你的智能座驾、工业物联网设备正被黑客窥探： 如何破解嵌入式设备安全危局

前阵子，英飞凌公司（Infineon）正式收购赛普拉斯（Cypress）的新闻刷屏了朋友圈。

日前，2020年6月17日英飞凌宣布推出Semper Secure，进一步拓展其屡获认可的Semper NOR闪存系列，而这得益于收购赛普拉斯的存储技术及产品线。

那么这款产品有什么特点？官方的文件显示，这款产品是世界上最安全的NOR闪存，另外还兼具易用性和可靠性。为何要在安全上大作文章？这其实来源于与日俱增的黑客入侵事件……

据Gartner咨询公司的预计，到2023年，将有超过750,000辆拥有自动驾驶功能的汽车进入市场。随着越来越多的汽车实现互联并具备自动驾驶功能，不法分子对道路上的汽车进行操控攻击的可能性逐渐提高，这类担忧可能与日俱增。

现如今，特斯拉、蔚来、威马、小鹏均已搭载L2-L3级别的自动驾驶系统，自动驾驶正在驶入L4、L5时代。另据，HIS分析师预测，在2035年，全球将会有2100万辆带有L5级别自动驾驶的车辆。Uswitch透露，在英国注册的新车中，有超过67%是智能汽车，预计到2026年这一比例将上升到100%，到2035年这一市场价值高达520亿英镑 (571亿美元）。

那么，整车将有多少功能？自动泊车、碰撞警告、主动刹车、ACC自适应巡航、VSA车联网检查、ISA电子警察系统、TMC实时交通系统、360环视、并线辅助、LDWS车道偏移警告系统、HMW车距检测及警告、FCWS前车防撞预警系统、PED行人检测、车道保持系统……

数据显示，2010年汽车软件代码行数只有1000万，而到2016年拥有了约1.5亿，整整增长了15倍。根据研究，互联汽车每小时产生的个人数据高达25GB，包括司机、车辆和乘客的数据。这在自动驾驶功能愈加丰富的如今只会更加迅猛地增长。

而就在2015年，黑客在一起知名事件中通过信息娱乐系统控制了一辆SUV。先是干扰该车的音频和空调系统，接着让车辆停在圣路易斯高速公路繁忙的车流中。黑客随后证明他们还能更高一筹，包括关闭发动机并让制动失效。

他们“实验”的攻入点是该车连接到互联网的娱乐系统，在这里黑客重新编写固件并将他们的代码植入相邻芯片。重新编程后的芯片能够通过内部的CAN总线车身网络将命令发送到汽车的其余部分。

图1：黑客正在盯着你的智能座驾

特斯拉作为自动驾驶的先驱，也经常被资深黑客当做试验的材料。2016年，腾讯科恩实验室以远程无物理接触的方式入侵特斯拉汽车，对刹车系统、转向灯、座椅位置以及门锁系统进行了控制。最终导致了在静态时汽车可远程解锁、打开车窗，动态时可远程启动雨刷、打开后备箱、远程刹车等。

2018年，一位特斯拉Model 3车主自己入侵了自己的汽车。这位车主自从发现可以入侵Model 3车型的工具箱界面获取相关参数信息后，便打开了新世界，不仅获取关键参数和性能信息，还分析了系列的关键信息。

2020年，McAfee高级威胁研究团队（McAfee Advanced Threat Research）一群黑客在实验中修改了限速标志，成功骗过了特斯拉第一代自动驾驶系统Autopilot，让其将车速从35 mph加速到了85 mph，如果是行驶中发生这种事，后果可想而知。

伴随着自动驾驶的高速发展之下，安全问题并不能忽视。一方面，自动驾驶的自动程度越来越高，主动干预的功能越来越多，直接威胁着人身安全；另一方面，单一化的安全防护并不能够满足现如今的系统，免于侵害需要一个非常完整的闭环安全系统。

自动驾驶因为直接影响着驾驶员和乘客的生命安全，因此被广为关注，然而有代码的地方就会有黑客攻击的可能性。这包括汽车、智能工厂、医院设备和便携式医疗产品在内的互联设备都存在大量易受网络攻击的薄弱环节，其中包括软件更新、数据下载和云连接。

根据Trend Micro的未来威胁研究小组(Forward-Looking Threat Research Team)近期开展的多项测试，研究人员证实，通过修改工厂机器人的设置，进而控制机器人，损坏其部件或伤害在其附近工作的人员是多么轻而易举。此外，研究还发现了数万种存在被黑风险的工业设备，这些工业设备驻留在公共IP地址上。

对智能工厂的攻击不仅会影响生产，给企业造成重大财务损失，而且还会危及生命。Verizon开展的研究表明，制造业中86%的攻击有明确目标，接近半数涉及知识产权窃取。

 图2：有代码的地方就有黑客攻击

有医院最近发现，经常使用的麻醉机和呼吸机存在安全漏洞，黑客可以利用它调整特定命令，包括机器内的气体成分。据美国科技类博客Techcrunch的报道，黑客可通过医院网络访问这些工具，修改机器的协议，并在无需认证的情况下执行命令。这些示例说明互联设备很容易受到攻击，因此我们必须强化信息安全。

近期，一家大型便携式医疗设备制造商召回了一个系列的胰岛素泵，这是因为他们发现了潜在漏洞，黑客可以通过射频信号修改设备的设置。胰岛素剂量的增加或减少可能会给使用该设备的患者造成威胁生命的血糖水平变化。

为了从法律上尽可能阻止这样的黑客攻击，美国加州在2018年通过了SB-327法案。该法案名为“物联网安全法”，是美国首个要求在销售的所有互联设备中内置某种安全保护机制的法案。安全闪存是帮助制造商满足这一严格要求的途径之一。

除了法律，很多公司也开发了许多安全套件，包括Arm公司也开启了PSA Certified™的物联网安全设备认证项目，可想而知市场对于安全性的重视程度。也许设备安全运行的时刻，黑客正在时刻窥探着你的设备的运行状态参数性能，甚至随时准备撬动它！

根据英飞凌的解答，闪存器件是黑客的主要攻击目标之一，这是因为其中存储着启动代码、安全密钥以及其他用于保持系统正常运行的关键数据。

一般来说，用在智能物联网设备或自动驾驶的设备中的非易失性存储器件，NAND Flash和NOR Flash是人们最耳熟能详的两款产品，一般来说NAND Flash多用于服务器、云端等容量需求极大的场景，NOR Flash则依靠其自身读写速度的优势占据物联网嵌入式设备的市场。

从存储器市场来看，NOR Flash在起初只是一个旁支，然而随着5G、工业物联网、自动驾驶的日渐兴起，走势逐渐飙高。

据悉，汽车ADAS中，约有82%的汽车摄像头都要凭借NOR Flash启动，毕竟NOR Flash读写速度更快，没有延迟感的开关机才能给用户更好的体验。更何况，嵌入式物联网设备一般来说，对存储空间要求仅需几兆到几百兆之间，因此无论从体积还是从延迟上考虑，NOR Flash都是更好的选择。

另外，在高可靠非易失性存储器技术上，业界也曾考虑过采用RRAM和MRAM等选项，但因为数据完整性、成本、工艺问题而无法满足规模量产的要求。尽管RRAM和MRAM除了单纯的非易失存储功能，还兼具了易失存储功能，但在很多情况下，十几倍的单价存储密度还是很难让车厂接受的。

虽然闪存看似很简单，但攻破手段却出奇的多，防不胜防。一般来说，有冒充攻击、侵入、重放通讯、窥探攻击、窃取安全密钥、旁路攻击、克隆几种手段。

图3：攻破闪存的途径

Semper Secure闪存就是使用NOR Flash的一款产品，共有128 MB、256 MB、512 MB三种型号供选择，性能上则是200 MHz DDR，在xSPI标准下读取带宽达400 MB/s；在QSPI标准下读取带宽为102 MB/s，166 MHz SDR/102MHz DDR。

需要注意的是，Semper Secure的参数上有三大关键点：

1、安全性：Semper Secure与一般NOR Flash的最大区别就是集成了加密模块，因此可以从内部确保信息的安全性和可靠性。很多情况下，很多系统只有功能安全这一单一功能，往往来说仅拥有这一功能是远远不够的。

从内部架构来看，采用45nm MirrorBit技术，分为安全区域、功能安全、可靠性、性能四个大块。总的来说，Semper Secure使用的是硬件加速加密引擎提供硬件信任根，实现安全启动、安全存储和安全的远程升级

通过提供安全区域，同时采用可配置访问控制，并内置针对旁路攻击的防护，该技术也有助于处理安全认证和加密存储通讯。此外，它采用灵活的存储器内计算架构并结合先进的加密算法，能够适应时刻变化的安全需求，确保使用该技术的产品不仅现在具有安全性，而且还能在无需重新设计系统硬件的情况下满足未来需求。 

图4：Semper Secure原理图，图示为内置于外部NOR闪存器件中的多层信息安全

在安全功能上，拥有存储区域与存取管理器、安全启动与唯一器件秘钥标识（UDS）、对称/非对称秘钥配置、秘钥管理、非易失的防回滚计数器、防止旁路攻击(SCA)、加密引擎与真随机数发生器(TRNG)、通讯加密、诊断、安全启动(Safe Boot™)、接口通讯CRC与数据CRC、错误校正码、EnduraFlex™、串行存储器控制器。

在协同工作上，Secure Secure闪存为安全密钥、证书、密码哈希值、应用专用数据、配置数据和生物计量传感器数据提供了硬件保护安全存储。使用QSPI和xSPI等标准总线协议，就能与主控协同运行，实现高要求互联应用中所需的安全级别，同时全面兼容现有的主控存储器控制器。Secure Secure闪存能够确保系统的安全启动、记录关键信息，并将工作存储器扩展用于必备功能。

图5：外部NOR闪存与主控处理器协同工作，为高要求应用实现高水平安全

因为在内部早已内置了各种安全功能，因此在选NOR Flash时，也无需额外再配置其他安全模块了，在成本方面也拥有着极强的优势。

2、车规级：从参数来看产品的工作温度在-40ºC至+125ºC，并且通过了AEC-Q100汽车级认证（支持PPAP）。众所周知，车载工作环境一般较为恶劣，对温度要求一般都比较高。除了环境温度以外，一般车规级器件还要求振动、冲击、可靠性、生命周期、制造工艺等。

3、快速性：汽车应用必须能在加电后的100ms内回应CAN消息，否则会危及驾驶员的安全。安全闪存在10ms内完成主控MCU认证并启动代码执行，确保安全启动。

之前文章也讲述了NOR Flash在读取速度上的优势，值得一提的是，这款产品则支持x8串行 NOR 闪存的 JEDEC eXpanded SPI（xSPI） 标准，还支持高达400 MBps的读取带宽。因此，在速度方面有着绝对的优势。

尤其是安全性方面仍然还是这款产品的主打节奏，Objective Analysis 总裁 Jim Handy 表示：“当闪存置于主处理器之外时，保证嵌入式系统的安全性就变得尤为重要。针对闪存无法嵌入 MCU 的情况，英飞凌推出的安全闪存解决方案是一种极具竞争力的架构。它具备更好的通用性，可供设计工程师们选择。”

英飞凌科技公司存储解决方案负责人 Sam Geha 表示：“对于注重信息保护和系统完整性的客户而言，安全的联网系统成为当务之急。随着越来越多的联网系统通过外置闪存来保护代码和数据，存储设备亟需进一步提升加密安全性。我们新推出的 Semper Secure NOR 闪存架构在功能安全性极高的 Semper 产品系列基础上新增了信息安全子系统，从而实现端到端的持续保护，有效保证系统不受损害。”

现如今，很多厂商都“从硬变软”，逐渐确保开发者的极致开发体验。当然这款产品依然具有许多方便快捷的套件和模型供使用者高效设计。

从Semper解决方案开发套件（S-SDK）上来看，使用的是C模型和wolfSSL安全库，因此入门几乎没什么门槛，毕竟C语言几乎是嵌入式工程师的必备了。在操作过程中，S-SDK中拥有新手套件、存储器模块、加密算法验证模块有助于简化评估操作，确保兼容性。 

图6：Semper SDK为开发者带来极大的效率

除了示例代码、闪存存储器模型和评估套件简化学习过程以外， Semper还提供可用于量产并符合MISRA-C标准的主控驱动程序，更加使得开发效率提升。

据了解，英飞凌的256 Mb Semper Secure NOR闪存器件已经向部分客户提供样品，预计将在2021年第二季度实现量产。