智能应用 影音
<
DForum
order

最新安全快闪存储器保障物联网装置程序码和资料安全

  • 林稼弘

新竹讯

没有任何一家嵌入式装置制造商会声称,其连网装置遭受安全威胁是因为目前市面上的安全元件漏洞所造成。毕竟这过于荒谬。因为我们很容易就能找到可执行复杂口令算法、加密芯片上的密钥储存、功率分析和其它安全功能的安全元件或高阶单芯片系统(SoC)等专用元件。只要将这些元件正确集成到系统设计中,便能为装载元件的装置提供强大的防护。

W77Q可建立连往云端中信任中心的安全通道,以进行实时在线软件更新,即使主机SoC已遭入侵亦可进行。

透过防护、侦测和复原,W77Q是永远值得信赖能维护平台正常运行的装置。

华邦开发W77Q的方法是提供一系列立即可用的分层化安全功能,让客户能轻松进行部署。

那么,如果安全元件垂手可得,为何每天都会有嵌入式连网装置遭受攻击得逞?毕竟,电子系统遭受网络攻击的证据多不胜数。独立研究显示,与去年同期相比,2019年美国针对物联网装置发动的网络攻击数量激增300%。同时据估计,美国约有57%的物联网装置难以抵抗中至高严重度的攻击,而每次物联网端点遭入侵需付出的成本平均为900万美元。

网络攻击得逞的财务成本不仅是因为服务中断造成收入损失,其它成本还包括产品制造商的品牌损害、可能因违反安全法规而遭政府机关开罚,以及需要将技术纯熟且成本高昂的工程资源从生产开发工作转移到紧急恢复和维修措施上。此外,此领域的法规也日益严格,迫使物联网设装置制造商关注法遵性要求。欧盟的网络安全法案(EU Cybersecurity Act)和中国的网络安全法(Cybersecurity Law)广泛要求需对装置漏洞进行独立测试,而加州消费者隐私保护法则针对每一次的非蓄意违规行为对公司处以2500美元的罚款。

但是,尽管已经有了这些成本和规则,遭入侵的端点仍旧很脆弱。有时这是因为系统中某些部分的安全元件或安全SoC以外的漏洞所导致。这类漏洞最常出现在储存关键程序码或资料的标准外部快闪存储器中。在其它情况下,装置会遭受网络攻击,是因为系统没有安全元件或安全SoC,缺少它所能提供的精密防护功能。

在这两种情况下,实现硬件层级安全的障碍通常出自于​​成本和困难度。的确,安全电子组件在技术上要达到支付终端和行动电话等金融产品的高阶支付等级是非常复杂的,对非安全专家的工程师来说,要实现确实有难度。

但是现在新一代安全快闪存储器产品已经上市,为不需支付等级防护功能的嵌入式装置提供安全的硬件基础。这样的安全快闪存储器通常具有和标准快闪存储器一样的封装尺寸和脚位配置,而且是透过标准的SPI NOR Flash指令集进行控制,方便一般的嵌入式装置设计人员采用,同时还提供全面的安全功能,可保护连网装置并防御针对系统完整性或资料隐私的攻击。

为何要在存储器装置中实现安全性?

传统上将非挥发性存储器视为一种简单的装置:写入位元,然后读出相同的位元。它通常被看作储存装置,而非处理器。每个用于程序码或应用程序资料的NOR Flash中,其实已涵括了用于控制存储器运行及透过序列外围接口与主机进行通讯的逻辑电路。安全快闪存储器装置以此逻辑区块为基础并加以延伸,一并提供安全功能和存储器控制功能。

为了因应用于微控制器和SoC嵌入式快闪存储器的制程限制,华邦等快闪存储器制造商开发了新一代的安全快闪存储器产品。尽管高阶的微控制器和SoC已采用20纳米以下节点的晶圆制程,但嵌入式NOR Flash的制程微缩却未能跟上脚步。这代表嵌入式浮闸快闪存储器制程无法与最新的MCU和SoC搭配,且嵌入式NOR Flash容量通常不够大,不足以储存所要执行的复杂软件程序码。

因此,在今日的嵌入式装置设计中,应用程序码通常储存在外部快闪存储器装置内。但如果装置连网(尤其是连接到互联网的物联网装置),外部快闪存储器中的开机程序码就容易受到攻击,资料也容易遭到窃取或入侵,除非存储器装置本身能受到完整安全功能的保护。而这便是安全快闪存储器的价值所在:为SoC/MCU填补安全性的不足之处。

安全快闪存储器的关键功能

用安全快闪存储器取代物联网端点中的标准外部NOR Flash,是为了保护开机程序码和应用程序资料的完整性。市面上的各种安全快闪存储器装置都提供某种形式的安全储存空间。此安全功能基本可提供安全的加密身分验证,代表存储器装置只会允许获授权的主机执行读取和写入操作,进而能保护资料不让主机SoC以外的任何装置存取。

但这仅能提供有限的安全保护,为了抵​​御多种类型的网络攻击,并遵守欧盟网络安全法案中低层级(basic and substantial levels)的安全功能,华邦开发了多功能的安全NOR Flash存储器W77Q,为TrustME安全存储器系列产品之一。除了安全验证,W77Q还提供: 系统恢复力:防护、侦测和复原,确保即使网络攻击尝试将物联网装置停用,装置也可以自动重新启动以执行已知的安全程序码。;信任根用于与主机SoC以及与外部系统(例如云端运算服务)进行身分验证通信;安全资料储存;从快闪存储器到云端信任机构的安全通道,用于实时在线韧体更新。即便SoC本身已遭到入侵,此安全通道可让存储器将开机程序码升级为新版本而不需仰赖SoC。

W77Q经过外部认可实验室的评估,符合欧盟GDPR隐私法规的要求,并提供欧盟网络安全法案规定的「中等」保护层级(substantial level)。本装置获得多项安全认证,包括CC EAL2 (VAN.2)、IEC62443、SESIP和Arm平台安全架构(PSA)认证。

系统恢复力对于物联网装置尤其重要,且是多数安全快闪存储器产品所缺少的功能。在电表等装置中,实体入侵(篡改)是一种常见的攻击形式,因此需要加以保护。另外象是发电厂或军事基地等高价值大型资产,则可能会从区域网络遭到实体入侵。

不过对于物联网装置来说,主要威胁来自可扩展的网络攻击,其利用互联网远程联机到整个装设的装置群。美国国家标准暨技术研究院(NIST)的SP 800-193标准规范了用于保护韧体和组态资料免受此类攻击的机制,其可以侦测成功的攻击并从中复原。W77Q也提供符合此标准所需的系统恢复力功能。

象是加密身分验证等功能可以防止未经授权的装置尝试存取资料,进而遏止攻击。但是,成功的攻击可能发生在主机SoC上,因此W77Q具有随时侦测何时发生攻击的能力。例如每次更新或存取程序码时,它都会自动检查储存的程序码是否毁损,也能按照主机装置的指令扫描程序码。

如果W77Q侦测到成功的攻击,例如原本的SoC遭到入侵而破坏了自有的开机程序码时,存储器装置便会自动进行适当的身分验证,并恢复平台韧体。装置是透过「安全降级」(safe fallback) 功能实现,此功能会将开机程序码恢复​​到已知的安全版本。此安全降级功能由鉴权性看门狗定时器提供支持,使用已知的安全程序码强制主机SoC进入干净开机模式 (clean boot)。

皆适用于多种场景的安全功能:

华邦的W77Q可提供端对端、立即可用的安全性,不需具备安全性领域的专业知识、可快速部署、完整全面的解决方案,由安全软件厂商的兼容产品提供支持、可轻松完成安全认证、价格实惠等优势,并采用熟悉的SPI NOR Flash封装及标准脚位,提供这些全面的功能,华邦可以协助确保每个物联网装置在上市之前都能获得合宜的网络攻击防御能力。(本文由华邦电子提供,林稼弘整理报导)