在 1960 年代末和 70 年代初，當我們現(xiàn)在所知的互聯(lián)網(wǎng)種子首次以高級研究計劃署網(wǎng)絡(luò) (ARPANET) 的形式播下時，人們幾乎沒有考慮到安全性。最初假設(shè)所有節(jié)點和接入終端都位于軍事基地，因此是安全的。似乎沒有人考慮過間諜也可能位于基地或惡意玩家通過遠程終端潛入系統(tǒng)的可能性。

隨著越來越多的教育機構(gòu)和科學機構(gòu)接入網(wǎng)絡(luò)，這一理念的漏洞變得明顯，但似乎很少有權(quán)威人士意識到這個問題。1989 年，克利福德·斯托爾 (Clifford Stoll) 出版了布谷鳥蛋：在計算機間諜活動的迷宮中追蹤間諜，這是作者在勞倫斯伯克利國家實驗室 (LBNL) 尋找一名闖入計算機的計算機黑客的第一人稱敘述。加州伯克利

作為調(diào)查的一部分，克利福德發(fā)現(xiàn)黑客也在滲透軍事和政府系統(tǒng)，但他發(fā)現(xiàn)很難說服任何權(quán)威人士，包括聯(lián)邦調(diào)查局 (FBI)、中央情報局機構(gòu) (CIA)、國家安全局 (NSA) 和美國空軍特別調(diào)查辦公室 (AFOSI)。

今天，我們遇到了類似的情況，人們似乎對不斷增加的安全問題漠不關(guān)心，這些問題給設(shè)計工程師帶來了挑戰(zhàn)，他們必須設(shè)計出將安全放在首位的復雜系統(tǒng)。在這里，我們將探討一些挑戰(zhàn)和解決方案，以及物聯(lián)網(wǎng) (IoT) 對這些設(shè)計開發(fā)的影響。

設(shè)計高級安全系統(tǒng)的挑戰(zhàn)

設(shè)計工程師在捕捉使他們的產(chǎn)品與競爭對手的產(chǎn)品區(qū)分開來的魔力方面已經(jīng)做了大量工作，以至于他們幾乎沒有時間考慮安全性。安全是復雜的，作為人類的工程師可能會傾向于選擇阻力最小的路徑。

隨著安全漏洞變得越來越普遍并被廣泛報道，所有這一切都開始發(fā)生變化。工廠、醫(yī)療、教育和金融機構(gòu)的負責人越來越擔心安全漏洞可能導致的后果。此外，公眾越來越意識到安全或缺乏安全會對他們產(chǎn)生怎樣的影響——比如有人遠程訪問智能攝像機——如嬰兒監(jiān)視器或安全攝像機——或智能助手——如亞馬遜Echo 或 Google Home——或智能恒溫器或任何數(shù)量的物聯(lián)網(wǎng)設(shè)備。這些問題也給開發(fā)當今復雜系統(tǒng)的人員帶來了壓力——例如系統(tǒng)架構(gòu)師、硬件設(shè)計工程師、嵌入式軟件工程師和應(yīng)用軟件開發(fā)人員。這些人的任務(wù)是創(chuàng)建考慮到安全性的系統(tǒng)。

安全性具有如此多的層次和分支，以至于讓人頭暈?zāi)垦！Ｗ屛覀儚脑O(shè)計片上系統(tǒng) (SoC) 設(shè)備等硅芯片的人員開始。除了設(shè)備的自主研發(fā)部分外，這些設(shè)計幾乎無一例外地包括大量來自第三方供應(yīng)商的知識產(chǎn)權(quán) (IP) 塊。這些 IP 塊中的每一個都可能比過去的整個計算機更復雜。那么，設(shè)計師和系統(tǒng)架構(gòu)師如何才能確保模塊不包含隱藏或影子功能呢？

假冒芯片的發(fā)行

接下來是假冒芯片的問題，其形式多種多樣：

兼容芯片：有人構(gòu)建了一個模仿真實芯片功能的組件

翻新芯片：有人使用粗糙且控制不力的流程從電子垃圾中獲取組件

灰色市場籌碼：可能源于過度構(gòu)建、返工失敗或退役系統(tǒng)的回收

逆向工程芯片（又名“流氓芯片”）：對手解構(gòu)芯片并重新創(chuàng)建設(shè)備的新版本，其中可能包括破壞數(shù)據(jù)、導致故障或——最險惡的——泄露數(shù)據(jù)的額外功能

安全系統(tǒng)的基礎(chǔ)

在創(chuàng)建系統(tǒng)本身時，四個基本要素構(gòu)成了安全系統(tǒng)的基礎(chǔ)：

基于硬件的隔離：在不久的過去，嵌入式系統(tǒng)的架構(gòu)方式使得任何軟件模塊都可以查看和訪問整個內(nèi)存映射。這不再被認為是一個好主意。基于硬件的隔離有多種形式，包括支持安全和非安全環(huán)境的微控制器以及內(nèi)存保護單元 (MPU) 的使用，但其核心概念是將應(yīng)用程序拆分到多個安全域，以限制按需訪問- 知道基礎(chǔ)。

信任根 (RoT)：RoT 涉及基礎(chǔ)級硬件和最小關(guān)聯(lián)軟件的組合，能夠成功驗證自身并促進系統(tǒng)其余部分的安全操作。

安全啟動解決方案：下一步是采用安全啟動解決方案，它指的是使用 RoT 驗證加載到系統(tǒng)中的任何代碼的真實性和有效性的過程。

安全引導加載程序：接下來是安全引導加載程序，它通過防止對固件進行逆向工程、防止未經(jīng)授權(quán)修改固件、防止在授權(quán)設(shè)備上加載未經(jīng)授權(quán)的固件以及防止在未經(jīng)授權(quán)的設(shè)備上加載授權(quán)固件。

假設(shè)系統(tǒng)包括來自其他供應(yīng)商的模塊或主板。你怎么知道板上沒有隱藏的設(shè)備，也許安裝在真實零件下面？

結(jié)論

當涉及到物聯(lián)網(wǎng)時，人們可能會擔心的任何安全問題都會加劇，在物聯(lián)網(wǎng)中，數(shù)十億臺設(shè)備通過一系列令人難以置信的有線和無線解決方案相互連接并連接到云。這需要軟件開發(fā)人員與他們的硬件設(shè)計人員和云解決方案同行合作，即時執(zhí)行加密和解密，生成證書，并對所有內(nèi)容進行身份驗證，以便設(shè)備知道它們正在與受信任的主機通信，并且主機系統(tǒng)知道他們正在與受信任的設(shè)備進行通信。是的，為這些系統(tǒng)設(shè)置安全性會很快變得復雜，工程師需要的是確保他們使用的硬件包含真正的 OEM 芯片。

Clive "Max" Maxfield 是一名自由技術(shù)顧問和作家。Max 于 1980 年從英國謝菲爾德哈勒姆大學獲得控制工程學士學位，并以大型計算機中央處理器 (CPU) 的設(shè)計師開始了他的職業(yè)生涯。多年來，Max 設(shè)計了從硅芯片到電路板，從腦波放大器到蒸汽朋克預(yù)測引擎（別問）的所有東西。他還處于電子設(shè)計自動化 (EDA) 的前沿超過 35 年。

Max 在嵌入式、電子、半導體和 EDA 行業(yè)享有盛譽，曾在世界各地的眾多技術(shù)會議上發(fā)表論文，包括北美和南美、歐洲、印度、中國、韓國和臺灣。他曾在美國 PCB West 會議和挪威 FPGA 論壇上發(fā)表主題演講。他還應(yīng)邀在美國多所大學、英國謝菲爾德哈勒姆大學和挪威奧斯陸大學進行客座演講。2001 年，馬克斯在夏威夷的一次會議上與前眾議院議長“紐特”金里奇“同臺演講”。

Max 是許多書籍的作者和/或合著者，包括 Designus Maximus Unleashed（在阿拉巴馬州被禁止）、Bebop to the Boolean Boogie（非常規(guī)的電子指南）、EDA：電子產(chǎn)品的起點、FPGA：即時訪問、和計算機如何做數(shù)學。

審核編輯黃宇