從一開始，PC、工業(yè)系統(tǒng)和各種計算設(shè)備就被設(shè)計為單獨的計算點。因此，安全性從來都不是頭等大事。

然而，今天一切都是相互聯(lián)系的。物聯(lián)網(wǎng)和工業(yè)4.0引入了最初未被考慮的新的安全威脅。因此，我們對構(gòu)建、管理和維護電子系統(tǒng)的思考方式也必須改變。

保護連接設(shè)備比大多數(shù)人想象的要早得多，并且遠遠超出了單個工程師或公司的工作。即使在使用強大組件的系統(tǒng)中，漏洞也可能早在半導(dǎo)體制造階段就出現(xiàn)，并在整個固件開發(fā)、應(yīng)用程序編程和將設(shè)備連接到網(wǎng)絡(luò)的過程中持續(xù)存在。

不幸的是，沒有單點解決方案可以抵御所有這些潛在的威脅媒介。但是，工具、流程和方法正在變得可用，可以減輕嵌入式和物聯(lián)網(wǎng)工程師的一些安全負擔(dān)。

您應(yīng)該多早開始保護您的產(chǎn)品？

為了回答上述問題，重要的是要考慮任何連接設(shè)備的基本開端 - 它的硅。在這方面，產(chǎn)品的制造與以后如何使用同樣重要。

讓我們看看像格芯（GF）這樣的公司，其位于紐約馬耳他的Fab 8 300 mm制造工廠在滿負荷生產(chǎn)時每年能夠生產(chǎn)超過70萬片晶圓。該工廠生產(chǎn)14納米GPU和CPU，如AMD基于Zen的Ryzen和Epyc SoC，以及支持數(shù)據(jù)中心處理到5G網(wǎng)絡(luò)的各種其他半導(dǎo)體。

Fab 8是格芯最先進的制造工廠，部分原因是它幾乎完全自動化。它還符合 ITAR 標準。

《國際交通和武器條例》（ITAR）是出口限制，有助于控制美國軍需品清單（USML）中確定的軍事相關(guān)技術(shù)的流動。雖然進出口管制似乎與物聯(lián)網(wǎng)設(shè)備安全沒有任何關(guān)系，但它們幾乎與物聯(lián)網(wǎng)設(shè)備安全有關(guān)。

這是因為任何使用此類產(chǎn)品的供應(yīng)商都必須滿足一長串要求才能保持與ITAR的合規(guī)性。這些包括：

生產(chǎn)車間的人員限制

限制使用移動設(shè)備

工作冗余副本，以防止在發(fā)生攻擊時停工

要求所有晶圓廠員工使用數(shù)字工作站

使用無紙化系統(tǒng)，限制未經(jīng)授權(quán)的信息查看

“ITAR的成立是為了控制和防止向美國政府發(fā)布關(guān)鍵技術(shù)，敏感技術(shù)，”格芯航空航天和國防業(yè)務(wù)線主任Ezra Hall說。“你可以想象美國政府可能為之制造半導(dǎo)體的所有敏感類型的應(yīng)用，這些應(yīng)用屬于ITAR，其中包括非半導(dǎo)體。

ITAR合規(guī)性確保制造設(shè)施與生產(chǎn)在那里生產(chǎn)的設(shè)備相同，如果不是更安全的話?；魻栔赋?，使Fab 8符合ITAR法規(guī)開辟了巨大的市場機會，在“美國最先進的純半導(dǎo)體工廠園區(qū)”制造的所有設(shè)備都遵循相同的安全制造實踐。

保護設(shè)備內(nèi)存

一旦設(shè)備通過初始階段，供應(yīng)商就需要決定如何使存儲在其中的內(nèi)存和信息盡可能安全。無論是通過安全啟動還是TEE等過程，都必須保護內(nèi)存以保護整個設(shè)備。

安全硬件（如可信執(zhí)行環(huán)境 （TEE））的主要目的是保護存儲在內(nèi)存中的重要指令和 IP。畢竟，這就是為什么許多系統(tǒng)選擇從這些區(qū)域運行其安全啟動過程的原因。

但是，盡管像 Arm TrustZone 這樣的 TEE 解決方案越來越多，但許多開發(fā)人員仍在努力應(yīng)對 TPM、內(nèi)存保護單元 （MPU） 和其他安全硬件元素的復(fù)雜性。事實上，Swissbit安全解決方案副總裁Hubertus Grobbel指出，安全啟動等流程的最大挑戰(zhàn)只是讓開發(fā)人員易于理解和使用。

更具體地說，如何在不將自己鎖定的情況下使用這些技術(shù)？

“看看開發(fā)人員擁有的各種選項，例如連接到處理器旁邊或集成到處理器中的TPM或安全元件，或集成到處理器中的軟件安全性，”Grobbel說?！巴ǔ?，你也有一個信任區(qū)，對吧？

“一旦［你集成了一個安全解決方案］在CPU中，你或多或少地粘在CPU上。如果CPU中有什么東西壞了，你就會陷入CPU硬件的困境，這些硬件在整個生命周期中可能無法維護和管理。因此，我們的方法是提供一種安全性，該安全性已集成到開發(fā)人員無論如何都需要的東西中。

“這就是存儲。

Swissbit 最近發(fā)布了樹莓派安全啟動解決方案，這是一種基于 PS-45u-DP-microSD 卡“樹莓版”的數(shù)據(jù)加密和訪問保護機制（圖 2）。根據(jù) Grobbel 的說法，該解決方案非常適合保護系統(tǒng)免受未經(jīng)授權(quán)的數(shù)據(jù)訪問、代碼操縱和 IP 違規(guī)的影響。更好的是，它附帶了一個配套的軟件開發(fā)工具包（SDK）。

圖 2.瑞士比特安全

Raspberry Pi SDK 的安全啟動解決方案提供了一個基于 U-Boot 主線和內(nèi)核的開源預(yù)啟動環(huán)境，允許所有級別的開發(fā)人員訪問現(xiàn)代 MCU 和 MPU 上提供的相同類型的安全功能。此外，該解決方案的開源特性使用戶能夠靈活地修改其安全實現(xiàn)，以滿足其特定應(yīng)用程序和系統(tǒng)資源的需求。

保護設(shè)備的最大挑戰(zhàn)

除了引導(dǎo)過程之外，仍然需要保護在連接的設(shè)備上運行的更高級別的應(yīng)用程序軟件，因為此代碼中的錯誤可能會提供對其他敏感系統(tǒng)實用程序的不需要的訪問。

海頓·波維（Haydn Povey）是IAR系統(tǒng)公司安全事務(wù)所的首席執(zhí)行官兼嵌入式安全解決方案總經(jīng)理，他意識到了這一點。作為回應(yīng)，IAR發(fā)布了C-Trust開發(fā)工具套件，該套件允許沒有深厚技術(shù)安全知識的開發(fā)人員輕松加密其應(yīng)用程序代碼，幾乎不需要軟件返工。

C-Trust 通過加密過程將應(yīng)用程序綁定到目標硬件的元素來實現(xiàn)這一點，從而延續(xù)通過安全啟動等操作實現(xiàn)的信任鏈（圖 3）。

圖 3.嵌入式信任和 C 信任流程

“我們使用密碼學(xué)首先確保設(shè)備是正確的設(shè)備，”Povey說。因此，例如，對于意法半導(dǎo)體器件，我們利用了它們集成的SFI或安全固件安裝功能，以便我們可以保證它是使用加密技術(shù)的有效意法半導(dǎo)體器件。然后，我們可以控制該設(shè)備以創(chuàng)建配對，然后以加密格式加載應(yīng)用程序。

“即使有人坐在計算機和正在編程的設(shè)備之間，他們也只能看到垃圾。我們可以確保您打算加載到該設(shè)備上的應(yīng)用程序是正確的應(yīng)用程序。

C-Trust 安裝的手動部分涉及選擇應(yīng)用程序?qū)⒂糜讷@取資源訪問權(quán)限的受信任內(nèi)存區(qū)域。但這也使開發(fā)人員有機會設(shè)置權(quán)限，以防止來自不受信任的內(nèi)存區(qū)域的數(shù)據(jù)到達嘗試訪問它的應(yīng)用程序。

如圖 3 所示，C-Trust 的所有功能都可以通過 IAR 嵌入式工作臺環(huán)境進行訪問。

認證安全性

當(dāng)然，物聯(lián)網(wǎng)設(shè)備的標志是它以某種方式連接到某種類型的網(wǎng)絡(luò)。這個網(wǎng)絡(luò)甚至可能是互聯(lián)網(wǎng)本身。

從物聯(lián)網(wǎng)安全的角度來看，這給許多工程師帶來的挑戰(zhàn)是，他們正在處理資源嚴重受限的端點設(shè)備。這些系統(tǒng)通常沒有基于 Web 的加密（如 AES-256）所需的本地計算或內(nèi)存資源。

為了應(yīng)對這一挑戰(zhàn)，像Veridify（以前稱為SecureRF）這樣的公司正在開發(fā)“輕量級”加密方法，這些方法在ROM和RAM有限的小尺寸系統(tǒng)中是可行的。例如，該公司的設(shè)備所有權(quán)管理和注冊（DOME）客戶端是一個軟件庫，為超緊湊的物聯(lián)網(wǎng)邊緣系統(tǒng)提供配置，管理和安全連接工具，并提供即使在低時鐘速度運行的CPU上也可以快速運行的加密。

“就嵌入式客戶端本身的資源而言，通常我們說需要多達20KB的ROM來包含DOME客戶端庫。在任何時候，它都可能使用800字節(jié)的RAM，“Veridify德雷克史密斯的開發(fā)副總裁說。

DOME 客戶端附帶一個軟件開發(fā)工具包，其中包含一個 DOME 客戶端庫以及安卓和 iOS 接口設(shè)備。

“我們?yōu)槟峁┝瞬⑿衅脚_，用于進行更新，配置和其他一些管理功能，這些功能不會成為實際行業(yè)設(shè)備的焦點，”Veridify首席執(zhí)行官Louis Parks說。“［該設(shè)備］旨在管理建筑物中的燈光，熱量或電梯，這就是它的作用。它可能具有安全性的關(guān)鍵，但同樣，通過確保這些結(jié)構(gòu)化平臺，我們可以幫助客戶在現(xiàn)場管理它，安全地管理它，管理交接和更新。

DOME 還通過了 Arm 平臺安全架構(gòu) （PSA） 1 級認證，這意味著用戶可以將其集成到更大的安全結(jié)構(gòu)中，從而確保當(dāng)前的系統(tǒng)保護和未來的路線圖。

我們?nèi)绾沃牢锫?lián)網(wǎng)設(shè)備符合我們的安全標準？

盡管隨著工具和方法的發(fā)布，這些工具和方法簡化了物聯(lián)網(wǎng)解決方案堆棧每個級別的安全性，但每個連接的設(shè)備中都會存在漏洞。而且，這個話題更令人沮喪的一個方面是，即使供應(yīng)商A盡其所能創(chuàng)建一個強大，安全的物聯(lián)網(wǎng)端點，如果供應(yīng)商B在同一網(wǎng)絡(luò)上的產(chǎn)品中偷工減料，所有這些努力都可能毫無用處。

作為回應(yīng)，主要的物聯(lián)網(wǎng)組織一直在努力制定安全標準，使公司承擔(dān)一定程度的責(zé)任。例如，谷歌工程副總裁兼Android安全和隱私主管David Kleidermacher代表他的公司加入安全物聯(lián)網(wǎng)聯(lián)盟（ioXT），該聯(lián)盟是一個希望實施物聯(lián)網(wǎng)安全全球標準的行業(yè)聯(lián)盟。

在最近接受嵌入式計算設(shè)計采訪時，Kleidermacher指出，這一過程的挑戰(zhàn)部分實際上不是標準的創(chuàng)建，而是創(chuàng)建一個可擴展的合規(guī)計劃，該計劃考慮了所有潛在的設(shè)備和用例。

但要使這些計劃成為可能，它們背后需要有只有政府才能提供的牙齒。Kleidermacher希望各國政府能夠圍繞物聯(lián)網(wǎng)安全標準制定任務(wù)，以促進并確保它們在連接設(shè)備中的使用。

在那之前，無論是將來的某個地方，如果它真的發(fā)生，供應(yīng)商都必須將安全性放在其連接設(shè)備思維過程的最前沿?？紤]一下安全性的復(fù)雜性，從組件開始到物聯(lián)網(wǎng)產(chǎn)品到達消費者手中。

審核編輯：郭婷