嵌入式安全威脅就在眼前，對策你想好了嗎

嵌入式市場前瞻

據Data Bridge market Research預測，到2027年，嵌入式系統(tǒng)的市場規(guī)模將達到1,275億美元，復合年增長率為5.70%。嵌入式系統(tǒng)正在為廣泛的應用帶來創(chuàng)新，比如物聯網應用、自動駕駛、視覺技術、移動支付、人工智能等。我們看到，隨著技術的進步，與之相關的威脅也在不斷增加。最近，針對嵌入式設備的攻擊事件層出不窮，從被黑客攻擊的車輛防盜和控制系統(tǒng)，到安全支付、安全認證以及內容和數據保護等，都有涉及。

現在，企業(yè)采用的安全策略以多層保護居多，包括防火墻、身份驗證/加密、安全協(xié)議和入侵檢測/入侵防御系統(tǒng)，這些都是行之有效的安全措施。由于在嵌入式系統(tǒng)中幾乎沒有防火墻，大多數嵌入式設備只能依賴于簡單的密碼認證和安全協(xié)議來保證系統(tǒng)的安全。之所以出現這種情況，主要是在客戶中存在這樣的假設：嵌入式設備對黑客來說不是有吸引力的目標，嵌入式設備不易受到攻擊，身份驗證和加密已經為嵌入式設備提供了充分的保護?，F在看來，這種假設已經行不通了，我們必須采取更加有效的安全措施才能確保嵌入式系統(tǒng)的安全。

嵌入式安全面臨的六大挑戰(zhàn)

嵌入式設備與標準PC不同，它們是專門為執(zhí)行特定任務而設計的固定功能設備。其中，許多嵌入式產品使用的是專用操作系統(tǒng)，如VxWorks、MQX或精簡版Linux。在大多數情況下，這些設備都經過了優(yōu)化，以最小化處理周期和內存使用，并且沒有太多額外的可用處理資源。因此，標準PC的安全解決方案無法解決嵌入式設備面臨的安全挑戰(zhàn)。事實上，鑒于嵌入式系統(tǒng)的特殊性，PC安全解決方案極少甚至不會在大多數嵌入式設備上運行。

下面我們就逐一分析那些最常見的嵌入式安全挑戰(zhàn)。

1.許多嵌入式設備無法做到系統(tǒng)定期更新或修補

這可以說是嵌入式設備最明顯的漏洞之一。與智能手機和可穿戴設備一樣，許多嵌入式設備都是要長期使用的，比如車輛或商業(yè)應用中的嵌入式系統(tǒng)可能會在不更新的情況下使用五年、十年甚至更長時間。據市場反饋，即使在設備提示下，也只有約38%的人會定期更新安全軟件。因此，相應的安全策略需要在設計之初就予以充分考慮，并將其集成到系統(tǒng)中，比如提供可定制和安全的代碼更新，以定期管理修補程序或糾正軟件缺陷。

2.用戶認為嵌入式設備不是黑客的目標

基于這種安全性假設，許多嵌入式工程師一直認為嵌入式設備不是黑客攻擊的目標。當然，這些假設已經過時。甚至有一項市場調查表明，91%的物聯網消費者在未閱讀服務提供商和賣家規(guī)定的法律條款和條件的情況下就同意這些條款和條件。安全性通常不被認為是嵌入式設計的關鍵優(yōu)先選項。

3.針對嵌入式設備的一些攻擊可以被復制

嵌入式系統(tǒng)設備的一個獨特之處是：它們是由數百到數千種使用同一系統(tǒng)的產品批量生產的。一旦設計和構建，嵌入式設備就可以批量生產，市場上可能有成千上萬個相同的設備。如果黑客能夠對其中一臺設備成功發(fā)起攻擊，那么這種攻擊就可以在所有設備上進行復制。因此，可信的嵌入式安全策略最好結合分層安全功能，以創(chuàng)建更強的防御機制。

4.專有嵌入式安全協(xié)議不被行業(yè)工具認可

大多數行業(yè)和企業(yè)使用的安全工具與嵌入式系統(tǒng)中使用的不同。比如，企業(yè)防火墻和入侵檢測系統(tǒng)旨在防范企業(yè)特定的威脅，而不是針對行業(yè)協(xié)議的攻擊。這意味著它們的檢測系統(tǒng)和防火墻可能無法檢測到針對嵌入式系統(tǒng)的特定威脅。

5.嵌入式系統(tǒng)的使用超出了預期的安全目標

無論底層軟件如何，大多數嵌入式安全措施都是針對特定硬件或軟件系統(tǒng)設計和定制的。然而，如果這些設備的使用目標被用戶更改，如iPhone越獄，則可能會出現嚴重的安全問題。又或者，將設備連接到不安全的互聯網資源（如公共的Wi-Fi網絡），則嵌入式系統(tǒng)極易受到更多的網絡攻擊。

６.長生命周期的設備難以預測未來的安全威脅

嵌入式設備的生命周期通常比PC或消費類設備長得多，它們可能在該領域存在15年甚至20年。今天，構建一個能夠滿足未來20年安全要求的設備仍是一個巨大的挑戰(zhàn)。

兩大應用行業(yè)的嵌入式安全方案

嵌入式設備的安全解決方案必須確保設備固件未被篡改，確保設備存儲的數據安全，確保通信安全，并保護設備免受網絡攻擊，這些措施只能在設計的早期階段來實現。對于嵌入式設備而言，目前尚無一種一刀切的安全解決方案?？尚械陌踩呗员仨毘浞挚紤]攻擊風險、可用攻擊向量以及實施安全解決方案的成本。

汽車行業(yè)的嵌入式安全方案

電動化、網聯化、智能化已經成為汽車產業(yè)的發(fā)展潮流和趨勢。汽車通過越來越多的無線技術以各種方式與外界相連，車聯網汽車的數量不斷增加，未來幾年，互聯汽車的市場銷量將超過傳統(tǒng)汽車的銷量。在中國，預計2025年智能汽車的滲透率將達82%。大量網聯汽車的上市也帶來了相應的問題：數字入侵者和惡意黑客總是試圖入侵汽車系統(tǒng)。根據上游安全公司2020年全球汽車網絡安全信息，從2018年到2019年，汽車網絡安全事件增加了99%。有關汽車的嵌入式安全策略必須提上議事日程了。

好在，嵌入式安全解決方案為提高車輛的安全性鋪平了道路。

聯網車輛的安全是一個大話題，恩智浦將其分解為可管理的四個主要部分，也就是我們通常說的分層管理，并設計了一種多層方案，稱之為“4+1”層安全框架，通過四個關鍵系統(tǒng)整體保護整個車輛。這些保護層包括：

第一層：安全接口。該層保護為TCU增加了安全性，通過附加一個安全元素（SE）實現最大安全性。使用的安全元件也是專用安全微控制器，具有先進的加密加速器以及經驗證的先進物理和電氣攻擊抵抗能力。

第二層：安全網關。從安全角度來看，除了隔離之外，最重要的功能應該就是防火墻了，它能將外部接口與車輛內部的網絡分隔開。NXP的方案采用了帶有防火墻的中央網關實現網絡的物理和電氣隔離。

第三層：安全網絡。NXP通過4個步驟確保車載網絡的安全性。一是添加消息身份驗證。二是對車內不同ECU之間交換的消息進行加密，三是入侵檢測，對模式識別和規(guī)則進行檢查，以檢測網絡流量中的異常情況。四是ECU級驗證，定期驗證網絡中ECU的真實性

第四層：安全處理。當檢測到錯誤或安全漏洞時，OEM要能夠快速、無縫、安全地更新車輛軟件，確保在處理器上運行的軟件是真實可信的。

第+1層：安全的車輛訪問。這是車輛安全的傳統(tǒng)做法，諸如遠程鎖定和解鎖、遠程車輛監(jiān)控等。

至于這4個層次在實際應用中的執(zhí)行步驟，NXP給出的解釋是，用戶可以根據OEM的體系結構自行確定順序，有可能是第四層在第三層之前啟動，或者第一層是最后一個依靠TCU中應用程序處理器的安全性實現的。

現代汽車安全不僅僅是確保門鎖的安全，它已經擴展至包括車輛認證、ADAS外圍設備的防偽以及保護到云的數據通信安全。因此，Maxim提出，未來汽車的安全技術需要AEC-Q100 1級合格的安全部件，以增強車輛的安全性并保持最佳系統(tǒng)功能。Maxim的DS28E40是一種安全認證器，它提供了一組核心加密工具，這些工具源自集成的非對稱（ECC-P256）和對稱（SHA-256）安全功能。通過確保車輛外圍部件的真實性來增強汽車安全性。

除了硬件實現的加密引擎提供的安全服務外，該產品還集成了一個FIPS/NIST真隨機數發(fā)生器（TRNG）、6Kb用于用戶數據、密鑰和證書的一次性可編程（OTP）內存、一個可配置的通用輸入/輸出（GPIO），以及唯一的64位ROM標識號（ROM ID）。用戶可將該IC嵌入到任何汽車外圍設備，如攝像頭、傳感器或電池管理系統(tǒng)。

圖3：Maxim安全認證器DS28E40原理方框圖 （圖源：Maxim）

物聯網行業(yè)的嵌入式安全方案

根據Gartner的預測，到2020年全球物聯網設備數量將達到260億個，物聯網市場規(guī)模將達1.9萬億美元。在不斷推動更安全的物聯網設備和應用過程中，確保嵌入式安全的硬件產品也迎來了發(fā)展的風口。ABI Research的市場分析表明，到2024年，用于數字認證和嵌入式安全的安全硬件的銷量將達到53億美元，約是2019年的兩倍。

ABI Research的數字安全研究專家認為，基于硬件的安全性比基于軟件的安全性提供了更好的保護，因為改變或攻擊物理設備和數據入口點更加困難。不過，目前只有不到10%的物聯網設備受到硬件安全的保護。

物聯網市場目前采用的技術有多種形式，其中一些是從現有的安全解決方案改造而來，如可信平臺模塊（TPM）和可信執(zhí)行環(huán)境（TEE）、NFC嵌入式安全元件和認證IC。另一些則是從物聯網市場的需求改造而來，如嵌入式SIM和安全微控制器。

STMicroelectronics的STM32系列是聞名業(yè)界的Arm Cortex MCU架構產品組合，截至2020年7月份，STM32系列的出貨量已經達到60億顆，主要用于智能設備、可穿戴設備、電子醫(yī)療設備、物聯網、支付終端等。該公司的STM32Trust整合了知識、設計工具和STMicroelectronics獨創(chuàng)的即用型軟件，幫助設計人員利用STM32 MCU內置的安全功能，在設備之間建立互信，防止非法訪問，防御邊信道攻擊，避免數據竊取和代碼修改。

STM32Trust是STMicroelectronics與合作伙伴及客戶密切合作聯合開發(fā)的，它建立在多個資產保護用例及其所需的安全功能的基礎上，集成了STM32系列可用的全部網絡保護資源，充分利用以安全為中心的芯片功能和軟件包，幫助設計人員實現一個強大的多層安全保護策略。STM32Trust擁有一套12個安全功能，提供STMicroelectronics和第三方提供的硬件、軟件和設計服務，符合主要物聯網認證方案的要求

部署在邊緣的數十億物聯網產品已成為極具吸引力的網絡攻擊目標。NXP推出的EdgeLocksecure enclave，是一個預配置、自我管理和自主的片上安全子系統(tǒng)，為物聯網邊緣設備提供智能保護，防止攻擊和威脅。作為NXP公司i.MX 8ULP、i.MX 8ULP-CS和i.MX 9應用處理器的內置安全子系統(tǒng)，它們完全集成在一起，簡化了為物聯網應用實施強壯的全系統(tǒng)安全的復雜性。

現階段，物聯網硬件安全技術進步的研發(fā)工作在很大程度上是一些大企業(yè)來主導，他們的市場領導地位短時間難以撼動。

嵌入式安全市場的競爭格局

嵌入式安全主要用于增強對嵌入式系統(tǒng)中運行時數據安全的保護。不斷開發(fā)和實施新的嵌入式安全模塊，如硬件安全模塊、安全處理模塊和可信平臺模塊，為嵌入式安全市場的主要參與者創(chuàng)造了巨大的商機。市場分析機構PMR預計，在2020年至2030年之間，全球嵌入式安全市場的復合年增長率將接近7%。

全球范圍內對互聯設備，包括具有連接性和多媒體功能的智能手機和平板電腦的需求不斷增長，推動了對更高嵌入式安全技術的需求，并為全球市場的嵌入式安全制造商和服務提供商創(chuàng)造了增長機會。來自PMR的數據，2015年至2020年間，全球嵌入式安全市場的復合年增長率為6.1%。預計將在2021年至2031年間增長兩倍，在2021年有望達到52.3億美元。

目前，嵌入式安全市場的一些主要參與者包括英飛凌、NXP、Microchip、Texas Instruments、McAfee LLC、Broadcom以及Advantech等。其中，Infineon、NXP、Microchip、TI和McAfee LLC等五大廠商占據了超過65%的市場份額。因市場的參與者各個實力強勁，雖然潛力巨大，但全球嵌入式安全市場的競爭依然十分激烈。只有通過不斷提升產品開發(fā)和創(chuàng)新能力，這些參與者才能穩(wěn)固自己的市場地位。

本文小結

上述關于嵌入式安全的討論只是行業(yè)的冰山一角。當今許多現代嵌入式設備和系統(tǒng)都內置了CPU或MCU，并負責執(zhí)行關鍵功能，許多最終用戶根本不知道他們的嵌入式設備有多脆弱，特別是如果它們沒有被直接用于處理或存儲敏感數據。因此，在這些設備設計之初就把安全性考慮在內是一項非常緊迫的任務。

還有一點特別值得注意，大多數嵌入式設備的系統(tǒng)升級并不容易，一旦部署，它們可能需要保持長期運行。用于構建嵌入式設備的專用操作系統(tǒng)可能沒有自動更新功能，它們無法輕松更新設備的固件，以確保安全功能經常更新。因此，有必要再次重申，在嵌入式設備設計的早期，必須充分考慮系統(tǒng)的安全功能，以確保設備受到保護，免受潛在的網絡攻擊。

審核編輯：郭婷