互聯(lián)環(huán)境中的安全存儲器

嵌入式系統越來(lái)越普遍地采用云技術(shù)來(lái)進(jìn)行數據采集、事件檢測和軟件更新。這些遠程物聯(lián)網(wǎng)設備普遍通過(guò)固件完成設置，這些固件有可能存儲在主機MCU中，也有可能存儲在外置非易失性存儲器的用戶(hù)空間中。而這些非易失性存儲器中的內容則是惡意攻擊的主要對象。對于所有全新開(kāi)發(fā)的物聯(lián)網(wǎng)設備來(lái)說(shuō)，采取應對措施防止非易失性存儲器的非授權修改，已成為一項基本的設計要求。

圖 1 - 作為節點(diǎn)的互聯(lián)嵌入式系統

本文將對分立閃存存儲器領(lǐng)域開(kāi)始涌現的加密和安全基礎設施進(jìn)行介紹，并探討如何將這些新特性用于物聯(lián)網(wǎng)互聯(lián)設備的安全保障。

新一代安全NOR閃存產(chǎn)品

NOR閃存制造商已經(jīng)開(kāi)發(fā)出了一些NOR閃存產(chǎn)品，這些產(chǎn)品通過(guò)集成加密基礎設施，能夠提供高水準安全性。設備配對（主機MCU和NOR閃存）與認證寫(xiě)入（編程與擦除）操作已通過(guò)使用對稱(chēng)加密來(lái)實(shí)現。這些設備通常都是基于HMAC引擎和非易失性累加計數器。在配置過(guò)程中，需要先將對稱(chēng)密鑰同時(shí)加載到主機MCU和安全NOR閃存器件中，以便在正常操作時(shí)執行經(jīng)認證的讀寫(xiě)操作。

圖 2 - 采用集成加密的新一代NOR閃存器件（使用串行外設接口）

最近，內部NOR閃存基礎設施的發(fā)展已經(jīng)超出了內部狀態(tài)機實(shí)際管理的范疇。較新型設備集成了CPU子系統（CPUSS），能夠執行透明負載均衡和壞塊替換等高級功能。一旦CPU子系統成為閃存器件基礎設施的組成部分，那么增添加密硬件塊和數據包緩存的想法就能很快成為現實(shí)。通過(guò)使用這種全新的基礎存儲器件，就能夠開(kāi)發(fā)出一系列安全功能，從而為加密安全提供支持。在NOR閃存領(lǐng)域，用戶(hù)存儲陣列的訪(fǎng)問(wèn)控制和執行前的分層代碼驗證是得到大量關(guān)注的兩個(gè)特性。

將用戶(hù)存儲空間劃分為安全區域

較新型NOR器件的用戶(hù)存儲空間能夠劃分成多個(gè)區域，每個(gè)區域可以單獨配置，用于傳統（非安全）訪(fǎng)問(wèn)或安全訪(fǎng)問(wèn)。配置為安全訪(fǎng)問(wèn)的區域能夠設定為受控讀/寫(xiě)訪(fǎng)問(wèn)或認證訪(fǎng)問(wèn)。

配置為受控訪(fǎng)問(wèn)的安全區域能夠獨立啟用或禁用讀/寫(xiě)操作。啟用/禁用設置由認證序列（需要主機MCU證明其知曉共享密鑰）進(jìn)行管理。在制造過(guò)程中，共享密鑰將被同時(shí)加載到主機MCU和存儲器。試圖訪(fǎng)問(wèn)禁用區域的讀或寫(xiě)將在讀取期間返回未定義數據，并且寫(xiě)入嘗試將會(huì )被阻斷。配置為受控訪(fǎng)問(wèn)狀態(tài)的區域可以選擇配置成加電讀/寫(xiě)訪(fǎng)問(wèn)狀態(tài)。例如，可以將啟動(dòng)區域配置為加電時(shí)可讀不可寫(xiě)，而將其余區域配置為禁用所有讀/寫(xiě)訪(fǎng)問(wèn)。

此外，安全區域也可以配置為只支持經(jīng)認證的讀寫(xiě)訪(fǎng)問(wèn)。認證區域不支持傳統讀寫(xiě)。認證讀寫(xiě)操作是通過(guò)數據包傳輸來(lái)執行的，其中包含HMAC，表示知曉共享密鑰和非易失性命令累加計數器值。在訪(fǎng)問(wèn)請求中使用命令累加計數器能防范重放攻擊。

圖3 - 用戶(hù)陣列的安全分區

軟件層之間的安全性

此外，分層驗證軟件也成為安全環(huán)境中的常見(jiàn)做法?？尚庞嬎憬M織的設備身份合成引擎（DICE）工作組已發(fā)布一項策略，即每層代碼在釋放控制前都需要向下一層代碼進(jìn)行證實(shí)。當主機MCU無(wú)法集成可編程存儲器時(shí)，系統級場(chǎng)景會(huì )變得更加復雜。從NOR閃存CPUSS ROM開(kāi)始（推定為可信），分立閃存器件開(kāi)始支持DICE策略的變化。  

NOR閃存CPUSS ROM在加電重置（PoR）時(shí)執行，在將代碼執行移交給CPUSS閃存前，先驗證其捕獲的閃存器件啟動(dòng)代碼（在CPUSS閃存內，未暴露給用戶(hù)陣列）是否完整。完成這種DICE 0層復合器件識別符（CDI）計算需要結合使用唯一的器件密鑰（對每個(gè)閃存器件有唯一性），以及對駐留在0層中的閃存器件啟動(dòng)代碼的測量值。

國際標準文檔NIST SP800-56C介紹了在CDI計算中使用的可接受的加密單向函數。唯一器件密鑰用于0層CDI計算。0層CDI驗證將計算值與NOR制造商提供的存儲在片上的預期值進(jìn)行比較。  

在確認CPUSS閃存有效后，代碼執行就從ROM啟動(dòng)代碼傳遞到（0層）CPUSS閃存器件啟動(dòng)代碼。接下來(lái)，NOR器件將驗證由系統制造商編程到用戶(hù)陣列中的系統級啟動(dòng)代碼。測得的系統級啟動(dòng)代碼值將被用于與器件配置過(guò)程中存儲在片上的預期值進(jìn)行比較。這兩步驗證發(fā)生在閃存器件運行其PoR序列的過(guò)程中，在可供主機MCU訪(fǎng)問(wèn)之前。請注意，在整個(gè)啟動(dòng)過(guò)程中，務(wù)必確保CDI值不被暴露給更高層的代碼，當然還有惡意行為者。

圖4 - 安全軟件分層

在完成閃存器件PoR序列的執行后，系統級啟動(dòng)代碼將會(huì )暴露給主機MCU供其執行。在確認系統級啟動(dòng)代碼的真實(shí)性后，系統啟動(dòng)流程能夠繼續運行。分層驗證策略還能繼續執行，方便主機CPU對每個(gè)新軟件層的驗證工作進(jìn)行管理。

圖4描繪了從閃存啟動(dòng)代碼到用戶(hù)應用的線(xiàn)性推進(jìn)過(guò)程。實(shí)際情況很可能復雜得多，尤其是在程序控制權被移交給操作系統后。請注意，一旦系統級啟動(dòng)代碼取得程序控制權，每個(gè)后續層的證實(shí)值都能夠與本地值（存儲在閃存器件中）進(jìn)行比較，或更理想的話(huà)，還能夠與遠程駐留（可能是云服務(wù)器）值進(jìn)行比較。如果使用DICE規范中規定的數字證書(shū)，遠程驗證的安全性還能進(jìn)一步提高。

結論

片上加密基礎模塊顯著(zhù)緩解了傳統非易失性存儲器的受到的安全威脅。反克隆問(wèn)題能夠通過(guò)主機MCU與閃存存儲器之間的設備配對得到解決。使用陣列分區和可配置訪(fǎng)問(wèn)權限能夠處理非授權訪(fǎng)問(wèn)。通過(guò)可信計算組織制定的DICE策略，解決了惡意篡改代碼的檢測和恢復問(wèn)題。集成在新型閃存存儲器中的加密功能模塊成功地解決了傳統系統中存在的大量安全漏洞，說(shuō)明外置Flash架構能夠解決未來(lái)可能出現的安全問(wèn)題。