嵌入式电子设备的安全性

嵌入式系统市场有望在不久的将来稳步增长，前提是这些系统能够得到充分的保障。

嵌入式设备和系统面临的最大挑战之一，特别是那些应用于计算机领域的设备和系统物联网美国正在充分保护它们免受日益复杂的黑客攻击。这是犯罪企业的一个新工具，也是一个非常有利可图的工具，因为它可以远程完成，几乎不用担心被抓住。即使黑客被抓了，也很少会受到起诉，犯罪企业也并非没有注意到这一点。由于缺乏报复，他们得以招募到一些最优秀、最聪明的程序员。

不安全的物联网设备可能造成的破坏在一年前就得到了戏剧性的证明，当时对Dyn DNS(现在的甲骨文Dyn全球业务部门)的网络攻击导致一些非常受欢迎的网站关闭了一天。虽然从那以后没有发生过类似规模的攻击，但网络安全专家预计还会发生更多攻击，因为攻击的动机将是经济上的，而不是为了好玩而破坏社会。

透明市场研究公司预测，全球嵌入式系统市场将在四年内增长到2331.9亿美元，从2015年到2021年的复合年增长率为6.4%。TMR预测，到2021年，汽车行业将占据嵌入式系统市场的18.3%。

Zion Market Research认为，嵌入式系统市场每年增长6%，从2015年的1590亿美元增长到2021年底的2253.4亿美元。“然而，与这些系统相关的安全问题可能会在预测期内抑制嵌入式系统的需求，”市场研究公司警告说。

图1:嵌入式系统市场增长。来源:锡安研究

公开密码匙基础设施
泰雷兹公司发布了2017年PKI全球趋势报告，其中包括波耐蒙研究所的研究。在对全球1500多名IT安全从业者的调查中，该研究预测，未来两年部署的物联网设备中，43%将使用数字证书进行身份验证。

36%的受访者表示，物联网等新应用是PKI发展中增长最快的应用。

波耐蒙研究所主席拉里·波耐蒙在一份声明中说:“去年，我们强调PKIs是非常重要的，而且我们仍然坚持这一建议。”“pki不仅是企业的核心资产，而且在支持云应用程序和物联网的证书颁发需求方面发挥着越来越重要的作用。聪明的组织已经确定，物联网的成功部署取决于从一开始就建立的信任，他们依靠PKI作为建立信任的一个组件。”

PKI已经存在了一段时间。它最早是在20世纪70年代由英国情报部门开发的，它依赖于不对称的密钥——一个公共的，一个私人的——来加密和解密内容。实际上，这些密钥提供了一种方式，可以证明谁是数据交换的另一端，以及在交换期间握手的另一端。要实现这一点，需要硬件和软件的结合，需要时间戳、交叉认证和更新密钥，以及提供足够的历史记录，以确保没有任何东西受到损害。其目标是创建一个“信任网络”，基本上是Arm等公司一直在推动的信任根的补充。

手臂上个月，该公司发布了平台安全架构，扩大了其愿景。其目标是创建一个用于扩展连接设备安全的通用框架，它得到了所有主要MCU供应商的支持，以及嵌入式软件公司(如Green Hills和Mentor)、思科(Cisco)、沃达丰(Vodafone)和Flex等系统公司以及谷歌和微软(Microsoft)等云提供商的支持。

“问题的复杂性是挑战的一个方面，”Arm负责安全系统和技术的副总裁马克·卡内尔(Marc Canel)说。“有一层技术来自物理知识产权，其中嵌入了信任根的密钥，一直到应用程序以及介于两者之间的一切。与此同时，构建这些东西、创建产品、提供它们、加载代码和加载密钥的过程也很复杂。最大的挑战之一是整个物联网世界没有标准化。你会发现垂直生态系统，无论是在嵌入式系统领域还是在汽车领域。甚至在汽车行业，从通用汽车到福特，你会发现不同的生态系统、不同的参与者、不同的规则和不同的要求。缺乏标准化或规范化使事情变得更加复杂，因为流程需要在垂直市场之间复制。”

开发人员可以通过无线软件和固件更新来保持物联网设备的敏捷和安全。飞行中的数据可以通过加密传输层安全(TLS)协议或Arm的mbed TLS进行屏蔽。他们还可以聘请第三方对新产品进行渗透测试，这将在新产品进入市场之前暴露出缺陷。

自从设备相互连接以来，安全一直是一个风险，而且随着设备数量的增加以及用于连接它们的媒介的放松管制，安全风险成倍增加。在2016年Dyn遭受网络攻击之前，2015年一辆吉普切诺基(Jeep Cherokee)遭到黑客攻击，证明了远程参与者可以如何控制车辆。供应商仍然在开发不安全的技术。而且，即使是安全程度很高的技术，也会有意或无意地连接到安全程度很低或根本不安全的设备上，在公共网络上，警告是标准的，但经常被忽视;在设备上，密码往往很弱，很少更改。

“可以预见的是，他们做得还不够。Synopsys对此．

Borza回顾了互联网和万维网的早期，在商业互联网暴露出一些黑帽用户之前。“我们逐渐长大了，”他说。“物联网，在没有很多相关立法和法规的领域，将以几乎相同的方式发展。我希望人们在开发物联网时能更多地吸取Web 2.0时代的教训，但大多数人并没有这样做。所以，我们将经历这个实验阶段，人们出于希望和突发奇想，或者希望和祈祷，把东西放在那里，希望和祈祷安全足够好。然后人们会面临一些重大的攻击，他们会意识到这是不够的。这就是我们现在所处的阶段，但现在还为时尚早。我想说的是，目前仍有许多正在开发的设备没有得到充分的保护。对我来说，作为一个安全人员，我总是首先考虑设备是否能够信任自己?或者它是否有某种方式向自己证明它正在运行的代码是它应该运行的? Once it’s bootstrapped itself, and it’s started to connect to the network, the rest of the elements of the network have to trust that the things they’re communicating with are really the things they believe they are. And so there’s kind of a process of building trust, up one layer at a time, that needs to take place.”

Borza表示，设备网络安全有三个关键因素。他说，他们必须建立一个真正值得信赖的信任根基。还有硬件支持的标识和信任根固件组件，比如在运行代码之前测试代码完整性的安全引导操作。

“一旦它得到了这些东西，如果它有一些硬件支持的密钥和一些允许以安全方式使用这些密钥的加密原语，那么它就可以开始为自己或代表其云服务用户和周围的其他实体创建身份。这些实体实际上可以被绑定到设备上，你可以阻止它们被导出。这让你有机会确保网络是建立在值得信任的基础上的。”

这是一个很好的目标，但也需要时间来实现。

复杂性和数量
至少部分问题源于日益增长的复杂性。这使得构建、调试和测试设备变得更加困难，但也使它们的安全变得更加困难。

Secure Thingz的首席技术官海顿·波维(Haydn Povey)表示:“对于物联网中的每个人来说，复杂性都是一个巨大的问题。“无论你是建造发电站还是汽车，都是由一层层的组件和系统组成的。所有权需要嵌入到所有这些中，从头到尾。我们需要在早期注入身份认同。需要对身份进行管理。我们需要在整个生命周期中拥有系统中的每个组件。我们需要能够管理这些子系统，整合它们，整合安全。这个系统的所有权有这么多部分，这么多方面，代码如此复杂，这是一个真正的挑战。”

关于这一主题的观点有缓慢但稳定的进展，也有敲响警钟的，因为越来越复杂的互联设备的数量正呈指数级增长。

该公司产品管理高级总监Asaf Ashkenazi表示:“无论你从哪里看，物联网都很可怕。Rambus的安全部门。“物联网中的一切都不是关于一个设备。它涉及很多设备。这是一支克隆大军。你做了一个设备，其他的都是一样的。工业物联网也是如此。如果你看看Stuxnet病毒攻击伊朗核设施后发生了什么，就会发现沙特阿拉伯的能源设施也用了同样的方法。”

设备的使用时间越长，安全问题也会变得越严重，因为如何侵入设备的知识也在增加。因此，虽然智能手机可能会定期更新，但商用冰箱可能永远不会更新，而且可能会使用6年或更长时间。“你需要在设备的生命周期内管理安全，”Ashkenazi说。

因为售价太低，其中一些设备根本不值好的安全性。

Synopsys的博尔扎说:“如果你从物联网的宏伟愿景来考虑，500亿或更多的设备都连接在一起，互相通信，其中可能有450亿设备将是人们可以制造的最小、最便宜的东西。”“因此，这就反对为自己的目的使用大量安全硬件。这是挑战的一个方面。但另一件事是，人们将以数十亿的价格购买的东西的销售价格较低。这也意味着对手可以购买大量副本并对其进行逆向工程。制造这些设备的人不会是物理安全方面的专家。为了实现这一目标，他们需要芯片制造商的帮助。”

Borza指出，应用程序空间和资源之间也有安全隔离，这是一个有用的工具。在非常安全、严格控制的软件容器中可以有嵌入设备的密钥，并为应用程序打开设备的其余部分，以尝试运行和共享计算资源。“我认为这是设备开发者能够依赖的一线希望。您开始看到一些有趣的设备虚拟化方法。它们不具备服务器虚拟化的所有特征。但它们确实提供了将处理上下文彼此分离的能力，”他说。

安全连接
另一个难题是连通性本身。有线网络比无线网络更安全，这也是以太网在多年来被预测会消亡之后，尤其是在部署速度更快的新版本的数据中心，以及最近在高端汽车上，出现惊人复苏的部分原因。

“特别吸引人的是，调试和诊断是标准以太网，”安德鲁·克劳斯说，迈半导体的汽车业务发展和架构总监。“在芯片层面，你希望确保所有数据都能通过。这意味着您要确定哪些数据包没有进入系统，并且没有任何东西会破坏这些数据包。一种方法是使用安全交换机，即网关设备。它以安全的方式启动。如果有什么问题，它会说‘停止’。”

这种方法类似于目前在企业网络内部使用的方法，其中端口可以配置为限制或允许对外部世界的访问，使用安全引导和深度数据包检查。克劳斯说:“这样做的好处是，你不仅可以接触到OSI堆栈的第一层和第二层。”“你可以对OSI模型的所有七层都这样做。”

图2:OSI模型。来源:IBM

结论
更多的供应商至少在考虑安全问题，而且很多供应商正在开发针对当前威胁级别的安全产品。但随着时间的推移，它们的表现如何，标准化的安全水平是否会出现，以帮助消费者判断一种产品是否比另一种更安全，这些都还有待观察。

但可以肯定的是，随着联网设备数量的增加，威胁级别也在不断上升，而安全性已经上升到一个让更多的人将其视为一个问题的水平。他们对此会做些什么还有待观察。

-Ed Sperling对本文也有贡献。

有关的故事
如何构建物联网芯片
与会专家，第2部分:数据在哪里处理，如何保护设备，以及该领域是否存在规模经济的问题。
为物联网设备制造安全芯片
技术在进步，但人们对安全需求的意识也在提高。
物联网设计
DAC的每一天都以一个与物联网相关的主题演讲开始。他们有时同意，有时不同意，但其影响是巨大的。