摘要：在物聯(lián)網(wǎng)設(shè)備中，為保證硬件和嵌入式系統(tǒng)的安全，不僅需要軟件安全，硬件安全性、設(shè)計(jì)安全性以及數(shù)據(jù)安全性的組件也是必不可少的。FPGA器件具有加密的位流、多個(gè)密匙存儲(chǔ)單元、經(jīng)過(guò)授權(quán)許可的DPA對(duì)策、安全的閃存、防篡改功能，并加入了PUF功能，是保護(hù)現(xiàn)今用戶可訪問(wèn)聯(lián)網(wǎng)硬件產(chǎn)品所不可或缺的組成部分。

　　根據(jù)McKinsey的研究，安全性和隱私被視為未來(lái)物聯(lián)網(wǎng)(IoT)增長(zhǎng)的關(guān)鍵性挑戰(zhàn)^[1]，其中一個(gè)主要關(guān)注領(lǐng)域是終端用戶可訪問(wèn)的IoT設(shè)備的安全性。這些設(shè)備用于一系列應(yīng)用領(lǐng)域，從商業(yè)網(wǎng)絡(luò)HVAC系統(tǒng)和無(wú)線基站直至工業(yè)電力線通信(PLC)、航空網(wǎng)絡(luò)、網(wǎng)絡(luò)網(wǎng)關(guān)系統(tǒng)，以及發(fā)電站的關(guān)鍵能源基礎(chǔ)設(shè)施。

　　威脅向量林林總總，有真實(shí)的，也有假設(shè)的。事實(shí)證明，單單依賴軟件安全功能不足以抵御已知的威脅，而今天的FPGA SoC器件可以用于實(shí)施可調(diào)節(jié)的安全方案，全面擴(kuò)展直至IC層面。它們幫助提供全方位的可擴(kuò)展安全性，同時(shí)以小占位面積維持低功耗系統(tǒng)的運(yùn)作。

硬件設(shè)備面臨安全威脅

　　實(shí)際上，幾乎任何連接至其它設(shè)備，以及終端用戶可訪問(wèn)的設(shè)備，均會(huì)帶來(lái)危險(xiǎn)。

　　例如，在汽車領(lǐng)域，假冒的先進(jìn)駕駛輔助系統(tǒng)(ADAS)信息把關(guān)于面前車輛的速度和方向的錯(cuò)誤信息發(fā)送至其他車輛或基礎(chǔ)設(shè)施(統(tǒng)稱為V2X)系統(tǒng)，可能引起事故?；蛘?，惡意的數(shù)據(jù)操作可能引起交通中斷，使得整個(gè)城市陷入混亂。在工業(yè)環(huán)境中，用戶可訪問(wèn)的設(shè)備，包括智能電網(wǎng)現(xiàn)場(chǎng)控制器和電力流監(jiān)控器，很可能會(huì)為惡意攻擊打開(kāi)大門(mén)。越來(lái)越多的此類遠(yuǎn)程設(shè)備已經(jīng)聯(lián)網(wǎng)，由于它們通常具有遠(yuǎn)程接近性，對(duì)于惡意黑客具有吸引力。醫(yī)療保健行業(yè)的攻擊向量是與病患監(jiān)控相關(guān)的用戶可訪問(wèn)的設(shè)備。在通信基礎(chǔ)設(shè)施中，用于4G/LTE網(wǎng)絡(luò)的無(wú)線小型蜂窩系統(tǒng)同樣易受攻擊，它們通常經(jīng)由第三方接入提供商的網(wǎng)絡(luò)安裝在街道上，與大型運(yùn)營(yíng)商相比，這些第三方網(wǎng)絡(luò)的安全性較為松懈，易于成為黑客和破壞者的獵物，被用來(lái)接入那些極易遭受GPS干擾、詐騙，以及其它時(shí)間安全漏洞的網(wǎng)絡(luò)。

　　最近一家商業(yè)航空公司的航班被黑客控制^[2]，就是與用戶可訪問(wèn)的聯(lián)網(wǎng)設(shè)備有關(guān)。法院文件指出，美國(guó)FBI正在調(diào)查這次事件，懷疑一名乘客通過(guò)將筆記本電腦插入座椅下面的電子盒，從而接入機(jī)載娛樂(lè)(IFE)系統(tǒng)，而后接入其它重要系統(tǒng)，包括向飛機(jī)引擎提供動(dòng)力的飛機(jī)推力管理計(jì)算機(jī)。

　　除了上述的威脅之外，任何用戶可訪問(wèn)設(shè)備還易于受到知識(shí)產(chǎn)權(quán)(IP)盜竊和產(chǎn)品反向工程威脅，我們需要從器件級(jí)別，端到端的、層次化的水平上開(kāi)始設(shè)計(jì)安全功能，才能夠保護(hù)這些設(shè)備避免IP盜竊、反向工程、篡改以及克隆，同時(shí)防止它們?cè)馐芫W(wǎng)絡(luò)攻擊。今天的FPGA器件通過(guò)結(jié)合設(shè)計(jì)安全性(包括防篡改措施的芯片級(jí)保護(hù))、硬件安全性(電路板級(jí)和供應(yīng)鏈)和數(shù)據(jù)安全性(涵蓋所有通信往/來(lái)設(shè)備)來(lái)支持這項(xiàng)戰(zhàn)略。

　　一個(gè)沒(méi)有足夠硬件安全性的聯(lián)網(wǎng)設(shè)備，一旦遭受終端用戶的黑客攻擊，其設(shè)計(jì)便可能遭受IP盜竊。保護(hù)IP是設(shè)計(jì)安全性的一個(gè)示例。設(shè)計(jì)安全性還包括防止產(chǎn)品遭受反向工程的功能。如果沒(méi)有基于硬件的安全性，用戶可訪問(wèn)產(chǎn)品的IP，產(chǎn)品IP便有可能被盜竊。在2012年，美國(guó)超導(dǎo)公司(AMSC)的股價(jià)在短短一天內(nèi)下跌40%，在五個(gè)月期間蒸發(fā)了84%，主要原因在于該公司的風(fēng)力渦輪機(jī)算法缺乏安全措施^[3]。

硬件安全保護(hù)

　　為了保護(hù)設(shè)計(jì)，應(yīng)當(dāng)加密和保護(hù)配置位流。具有篡改保護(hù)、歸零和安全密匙存儲(chǔ)的設(shè)備，能夠顯著減少攻擊成功的機(jī)會(huì)。硬件應(yīng)當(dāng)能夠分辨未經(jīng)授權(quán)的訪問(wèn)和篡改，在檢測(cè)到篡改時(shí)進(jìn)行歸零。若要更好地保護(hù)設(shè)計(jì)，硬件安全設(shè)備應(yīng)當(dāng)能夠抵御差分功率分析(DPA)攻擊。DPA可以使用并不昂貴的電磁探頭和簡(jiǎn)單的示波器來(lái)窺探加密密匙。

　　保護(hù)可訪問(wèn)產(chǎn)品的另一個(gè)原因是硬件安全性，示例包括確保電路板運(yùn)行的代碼是可信的，以及構(gòu)建產(chǎn)品的供應(yīng)鏈?zhǔn)前踩?。信任根是硬件安全性的起點(diǎn)，也是你構(gòu)建產(chǎn)品的基礎(chǔ)硬件器件。根器件應(yīng)當(dāng)具有先前提及的全部設(shè)計(jì)安全特性。通過(guò)成熟的硬件信任根，可以真正安全地使用較高級(jí)別的安全功能。例如，硬件根信任器件可以用于存儲(chǔ)密匙，并且加密處理器啟動(dòng)時(shí)所引導(dǎo)的數(shù)據(jù)。安全引導(dǎo)對(duì)于保護(hù)啟動(dòng)代碼避免攻擊是很重要的?？v使黑客訪問(wèn)這類產(chǎn)品，也無(wú)法重寫(xiě)引導(dǎo)代碼，并且無(wú)法對(duì)處理器安裝任何惡意軟件。圖1展示了如何使用這種方法保護(hù)處理器。

　　供應(yīng)鏈安全性是硬件安全中經(jīng)常被忽略的一個(gè)環(huán)節(jié)，如果企業(yè)擁有自己的制造設(shè)施，自然能夠確保其產(chǎn)品未被克隆或過(guò)度建造;然而，大多數(shù)電子產(chǎn)品都是由第三方分包商制造，并且多數(shù)在國(guó)外制造。為了保護(hù)公司產(chǎn)品避免過(guò)度建造，這些公司可以充分利用硬件根信任設(shè)備中的功能。例如，如果一個(gè)器件具有密匙存儲(chǔ)，可以充分利用它來(lái)加密產(chǎn)品的位流或固件，使得僅僅具有特定密匙的器件可以被編程。這是有效的，不過(guò)，只有設(shè)備具有內(nèi)置授權(quán)許可的DPA對(duì)策，才是真正安全的。

聯(lián)網(wǎng)硬件的數(shù)據(jù)安全性

　　用于聯(lián)網(wǎng)硬件的最后一種安全類型是數(shù)據(jù)安全性。數(shù)據(jù)安全性確保進(jìn)出產(chǎn)品的通信是可信和安全的。過(guò)去數(shù)年里，F(xiàn)BI一直警告公眾，指出智能電表黑客攻擊已經(jīng)蔓延。這些黑客攻擊需要物理接入電表，能夠從電表收集安全代碼，并且訪問(wèn)其它的聯(lián)網(wǎng)設(shè)備。FBI指出，來(lái)自不安全電表的攻擊使得美國(guó)一些電力企業(yè)每年損失數(shù)億美元。

　　寶貴的數(shù)據(jù)無(wú)論在存儲(chǔ)或傳送過(guò)程中都必須加以保護(hù)，確保它們具有安全的設(shè)計(jì)和根信任，從而建立安全的數(shù)據(jù)通信。一個(gè)最常用的安全數(shù)據(jù)通信方法是使用公共/私有密匙交換。簡(jiǎn)單來(lái)說(shuō)，這項(xiàng)服務(wù)使用的兩個(gè)設(shè)備都知曉公共密匙，以及每個(gè)設(shè)備自己的私有密匙。最安全的私有密匙類型是不必由人們生成的密匙，如果硬件設(shè)備具有物理不可克隆(PUF)特性，這就可以做到?；赑UF的設(shè)備生成一個(gè)基于每個(gè)硅器件的獨(dú)特特性的密匙，這是使用每個(gè)芯片的微小差異所生成的。使用基于PUF的器件來(lái)實(shí)現(xiàn)數(shù)據(jù)安全，能夠防止擁有密匙的內(nèi)部人員對(duì)產(chǎn)品進(jìn)行黑客攻擊。

　　公共和私有密匙生成后，雙方開(kāi)始通信，具有公共密匙的云服務(wù)器給每個(gè)設(shè)備發(fā)送一個(gè)詢問(wèn)問(wèn)題，如果響應(yīng)是正確的，則進(jìn)行后續(xù)的步驟來(lái)保障基于私有密匙加密信息的通信。我們建議使用擁有公共密匙基礎(chǔ)設(shè)施(PKI)和PUF的供應(yīng)商來(lái)實(shí)現(xiàn)最高的數(shù)據(jù)安全級(jí)別。

小結(jié)

　　隨著IoT設(shè)備數(shù)目繼續(xù)呈現(xiàn)指數(shù)級(jí)增長(zhǎng)，硬件和嵌入式系統(tǒng)的安全威脅正在日益引起關(guān)注，重要的是認(rèn)識(shí)到只有軟件安全是不夠的，特別是在用戶可以訪問(wèn)聯(lián)網(wǎng)設(shè)備的情況下，這使得整個(gè)系統(tǒng)易于受到攻擊。過(guò)去發(fā)生了許多安全事件，未來(lái)有可能再次發(fā)生在任何系統(tǒng)中，威脅和危害國(guó)家安全。此外，系統(tǒng)中還存在安全漏洞風(fēng)險(xiǎn)，有可能因?yàn)閿?shù)據(jù)偷盜或IP復(fù)制帶來(lái)數(shù)百萬(wàn)美元損失。防止這些威脅需要確保硬件安全性、設(shè)計(jì)安全性，以及數(shù)據(jù)安全性的組件。FPGA器件具有加密的位流、多個(gè)密匙存儲(chǔ)單元、經(jīng)過(guò)授權(quán)許可的DPA對(duì)策、安全的閃存、防篡改功能并加入了PUF功能，是保護(hù)現(xiàn)今用戶可訪問(wèn)聯(lián)網(wǎng)硬件產(chǎn)品所不可或缺的成部分。

參考文獻(xiàn)：

　　[1]http://www.mckinsey.com/insights/high_tech_telecoms_internet/the_internet_of_things_sizing_up_the_opportunity

　　[2]http://www.upi.com/Top_News/US/2015/05/16/Hacker-took-control-of-United-flight-and-flew-jet-sideways-FBI-affidavit-says/2421431804961/

　　[3]http://www.bloomberg.com/bw/articles/2012-03-14/inside-the-chinese-boom-in-corporate-espionage

本文來(lái)源于中國(guó)科技期刊《電子產(chǎn)品世界》2016年第8期第19頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。