嵌入式安全威胁就在眼前，对策你想好了吗？

嵌入式市场前瞻

据Data Bridge market Research预测，到2027年，嵌入式系统的市场规模将达到1,275亿美元，复合年增长率为5.70%。嵌入式系统正在为广泛的应用带来创新，比如物联网应用、自动驾驶、视觉技术、移动支付、人工智能等。我们看到，随着技术的进步，与之相关的威胁也在不断增加。最近，针对嵌入式设备的攻击事件层出不穷，从被黑客攻击的车辆防盗和控制系统，到安全支付、安全认证以及内容和数据保护等，都有涉及。

现在，企业采用的安全策略以多层保护居多，包括防火墙、身份验证/加密、安全协议和入侵检测/入侵防御系统，这些都是行之有效的安全措施。由于在嵌入式系统中几乎没有防火墙，大多数嵌入式设备只能依赖于简单的密码认证和安全协议来保证系统的安全。之所以出现这种情况，主要是在客户中存在这样的假设：嵌入式设备对黑客来说不是有吸引力的目标，嵌入式设备不易受到攻击，身份验证和加密已经为嵌入式设备提供了充分的保护。现在看来，这种假设已经行不通了，我们必须采取更加有效的安全措施才能确保嵌入式系统的安全。

嵌入式安全面临的六大挑战

嵌入式设备与标准PC不同，它们是专门为执行特定任务而设计的固定功能设备。其中，许多嵌入式产品使用的是专用操作系统，如VxWorks、MQX或精简版Linux。在大多数情况下，这些设备都经过了优化，以最小化处理周期和内存使用，并且没有太多额外的可用处理资源。因此，标准PC的安全解决方案无法解决嵌入式设备面临的安全挑战。事实上，鉴于嵌入式系统的特殊性，PC安全解决方案极少甚至不会在大多数嵌入式设备上运行。

下面我们就逐一分析那些最常见的嵌入式安全挑战。

1.许多嵌入式设备无法做到系统定期更新或修补

这可以说是嵌入式设备最明显的漏洞之一。与智能手机和可穿戴设备一样，许多嵌入式设备都是要长期使用的，比如车辆或商业应用中的嵌入式系统可能会在不更新的情况下使用五年、十年甚至更长时间。据市场反馈，即使在设备提示下，也只有约38%的人会定期更新安全软件。因此，相应的安全策略需要在设计之初就予以充分考虑，并将其集成到系统中，比如提供可定制和安全的代码更新，以定期管理修补程序或纠正软件缺陷。

2.用户认为嵌入式设备不是黑客的目标

基于这种安全性假设，许多嵌入式工程师一直认为嵌入式设备不是黑客攻击的目标。当然，这些假设已经过时。甚至有一项市场调查表明，91%的物联网消费者在未阅读服务提供商和卖家规定的法律条款和条件的情况下就同意这些条款和条件。安全性通常不被认为是嵌入式设计的关键优先选项。

3.针对嵌入式设备的一些攻击可以被复制

嵌入式系统设备的一个独特之处是：它们是由数百到数千种使用同一系统的产品批量生产的。一旦设计和构建，嵌入式设备就可以批量生产，市场上可能有成千上万个相同的设备。如果黑客能够对其中一台设备成功发起攻击，那么这种攻击就可以在所有设备上进行复制。因此，可信的嵌入式安全策略最好结合分层安全功能，以创建更强的防御机制。

4.专有嵌入式安全协议不被行业工具认可

大多数行业和企业使用的安全工具与嵌入式系统中使用的不同。比如，企业防火墙和入侵检测系统旨在防范企业特定的威胁，而不是针对行业协议的攻击。这意味着它们的检测系统和防火墙可能无法检测到针对嵌入式系统的特定威胁。

5.嵌入式系统的使用超出了预期的安全目标

无论底层软件如何，大多数嵌入式安全措施都是针对特定硬件或软件系统设计和定制的。然而，如果这些设备的使用目标被用户更改，如iPhone越狱，则可能会出现严重的安全问题。又或者，将设备连接到不安全的互联网资源（如公共的Wi-Fi网络），则嵌入式系统极易受到更多的网络攻击。

６.长生命周期的设备难以预测未来的安全威胁

嵌入式设备的生命周期通常比PC或消费类设备长得多，它们可能在该领域存在15年甚至20年。今天，构建一个能够满足未来20年安全要求的设备仍是一个巨大的挑战。

两大应用行业的嵌入式安全方案

嵌入式设备的安全解决方案必须确保设备固件未被篡改，确保设备存储的数据安全，确保通信安全，并保护设备免受网络攻击，这些措施只能在设计的早期阶段来实现。对于嵌入式设备而言，目前尚无一种一刀切的安全解决方案。可行的安全策略必须充分考虑攻击风险、可用攻击向量以及实施安全解决方案的成本。

汽车行业的嵌入式安全方案

电动化、网联化、智能化已经成为汽车产业的发展潮流和趋势。汽车通过越来越多的无线技术以各种方式与外界相连，车联网汽车的数量不断增加，未来几年，互联汽车的市场销量将超过传统汽车的销量。在中国，预计2025年智能汽车的渗透率将达82%。大量网联汽车的上市也带来了相应的问题：数字入侵者和恶意黑客总是试图入侵汽车系统。根据上游安全公司2020年全球汽车网络安全信息，从2018年到2019年，汽车网络安全事件增加了99%。有关汽车的嵌入式安全策略必须提上议事日程了。


图１：2015－2020年网联汽车与常规车发展趋势 （图源：HP Enterprise）

好在，嵌入式安全解决方案为提高车辆的安全性铺平了道路。

联网车辆的安全是一个大话题，恩智浦将其分解为可管理的四个主要部分，也就是我们通常说的分层管理，并设计了一种多层方案，称之为“4+1”层安全框架，通过四个关键系统整体保护整个车辆。这些保护层包括：

· 第一层：安全接口。该层保护为TCU增加了安全性，通过附加一个安全元素（SE）实现最大安全性。使用的安全元件也是专用安全微控制器，具有先进的加密加速器以及经验证的先进物理和电气攻击抵抗能力。
· 第二层：安全网关。从安全角度来看，除了隔离之外，最重要的功能应该就是防火墙了，它能将外部接口与车辆内部的网络分隔开。NXP的方案采用了带有防火墙的中央网关实现网络的物理和电气隔离。
· 第三层：安全网络。NXP通过4个步骤确保车载网络的安全性。一是添加消息身份验证。二是对车内不同ECU之间交换的消息进行加密，三是入侵检测，对模式识别和规则进行检查，以检测网络流量中的异常情况。四是ECU级验证，定期验证网络中ECU的真实性
· 第四层：安全处理。当检测到错误或安全漏洞时，OEM要能够快速、无缝、安全地更新车辆软件，确保在处理器上运行的软件是真实可信的。
· 第+1层：安全的车辆访问。这是车辆安全的传统做法，诸如远程锁定和解锁、远程车辆监控等。

至于这4个层次在实际应用中的执行步骤，NXP给出的解释是，用户可以根据OEM的体系结构自行确定顺序，有可能是第四层在第三层之前启动，或者第一层是最后一个依靠TCU中应用程序处理器的安全性实现的。


图2：NXP提出的安全车辆“4+1”层框架 （图源：NXP）

现代汽车安全不仅仅是确保门锁的安全，它已经扩展至包括车辆认证、ADAS外围设备的防伪以及保护到云的数据通信安全。因此，Maxim提出，未来汽车的安全技术需要AEC-Q100 1级合格的安全部件，以增强车辆的安全性并保持最佳系统功能。Maxim的DS28E40是一种安全认证器，它提供了一组核心加密工具，这些工具源自集成的非对称（ECC-P256）和对称（SHA-256）安全功能。通过确保车辆外围部件的真实性来增强汽车安全性。

除了硬件实现的加密引擎提供的安全服务外，该产品还集成了一个FIPS/NIST真随机数发生器（TRNG）、6Kb用于用户数据、密钥和证书的一次性可编程（OTP）内存、一个可配置的通用输入/输出（GPIO），以及唯一的64位ROM标识号（ROM ID）。用户可将该IC嵌入到任何汽车外围设备，如摄像头、传感器或电池管理系统。


图3：Maxim安全认证器DS28E40原理方框图 （图源：Maxim）

物联网行业的嵌入式安全方案
根据Gartner的预测，到2020年全球物联网设备数量将达到260亿个，物联网市场规模将达1.9万亿美元。在不断推动更安全的物联网设备和应用过程中，确保嵌入式安全的硬件产品也迎来了发展的风口。ABI Research的市场分析表明，到2024年，用于数字认证和嵌入式安全的安全硬件的销量将达到53亿美元，约是2019年的两倍。

ABI Research的数字安全研究专家认为，基于硬件的安全性比基于软件的安全性提供了更好的保护，因为改变或攻击物理设备和数据入口点更加困难。不过，目前只有不到10%的物联网设备受到硬件安全的保护。

物联网市场目前采用的技术有多种形式，其中一些是从现有的安全解决方案改造而来，如可信平台模块（TPM）和可信执行环境（TEE）、NFC嵌入式安全元件和认证IC。另一些则是从物联网市场的需求改造而来，如嵌入式SIM和安全微控制器。

STMicroelectronics的STM32系列是闻名业界的Arm Cortex MCU架构产品组合，截至2020年7月份，STM32系列的出货量已经达到60亿颗，主要用于智能设备、可穿戴设备、电子医疗设备、物联网、支付终端等。该公司的STM32Trust整合了知识、设计工具和STMicroelectronics独创的即用型软件，帮助设计人员利用STM32 MCU内置的安全功能，在设备之间建立互信，防止非法访问，防御边信道攻击，避免数据窃取和代码修改。

STM32Trust是STMicroelectronics与合作伙伴及客户密切合作联合开发的，它建立在多个资产保护用例及其所需的安全功能的基础上，集成了STM32系列可用的全部网络保护资源，充分利用以安全为中心的芯片功能和软件包，帮助设计人员实现一个强大的多层安全保护策略。STM32Trust拥有一套12个安全功能，提供STMicroelectronics和第三方提供的硬件、软件和设计服务，符合主要物联网认证方案的要求


图4：STM32Trust拥有的12个安全功能 （图源：STMicroelectronics）

部署在边缘的数十亿物联网产品已成为极具吸引力的网络攻击目标。NXP推出的EdgeLock　secure enclave，是一个预配置、自我管理和自主的片上安全子系统，为物联网边缘设备提供智能保护，防止攻击和威胁。作为NXP公司i.MX 8ULP、i.MX 8ULP-CS和i.MX 9应用处理器的内置安全子系统，它们完全集成在一起，简化了为物联网应用实施强壮的全系统安全的复杂性。

现阶段，物联网硬件安全技术进步的研发工作在很大程度上是一些大企业来主导，他们的市场领导地位短时间难以撼动。

嵌入式安全市场的竞争格局

嵌入式安全主要用于增强对嵌入式系统中运行时数据安全的保护。不断开发和实施新的嵌入式安全模块，如硬件安全模块、安全处理模块和可信平台模块，为嵌入式安全市场的主要参与者创造了巨大的商机。市场分析机构PMR预计，在2020年至2030年之间，全球嵌入式安全市场的复合年增长率将接近7%。

全球范围内对互联设备，包括具有连接性和多媒体功能的智能手机和平板电脑的需求不断增长，推动了对更高嵌入式安全技术的需求，并为全球市场的嵌入式安全制造商和服务提供商创造了增长机会。来自PMR的数据，2015年至2020年间，全球嵌入式安全市场的复合年增长率为6.1%。预计将在2021年至2031年间增长两倍，在2021年有望达到52.3亿美元。

目前，嵌入式安全市场的一些主要参与者包括英飞凌、NXP、Microchip、Texas Instruments、McAfee LLC、Broadcom以及Advantech等。其中，Infineon、NXP、Microchip、TI和McAfee LLC等五大厂商占据了超过65%的市场份额。因市场的参与者各个实力强劲，虽然潜力巨大，但全球嵌入式安全市场的竞争依然十分激烈。只有通过不断提升产品开发和创新能力，这些参与者才能稳固自己的市场地位。

本文小结

上述关于嵌入式安全的讨论只是行业的冰山一角。当今许多现代嵌入式设备和系统都内置了CPU或MCU，并负责执行关键功能，许多最终用户根本不知道他们的嵌入式设备有多脆弱，特别是如果它们没有被直接用于处理或存储敏感数据。因此，在这些设备设计之初就把安全性考虑在内是一项非常紧迫的任务。

还有一点特别值得注意，大多数嵌入式设备的系统升级并不容易，一旦部署，它们可能需要保持长期运行。用于构建嵌入式设备的专用操作系统可能没有自动更新功能，它们无法轻松更新设备的固件，以确保安全功能经常更新。因此，有必要再次重申，在嵌入式设备设计的早期，必须充分考虑系统的安全功能，以确保设备受到保护，免受潜在的网络攻击。


来源：贸泽电子
作者：Doctor M