作者:华邦电子安全解决方案营销处处长 陈宏玮
物联网设备遭受网络攻击的现象日益严重。独立研究显示,在美国,2019年针对物联网设备发动的网络攻击数量同比激增300%。同时,约有57%的物联网设备难以抵抗中等或严重攻击,而每次物联网终端遭入侵,企业需支付的平均成本为900万美元。
网络攻击造成的损失不仅是服务中断带来的收入损失,还有产品制造商的品牌声誉损害、政府罚款,以及需要将技术纯熟且成本高昂的工程资源从生产开发工作转移到紧急恢复和维修上。由于网络安全的法规日益严格,物联网设备制造商非常关注合规要求。欧盟的《网络安全法案》(EU Cybersecurity Act)和中国的《网络安全法》(Cybersecurity Law)要求对装置漏洞进行独立测试,而《加州消费者隐私保护法》(CCPA)则规定对每一次的非蓄意违规行为,对公司处以2500美元的罚款。
然而不会有任何嵌入式装置制造商表示,其连网设备遭受安全威胁是安全组件漏洞造成的。因为很容易就能找到可执行复杂密码算法、加密芯片上的密钥存储、功率分析和其他安全功能的安全组件或片上系统(SoC)等专用组件。只要将这些组件正确整合到系统设计中,便能为装载组件的设备提供强大的防护。
那么,如果安全组件可以很容易整合到系统中,为何每天都会有嵌入式连网装置遭受攻击得逞?某些情况下,这是因为系统中某些部分的安全组件或安全SoC以外的漏洞所导致。这类漏洞最常出现在存储关键程序代码或数据的标准外部闪存中。另外一种情况,是因为系统安全组件或安全SoC缺少所能提供的精密防护功能。
在这两种情况下,硬件层级安全的障碍通常由于成本和难度。的确,对非安全专家的工程师来说,安全电子组件要在技术上达到支付终端和移动电话等金融产品的高级支付等级,是非常复杂且困难的。
但是现在,新一代安全闪存产品已经上市,为不需要支付等级防护的嵌入式设备提供安全的硬件基础。这样的安全闪存通常具有和标准闪存一样的封装尺寸和脚位配置,而且是通过标准的SPI NOR Flash指令集进行控制,方便一般的嵌入式设备设计人员采用,同时还提供全面的安全功能,可保护连网设备并防御针对系统完整性或数据隐私的攻击。
为何要在内存设备中实现安全性?
传统上将非易失性内存视为一种简单的设备:写入位,然后读出相同的位。它通常被看作存储设备,而非处理器。
每个用于程序代码或应用程序数据的NOR Flash中,其实已涵括了用于控制内存运作及通过序列周边接口与主机进行通讯的逻辑电路。安全闪存设备以此逻辑区块为基础,并加以延伸,同时提供安全功能和内存控制功能。
为了适应用于微控制器和SoC嵌入式闪存的制程,华邦等闪存制造商开发了新一代的安全闪存产品。尽管高级的微控制器和SoC已采用20纳米以下节点的晶圆制程,但嵌入式NOR Flash的制程却未能跟上脚步。这代表嵌入式浮栅闪存制程无法与最新的MCU和SoC搭配,且嵌入式NOR Flash容量通常不够大,不足以存储所要执行的复杂软件程序代码。
因此,在如今的嵌入式设备设计中,应用程序代码通常存储在外部闪存设备内。但如果装置连网(尤其是连接到互联网的物联网设备),外部闪存中的开机程序代码就容易受到攻击,数据也容易遭到窃取或入侵,除非内存设备本身能受到完整的安全功能保护。这便是安全闪存的价值所在:为SoC/MCU填补安全性的不足之处。
安全闪存的关键功能
用安全闪存取代物联网终端中的标准外部NOR Flash,是为了保护开机程序代码和应用程序数据的完整性。市面上的各种安全闪存设备都提供某种形式的安全存储空间。此安全功能可提供基本的加密身份验证,内存设备只会允许获授权的主机执行读取和写入操作,进而能保护数据不让主机SoC以外的任何设备存取。
但这仅能提供有限的安全保护,为了抵御多种类型的网络攻击,并遵守欧盟《网络安全法案》中低层级(basic and substantial levels)的安全功能,华邦开发了多功能的安全NOR Flash内存W77Q。作为TrustME®安全内存系列产品之一,除了安全验证,W77Q还提供:
- 系统恢复力:防护、侦测和复原,确保即使网络攻击尝试将物联网设备停用,设备也可以自动重新启动以执行已知的安全程序代码。
- 信任根,用于与主机SoC以及与外部系统(例如云端运算服务)进行身份验证通信。
- 安全数据存储
- 从闪存到云端信任机构的安全通道,用于实时无线固件更新。即便SoC本身已遭到入侵,此安全信道可让内存将开机程序代码升级为新版本而无需依赖SoC。(请见图1)。
图1:W77Q可建立连往云端中信任中心的安全通道,以进行实时无线软件更新,即使主机SoC已遭入侵亦可进行。(图片来源:华邦)
W77Q经过外部认可实验室的评估,符合欧盟GDPR隐私法规的要求,并提供欧盟《网络安全法案》规定的“中等”保护层级(substantial level)。此外,W77Q安全闪存还获得了多项安全认证,包括CC EAL2 (VAN.2)、IEC62443、SESIP和Arm平台安全架构(PSA)认证。
系统恢复力对于物联网设备尤其重要,然而这是多数安全闪存产品所缺少的功能。在电表等设备中,物理入侵(篡改)是一种常见的攻击形式,因此需要加以保护。另外像是发电厂或军事基地等高价值大型资产,则可能会从局域网络遭到物理入侵。
而对于物联网设备来说,主要威胁来自可扩展的网络攻击,它会利用互联网远程联机到整个设备的设备群。美国国家标准与技术研究院(NIST)的SP 800-193标准规范了用于保护固件和配置数据免受此类攻击的机制,并可以侦测受到的攻击并从中复原。W77Q也提供符合此标准所需的系统恢复功能。系统恢复力有三个要素:防御攻击、侦测攻击,以及从攻击中恢复(请见图2)。
图2:通过防御、侦测和恢复,W77Q是值得信赖的能维护平台正常运作的设备。(图片来源:华邦)
诸如加密身份验证等功能可以防止未经授权的设备尝试访问数据,进而遏止攻击。但是,成功的攻击可能发生在主机SoC上,因此W77Q具有随时侦测何时发生攻击的能力。例如每次更新或访问程序代码时,它都会自动检查存储的程序代码是否毁损,也能按照主机装置的指令扫描程序代码。
如果W77Q侦测到成功的攻击,例如原本的SoC遭到入侵而破坏了自有的开机程序代码时,内存设备便会自动进行适当的身份验证,并恢复平台固件。设备是通过“安全降级”(safe fallback)功能实现,此功能会将开机程序代码恢复到已知的安全版本。此安全降级功能由经过身份验证的看门狗定时器提供支持,使用已知的安全程序代码强制主机SoC进入干净开机模式(clean boot)。
适用于多种场景的安全功能:
华邦开发W77Q的方法是提供一系列立即可用的分层化安全功能,让物联网设备制造商与设计人员能轻松进行部署(请见图3)。华邦的W77Q可提供:
- 端对端、立即可用的安全性,无需具备安全性领域的专业知识
- 可快速部署
- 完整全面的解决方案,由安全软件厂商的兼容产品提供支持
- 简单的安全认证
- 成本合理
图3:全面性防御网络攻击需要实行一套分层化的安全功能。(图片来源:华邦)
通过采用熟悉的SPI NOR Flash封装及标准脚位,提供这些全面的功能,华邦可以协助确保每个物联网设备在上市之前都能具备网络攻击防御能力。