2.1 安全保護的目的

為何需要采取保護措施

微控制器中的安全性是指保護內(nèi)置的固件、數(shù)據(jù)以及系統(tǒng)功能。而對于數(shù)據(jù)保護有需求的場合，尤其是密鑰和個人數(shù)據(jù)最為重要。

固件代碼也是重要的資產(chǎn)。如果攻擊者能夠訪問二進制代碼，便可對程序進行逆向工程，嘗試找到其它漏洞，繞過許可和軟件限制。攻擊者可以復(fù)制任何自定義算法，甚至可以使用它來刷新硬件的克隆。即使是開源軟件，也有必要證明代碼的真實性，而且并未被惡意固件替代。

考慮到系統(tǒng)層面的保護，如環(huán)境，包含氣體，火災(zāi)或侵蝕，檢測報警或監(jiān)控攝像頭，拒絕報務(wù)攻擊（DoS 攻擊）是另一種主要威脅。系統(tǒng)功能須具有穩(wěn)健、可靠的特性。

即使安全要求增加了系統(tǒng)的復(fù)雜性，也不得低估其地位。如今，越來越多的技術(shù)熟練的攻擊者將基于微控制器構(gòu)建的系統(tǒng)做為潛在目標(biāo)，希望以此實現(xiàn)經(jīng)濟獲益。這些收益可能會非常高，特別是在攻擊可大規(guī)模傳播（比如在 IoT環(huán)境中）的情況下。即使系統(tǒng)無法達到完全安全，也可以提高攻擊的成本。

事實上，IoT 或智能設(shè)備已提高了對安全的要求?；ヂ?lián)設(shè)備可遠程訪問，因此對黑客來說極具吸引力。這個連接性本身可能為攻擊提供了一個基于協(xié)議弱點的入口。一旦成功實施攻擊后，一臺被破解的設(shè)備會破壞整個網(wǎng)絡(luò)的完整性（請參見下圖）。

什么需要被保護

安全不能局限于特定的目標(biāo)或資產(chǎn)。如果代碼二進制文件一旦被公開，則很難保護數(shù)據(jù)，對應(yīng)攻擊行為和保護機制很難被區(qū)分。但是對資產(chǎn)和風(fēng)險進行匯總?cè)匀环浅Ｓ杏?。下表介紹的是被攻擊者當(dāng)做目標(biāo)的部分資產(chǎn)列表。

弱點、威脅和攻擊

保護機制需要處理不同的威脅。目的在于消除攻擊中可能利用的弱點。

第 3 節(jié) 攻擊類型中概括介紹了主要攻擊類型（從基本攻擊到最高級的攻擊）。

下面介紹有關(guān)安全的三要素：

? 資產(chǎn)：需要保護的內(nèi)容

? 威脅：需要保護器件/用戶免于的內(nèi)容

? 弱點：保護機制中存在的漏洞或缺陷

總而言之，攻擊是指一種利用系統(tǒng)漏洞訪問資產(chǎn)的實現(xiàn)。

3.1 引言

安全的一條重要規(guī)則是攻擊總是無處不在。首先，沒有任何保護措施能夠完全避免意外攻擊。無論采取哪種安全措施對系統(tǒng)進行保護，都會在器件使用過程中發(fā)現(xiàn)安全漏洞并加以利用。

最后一點需要考慮如何更新設(shè)備固件以提高其安全性（請參考第 5.2.2 節(jié) 安全固件更新（SFU））。其次，在實驗室條件下使用，可檢索微控制器內(nèi)容甚至是設(shè)計架構(gòu)細節(jié)。這些技術(shù)在 第 3.3 節(jié) 硬件攻擊 中進行了簡短的介紹。

從攻擊者的角度來看，如果期望收益/攻擊成本之比足夠高，那么攻擊便有利可圖。收益取決于竊取的資產(chǎn)價值以及攻擊的可重復(fù)性。成本則取決于成功實現(xiàn)攻擊所花費的時間和金錢（設(shè)備）。

攻擊類型

下面對攻擊進行了更為詳細的分組和分類：

? 軟件攻擊利用漏洞，協(xié)議弱點或不可信的代碼片段來執(zhí)行。對通信渠道的攻擊（攔截或篡奪）屬于此類。軟件攻擊是最主要的攻擊類型。它們的成本可能非常低。它們可以廣泛傳播，反復(fù)進行，破壞力巨大。無需物理訪問器件，即可遠程執(zhí)行攻擊。

? 硬件攻擊需要對設(shè)備進行物理訪問。最典型的硬件攻擊是利用未受保護的調(diào)試端口實施攻擊。但一般而言，硬件攻擊頗為復(fù)雜，成本可能非常高昂。進行攻擊時需要使用特定的材料，而且對電子工程技能有一定的要求。在板級或芯片級實施的非侵入性攻擊不會破壞器件，而在器件硅片級實施的侵入性攻擊則會破壞器件封裝。在大多數(shù)情況下，通過此手段找到一種可用于廣泛遠程攻擊的方法和信息，此類攻擊手段才是可利可圖的。

下表概括介紹了每種攻擊類型的成本及使用的技術(shù)。