思想领导力

Scott Jones,
作者详情
Scott Jones
关闭详情

不可克隆的全套嵌入式安全解决方案如何从根本上保护设计

下载 PDF

摘要

2016年,网络犯罪损失增长了24%,超过13.3亿美元。这仅仅是美国联邦调查局互联网犯罪投诉中心统计在案的犯罪案件造成的损失。黑客攻击和其他安全事件经常登上新闻头条。然而,许多产品制造商仍然将设计安全置于次要位置。部分原因可能是有些人误认为实现安全需要耗费大量时间和资源。本文将澄清这些误解,并介绍经济实惠的新款全套嵌入式安全解决方案,该方案可以提供强大的防护,抵御各种侵入性攻击。

引言

为何设计安全性仍被忽视?

去年,电信巨头西班牙电信公司(Telefonica)发布的一份报告警告称,网络犯罪防御能力仍然落后于物联网(IoT)解决方案的发展,这将带来灾难性的后果。

该公司在《前所未见的范围、规模和风险:确保物联网安全》1报告中指出:“这不仅关乎我们自己数据的隐私或我们数字身份的安全。未来几年,我们的生活将被连接到互联网的设备所包围,这些设备将把我们每一步的行动数字化,将我们的日常活动转换为信息,将任何互动在网络中进行分发,并根据这些信息与我们互动。我们的现实生活从未像现在这样接近数字世界。”

然而,安全事件仍然有增无减。今年夏天,知名征信机构Equifax遭遇大规模数据泄露,黑客获取了美国人的姓名、社保号码、出生日期、地址和一些信用卡号,以及英国和加拿大人的个人数据。今年春天,勒索软件“WannaCry”发动了大规模攻击,入侵了欧洲、南美洲、亚洲和北美洲至少150个国家和地区的计算机,对医院、大学、制造商、企业和政府机构造成了严重破坏。2016年秋,基于Mirai恶意软件的僵尸网络入侵了闭路电视(CCTV)摄像头和数字视频录像机(DVR),导致了大规模互联网中断。除了这些备受关注的重大事件之外,还有许多较小的事件同样值得消费者和企业警惕。当然,随着越来越多的产品和系统互联互通,黑客手段也愈发高超,每个垂直行业都有风险要应对。例如,考虑以下场景:

  • 工业:从以前的孤立系统转变到现在的完全联网系统,设备面临远程攻击风险
  • 医疗健康:围绕敏感数据的隐私问题,数据完整性问题,以及医疗设备/器械的认证操作需求
  • 银行业:在线银行的迅猛发展扩大了风险,因为银行机构不再能够通过视觉方式核实客户身份
  • 零售:移动设备采用开放架构,但同时也承担着金融/支付终端的功能,因此必须确保交易和通信的安全
  • 通信:实施端到端安全对于防范各种攻击至关重要
  • 汽车:还记得吗,2015年一辆吉普车被白帽黑客远程控制2。汽车正迅速成为有轮子的电脑,黑客攻击的风险仍不可小觑。

忽视设计安全会影响收入、导致品牌声誉受损,甚至可能造成人身伤害,代价非常高昂。在安全事件发生后才修补系统,往往效果不佳且为时已晚。事实上,越早在设计周期中建立安全性,效果越好。经证明,基于硬件的安全性比基于软件的安全性更有效,更多信息请参阅白皮书《为什么基于硬件的设计安全性对每种应用都至关重要》,了解基于硬件与基于软件的设计安全性比较情况。幸运的是,使用安全IC的硬件方法并不一定需要投入大量的精力、资源或时间。

放弃安全的代价

虽然您可能面临着巨大压力,需要迅速将产品推向市场,同时还要降低开发成本,但您是否仔细考虑过与安全漏洞相关的成本?如表1中的假设性最终产品所示,忽略安全性最终可能会让您付出更大的代价。

基于硬件的安全性可使系统更稳健,部分原因是网络犯罪分子很难改变设计的物理层。此外,物理层的存在让恶意软件无法渗透到操作系统并穿透设计的虚拟化层。如果设计伊始就考虑安全性,您将能把安全性嵌入到设计的基础层及其后的所有层中。

使用安全IC(例如从内部不可变存储器执行代码的微控制器)可以防范试图破坏电子设备硬件的攻击。启动代码存储在微控制器的ROM中,此代码无法修改,因此可作为“信任根”。这种不可修改的可信软件可用于验证和认证应用软件的签名3。当自下而上实施基于硬件的“信任根”方法时,您可以封闭设计中的更多潜在入口点。

表1.假冒产品造成的资产损失最终超过实施安全措施的成本

嵌入式安全IC(例如安全微控制器和安全认证器)提供全套解决方案,保护从每个传感器节点到云端的整个系统。然而,并非所有安全IC都一样。由于成本、功耗或需要复杂的固件开发,有些安全微控制器不适合物联网设备或端点。有些加密控制器为嵌入式联网产品实现了全面的安全性,无需任何固件开发。就比如Maxim的 MAXQ1061 DeepCover®器件。该协处理器可以从一开始就导入设计,也可以集成到现有设计中,以保证机密性、真实性和器件完整性。

至于安全认证器,器件应提供一组核心的固定功能加密操作、安全密钥存储以及其他适合物联网和端点安全的相关功能。凭借这些特性,安全认证器可以经济实惠的方式,保护IP、防止克隆以及对外设、物联网设备和端点进行认证。

在评估嵌入式安全技术时,还应关注什么?应当关注内置加密引擎、具有安全引导加载程序,以及可以抵御密码分析入侵、物理篡改和逆向工程等威胁的安全微控制器。Design SHIFT是一家位于美国加利福尼亚州门洛帕克的数字安全和消费类产品工程公司,其ORWL安全台式电脑需要具备此类特性。ORWL需要双重身份验证并能够抵御物理攻击,因此需构建强大的信任根安全性。Design SHIFT所采纳的解决方案是MAX32550 DeepCover ARM® Cortex®-M3 安全微控制器。

Design SHIFT首席执行官Olivier Boireau表示:“许多软件人员说,如果失去对硬件的控制,一切都完了。建立信任根可以提供强有力的保护。”

通过“物理不可克隆功能”技术加强保护

安全IC最近开始采用一种更先进的加密技术,即物理不可克隆功能(PUF)。PUF功能源自IC器件复杂多变的物理/电气特性,依赖于制造过程中引入的随机物理因素(不可预测且不可控制),因此几乎不可能复制或克隆4。PUF技术能够为其关联IC原生生成一个数字指纹,该指纹可用作唯一密钥/秘密来支持各种算法,包括身份验证、识别、防伪、硬件-软件绑定和加密/解密。

Maxim的PUF电路依靠基本MOSFET器件自然产生的随机模拟特性来生成加密密钥,这样的解决方案叫做ChipDNA™技术。一种专利方法可以确保每个PUF电路生成的唯一二进制值在整个温度和电压范围内以及器件老化情况下都具有可重复性。此方案的高度安全性来源于唯一二进制值实际上并未存储在芯片的非易失性存储器中的任何地方。 4/7 安全认证器是经济有效的IP保护手段 www.maximintegrated.com 5/7该值在需要时由PUF电路产生,然后消失。因此,与以前的安全器件不同,基于PUF的器件不会遭受企图发现密钥而对非易失性存储器展开的侵入性物理攻击,因为黑客无法窃取不存在的东西。此外,如果基于PUF的器件遭受侵入性物理攻击,攻击本身可能导致PUF电路的电气特性发生变化,这也会阻止此类攻击。ChipDNA PUF技术的可靠性表现出色,不受工艺、电压、温度和老化影响。此外,PUF输出通过了 NIST5随机性测试套件的评估。图1为ChipDNA PUF技术的不同用例:内部存储器加密、外部存储器加密和身份验证密钥生成。

率先采用PUF技术的安全认证器

Maxim率先采用ChipDNA PUF技术的安全IC是DS28E38安全认证器,可针对侵入性物理攻击提供经济高效的保护。DS28E38图2)提供:

  • 基于FIPS186 ECDSA的质询/响应认证
  • ChipDNA安全存储数据,可选ECDSA-P256私钥源
  • 2kb EEPROM阵列用于提供用户内存和存放公钥证书
  • 具有认证读取功能的仅递减计数器
Figure 1: Different use cases for ChipDNA PUF technology
  • Unique factory-programmed read-only serial number (ROM ID)
  • Single-contact, 1-Wire® parasitic interface, providing a versatile, rugged, and reliable interconnect method for secure authentication in areas where this was not previously possible.

The DS28E38 is just the first product incorporating ChipDNA PUF technology. Maxim is enhancing its entire embedded security portfolio, both secure authenticators and secure microcontrollers, and will be delivering many new products built with ChipDNA technology in the coming months.

图2:提供ChipDNA PUF保护的DS28E38 DeepCover安全ECDSA认证器方框图。

结语

如今的嵌入式安全IC提供全套解决方案,通过多重防护从根本上保护您的设计,包括先进安全机制、加密算法支持、篡改检测和许多其他保护措施。其中,PUF技术尤为强大,能够有效抵御各种侵入式和非侵入式攻击。毕竟,黑客无法窃取不存在的密钥。

了解更多信息

欲详细了解可以保护下一个设计的嵌入式安全解决方案,请参阅我们的 嵌入式安全选型指南

Sources