最新安全快闪存储器保障物联网装置程序码和数据安全

透过防护、侦测和复原，W77Q是永远值得信赖能维护平台正常运作的装置。

没有任何一家嵌入式装置制造商会声称，其联网装置遭受安全威胁是因为目前市面上的安全元件漏洞所造成。毕竟这过于荒谬。因为我们很容易就能找到可执行复杂口令演算法、加密芯片上的密钥储存、功率分析和其他安全功能的安全元件或高端单芯片系统(SoC)等专用元件。只要将这些元件正确整合到系统设计中，便能为装载元件的装置提供强大的防护。

那麽，如果安全元件垂手可得，为何每天都会有嵌入式联网装置遭受攻击得逞？毕竟，电子系统遭受网络攻击的证据多不胜数。独立研究显示，与去年同期相比，2019年美国针对物联网装置发动的网络攻击数量激增300%。同时据估计，美国约有57%的物联网装置难以抵抗中至高严重度的攻击，而每次物联网端点遭入侵需付出的成本平均为900万美元。

网络攻击得逞的财务成本不仅是因为服务中断造成收入损失，其他成本还包括产品制造商的品牌损害、可能因违反安全法规而遭政府机关开罚，以及需要将技术纯熟且成本高昂的工程资源从生产开发工作转移到紧急恢复和维修措施上。此外，此领域的法规也日益严格，迫使物联网设装置制造商关注法遵性要求。欧盟的网络安全法案(EU Cybersecurity Act)和国内的网络安全法(Cybersecurity Law)广泛要求需对装置漏洞进行独立测试，而加州消费者隐私保护法则针对每一次的非蓄意违规行为对公司处以2500美元的罚款。

但是，尽管已经有了这些成本和规则，遭入侵的端点仍旧很脆弱。有时这是因为系统中某些部分的安全元件或安全SoC以外的漏洞所导致。这类漏洞最常出现在储存关键程序码或数据的标准外部快闪存储器中。在其他情况下，装置会遭受网络攻击，是因为系统没有安全元件或安全SoC，缺少它所能提供的精密防护功能。

在这两种情况下，实现硬件层级安全的障碍通常出自于​​成本和困难度。的确，安全电子组件在技术上要达到支付终端和移动电话等金融产品的高端支付等级是非常复杂的，对非安全专家的工程师来说，要实现确实有难度。

但是现在新一代安全快闪存储器产品已经上市，为不需支付等级防护功能的嵌入式装置提供安全的硬件基础。这样的安全快闪存储器通常具有和标准快闪存储器一样的封装尺寸和脚位配置，而且是透过标准的SPI NOR Flash指令集进行控制，方便一般的嵌入式装置设计人员采用，同时还提供全面的安全功能，可保护联网装置并防御针对系统完整性或数据隐私的攻击。

为何要在存储器装置中实现安全性？

传统上将非挥发性存储器视为一种简单的装置：写入位元，然后读出相同的位元。它通常被看作储存装置，而非处理器。每个用于程序码或应用程序数据的NOR Flash中，其实已涵括了用于控制存储器运作及透过序列周边界面与主机进行通讯的逻辑电路。安全快闪存储器装置以此逻辑区块为基础并加以延伸，一并提供安全功能和存储器控制功能。

为了因应用于微控制器和SoC嵌入式快闪存储器的制程限制，华邦等快闪存储器制造商开发了新一代的安全快闪存储器产品。尽管高端的微控制器和SoC已采用20纳米以下节点的晶圆制程，但嵌入式NOR Flash的制程微缩却未能跟上脚步。这代表嵌入式浮闸快闪存储器制程无法与最新的MCU和SoC搭配，且嵌入式NOR Flash容量通常不够大，不足以储存所要执行的复杂软件程序码。

因此，在今日的嵌入式装置设计中，应用程序码通常储存在外部快闪存储器装置内。但如果装置联网(尤其是连接到网际网络的物联网装置)，外部快闪存储器中的开机程序码就容易受到攻击，数据也容易遭到窃取或入侵，除非存储器装置本身能受到完整安全功能的保护。而这便是安全快闪存储器的价值所在：为SoC/MCU填补安全性的不足之处。

安全快闪存储器的关键功能

用安全快闪存储器取代物联网端点中的标准外部NOR Flash，是为了保护开机程序码和应用程序数据的完整性。市面上的各种安全快闪存储器装置都提供某种形式的安全储存空间。此安全功能基本可提供安全的加密身份验证，代表存储器装置只会允许获授权的主机执行读取和写入操作，进而能保护数据不让主机SoC以外的任何装置存取。

但这仅能提供有限的安全保护，为了抵​​御多种类型的网络攻击，并遵守欧盟网络安全法案中低层级(basic and substantial levels)的安全功能，华邦开发了多功能的安全NOR Flash存储器W77Q，为TrustME安全存储器系列产品之一。除了安全验证，W77Q还提供： 系统恢复力：防护、侦测和复原，确保即使网络攻击尝试将物联网装置停用，装置也可以自动重新启动以执行已知的安全程序码。；信任根用于与主机SoC以及与外部系统(例如云端运算服务)进行身份验证通信；安全数据储存；从快闪存储器到云端信任机构的安全通道，用于实时在线韧体更新。即便SoC本身已遭到入侵，此安全通道可让存储器将开机程序码升级为新版本而不需仰赖SoC。

W77Q经过外部认可实验室的评估，符合欧盟GDPR隐私法规的要求，并提供欧盟网络安全法案规定的「中等」保护层级(substantial level)。本装置获得多项安全认证，包括CC EAL2 (VAN.2)、IEC62443、SESIP和ARM平台安全架构(PSA)认证。

系统恢复力对于物联网装置尤其重要，且是多数安全快闪存储器产品所缺少的功能。在电表等装置中，实体入侵(篡改)是一种常见的攻击形式，因此需要加以保护。另外像是发电厂或军事基地等高价值大型资产，则可能会从区域网络遭到实体入侵。

不过对于物联网装置来说，主要威胁来自可扩展的网络攻击，其利用网际网络线上连线到整个装设的装置群。美国国家标准暨技术研究院(NIST)的SP 800-193标准规范了用于保护韧体和组态数据免受此类攻击的机制，其可以侦测成功的攻击并从中复原。W77Q也提供符合此标准所需的系统恢复力功能。

像是加密身份验证等功能可以防止未经授权的装置尝试存取数据，进而遏止攻击。但是，成功的攻击可能发生在主机SoC上，因此W77Q具有随时侦测何时发生攻击的能力。例如每次更新或存取程序码时，它都会自动检查储存的程序码是否毁损，也能按照主机装置的指令扫描程序码。

如果W77Q侦测到成功的攻击，例如原本的SoC遭到入侵而破坏了自有的开机程序码时，存储器装置便会自动进行适当的身份验证，并恢复平台韧体。装置是透过「安全降级」(safe fallback) 功能实现，此功能会将开机程序码恢复​​到已知的安全版本。此安全降级功能由鉴权性看门狗定时器提供支持，使用已知的安全程序码强制主机SoC进入乾净开机模式 (clean boot)。

皆适用于多种场景的安全功能：

华邦的W77Q可提供端对端、立即可用的安全性，不需具备安全性领域的专业知识、可快速部署、完整全面的解决方案，由安全软件厂商的兼容产品提供支持、可轻松完成安全认证、价格实惠等优势，并采用熟悉的SPI NOR Flash封装及标准脚位，提供这些全面的功能，华邦可以协助确保每个物联网装置在上市之前都能获得合宜的网络攻击防御能力。(本文由华邦电子提供，林稼弘整理报导)