作者：Clive Maxfield

在20世紀60年代末和70年代初，當我們現(xiàn)在所知的互聯(lián)網(wǎng)最初以阿帕網(wǎng)（ARPANET）的形式出現(xiàn)時，幾乎沒有考慮到安全問題。最初的假設(shè)是，所有節(jié)點和接入終端都將位于軍事基地，因此不存在安全問題。似乎沒有人考慮過基地存在間諜的可能性，也沒有人考慮過惡意玩家通過遠程終端潛入系統(tǒng)的可能性。

隨著越來越多的教育機構(gòu)和科學(xué)機構(gòu)接入網(wǎng)絡(luò)，這一理念中的巨大漏洞也愈加凸顯，但似乎很少有當權(quán)者意識到這個問題。1989年，Clifford Stoll出版了《布谷鳥的蛋：通過計算機諜報迷宮跟蹤間諜》(The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage)，這是作者在加利福尼亞州伯克利勞倫斯伯克利國家實驗室 (LBNL) 追捕闖入電腦的電腦黑客的第一人稱記述。

作為調(diào)查的一部分，Clifford發(fā)現(xiàn)黑客也在滲透軍事和政府系統(tǒng)，但他發(fā)現(xiàn)很難說服任何當權(quán)者，包括聯(lián)邦調(diào)查局 (FBI)、中央情報局 (CIA)、國家安全局 (NSA)，以及美國空軍特別調(diào)查辦公室 (AFOSI)。

今天，我們也遇到了類似的情況，人們似乎對日益增長的安全問題漠不關(guān)心，但這些問題給設(shè)計工程師帶來了挑戰(zhàn)，他們必須設(shè)計出將安全性放在首位的復(fù)雜系統(tǒng)。在這里，我們將探討一些挑戰(zhàn)和解決方案，以及物聯(lián)網(wǎng) (IoT) 對這些設(shè)計開發(fā)的影響。

設(shè)計高級安全系統(tǒng)所面臨的挑戰(zhàn)

設(shè)計工程師需要投入大量的時間來研究自身產(chǎn)品與競爭產(chǎn)品之間的差異，幾乎沒有時間去考慮安全性問題。安全性是一個復(fù)雜的問題，工程師可能會為了避免這一問題而選擇一條阻力最小的道路。

隨著安全漏洞越來越普遍并被廣泛報道，情況開始發(fā)生了變化。工廠、醫(yī)療、教育和金融機構(gòu)的負責(zé)人開始擔心安全漏洞可能帶來的后果。此外，公眾也逐漸意識到安全性或缺乏安全性會對他們產(chǎn)生怎樣的影響，比如有人可以遠程訪問智能攝像機（如嬰兒監(jiān)視器或安檢攝像頭）、智能助手（如Amazon Echo或Google Home）、智能恒溫器或任何數(shù)量的物聯(lián)網(wǎng)設(shè)備。這些問題也給致力于開發(fā)復(fù)雜系統(tǒng)的人員帶來了壓力，如系統(tǒng)架構(gòu)師、硬件設(shè)計工程師、嵌入式軟件工程師和應(yīng)用軟件開發(fā)人員。他們需要在創(chuàng)建系統(tǒng)時考慮到安全性問題。

安全性分為多個層面并會造成不同的后果，讓人頭暈?zāi)垦！Ｎ覀円云舷到y(tǒng) (SoC) 等硅芯片設(shè)計為例， 除了自產(chǎn)部分外，這些設(shè)計幾乎都會用到第三方供應(yīng)商的大量知識產(chǎn)權(quán) (IP) 模塊， 這些IP模塊中的每一個都可能比以前一臺完整的計算機要復(fù)雜。那么，設(shè)計師和系統(tǒng)架構(gòu)師如何才能保證這些模塊不包含隱藏功能呢？

假冒芯片問題

現(xiàn)在市面上存在著各種假冒芯片，包括：

● 兼容芯片：仿照正品芯片功能的組件
● 翻版芯片：利用粗糙和不完善的方法從電子垃圾中獲取的組件
● 灰市芯片：可能來自于過度包裝、返工失敗的芯片，或回收自報廢品
● 逆向工程芯片（又稱 “流氓芯片”)：將芯片解構(gòu)并重新組裝成一個可能具有額外功能的新器件，進而破壞數(shù)據(jù)、導(dǎo)致故障，甚至是導(dǎo)致數(shù)據(jù)外泄

安全系統(tǒng)的基礎(chǔ)

在創(chuàng)建安全系統(tǒng)時，需要考慮四個基本要素：

1、硬件隔離：不久前，嵌入式系統(tǒng)還在采用允許任何軟件模塊找到并訪問整個內(nèi)存映射的架構(gòu)，但現(xiàn)在看來這種方法并不安全。硬件隔離有多種方式，比如將支持安全和非安全環(huán)境的微控制器與內(nèi)存保護單元 (MPU) 結(jié)合使用，但其核心理念是將應(yīng)用程序拆分到多個安全域中，并根據(jù)需要對訪問加以限制。

2、信任根 (RoT)：RoT涉及到基本硬件和最少相關(guān)軟件的組合，這種組合能夠成功地進行自我認證并便于系統(tǒng)其余部分安全操作。

3、安全引導(dǎo)解決方案：接下來就需要采用安全引導(dǎo)解決方案，即使用RoT驗證加載到系統(tǒng)中的任何代碼的真實性和有效性的過程。

4、安全引導(dǎo)加載程序：這是最后一個要素，它通過防止以下操作擴展了RoT和安全引導(dǎo)解決方案的范圍：對固件進行逆向工程、對固件進行未授權(quán)修改、在授權(quán)設(shè)備上加載未經(jīng)授權(quán)的固件，以及在未經(jīng)授權(quán)的設(shè)備上加載授權(quán)固件。

假設(shè)系統(tǒng)包含一個其他供應(yīng)商的模塊或主板， 你如何知道板上沒有隱藏設(shè)備？也許就安裝在正品元件下？

結(jié)論

當涉及到物聯(lián)網(wǎng)時，任何安全問題都會升級。在物聯(lián)網(wǎng)中，有數(shù)十億臺設(shè)備通過令人難以置信的有線和無線解決方案相互連接并連接到云端。這就需要軟件開發(fā)人員與硬件設(shè)計師和云解決方案相關(guān)方合作，實時執(zhí)行加密和解密，生成證書，并對所有內(nèi)容進行身份驗證，以便設(shè)備與主機系統(tǒng)知道它們正在與受信方進行通信。為這些系統(tǒng)設(shè)置安全性是一個非常復(fù)雜的過程，工程師需要確保所有硬件采用的是正宗原始設(shè)備制造商芯片。

Clive "Max" Maxfield是一個自由職業(yè)技術(shù)顧問和作家。Max于1980年獲得了英國謝菲爾德哈勒姆大學(xué)控制工程學(xué)士學(xué)位，并開啟了他大型計算機中央處理器 (CPU) 設(shè)計師的職業(yè)生涯。多年來，Max從事了從硅芯片到電路板，從腦波放大器到蒸汽朋克預(yù)測引擎（可能不太理想）等各種產(chǎn)品的設(shè)計， 并在電子設(shè)計自動化 (EDA) 領(lǐng)域擁有超過35年的經(jīng)驗。

Max在嵌入式、電子、半導(dǎo)體和EDA行業(yè)享有盛名，曾在世界各地的眾多技術(shù)會議上發(fā)表過論文，包括北美和南美、歐洲、印度、中國、韓國和臺灣。他曾在美國PCB West會議和挪威FPGA論壇上做過主旨演講， 還應(yīng)邀在美國的幾所大學(xué)、英國的謝菲爾德哈勒姆大學(xué)和挪威的奧斯陸大學(xué)做客座演講。2001年，Max還與前眾議院議長紐特·金里奇同臺出席了在夏威夷舉辦的一場會議。

Max是多本書籍的作者和/或合著者，包括《Designus Maximus Unleased》（在阿拉巴馬州被禁止）、《Bebop to the Boolean Boogie》（一本非常規(guī)電子指南）、《EDA: Where Electronics Begins》、《FPGAs: Instant Access》以及《How Computers Do Math》。