互联世界的安全.PDFVIP

白皮书 互联世界的安全 Kimberly Dinsmore，物联网基础设施业务部门高级工程师，瑞萨电子株式会社 2019 年9 月 摘要 “安全”这个词总是能引发人们的各种反应，但它的含义却因语境的不同而大相径庭，即使将范围缩小到 电子设备领域亦不例外。对消费者而言，“安全”通常意味着个人数据不会被特定目标接收者之外的任何 人获取；但对于使用微控制器作为主控的产品，往往并没有多少最终客户数据需要被保护。还是让我们来 看“安全”一词的其他解读。对于软件开发者，“安全”可能意味着代码不能被任何人窃取。对于OEM 厂 商，“安全”可能意味着任何人都不能克隆其设备。对于服务提供商，他们会通过电子设备提供服务， “安全”通常意味着如果未经正确授权或付款，任何人都不能使用他们的服务。而对于政府，“安全”可 能意味着设备不能被渗透并用作 DDoS 攻击的武器。无论何种市场领域，上述所有定义都绝对适用于微控 制器以及基于微控制器的产品。 一旦涉及到安全领域，大家通常就会面对数不清的新术语和缩写词，多得令人生无可恋。让我们一步一步 来，先避开艰涩的词汇，看看如何将安全功能集成到基于MCU 的设计中？ 第 1 步：从一开始就致力于安全设计。 在开始新设计时，高层管理者会追求进度，对他们而言，就是尽快有一个原型机，但原型不必追求安全， 而且安全性无法成为一个华丽的演示亮点来打动管理层和投资者。将安全性放到设计最后阶段再考虑这一 想法的确令人心动，但还是应当抵御这种诱惑。如果换种做法，前期确实需要花费一些时间，而且往往需 要说服管理层，但事实已多次证明：安全性无法半途植入到设计中。安全不是一种插件，它是最基本的架 构基础。试图后期添加安全性几乎都会导致系统的完全重新设计 ——逐字节生成和传输的数据流无法转换 成加密数据块，硬编码的明文私钥无法神奇地变成安全存储的设备唯一密钥，等等等等。 白皮书 –互联世界的安全 第1/ 5页 第2 步：您的产品是否符合行业或政府法规要求？ 这项要求往往会推翻关于安全的任何其他想法。如果您所在行业要求使用特定的加密功能套件，即使有能 够提供相同级别保护的其他替代方案可以选择，您也必须采用规定的套件。例如，金融交易和电能表，就 是存在特定法规而且必须要遵守的两个示例。因此，务必要研究和了解适用于您的产品的所有法规要求， 确保您的产品符合最终使用地域的一般政府法规。 第3 步：您要保护什么？ 大多数公司会按照成本要求来确定这个列表，这也是 GDPR 罚款如此之高的原因。政府发现，如果没有利 润驱动，公司更愿意事后修补安全漏洞，而不是主动努力预防安全漏洞。创建这个列表时，首先往往会关 注设备本身和数据：固件、密钥和客户信息，而不是超越设备本身，将系统作为一个整体来考虑。您可能 认为某些数据并非敏感信息，但是否会有人在正常运行期间操控您的设备而造成不利影响（例如 DDoS 攻 击）？如果您的设备负责某项关键功能，那么您需要保护该功能，防止任何不当修改。如果需要使用密钥 来启用某个服务，那么该服务本身就需要获得保护。 第4 步：您的薄弱点是什么？ 再则，来看设备及其部署的基础设施。在考虑设备时，一个明显的技术漏洞是互联网连接。基于MCU 的产 品通常并不重视这一点，因为非 Linux 的 IP 连接一般不会成为攻击者的目标，而且传输的数据的价值也有 待商榷。但是，如果您的设备通过互联网执行固件更新，并且您希望保护自己的代码，那么 IP 连接就会成 为漏洞。即使您的设备并非采用 IP 连接方式，也要考虑与外部世界的所有连接。在考虑产品运行环境的同 时，也不要忘记考虑人为因素。令人悲哀的一点是，先进的安全技术有时会被一场精心安排的诱骗完全避 开，您可以想象恶毒或者只是怀有恶意的演员所能做的事情。 白皮书 –互联世界的安全 第2/ 5页 第5 步：您信赖谁？ 有句话说“不要相信任何人”，但安全解决方案会增加成本，这是无法回避的事实。所以，不要将金钱浪 费在预防一些不存在的威胁之上。如果您的产品是在工厂现场制造的，那您可能不必再投资购买安全编程 解决方案；不过，如果设备编程并非在现场进行，或需要对包含密钥或其他敏感数据的设备进行编程，则 您可能需要安全的编程解决方案。 第6 步：确定您产品的限制范围。 如果有充足的时间和资源，那么任何保护都可以被攻破。所以，您必须确定自己需要保护的范围。一方