你的智能座駕、工業(yè)物聯(lián)網(wǎng)設(shè)備正被黑客窺探： 如何破解嵌入式設(shè)備安全危局

前陣子，英飛凌公司（Infineon）正式收購賽普拉斯（Cypress）的新聞刷屏了朋友圈。

日前，2020年6月17日英飛凌宣布推出Semper Secure，進一步拓展其屢獲認(rèn)可的Semper NOR閃存系列，而這得益于收購賽普拉斯的存儲技術(shù)及產(chǎn)品線。

那么這款產(chǎn)品有什么特點？官方的文件顯示，這款產(chǎn)品是世界上最安全的NOR閃存，另外還兼具易用性和可靠性。為何要在安全上大作文章？這其實來源于與日俱增的黑客入侵事件……

據(jù)Gartner咨詢公司的預(yù)計，到2023年，將有超過750,000輛擁有自動駕駛功能的汽車進入市場。隨著越來越多的汽車實現(xiàn)互聯(lián)并具備自動駕駛功能，不法分子對道路上的汽車進行操控攻擊的可能性逐漸提高，這類擔(dān)憂可能與日俱增。

現(xiàn)如今，特斯拉、蔚來、威馬、小鵬均已搭載L2-L3級別的自動駕駛系統(tǒng)，自動駕駛正在駛?cè)隠4、L5時代。另據(jù)，HIS分析師預(yù)測，在2035年，全球?qū)?100萬輛帶有L5級別自動駕駛的車輛。Uswitch透露，在英國注冊的新車中，有超過67%是智能汽車，預(yù)計到2026年這一比例將上升到100%，到2035年這一市場價值高達520億英鎊 (571億美元）。

那么，整車將有多少功能？自動泊車、碰撞警告、主動剎車、ACC自適應(yīng)巡航、VSA車聯(lián)網(wǎng)檢查、ISA電子警察系統(tǒng)、TMC實時交通系統(tǒng)、360環(huán)視、并線輔助、LDWS車道偏移警告系統(tǒng)、HMW車距檢測及警告、FCWS前車防撞預(yù)警系統(tǒng)、PED行人檢測、車道保持系統(tǒng)……

數(shù)據(jù)顯示，2010年汽車軟件代碼行數(shù)只有1000萬，而到2016年擁有了約1.5億，整整增長了15倍。根據(jù)研究，互聯(lián)汽車每小時產(chǎn)生的個人數(shù)據(jù)高達25GB，包括司機、車輛和乘客的數(shù)據(jù)。這在自動駕駛功能愈加豐富的如今只會更加迅猛地增長。

而就在2015年，黑客在一起知名事件中通過信息娛樂系統(tǒng)控制了一輛SUV。先是干擾該車的音頻和空調(diào)系統(tǒng)，接著讓車輛停在圣路易斯高速公路繁忙的車流中。黑客隨后證明他們還能更高一籌，包括關(guān)閉發(fā)動機并讓制動失效。

他們“實驗”的攻入點是該車連接到互聯(lián)網(wǎng)的娛樂系統(tǒng)，在這里黑客重新編寫固件并將他們的代碼植入相鄰芯片。重新編程后的芯片能夠通過內(nèi)部的CAN總線車身網(wǎng)絡(luò)將命令發(fā)送到汽車的其余部分。

圖1：黑客正在盯著你的智能座駕

特斯拉作為自動駕駛的先驅(qū)，也經(jīng)常被資深黑客當(dāng)做試驗的材料。2016年，騰訊科恩實驗室以遠(yuǎn)程無物理接觸的方式入侵特斯拉汽車，對剎車系統(tǒng)、轉(zhuǎn)向燈、座椅位置以及門鎖系統(tǒng)進行了控制。最終導(dǎo)致了在靜態(tài)時汽車可遠(yuǎn)程解鎖、打開車窗，動態(tài)時可遠(yuǎn)程啟動雨刷、打開后備箱、遠(yuǎn)程剎車等。

2018年，一位特斯拉Model 3車主自己入侵了自己的汽車。這位車主自從發(fā)現(xiàn)可以入侵Model 3車型的工具箱界面獲取相關(guān)參數(shù)信息后，便打開了新世界，不僅獲取關(guān)鍵參數(shù)和性能信息，還分析了系列的關(guān)鍵信息。

2020年，McAfee高級威脅研究團隊（McAfee Advanced Threat Research）一群黑客在實驗中修改了限速標(biāo)志，成功騙過了特斯拉第一代自動駕駛系統(tǒng)Autopilot，讓其將車速從35 mph加速到了85 mph，如果是行駛中發(fā)生這種事，后果可想而知。

伴隨著自動駕駛的高速發(fā)展之下，安全問題并不能忽視。一方面，自動駕駛的自動程度越來越高，主動干預(yù)的功能越來越多，直接威脅著人身安全；另一方面，單一化的安全防護并不能夠滿足現(xiàn)如今的系統(tǒng)，免于侵害需要一個非常完整的閉環(huán)安全系統(tǒng)。

自動駕駛因為直接影響著駕駛員和乘客的生命安全，因此被廣為關(guān)注，然而有代碼的地方就會有黑客攻擊的可能性。這包括汽車、智能工廠、醫(yī)院設(shè)備和便攜式醫(yī)療產(chǎn)品在內(nèi)的互聯(lián)設(shè)備都存在大量易受網(wǎng)絡(luò)攻擊的薄弱環(huán)節(jié)，其中包括軟件更新、數(shù)據(jù)下載和云連接。

根據(jù)Trend Micro的未來威脅研究小組(Forward-Looking Threat Research Team)近期開展的多項測試，研究人員證實，通過修改工廠機器人的設(shè)置，進而控制機器人，損壞其部件或傷害在其附近工作的人員是多么輕而易舉。此外，研究還發(fā)現(xiàn)了數(shù)萬種存在被黑風(fēng)險的工業(yè)設(shè)備，這些工業(yè)設(shè)備駐留在公共IP地址上。

對智能工廠的攻擊不僅會影響生產(chǎn)，給企業(yè)造成重大財務(wù)損失，而且還會危及生命。Verizon開展的研究表明，制造業(yè)中86%的攻擊有明確目標(biāo)，接近半數(shù)涉及知識產(chǎn)權(quán)竊取。

 圖2：有代碼的地方就有黑客攻擊

有醫(yī)院最近發(fā)現(xiàn)，經(jīng)常使用的麻醉機和呼吸機存在安全漏洞，黑客可以利用它調(diào)整特定命令，包括機器內(nèi)的氣體成分。據(jù)美國科技類博客Techcrunch的報道，黑客可通過醫(yī)院網(wǎng)絡(luò)訪問這些工具，修改機器的協(xié)議，并在無需認(rèn)證的情況下執(zhí)行命令。這些示例說明互聯(lián)設(shè)備很容易受到攻擊，因此我們必須強化信息安全。

近期，一家大型便攜式醫(yī)療設(shè)備制造商召回了一個系列的胰島素泵，這是因為他們發(fā)現(xiàn)了潛在漏洞，黑客可以通過射頻信號修改設(shè)備的設(shè)置。胰島素劑量的增加或減少可能會給使用該設(shè)備的患者造成威脅生命的血糖水平變化。

為了從法律上盡可能阻止這樣的黑客攻擊，美國加州在2018年通過了SB-327法案。該法案名為“物聯(lián)網(wǎng)安全法”，是美國首個要求在銷售的所有互聯(lián)設(shè)備中內(nèi)置某種安全保護機制的法案。安全閃存是幫助制造商滿足這一嚴(yán)格要求的途徑之一。

除了法律，很多公司也開發(fā)了許多安全套件，包括Arm公司也開啟了PSA Certified?的物聯(lián)網(wǎng)安全設(shè)備認(rèn)證項目，可想而知市場對于安全性的重視程度。也許設(shè)備安全運行的時刻，黑客正在時刻窺探著你的設(shè)備的運行狀態(tài)參數(shù)性能，甚至隨時準(zhǔn)備撬動它！

根據(jù)英飛凌的解答，閃存器件是黑客的主要攻擊目標(biāo)之一，這是因為其中存儲著啟動代碼、安全密鑰以及其他用于保持系統(tǒng)正常運行的關(guān)鍵數(shù)據(jù)。

一般來說，用在智能物聯(lián)網(wǎng)設(shè)備或自動駕駛的設(shè)備中的非易失性存儲器件，NAND Flash和NOR Flash是人們最耳熟能詳?shù)膬煽町a(chǎn)品，一般來說NAND Flash多用于服務(wù)器、云端等容量需求極大的場景，NOR Flash則依靠其自身讀寫速度的優(yōu)勢占據(jù)物聯(lián)網(wǎng)嵌入式設(shè)備的市場。

從存儲器市場來看，NOR Flash在起初只是一個旁支，然而隨著5G、工業(yè)物聯(lián)網(wǎng)、自動駕駛的日漸興起，走勢逐漸飆高。

據(jù)悉，汽車ADAS中，約有82%的汽車攝像頭都要憑借NOR Flash啟動，畢竟NOR Flash讀寫速度更快，沒有延遲感的開關(guān)機才能給用戶更好的體驗。更何況，嵌入式物聯(lián)網(wǎng)設(shè)備一般來說，對存儲空間要求僅需幾兆到幾百兆之間，因此無論從體積還是從延遲上考慮，NOR Flash都是更好的選擇。

另外，在高可靠非易失性存儲器技術(shù)上，業(yè)界也曾考慮過采用RRAM和MRAM等選項，但因為數(shù)據(jù)完整性、成本、工藝問題而無法滿足規(guī)模量產(chǎn)的要求。盡管RRAM和MRAM除了單純的非易失存儲功能，還兼具了易失存儲功能，但在很多情況下，十幾倍的單價存儲密度還是很難讓車廠接受的。

雖然閃存看似很簡單，但攻破手段卻出奇的多，防不勝防。一般來說，有冒充攻擊、侵入、重放通訊、窺探攻擊、竊取安全密鑰、旁路攻擊、克隆幾種手段。

圖3：攻破閃存的途徑

Semper Secure閃存就是使用NOR Flash的一款產(chǎn)品，共有128 MB、256 MB、512 MB三種型號供選擇，性能上則是200 MHz DDR，在xSPI標(biāo)準(zhǔn)下讀取帶寬達400 MB/s；在QSPI標(biāo)準(zhǔn)下讀取帶寬為102 MB/s，166 MHz SDR/102MHz DDR。

需要注意的是，Semper Secure的參數(shù)上有三大關(guān)鍵點：

1、安全性：Semper Secure與一般NOR Flash的最大區(qū)別就是集成了加密模塊，因此可以從內(nèi)部確保信息的安全性和可靠性。很多情況下，很多系統(tǒng)只有功能安全這一單一功能，往往來說僅擁有這一功能是遠(yuǎn)遠(yuǎn)不夠的。

從內(nèi)部架構(gòu)來看，采用45nm MirrorBit技術(shù)，分為安全區(qū)域、功能安全、可靠性、性能四個大塊?？偟膩碚f，Semper Secure使用的是硬件加速加密引擎提供硬件信任根，實現(xiàn)安全啟動、安全存儲和安全的遠(yuǎn)程升級

通過提供安全區(qū)域，同時采用可配置訪問控制，并內(nèi)置針對旁路攻擊的防護，該技術(shù)也有助于處理安全認(rèn)證和加密存儲通訊。此外，它采用靈活的存儲器內(nèi)計算架構(gòu)并結(jié)合先進的加密算法，能夠適應(yīng)時刻變化的安全需求，確保使用該技術(shù)的產(chǎn)品不僅現(xiàn)在具有安全性，而且還能在無需重新設(shè)計系統(tǒng)硬件的情況下滿足未來需求。 

圖4：Semper Secure原理圖，圖示為內(nèi)置于外部NOR閃存器件中的多層信息安全

在安全功能上，擁有存儲區(qū)域與存取管理器、安全啟動與唯一器件秘鑰標(biāo)識（UDS）、對稱/非對稱秘鑰配置、秘鑰管理、非易失的防回滾計數(shù)器、防止旁路攻擊(SCA)、加密引擎與真隨機數(shù)發(fā)生器(TRNG)、通訊加密、診斷、安全啟動(Safe Boot?)、接口通訊CRC與數(shù)據(jù)CRC、錯誤校正碼、EnduraFlex?、串行存儲器控制器。

在協(xié)同工作上，Secure Secure閃存為安全密鑰、證書、密碼哈希值、應(yīng)用專用數(shù)據(jù)、配置數(shù)據(jù)和生物計量傳感器數(shù)據(jù)提供了硬件保護安全存儲。使用QSPI和xSPI等標(biāo)準(zhǔn)總線協(xié)議，就能與主控協(xié)同運行，實現(xiàn)高要求互聯(lián)應(yīng)用中所需的安全級別，同時全面兼容現(xiàn)有的主控存儲器控制器。Secure Secure閃存能夠確保系統(tǒng)的安全啟動、記錄關(guān)鍵信息，并將工作存儲器擴展用于必備功能。

圖5：外部NOR閃存與主控處理器協(xié)同工作，為高要求應(yīng)用實現(xiàn)高水平安全

因為在內(nèi)部早已內(nèi)置了各種安全功能，因此在選NOR Flash時，也無需額外再配置其他安全模塊了，在成本方面也擁有著極強的優(yōu)勢。

2、車規(guī)級：從參數(shù)來看產(chǎn)品的工作溫度在-40oC至+125oC，并且通過了AEC-Q100汽車級認(rèn)證（支持PPAP）。眾所周知，車載工作環(huán)境一般較為惡劣，對溫度要求一般都比較高。除了環(huán)境溫度以外，一般車規(guī)級器件還要求振動、沖擊、可靠性、生命周期、制造工藝等。

3、快速性：汽車應(yīng)用必須能在加電后的100ms內(nèi)回應(yīng)CAN消息，否則會危及駕駛員的安全。安全閃存在10ms內(nèi)完成主控MCU認(rèn)證并啟動代碼執(zhí)行，確保安全啟動。

之前文章也講述了NOR Flash在讀取速度上的優(yōu)勢，值得一提的是，這款產(chǎn)品則支持x8串行 NOR 閃存的 JEDEC eXpanded SPI（xSPI） 標(biāo)準(zhǔn)，還支持高達400 MBps的讀取帶寬。因此，在速度方面有著絕對的優(yōu)勢。

尤其是安全性方面仍然還是這款產(chǎn)品的主打節(jié)奏，Objective Analysis 總裁 Jim Handy 表示：“當(dāng)閃存置于主處理器之外時，保證嵌入式系統(tǒng)的安全性就變得尤為重要。針對閃存無法嵌入 MCU 的情況，英飛凌推出的安全閃存解決方案是一種極具競爭力的架構(gòu)。它具備更好的通用性，可供設(shè)計工程師們選擇?！?/span>

英飛凌科技公司存儲解決方案負(fù)責(zé)人 Sam Geha 表示：“對于注重信息保護和系統(tǒng)完整性的客戶而言，安全的聯(lián)網(wǎng)系統(tǒng)成為當(dāng)務(wù)之急。隨著越來越多的聯(lián)網(wǎng)系統(tǒng)通過外置閃存來保護代碼和數(shù)據(jù)，存儲設(shè)備亟需進一步提升加密安全性。我們新推出的 Semper Secure NOR 閃存架構(gòu)在功能安全性極高的 Semper 產(chǎn)品系列基礎(chǔ)上新增了信息安全子系統(tǒng)，從而實現(xiàn)端到端的持續(xù)保護，有效保證系統(tǒng)不受損害?！?/span>

現(xiàn)如今，很多廠商都“從硬變軟”，逐漸確保開發(fā)者的極致開發(fā)體驗。當(dāng)然這款產(chǎn)品依然具有許多方便快捷的套件和模型供使用者高效設(shè)計。

從Semper解決方案開發(fā)套件（S-SDK）上來看，使用的是C模型和wolfSSL安全庫，因此入門幾乎沒什么門檻，畢竟C語言幾乎是嵌入式工程師的必備了。在操作過程中，S-SDK中擁有新手套件、存儲器模塊、加密算法驗證模塊有助于簡化評估操作，確保兼容性。 

圖6：Semper SDK為開發(fā)者帶來極大的效率

除了示例代碼、閃存存儲器模型和評估套件簡化學(xué)習(xí)過程以外， Semper還提供可用于量產(chǎn)并符合MISRA-C標(biāo)準(zhǔn)的主控驅(qū)動程序，更加使得開發(fā)效率提升。

據(jù)了解，英飛凌的256 Mb Semper Secure NOR閃存器件已經(jīng)向部分客戶提供樣品，預(yù)計將在2021年第二季度實現(xiàn)量產(chǎn)。