正當人們盡情享受智能化帶來的種種便利的同時，殊不知那些隱藏在邊緣設(shè)備中的一些漏洞隨時有可能誘發(fā)嚴重的安全隱患。自動取款機、支付終端、自動售貨機、售票亭、斷層掃描等大型醫(yī)療設(shè)備,甚至自動加油站等系統(tǒng)都有可能成為犯罪分子用來竊取財務(wù)和其他機密數(shù)據(jù)的工具。

在現(xiàn)實應(yīng)用中，這些物聯(lián)網(wǎng)（IoT）系統(tǒng)通常會將許多設(shè)備置于傳統(tǒng)的安全邊界之外，而這些設(shè)備本身又很容易受到網(wǎng)絡(luò)攻擊。加之，邊緣設(shè)備上有限的計算資源限制了潛在防御的范圍，使其很容易受到過載攻擊。對于許多依賴第三方庫和框架的設(shè)計來說，特別是對于開源解決方案，這種風險尤其高。保護這些邊緣智能設(shè)備的安全已成為嵌入式系統(tǒng)設(shè)計的重要考量。

嵌入式系統(tǒng)安全面臨的挑戰(zhàn)

物聯(lián)網(wǎng)代表了網(wǎng)絡(luò)環(huán)境的大規(guī)模擴展，將從家用電器到工業(yè)傳感器的無數(shù)設(shè)備相互連接。這種互聯(lián)性在帶來便利和效率的同時，也大大拓寬了攻擊面。然而，物聯(lián)網(wǎng)設(shè)備的異構(gòu)性和數(shù)量使得保持一致的安全態(tài)勢面臨極大的挑戰(zhàn)，因此需要強大且適應(yīng)性強的嵌入式安全解決方案來應(yīng)對這一市場需求。

在實際應(yīng)用中，可能有一些嵌入式系統(tǒng)非常簡單，隨著越來越多的嵌入式系統(tǒng)可以取代人類的決策，或者提供超出人類能力范圍的功能，這些系統(tǒng)正變得越來越復雜。例如，一些航空系統(tǒng)，如無人機中使用的系統(tǒng)，可以集成傳感器數(shù)據(jù)并比人類更快地對其采取行動。

在眾多領(lǐng)域的廣泛應(yīng)用為嵌入式系統(tǒng)的安全環(huán)境帶來了諸多挑戰(zhàn)，主要體現(xiàn)在以下幾個方面：

1、多樣化的架構(gòu)

嵌入式系統(tǒng)的多樣化架構(gòu)增加了保護嵌入式系統(tǒng)的復雜性。這種多樣性包括各種硬件組件和軟件平臺，從微控制器到通信模塊，每個模塊都帶有特定的漏洞，復雜的攻擊面需要定制的安全措施。?

2、有限的資源

大多數(shù)嵌入式系統(tǒng)的內(nèi)在資源并不豐富，有限的內(nèi)存和處理能力限制和影響了這些系統(tǒng)的運行效率，并對部署強大的安全解決方案構(gòu)成了阻礙。

3、網(wǎng)絡(luò)連接的不安全性

當今嵌入式系統(tǒng)固有的廣泛連接，特別是那些集成到物聯(lián)網(wǎng)中的系統(tǒng)，更是增加了網(wǎng)絡(luò)攻擊的風險。很多嵌入式系統(tǒng)使用的是無線網(wǎng)絡(luò)連接，這些無線連接可以被利用來從遠處發(fā)起攻擊，而無需物理訪問嵌入式系統(tǒng)，比起有線連接其安全保護難度更大。國際數(shù)據(jù)公司（IDC）估計，到2025年，全球?qū)⒂?59億個連接的物聯(lián)網(wǎng)設(shè)備，產(chǎn)生79.4澤字節(jié)（Zetta Bytes）的數(shù)據(jù)。這種連接激增增強了功能和效率，但也擴大了攻擊面，使嵌入式系統(tǒng)面臨各種網(wǎng)絡(luò)威脅，包括遠程黑客攻擊和復雜的分布式拒絕服務(wù)（DDoS）攻擊。

4、長壽命帶來的安全風險

許多部署在關(guān)鍵基礎(chǔ)設(shè)施、工業(yè)環(huán)境或消費設(shè)備中的系統(tǒng)預計將在沒有重大更新的情況下需要長時間運行。雖然對成本和運營效率有利，但這種長壽命帶來了巨大的安全風險，部署后很長一段時間內(nèi)可能會出現(xiàn)新的漏洞，這使得持續(xù)的更新和補丁管理變得至關(guān)重要。

5、第三方組件

許多嵌入式系統(tǒng)包含來自不同供應(yīng)商的硬件和軟件組件，也可能包含開源組件。雖然在成本和效率方面帶來好處，但也會帶來潛在的安全風險。由于系統(tǒng)集成商通常無法控制這些組件，他們無法修補或以其他方式解決這些組件帶來的漏洞。

保護邊緣設(shè)備的安全策略

邊緣設(shè)備中的嵌入式系統(tǒng)需要強大的安全措施，但大多數(shù)嵌入式工程師不是安全專家。這種需求導致了一個基于零信任原則并強調(diào)CIA三元組（保密性、完整性和可用性）的去中心化安全框架。在嵌入式系統(tǒng)安全的背景下，CIA三元組的原則在創(chuàng)建強大的安全態(tài)勢方面發(fā)揮著關(guān)鍵作用，這一基本安全模型有助于指導針對嵌入式系統(tǒng)面臨的獨特挑戰(zhàn)制定和實施有效的安全措施。

將CIA三元組整合到嵌入式系統(tǒng)的安全策略中涉及一種全面的方法，該方法同時解決了數(shù)字和物理兩個方面的問題，包括采用基于硬件的安全功能、安全引導過程和訪問控制，以及嚴格的測試和驗證過程來識別和減輕漏洞。

在系統(tǒng)設(shè)計過程中，要想實現(xiàn)這些目標的措施還需要仔細平衡安全性、資源限制和運營需求。具體措施包括：

1、全面的設(shè)計安全性考慮

在嵌入式系統(tǒng)背景下，從系統(tǒng)架構(gòu)到設(shè)計細節(jié)，從硬件設(shè)計和軟件開發(fā)到實際部署和維護，安全性應(yīng)包含在產(chǎn)品開發(fā)的所有階段。需要考慮的方面包括監(jiān)管和標準合規(guī)性、安全的產(chǎn)品開發(fā)生命周期和深度防御戰(zhàn)略。這種方法確保安全不是事后想辦法，而是系統(tǒng)的基本組成部分。為此，開發(fā)人員要全面了解潛在的威脅和漏洞，并采取諸如通過減少不必要的功能來極小化攻擊面、確保安全的默認設(shè)置以及采用嚴格的測試和驗證方法等做法，從而在嵌入式系統(tǒng)的整個生命周期為其提供保護。

2、風險評估

進行徹底的風險評估是嵌入式系統(tǒng)有效安全策略的支柱。該過程涉及識別潛在威脅、評估漏洞，以及評估潛在漏洞對系統(tǒng)功能及其處理的數(shù)據(jù)的影響。通過了解風險狀況，開發(fā)人員和工程師可優(yōu)先考慮安全措施，將資源集中在減輕極關(guān)鍵的漏洞上。風險評估的工具和方法，如通用漏洞評分系統(tǒng)（CVSS）和威脅建模，為評估和管理風險提供了結(jié)構(gòu)化的方法。

3、選用穩(wěn)健的安全架構(gòu)

嵌入式系統(tǒng)的架構(gòu)必須穩(wěn)健且有彈性，能夠防御攻擊并確保數(shù)據(jù)的完整性和機密性。對靜態(tài)和傳輸中的數(shù)據(jù)實施強加密、采用安全身份驗證機制以及提供快速引導過程是該架構(gòu)的基本組成部分。加密算法如AES和TLS，對于保護敏感信息至關(guān)重要。

此外，基于硬件的安全功能，如可信平臺模塊（TPM）和硬件安全模塊（HSM），可以通過為加密密鑰提供安全存儲和支持特定的引導機制來增強嵌入式設(shè)備的安全性。其中的可信平臺模塊（TPM）是一種專用微控制器，旨在通過將加密密鑰集成到設(shè)備中來保護硬件。它提供了一種基于硬件的方法來管理用戶身份驗證、網(wǎng)絡(luò)訪問和數(shù)據(jù)保護。TPM可以提供各種安全優(yōu)勢，包括系統(tǒng)完整性檢查、加密密鑰的安全存儲和基于硬件的身份驗證。通過將TPM整合到嵌入式系統(tǒng)中，可以增強其安全性，并防范各種潛在威脅。

始于芯片級的安全

在物聯(lián)網(wǎng)生態(tài)系統(tǒng)的幾乎每一個點上，在任何物聯(lián)網(wǎng)設(shè)備的整個生命周期，都有篡改或濫用的機會。因此，物聯(lián)網(wǎng)的安全性不僅僅是保護連接到網(wǎng)絡(luò)的設(shè)備。真正的保護始于芯片級的安全。在這里，芯片是經(jīng)過驗證，受管理的信任根的理想來源。

NXP公司的EdgeVerse平臺擁有全面的處理器、微控制器和主打軟件產(chǎn)品組合，所有產(chǎn)品均建立在可擴展性、能效、安全性、機器學習和連接性的基礎(chǔ)上，滿足物聯(lián)網(wǎng)、工業(yè)和汽車市場的邊緣嵌入式應(yīng)用需要。

EdgeLock SE050是EdgeVerse邊緣計算平臺的一部分，一種超越TPM的安全措施，作為即用型解決方案來提供，它附帶多種預先實施的加密算法和協(xié)議以及完整的產(chǎn)品支持包，可簡化設(shè)計并加快產(chǎn)品上市進程。其中的EdgeLock SE050安全芯片(SE)產(chǎn)品系列增強了通用標準EAL 6+和FIPS 140-2認證的安全性，可針對新的攻擊場景提供強大的保護。這種即用型物聯(lián)網(wǎng)設(shè)備安全芯片提供IC級信任根，并提供從邊緣到云端的真正端到端安全，而無需實施安全代碼或處理關(guān)鍵密鑰和證書。

EdgeLock SE050安全芯片(SE)可提供從邊緣到云端的真正端到端安全

根據(jù)Markets and Markets的一份報告，到2025年，全球嵌入式系統(tǒng)市場預計將達到1162億美元，這是由于嵌入式系統(tǒng)在汽車、醫(yī)療保健和工業(yè)等各個領(lǐng)域的應(yīng)用越來越多。這一增長軌跡不僅表明各行各業(yè)對嵌入式系統(tǒng)的日益依賴，同時也意味著我們即將迎來越來越嚴峻的安全挑戰(zhàn)。

分析數(shù)據(jù)顯示，嵌入式安全市場規(guī)模在2023年約為74億美元，預計到2028年將達到98億美元，在2023年至2028年的預測期內(nèi)以5.7%的復合年增長率增長。

在硬件層面增強安全性

保護嵌入式系統(tǒng)安全與其固有特性和運行環(huán)境有著內(nèi)在的聯(lián)系。通常，這些嵌入式系統(tǒng)只有有限的處理能力和較小的內(nèi)存，這對實施全面的安全解決方案構(gòu)成了重大障礙。近期的趨勢表明，人們正在轉(zhuǎn)向在硬件層面增強設(shè)備的安全功能，使系統(tǒng)從一開始就更加安全。

Markets and Markets的分析師也認可了這一做法，他們認為，2023年至2028年，硬件部分將在嵌入式安全市場占據(jù)主要的市場份額，硬件嵌入式安全對于保護各種應(yīng)用中的敏感數(shù)據(jù)至關(guān)重要。

下面我們就以STMicroelectronics公司的產(chǎn)品為例，介紹針對個人電子設(shè)備、汽車以及工業(yè)應(yīng)用的多種基于硬件的嵌入式安全解決方案。

面向個人電子設(shè)備的嵌入式安全硬件

個人電子產(chǎn)品涵蓋的設(shè)備種類多種多樣，包括智能手機、可穿戴設(shè)備、游戲機和無人機、影音設(shè)備、支付、身份識別和交通卡等。這些設(shè)備均需要提供先進的安全功能，以保護用戶的隱私和資產(chǎn)，確保其機密性、完整性。

STMicroelectronics具備一系列無縫集成了安全功能的產(chǎn)品，以確保移動支付、可穿戴設(shè)備、非接觸式交易安全，并提供完整的MCU/MPU硬件和軟件解決方案框架，以增強設(shè)備平臺的安全性。

STPayTopazBio是一款GlobalPlatform 2.3.1 Java Card平臺，適用于支付和門禁控制應(yīng)用，它在個人識別碼（PIN）的基礎(chǔ)上提供了生物識別驗證功能，讓用戶身份驗證變得更加便捷的同時更加安全，可用于創(chuàng)建生物識別系統(tǒng)卡，并處理指紋注冊、數(shù)據(jù)模板、電源管理和卡身份驗證等過程，用戶無需輸入PIN密碼，只需將手指放在卡的指紋傳感器上，即可完成交易，具有極高的安全等級。

作為平臺核心的ST31N600安全元件（SE）是串行訪問微控制器，其SecurCore SC000 32位RISC內(nèi)核基于Cortex-M0內(nèi)核構(gòu)建，具有額外的安全功能，有助于防止高級形式的攻擊。

圖：基于SecurCore SC000內(nèi)核的ST31N600安全元件，可用于個人電子設(shè)備的嵌入式安全硬件（圖源：STMicroelectronics）

面向汽車的嵌入式安全硬件

汽車行業(yè)正在逐步向自動駕駛方向過渡，安全對于大多數(shù)嵌入式系統(tǒng)如汽車訪問、安全網(wǎng)關(guān)、車聯(lián)網(wǎng)系統(tǒng)、傳感器以及動力系統(tǒng)和底盤域的安全相關(guān)應(yīng)用來說都是極其關(guān)鍵的要求。隨著汽車行業(yè)的聯(lián)網(wǎng)車輛數(shù)量日益增加，數(shù)字鑰匙進出成為亟待解決的新挑戰(zhàn)。

STMicroelectronics基于嵌入式安全元件（eSE）、安全網(wǎng)關(guān)和非接觸式NFC讀卡器，打造出一款適用于安全型NFC車輛進出的一站式解決方案，該方案符合汽車連接聯(lián)盟（CCC）的數(shù)字鑰匙標準。

圖：安全型NFC車輛進出一站式解決方案（圖源：STMicroelectronics）

在解決方案中，主打產(chǎn)品STSAFE-VJ100-CCC安全元件、SPC58汽車級微控制器（主ECU）和ST25R3920B NFC讀卡器的組合，能夠利用智能手機安全地開關(guān)車門或后備箱，妥善地管理鑰匙和證書，同時符合CCC V3.0規(guī)范的無線軟件更新要求。其中的SPC582Bx微控制器是取代SPC560Bx系列的新設(shè)備系列的入門級成員，它建立在SPC5x產(chǎn)品的基礎(chǔ)上，同時引入了新功能來滿足未來的要求，如ASIL-B分類、大量ISO CAN-FD信道，并提供了顯著的功率和性能改進（每毫瓦MIPS）。

面向工業(yè)的嵌入式安全硬件

隨著工業(yè)空間的增長和通信需求的擴大，對于新設(shè)備開發(fā)來說，實施多層次的安全策略以應(yīng)對不同的工業(yè)威脅模型和認證方案變得越來越重要。STM32H5系列是業(yè)內(nèi)率先采用Arm Cortex-M33內(nèi)核的32位MCU，運行頻率可達250MHz，兼具高性能、高安全性和高成本效益的特性。STM32H5的可擴展安全性可滿足各種應(yīng)用的安全需求，內(nèi)置STM32Trust TEE安全管理器，是率先支持可信執(zhí)行環(huán)境解決方案的MCU。

圖：具有TrustZone技術(shù)的STM32H573 MCU系統(tǒng)方框圖（圖源：STMicroelectronics）

以STM32H573 MCU為例，它基于Arm Cortex-M33內(nèi)核，具有TrustZone技術(shù)，提供了增強的性能和安全性、更好的能效和更多的嵌入式外圍設(shè)備。STM32H573具有多種安全功能，包括：STM32Trust TEE安全管理器，提供可信執(zhí)行環(huán)境（TEE）軟件，AES和公鑰加速器（PKA），具有側(cè)信道硬件抗性，硬件唯一密鑰（HUK）和安全固件安裝（SFI），支持PSA Level 3和SESIP3認證。

本文小結(jié)

嵌入式系統(tǒng)是現(xiàn)代技術(shù)的基礎(chǔ)，是從家用電器到先進汽車控制系統(tǒng)和基本醫(yī)療設(shè)備等所有設(shè)備運行的核心。然而，嵌入式系統(tǒng)因其廣泛的應(yīng)用范圍以及所發(fā)揮的關(guān)鍵功能，常常成為網(wǎng)絡(luò)攻擊者的重要目標。那些被黑客攻擊的嵌入式系統(tǒng)可能會產(chǎn)生嚴重的影響，如數(shù)據(jù)泄露、經(jīng)濟損失，甚至人身傷害。

嵌入式安全是網(wǎng)絡(luò)安全的一個專業(yè)領(lǐng)域，旨在保護嵌入式系統(tǒng)免受各種威脅，它涉及嵌入式系統(tǒng)從設(shè)計和開發(fā)到部署和操作整個生命周期內(nèi)的各個階段實施的安全措施，包括保護嵌入式系統(tǒng)的硬件、軟件和網(wǎng)絡(luò)連接。

傳統(tǒng)的安全方法主要依賴于軟件防御，雖然軟件補丁在邏輯上可能更簡單、成本更低，但事實證明，這些措施不足以抵御日益復雜的網(wǎng)絡(luò)攻擊。基于硬件的安全——所謂“硬堵”——采用了一種不同的方法，它們將安全措施直接集成到嵌入式系統(tǒng)的硬件組件中，包括安全元件、可信平臺模塊（TPM）和基于硬件的加密。

隨著技術(shù)的發(fā)展，人工智能和機器學習正在被添加到嵌入式系統(tǒng)中，以提高其功能性和安全性。人工智能和機器學習算法的集成在威脅檢測、數(shù)據(jù)泄露和漏洞預防方面均取得了顯著進步。在硬件保護以及人工智能和機器學習雙重加持下，未來的嵌入式系統(tǒng)安全有望實現(xiàn)更復雜的安全性。