2016年的網(wǎng)絡(luò)犯罪損失上升24%，超過(guò)13.3億美元，并且這僅僅是美國(guó)聯(lián)邦調(diào)查局（FBI）網(wǎng)絡(luò)犯罪投訴中心跟蹤的網(wǎng)絡(luò)犯罪。關(guān)于黑客和其他安全漏洞的新聞?lì)^條也屢見(jiàn)不鮮。然而，許多產(chǎn)品制造商仍然將設(shè)計(jì)安全作為亡羊補(bǔ)牢之舉。其中一部分原因可能是誤認(rèn)為實(shí)施安全性在時(shí)間和資源方面都代價(jià)昂貴。本文糾正這些誤解并介紹最新的整體式、高成效嵌入式安全，后者為防止入侵提供強(qiáng)有力的保護(hù)。

設(shè)計(jì)安全為什么仍然被忽視？

去年，電信巨頭Telefonica在發(fā)布的一份報(bào)告中警告說(shuō)，由于防御網(wǎng)絡(luò)犯罪的措施仍然落后于物聯(lián)網(wǎng)（IoT）方案的發(fā)展，帶來(lái)了災(zāi)難性后果。

“這不僅僅涉及到數(shù)據(jù)隱私，或者數(shù)字身份的安全。在接下來(lái)的幾年中，我們的生活將被連接到互聯(lián)網(wǎng)的設(shè)備所包圍，這些設(shè)備將我們執(zhí)行的每一步都數(shù)字化、將我們的日常活動(dòng)轉(zhuǎn)化為信息、通過(guò)網(wǎng)絡(luò)分發(fā)，并根據(jù)這些信息與我們互動(dòng)。我們的實(shí)際生活從來(lái)沒(méi)有如此接近數(shù)字世界。”該公司在報(bào)告中表示：“范圍、規(guī)模和風(fēng)險(xiǎn)前所未有：保護(hù)物聯(lián)網(wǎng)。”

然而，安全漏洞仍然有增無(wú)減。信用報(bào)告巨頭Equifax今年夏天發(fā)生了大規(guī)模數(shù)據(jù)泄露，黑客獲取了美國(guó)居民的姓名、社會(huì)保障號(hào)碼、生日、地址及部分信用卡號(hào)碼，以及英國(guó)和加拿大居民的個(gè)人數(shù)據(jù)。今年春天，大規(guī)模的勒索軟件攻擊事件對(duì)歐洲、南美洲、亞洲和北美洲的至少150個(gè)國(guó)家的計(jì)算機(jī)產(chǎn)生了影響，導(dǎo)致醫(yī)院、大學(xué)、制造商、企業(yè)和政府機(jī)構(gòu)出現(xiàn)問(wèn)題。2016年秋季，由于遭受到基于Mirai惡意軟件的僵尸網(wǎng)絡(luò)攻擊，CCTV視頻攝像機(jī)和DVR造成大面積斷網(wǎng)事件。對(duì)于每一次廣為人知的重大事故，都有許多較小的事件令消費(fèi)者和企業(yè)擔(dān)心。不言而喻，隨著越來(lái)越多的產(chǎn)品和系統(tǒng)接入網(wǎng)絡(luò)，黑客的技術(shù)變得越來(lái)越高，每個(gè)垂直行業(yè)都存在亟待解決的風(fēng)險(xiǎn)。例如，請(qǐng)考慮一下以下場(chǎng)景：

工業(yè)：從之前的孤立系統(tǒng)向現(xiàn)在全部聯(lián)網(wǎng)的系統(tǒng)過(guò)渡，使設(shè)備容易受到遠(yuǎn)程攻擊。

醫(yī)療健康：該行業(yè)存在敏感數(shù)據(jù)相關(guān)的隱私問(wèn)題、數(shù)據(jù)完整性問(wèn)題，以及醫(yī)療設(shè)備/裝置的認(rèn)證操作。

銀行：隨著網(wǎng)絡(luò)銀行成指數(shù)級(jí)增長(zhǎng)，機(jī)構(gòu)不再能現(xiàn)場(chǎng)保證身份真實(shí)性，風(fēng)險(xiǎn)大大提高。

零售：移動(dòng)設(shè)備采用開(kāi)放式架構(gòu)，但其功能又相當(dāng)于金融/支付終端，所以必須確保交易和通信安全。

通信：端對(duì)端安全是防止各種攻擊的必要條件。

汽車(chē)：還記得2015年Jeep汽車(chē)被白帽黑客遠(yuǎn)程控制的事件嗎？汽車(chē)將很快成為輪子上的計(jì)算機(jī)，其受攻擊風(fēng)險(xiǎn)仍然非常高。

忽視設(shè)計(jì)安全的風(fēng)險(xiǎn)是巨大的：收入損失、品牌聲譽(yù)損失，甚至人身傷害。發(fā)生破壞之后的亡羊補(bǔ)牢之舉往往效果小且見(jiàn)效晚。事實(shí)告訴我們，越在設(shè)計(jì)的早期階段構(gòu)建安全性，效果越好。基于硬件的安全已被證明比基于軟件的相應(yīng)措施更有效（關(guān)于基于硬件與基于軟件的設(shè)計(jì)安全的比較，請(qǐng)參考白皮書(shū)：“為何基于硬件的設(shè)計(jì)安全性對(duì)于所有應(yīng)用程序都至關(guān)重要”）。值得慶幸的是，采用安全I(xiàn)C的硬件方法并不一定需要太多的人力、資源或時(shí)間。

上述安全性的代價(jià)

雖然您可能面臨產(chǎn)品快速上市且要求開(kāi)發(fā)成本足夠低的巨大壓力，但您認(rèn)真考慮過(guò)破壞造成的相關(guān)成本嗎？如表1所示的假想終端產(chǎn)品，上述的安全問(wèn)題最終會(huì)帶來(lái)更多的費(fèi)用。

基于硬件的安全在一定程度上提供了可靠性，因?yàn)榫W(wǎng)絡(luò)犯罪分子難以更改設(shè)計(jì)的物理層。此外，物理層的存在使得惡意軟件不可能滲透操作系統(tǒng)并潛入設(shè)計(jì)的虛擬層。從設(shè)計(jì)周期之初開(kāi)始，即可將安全性整合到設(shè)計(jì)的底層以及后續(xù)所有層。

利用安全I(xiàn)C，例如從內(nèi)部、不可變存儲(chǔ)器中執(zhí)行代碼的微控制器，防止試圖破壞電氣器件硬件的攻擊。微控制器的ROM儲(chǔ)存被認(rèn)為是“信任根”的啟動(dòng)代碼，因?yàn)榇a不可修改。因此，這種“不可更改”、受信任的軟件可用于驗(yàn)證和認(rèn)證應(yīng)用軟件的簽名。利用從底層就基于硬件的“信任根”方法，可將設(shè)計(jì)的更多潛在進(jìn)入點(diǎn)關(guān)閉。

安全微控制器和安全認(rèn)證器等嵌入式安全I(xiàn)C提供整體方案，保護(hù)從每個(gè)傳感器節(jié)點(diǎn)到云端的整個(gè)系統(tǒng)。然而，并非所有安全I(xiàn)C都是相同的。例如，由于成本、功耗以及要求復(fù)雜的固件開(kāi)發(fā)，有些安全微控制器就不適合IoT設(shè)備或端點(diǎn)。于是出現(xiàn)了一些加密控制器能夠?qū)嵤┣度胧健⒙?lián)網(wǎng)產(chǎn)品的完全安全性，且無(wú)需任何固件開(kāi)發(fā)工作，例如，Maxim的MAXQ1061 DeepCover?器件。作為協(xié)處理器應(yīng)用于初始設(shè)計(jì)，或者整合到已有設(shè)計(jì)，保證數(shù)據(jù)保密性、身份真實(shí)性和設(shè)備完整性。

對(duì)于安全認(rèn)證器，器件應(yīng)提供一組核心的固定功能加密操作、密鑰存儲(chǔ)以及其它適合IoT和端點(diǎn)安全的相關(guān)功能。憑借這些能力，安全認(rèn)證器即可保護(hù)IP、防止克隆以及對(duì)外設(shè)、IoT設(shè)備和端點(diǎn)進(jìn)行安全認(rèn)證。

在評(píng)估嵌入式安全技術(shù)時(shí)，還應(yīng)該考慮哪些因素？?jī)?nèi)置加密引擎和安全引導(dǎo)加載程序的安全微控制器，可有效防止密碼分析攻擊、物理篡改和反向工程化等威脅。Design SHIFT是一家總部位于美國(guó)加利福尼亞州門(mén)洛帕克市的數(shù)字安全和消費(fèi)產(chǎn)品工程公司，其ORWL安全臺(tái)式計(jì)算機(jī)需要此類(lèi)特性。該公司設(shè)計(jì)ORWL時(shí)，要求安全認(rèn)證和防止物理攻擊兩種功能，需要強(qiáng)壯的信任根安全。Design SHIFT找到了所需的方案：MAX32550 DeepCover ARM? Cortex?-M3安全微控制器。

“許多軟件人員說(shuō)，一旦您失去對(duì)硬件的控制，您就玩完了”。Design SHIFT公司的CEO Olivier Boireau表示：“建立信任根是強(qiáng)壯保護(hù)的保證。”

通過(guò)物理不可復(fù)制特性（PUF）技術(shù)增強(qiáng)保護(hù)

我們開(kāi)始在安全I(xiàn)C中看到一項(xiàng)更高級(jí)的加密技術(shù)，即物理不可復(fù)制特性（PUF）。PUF依賴(lài)于IC器件的復(fù)雜且可變的物理/電學(xué)特性。由于PUF在制造過(guò)程中產(chǎn)生的隨機(jī)物理因素（不可預(yù)測(cè)、不受控），實(shí)際上不可能復(fù)制或克隆。集成PUF技術(shù)的IC帶有與生俱來(lái)的數(shù)字指紋，可用作唯一的密鑰/密碼，支持提供安全認(rèn)證、識(shí)別、防偽、硬件-軟件綁定以及加密/解密的算法。

Maxim的PUF電路依賴(lài)于基本MOSFET器件模擬特性來(lái)產(chǎn)生密鑰，而器件的模擬特性是自然隨機(jī)發(fā)生的；該方案被稱(chēng)為ChipDNA?技術(shù)。這種專(zhuān)利方法可確保PUF電路產(chǎn)生的唯一二進(jìn)制數(shù)值，在隨溫度和電壓變化以及器件老化的情況下保持不變。高水平的安全性在于該唯一的二進(jìn)制數(shù)值實(shí)際上未儲(chǔ)存在非易失存儲(chǔ)器芯片的任何位置，而是需要時(shí)由PUF電路生成，使用后立即消失。因此，與之前的安全器件容易遭受對(duì)非易失存儲(chǔ)器的侵入式物理攻擊從而獲取密鑰不同，基于PUF的器件不容易受到這種類(lèi)型的攻擊，因?yàn)楸緛?lái)就無(wú)密鑰可偷。此外，如果基于PUF的器件遭受侵入式物理攻擊，攻擊本身會(huì)造成PUF電路的特性發(fā)生變化，進(jìn)一步阻礙這種類(lèi)型的攻擊。ChipDNA PUF技術(shù)已證明其在生產(chǎn)工藝、電壓、溫度和老化方面的優(yōu)異可靠性。此外，對(duì)基于NIST的隨機(jī)性測(cè)試結(jié)果的PUF輸出評(píng)估已經(jīng)成功完成，結(jié)果合格。圖1所示為ChipDNA PUF技術(shù)的不同用途：內(nèi)部存儲(chǔ)器加密、外部存儲(chǔ)器加密和安全認(rèn)證密鑰生成。

第一款采用PUF技術(shù)的安全認(rèn)證器

Maxim第一款采用ChipDNA PUF技術(shù)的安全I(xiàn)C為DS28E38安全認(rèn)證器，設(shè)計(jì)用于提供高成效的入侵式物理攻擊防御。DS28E38提供：

基于FIPS186 ECDSA的質(zhì)詢(xún)/響應(yīng)安全認(rèn)證

ChipDNA安全存儲(chǔ)數(shù)據(jù)，可選的ECDSA-P256私鑰數(shù)據(jù)源

2Kb EEPROM陣列，用于用戶(hù)存儲(chǔ)器和公鑰證書(shū)

帶認(rèn)證讀取的僅遞減計(jì)數(shù)器

圖1. ChipDNA PUF技術(shù)的不同用途