嵌入式系统安全有漏洞？“硬”堵，是必须的！

正当人们尽情享受智能化带来的种种便利的同时，殊不知那些隐藏在边缘设备中的一些漏洞随时有可能诱发严重的安全隐患。自动取款机、支付终端、自动售货机、售票亭、断层扫描等大型医疗设备,甚至自动加油站等系统都有可能成为犯罪分子用来窃取财务和其他机密数据的工具。

在现实应用中，这些物联网（IoT）系统通常会将许多设备置于传统的安全边界之外，而这些设备本身又很容易受到网络攻击。加之，边缘设备上有限的计算资源限制了潜在防御的范围，使其很容易受到过载攻击。对于许多依赖第三方库和框架的设计来说，特别是对于开源解决方案，这种风险尤其高。保护这些边缘智能设备的安全已成为嵌入式系统设计的重要考量。

嵌入式系统安全面临的挑战

图1（图源：Freepik）

物联网代表了网络环境的大规模扩展，将从家用电器到工业传感器的无数设备相互连接。这种互联性在带来便利和效率的同时，也大大拓宽了攻击面。然而，物联网设备的异构性和数量使得保持一致的安全态势面临极大的挑战，因此需要强大且适应性强的嵌入式安全解决方案来应对这一市场需求。

在实际应用中，可能有一些嵌入式系统非常简单，随着越来越多的嵌入式系统可以取代人类的决策，或者提供超出人类能力范围的功能，这些系统正变得越来越复杂。例如，一些航空系统，如无人机中使用的系统，可以集成传感器数据并比人类更快地对其采取行动。

在众多领域的广泛应用为嵌入式系统的安全环境带来了诸多挑战，主要体现在以下几个方面：

1、多样化的架构

嵌入式系统的多样化架构增加了保护嵌入式系统的复杂性。这种多样性包括各种硬件组件和软件平台，从微控制器到通信模块，每个模块都带有特定的漏洞，复杂的攻击面需要定制的安全措施。

2、有限的资源

大多数嵌入式系统的内在资源并不丰富，有限的内存和处理能力限制和影响了这些系统的运行效率，并对部署强大的安全解决方案构成了阻碍。

3、网络连接的不安全性

当今嵌入式系统固有的广泛连接，特别是那些集成到物联网中的系统，更是增加了网络攻击的风险。很多嵌入式系统使用的是无线网络连接，这些无线连接可以被利用来从远处发起攻击，而无需物理访问嵌入式系统，比起有线连接其安全保护难度更大。国际数据公司（IDC）估计，到2025年，全球将有559亿个连接的物联网设备，产生79.4泽字节（Zetta Bytes）的数据。这种连接激增增强了功能和效率，但也扩大了攻击面，使嵌入式系统面临各种网络威胁，包括远程黑客攻击和复杂的分布式拒绝服务（DDoS）攻击。

4、长寿命带来的安全风险

许多部署在关键基础设施、工业环境或消费设备中的系统预计将在没有重大更新的情况下需要长时间运行。虽然对成本和运营效率有利，但这种长寿命带来了巨大的安全风险，部署后很长一段时间内可能会出现新的漏洞，这使得持续的更新和补丁管理变得至关重要。

5、第三方组件

许多嵌入式系统包含来自不同供应商的硬件和软件组件，也可能包含开源组件。虽然在成本和效率方面带来好处，但也会带来潜在的安全风险。由于系统集成商通常无法控制这些组件，他们无法修补或以其他方式解决这些组件带来的漏洞。

保护边缘设备的安全策略

图2（图源：Freepik）

边缘设备中的嵌入式系统需要强大的安全措施，但大多数嵌入式工程师不是安全专家。这种需求导致了一个基于零信任原则并强调CIA三元组（保密性、完整性和可用性）的去中心化安全框架。在嵌入式系统安全的背景下，CIA三元组的原则在创建强大的安全态势方面发挥着关键作用，这一基本安全模型有助于指导针对嵌入式系统面临的独特挑战制定和实施有效的安全措施。

将CIA三元组整合到嵌入式系统的安全策略中涉及一种全面的方法，该方法同时解决了数字和物理两个方面的问题，包括采用基于硬件的安全功能、安全引导过程和访问控制，以及严格的测试和验证过程来识别和减轻漏洞。

在系统设计过程中，要想实现这些目标的措施还需要仔细平衡安全性、资源限制和运营需求。具体措施包括：

1、全面的设计安全性考虑

在嵌入式系统背景下，从系统架构到设计细节，从硬件设计和软件开发到实际部署和维护，安全性应包含在产品开发的所有阶段。需要考虑的方面包括监管和标准合规性、安全的产品开发生命周期和深度防御战略。这种方法确保安全不是事后想办法，而是系统的基本组成部分。为此，开发人员要全面了解潜在的威胁和漏洞，并采取诸如通过减少不必要的功能来极小化攻击面、确保安全的默认设置以及采用严格的测试和验证方法等做法，从而在嵌入式系统的整个生命周期为其提供保护。

2、风险评估

进行彻底的风险评估是嵌入式系统有效安全策略的支柱。该过程涉及识别潜在威胁、评估漏洞，以及评估潜在漏洞对系统功能及其处理的数据的影响。通过了解风险状况，开发人员和工程师可优先考虑安全措施，将资源集中在减轻极关键的漏洞上。风险评估的工具和方法，如通用漏洞评分系统（CVSS）和威胁建模，为评估和管理风险提供了结构化的方法。

3、选用稳健的安全架构

嵌入式系统的架构必须稳健且有弹性，能够防御攻击并确保数据的完整性和机密性。对静态和传输中的数据实施强加密、采用安全身份验证机制以及提供快速引导过程是该架构的基本组成部分。加密算法如AES和TLS，对于保护敏感信息至关重要。

此外，基于硬件的安全功能，如可信平台模块（TPM）和硬件安全模块（HSM），可以通过为加密密钥提供安全存储和支持特定的引导机制来增强嵌入式设备的安全性。其中的可信平台模块（TPM）是一种专用微控制器，旨在通过将加密密钥集成到设备中来保护硬件。它提供了一种基于硬件的方法来管理用户身份验证、网络访问和数据保护。TPM可以提供各种安全优势，包括系统完整性检查、加密密钥的安全存储和基于硬件的身份验证。通过将TPM整合到嵌入式系统中，可以增强其安全性，并防范各种潜在威胁。

始于芯片级的安全

图3（图源：Freepik）

在物联网生态系统的几乎每一个点上，在任何物联网设备的整个生命周期，都有篡改或滥用的机会。因此，物联网的安全性不仅仅是保护连接到网络的设备。真正的保护始于芯片级的安全。在这里，芯片是经过验证，受管理的信任根的理想来源。

NXP公司的EdgeVerse平台拥有全面的处理器、微控制器和主打软件产品组合，所有产品均建立在可扩展性、能效、安全性、机器学习和连接性的基础上，满足物联网、工业和汽车市场的边缘嵌入式应用需要。

EdgeLock SE050是EdgeVerse边缘计算平台的一部分，一种超越TPM的安全措施，作为即用型解决方案来提供，它附带多种预先实施的加密算法和协议以及完整的产品支持包，可简化设计并加快产品上市进程。其中的EdgeLock SE050安全芯片(SE)产品系列增强了通用标准EAL 6+和FIPS 140-2认证的安全性，可针对新的攻击场景提供强大的保护。这种即用型物联网设备安全芯片提供IC级信任根，并提供从边缘到云端的真正端到端安全，而无需实施安全代码或处理关键密钥和证书。

图4：EdgeLock SE050安全芯片(SE)可提供从边缘到云端的真正端到端安全（图源：NXP）

根据Markets and Markets的一份报告，到2025年，全球嵌入式系统市场预计将达到1162亿美元，这是由于嵌入式系统在汽车、医疗保健和工业等各个领域的应用越来越多。这一增长轨迹不仅表明各行各业对嵌入式系统的日益依赖，同时也意味着我们即将迎来越来越严峻的安全挑战。

分析数据显示，嵌入式安全市场规模在2023年约为74亿美元，预计到2028年将达到98亿美元，在2023年至2028年的预测期内以5.7%的复合年增长率增长。

在硬件层面增强安全性

保护嵌入式系统安全与其固有特性和运行环境有着内在的联系。通常，这些嵌入式系统只有有限的处理能力和较小的内存，这对实施全面的安全解决方案构成了重大障碍。近期的趋势表明，人们正在转向在硬件层面增强设备的安全功能，使系统从一开始就更加安全。

Markets and Markets的分析师也认可了这一做法，他们认为，2023年至2028年，硬件部分将在嵌入式安全市场占据主要的市场份额，硬件嵌入式安全对于保护各种应用中的敏感数据至关重要。

下面我们就以STMicroelectronics公司的产品为例，介绍针对个人电子设备、汽车以及工业应用的多种基于硬件的嵌入式安全解决方案。

面向个人电子设备的嵌入式安全硬件

个人电子产品涵盖的设备种类多种多样，包括智能手机、可穿戴设备、游戏机和无人机、影音设备、支付、身份识别和交通卡等。这些设备均需要提供先进的安全功能，以保护用户的隐私和资产，确保其机密性、完整性。

STMicroelectronics具备一系列无缝集成了安全功能的产品，以确保移动支付、可穿戴设备、非接触式交易安全，并提供完整的MCU/MPU硬件和软件解决方案框架，以增强设备平台的安全性。

STPayTopazBio是一款GlobalPlatform 2.3.1 Java Card平台，适用于支付和门禁控制应用，它在个人识别码（PIN）的基础上提供了生物识别验证功能，让用户身份验证变得更加便捷的同时更加安全，可用于创建生物识别系统卡，并处理指纹注册、数据模板、电源管理和卡身份验证等过程，用户无需输入PIN密码，只需将手指放在卡的指纹传感器上，即可完成交易，具有极高的安全等级。

作为平台核心的ST31N600安全元件（SE）是串行访问微控制器，其SecurCore SC000 32位RISC内核基于Cortex-M0内核构建，具有额外的安全功能，有助于防止高级形式的攻击。

图5：基于SecurCore SC000内核的ST31N600安全元件，可用于个人电子设备的嵌入式安全硬件（图源：STMicroelectronics）

面向汽车的嵌入式安全硬件

汽车行业正在逐步向自动驾驶方向过渡，安全对于大多数嵌入式系统如汽车访问、安全网关、车联网系统、传感器以及动力系统和底盘域的安全相关应用来说都是极其关键的要求。随着汽车行业的联网车辆数量日益增加，数字钥匙进出成为亟待解决的新挑战。

STMicroelectronics基于嵌入式安全元件（eSE）、安全网关和非接触式NFC读卡器，打造出一款适用于安全型NFC车辆进出的一站式解决方案，该方案符合汽车连接联盟（CCC）的数字钥匙标准。

图6：安全型NFC车辆进出一站式解决方案（图源：STMicroelectronics）

在解决方案中，主打产品STSAFE-VJ100-CCC安全元件、SPC58汽车级微控制器（主ECU）和ST25R3920B NFC读卡器的组合，能够利用智能手机安全地开关车门或后备箱，妥善地管理钥匙和证书，同时符合CCC V3.0规范的无线软件更新要求。其中的SPC582Bx微控制器是取代SPC560Bx系列的新设备系列的入门级成员，它建立在SPC5x产品的基础上，同时引入了新功能来满足未来的要求，如ASIL-B分类、大量ISO CAN-FD信道，并提供了显著的功率和性能改进（每毫瓦MIPS）。

面向工业的嵌入式安全硬件

随着工业空间的增长和通信需求的扩大，对于新设备开发来说，实施多层次的安全策略以应对不同的工业威胁模型和认证方案变得越来越重要。STM32H5系列是业内率先采用Arm Cortex-M33内核的32位MCU，运行频率可达250MHz，兼具高性能、高安全性和高成本效益的特性。STM32H5的可扩展安全性可满足各种应用的安全需求，内置STM32Trust TEE安全管理器，是率先支持可信执行环境解决方案的MCU。

图7：具有TrustZone技术的STM32H573 MCU系统方框图（图源：STMicroelectronics）

以STM32H573 MCU为例，它基于Arm Cortex-M33内核，具有TrustZone技术，提供了增强的性能和安全性、更好的能效和更多的嵌入式外围设备。STM32H573具有多种安全功能，包括：STM32Trust TEE安全管理器，提供可信执行环境（TEE）软件，AES和公钥加速器（PKA），具有侧信道硬件抗性，硬件唯一密钥（HUK）和安全固件安装（SFI），支持PSA Level 3和SESIP3认证。

本文小结

嵌入式系统是现代技术的基础，是从家用电器到先进汽车控制系统和基本医疗设备等所有设备运行的核心。然而，嵌入式系统因其广泛的应用范围以及所发挥的关键功能，常常成为网络攻击者的重要目标。那些被黑客攻击的嵌入式系统可能会产生严重的影响，如数据泄露、经济损失，甚至人身伤害。

嵌入式安全是网络安全的一个专业领域，旨在保护嵌入式系统免受各种威胁，它涉及嵌入式系统从设计和开发到部署和操作整个生命周期内的各个阶段实施的安全措施，包括保护嵌入式系统的硬件、软件和网络连接。

传统的安全方法主要依赖于软件防御，虽然软件补丁在逻辑上可能更简单、成本更低，但事实证明，这些措施不足以抵御日益复杂的网络攻击。基于硬件的安全——所谓“硬堵”——采用了一种不同的方法，它们将安全措施直接集成到嵌入式系统的硬件组件中，包括安全元件、可信平台模块（TPM）和基于硬件的加密。

随着技术的发展，人工智能和机器学习正在被添加到嵌入式系统中，以提高其功能性和安全性。人工智能和机器学习算法的集成在威胁检测、数据泄露和漏洞预防方面均取得了显著进步。在硬件保护以及人工智能和机器学习双重加持下，未来的嵌入式系统安全有望实现更复杂的安全性。