME 客戶端附帶一個(gè)軟件開發(fā)工具包，其中包含一個(gè) DOME 客戶端庫以及安卓和 iOS 接口設(shè)備。

“我們?yōu)槟峁┝瞬⑿衅脚_(tái)，用于進(jìn)行更新，配置和其他一些管理功能，這些功能不會(huì)成為實(shí)際行業(yè)設(shè)備的焦點(diǎn)，”Veridify首席執(zhí)行官Louis Parks說?！埃墼撛O(shè)備］旨在管理建筑物中的燈光，熱量或電梯，這就是它的作用。它可能具有安全性的關(guān)鍵，但同樣，通過確保這些結(jié)構(gòu)化平臺(tái)，我們可以幫助客戶在現(xiàn)場(chǎng)管理它，安全地管理它，管理交接和更新。

DOME 還通過了 Arm 平臺(tái)安全架構(gòu) （PSA） 1 級(jí)認(rèn)證，這意味著用戶可以將其集成到更大的安全結(jié)構(gòu)中，從而確保當(dāng)前的系統(tǒng)保護(hù)和未來的路線圖。

我們?nèi)绾沃牢锫?lián)網(wǎng)設(shè)備符合我們的安全標(biāo)準(zhǔn)？

盡管隨著工具和方法的發(fā)布，這些工具和方法簡(jiǎn)化了物聯(lián)網(wǎng)解決方案堆棧每個(gè)級(jí)別的安全性，但每個(gè)連接的設(shè)備中都會(huì)存在漏洞。而且，這個(gè)話題更令人沮喪的一個(gè)方面是，即使供應(yīng)商A盡其所能創(chuàng)建一個(gè)強(qiáng)大，安全的物聯(lián)網(wǎng)端點(diǎn)，如果供應(yīng)商B在同一網(wǎng)絡(luò)上的產(chǎn)品中偷工減料，所有這些努力都可能毫無用處。

作為回應(yīng)，主要的物聯(lián)網(wǎng)組織一直在努力制定安全標(biāo)準(zhǔn)，使公司承擔(dān)一定程度的責(zé)任。例如，谷歌工程副總裁兼Android安全和隱私主管David Kleidermacher代表他的公司加入安全物聯(lián)網(wǎng)聯(lián)盟（ioXT），該聯(lián)盟是一個(gè)希望實(shí)施物聯(lián)網(wǎng)安全全球標(biāo)準(zhǔn)的行業(yè)聯(lián)盟。

在最近接受嵌入式計(jì)算設(shè)計(jì)采訪時(shí)，Kleidermacher指出，這一過程的挑戰(zhàn)部分實(shí)際上不是標(biāo)準(zhǔn)的創(chuàng)建，而是創(chuàng)建一個(gè)可擴(kuò)展的合規(guī)計(jì)劃，該計(jì)劃考慮了所有潛在的設(shè)備和用例。

但要使這些計(jì)劃成為可能，它們背后需要有只有政府才能提供的牙齒。Kleidermacher希望各國(guó)政府能夠圍繞物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定任務(wù)，以促進(jìn)并確保它們?cè)谶B接設(shè)備中的使用。

在那之前，無論是將來的某個(gè)地方，如果它真的發(fā)生，供應(yīng)商都必須將安全性放在其連接設(shè)備思維過程的最前沿。考慮一下安全性的復(fù)雜性，從組件開始到物聯(lián)網(wǎng)產(chǎn)品到達(dá)消費(fèi)者手中。

審核編輯：郭婷