ROT

u-blox日前宣布，正式推出IoT安全即服務(IoT Security-as-a-Service)產品組合。現在，u-blox的SARA-R4和SARA-R5系列LTE-M蜂巢式IoT模組已可支援此服務。不管是在裝置上或是從裝置到雲端的傳輸過程，此創新解決方案都能以更輕鬆的方式保護數據免於受到惡意的第三方攻擊。它具備立即可用、簡單和安全的特性，能具成本效益地快速連接到雲端IoT平台，可加速產品開發並縮短上市時程。 IoT安全即服務產品是透過u-blox Thingstream服務發送平台進行管理的，是特別針對採用資源受限IoT裝置部署的低功耗廣域(LPWA)網路進行最佳化設計。透過大幅減少數據負載(data overhead)並把交握(handshake)次數降至最少，該服務可改善功耗並延長電池壽命，這是大多數IoT裝置的關鍵指標。 使此解決方案具備如此有效性的關鍵是，獨特的對稱密鑰管理系統(KMS, key management system)。透過它，可為每個裝置即時產生無限數量的加密密鑰，而無須依賴預共享密鑰(pre-shared keys)的儲存和管理(此方式可能會增加整體操作複雜度和功耗)。密鑰與硬體連結在一起，而且可以從模組或伺服器/雲端觸發，完全免除創建、發送和更新認證的需要，能大幅降低系統成本、操作複雜性以及功耗。 該解決方案還運用了u-blox的Foundation安全產品，它是由使SARA-R4和SARA-R5模組具備設計安全的基本要素所組成。其中包括與其信任根(RoT)綁定的唯一、且不可變的裝置身分，這構成了先進安全功能的可信賴基礎，包括一種安全開機機制，可確保模組只能執行受信任的軟體。此外，u-blox專有的uFOTA功能可實現身分驗證的空中下載韌體更新。

根據定義，物聯網(IoT)是由分散式裝置所形成的生態系統，而這些裝置需透過通訊基礎架構來互聯。雖然此基礎架構可以設為私有，但通常業者會利用開放的網際網路來建置。因此，當這些廣泛分布且低成本的裝置與網路/雲端應用結合在一起，會使IoT生態系統很容易受到各種安全威脅，進而造成通訊或功能失效，或是更嚴重的風險。 為了避免這些威脅，必須確保生態系統中實體和數位資產受到妥善的保護。換言之，IoT裝置需內建強韌的安全特性，才能形成信任、控制以及完整性的安全鏈基礎，而且此安全鏈必須能在系統的完整生命週期中保護整個IoT生態系統。 保護IoT裝置五大關鍵 就無線通訊晶片及模組供應商的角度而言，在晶片中建置安全元件，亦即信任根(Root of Trust, RoT)是實現安全IoT生態系統的起點。而在考慮如何保護IoT裝置時，業者首先需考慮以下五個關鍵議題： 1.建立唯一裝置身分 IoT生態系統中能夠產生資料或執行命令的任何裝置都必須擁有唯一且無法複製的身分。這些獨特的身分將構成所有其他安全功能的基礎。 2.控制裝置資源存取 IoT裝置通常被安裝在不受控制的環境中，這使得它們容易受到攻擊。駭客可能會存取裝置中的未加密資料、上傳惡意軟體、侵入裝置以執行分散式阻斷服務攻擊。也就是說，確保裝置資源，包括CPU、記憶體和連接都非常重要，讓它們只能用來執行被指定的任務。 3.保護資料完整性 保護資料至關重要，才能確保隱私、保密性，並滿足一般資料保護規範(如GDPR)，以及特定的產業規則，如美國健康資訊隱私規則(HIPAA)。 4.安全決策制定 IoT裝置和生態系統必須能依賴有效的輸入資料，才能制定正確的決策。決策應在安全的環境中執行，使其不受篡改和智慧財產權竊盜的威脅。 5.驗證命令 能夠驗證發送到IoT裝置的任何命令，如注射胰島素、開啟/關閉閥門、踩煞車等，是否來自合法來源非常重要。 然而，僅保護IoT裝置，仍不足以實現整體的安全IoT生態系統，除非在開發和部署IoT裝置時，業者能採取更敏捷的安全方法來與其搭配。為此，業者必須清楚掌握其裝置目前以及未來可能面臨的所有威脅，才能建立和維持必要的安全流程。 信任根作為安全物聯網基礎 在開發IoT裝置時，必須納入安全設計考量，並且把安全功能內建在其中。例如廠商u-blox幾年前曾提出IoT安全性的五大支柱(Five Pillars of Security)，並將其應用在所有u-blox的無線模組產品中。 這五大支柱包括：安全開機、安全韌體更新(FOTA)、傳輸層安全性、實體介面與API層級安全性、以及能夠防禦軟體攻擊的堅固性。其中，安全開機是安全防衛的起點，它確保只有通過驗證的韌體才能在模組上執行，之後才能再談到其它層次的安全性，包括韌體更新、傳輸層、介面與API等。 實現安全開機的關鍵，在於建立一個安全的起始點，也就是安全的信任根。一旦建立了安全的信任根源，就可以構成從裝置一直到應用程式與雲端的信任鏈基礎。因此，信任根是保證所有安全功能的要素。無論IoT裝置進行資料傳輸或產生數據，甚至業者要檢測裝置是否已被駭客入侵，信任根都不可或缺，透過結合硬體和軟體實現安全功能。 安全元件建構信任根 信任根的建構涉及多項需求，其中主要包括： ・執行一或多個通過驗證的加密功能。 ・防止被任意篡改。 ・安全CPU必須執行安全的軟體/韌體。來自外部的程式碼必須先經過驗證，才能在安全CPU上執行。另一種方式是，透過使用只能由信任根存取的專用ROM來建置。 ・針對需要可靠時間測量的應用，還須包含一個安全時脈。 ・須確保儲存安全性。 ・成功完成認證和密鑰交換協定後，必須能取得安全通訊。 ・SoC的啟動和運作期間可以使用安全監視，以確保元件以及元件之間的互動正常執行。若偵測到有任何插入惡意指令的意圖，信任根都會向主機發出通知。 ・無論執行什麼軟體，信任根都必須運作正常，以避免受到軟體攻擊。 安全元件可被視為信任根實體建置的一種形式，它能夠執行諸如加密、解密、隨機數字產生和驗證等功能。此外，安全元件也必須非常強韌，可以抵抗實體攻擊，並且不能被讀取或複製。透過編程和個人化設計，安全元件具有唯一的ID和密鑰，因此可與主機處理器介接。在裝置中內建信任根的最安全方式，是將其置於一個基於硬體的安全元件中。 以u-blox為例，作為無線通訊與連接解決方案的供應商，選擇在無線通訊晶片中內建安全元件功能，以作為IoT裝置的信任根，因為無線通訊晶片是所有IoT裝置所不可或缺的。而新推出的SARA-R5系列產品是一款多頻段的LTE-M/NB-IoT蜂巢式模組，鎖定低功耗廣域網路(LPWAN)市場。它實現信任根的方式，是提供一個預享密鑰(PSK)管理系統。在加密過程中，PSK會在利用安全通道的兩方之間共享。此密鑰的特性是由使用它的系統來決定。PSK必須是符碼夠長且隨機的，才能確保安全，因為太短或可預測的預享密鑰很容易被破解。同時，管理員必須定期更新PSK，以維持較高的安全性。 密鑰管理系統會把密鑰存放在硬體信任根之中，並能在有需要時，在伺服器端推導出相同的密鑰。密鑰的存取只能透過非直接方式進行，並由應用程式層級的權限和政策來管理。因此，SARA-R5模組適合內建於用來傳輸關鍵和機密資訊的裝置。歸功於分離式、基於硬體的安全元件，以及輕量型預享密鑰管理系統，提供IoT應用所需的先進安全性，並包含資料加密、解密、防複製以及安全的晶片到通訊功能。 此外，為了進一步強化IoT生態系統的安全性，SARA-R5系列中建置了由GSM協會(GSMA)提出的安全端到端通訊用的IoT SIM小程式(IoT SAFE)建議，並在軟體維護版本中包含支援IoT SAFE的建置指南。IoT SAFE建議由GSM協會於2019年12月發布，可協助IoT裝置製造商和服務供應商利用SIM卡作為強固、可擴展的硬體信任根，以保護IoT數據通訊。使得與應用程式雲端/伺服器安全建立(D)TLS會話(Session)更容易，進而簡化配置和管理數百萬台IoT裝置的流程。 攜手策略夥伴　開發IoT安全平台 另一方面，IoT安全性的實現不單取決於晶片/模組的設計，而是所有生態系統夥伴需共同解決的問題。因此u-blox近來建立的一項策略性夥伴關係，與瑞士的數位安全與數位版權管理供應商Kudelski合作。Kudelski的安全方案已廣泛內建於全球各地的電視機上盒中，以確保內容供應商提供的內容不會被竊取或入侵，每年保護的內容營收高達數十億美元，因此擁有非常深厚的安全專業技術。此外，Kudelski對於大規模建置安全方案具豐富經驗，對IoT應用來說至關重要。 Kudelski提供的IoT安全平台中，已內建u-blox產品，作為建立信任、控制與完整性的安全鏈的基礎，以鏈結到裝置、資料、IoT平台與應用程式。協助使用者利用簡單的API來管理、控制所有重要的IoT安全資產。此安全平台包含三個主要組成：基於軟體或硬體的信任根、裝置中的安全客戶端程式、以及雲端的安全伺服器。而IoT裝置與安全伺服器的通訊，是透過以下方式來保護： ・利用內建於裝置中的信任根來作為所有安全功能的基礎。 ・u-blox/Kudelski支援三種型態的信任根：安全元件(晶片)、SIM卡、以及在可信賴執行環境中的軟體信任根。 ・安全客戶端程式庫整合裝置韌體和應用程式，客戶可充分運用所有的安全功能。 針對IoT裝置的布署，由於其中涉及了許多的輸入/輸出點以及現場中許多的既有裝置，再加上需與不同網路層，包括區域網路、蜂巢式網路和網際網路服務供應商等的伺服器交換資料，這些連接點都有可能成為整體系統的安全缺口。因此，如何提供端到端的安全性，已變得日益重要。透過此建置為使用者提供了一個端到端的安全流程，可協助設計、測試與建置一個安全架構，以供IoT裝置使用。同時，使用者還能建立並管理各種數位及實體資產，以因應既有與演進中的安全威脅。 (本文作者為u-blox服務/安全部門主管)

三星(Samsung)日前發布一站式安全解決方案，由安全元件(Secure Element, SE)晶片S3FV9RR與強化的防護軟體組成，維護隔離儲存區(Isolated Storage)、行動支付或其他應用程式等工作的安全。 圖　三星發布一站式安全解決方案，由安全元件晶片S3FV9RR與防護軟體組成。來源：三星 最新的三星安全晶片通過共同準則的擔保等級(Common Criteria Evaluation Assurance Level, CC EAL)6+認證，達到移動零組件的最高安全要求。此款安全解決方案是接續一月公布的第一代S3K250AF之後，加強一站式安全防護的機制，且前一代產品僅通過CC EAL 5+，而新通過CC EAL 6+的安全晶片可以用在資訊最需要嚴格保護的應用中，如旗艦版智慧型手機、電子護照或者加密貨幣錢包。 新方案支援基於硬體的信任根(Root of Trust, RoT)機制，透過兩倍的安全儲存量，進行安全啟動與身分驗證，促使晶片的安全程度進入更高層級。針對服務供應商、製造商與相關機構，在行動裝置上執行應用程式時，RoT加強安全身分驗證，引導應用程式啟動時，將能透過信任鏈，驗證帶有金鑰的韌體。此安全啟動機制由RoT管理，保護裝置免於任何形式的攻擊，以及未經授權的軟體更新。 作為獨立服務，此安全方案能在客戶裝置的主要處理器之外運作，可以彈性地將安全防護服務擴及行動裝置與IoT應用程式等方面。此外，製造商能夠確保在外地生產的產品，不會被未授權韌體的侵害，而能在硬體方面，全方位滿足加密操作所需的安全要求。

話雖如此，幾乎每週都有主流媒體不斷提起有關數位安全性的漏洞，通常是涉及消費者信用卡資訊被盜或不當使用的損失。不幸的是，此類新聞僅是每天發生在網路安全遭受攻擊的成千上萬案例之一。安全威脅可用來竊取有價值的資料，造成大範圍的破壞，甚至更令人擔憂的是掌控關鍵的系統。 從消費者的角度來看，分散式阻斷服務(DDoS)攻擊可能是最常見的威脅。2016年，Mirai殭屍網路(它造成了整個網際網路的中斷)是第一個讓組織意識到這類威脅的重要警訊。此後，Mirai的後繼者，如Aidra、Wifatch和Gafgyt，以及BCMUPnP、Hunter52和Torii53等新加入的殭屍網路，已經擁有數百萬個IoT設備的侵入許可權，以傳播他們的DDoS惡意攻擊軟體、加密貨幣挖礦軟體以及垃圾郵件的中繼代理。 物聯網安全威脅綿延而生 隨著部署和連接更多社會和工作的場所，造成安全威脅無處不在，而且規模越來越大。以智慧城市為例，在無所不在的無線通訊和機器/深度學習的基礎下，智慧城市背後的基本理念包括依需求調適的交通控制、跨電網的自動負載平衡管理和智慧街道照明。假設城市中智慧交通控制被一個假想敵攻擊，惡意控制交通流量的感測器、交通號誌燈、協調管控車輛的汽車網狀網路和控制設備等基礎設施的情境。利用無線網狀網路在重要的交通要道上控制交通號誌燈或車輛之間的通訊，已經不再是好萊塢大片中才會出現的場景，而是一項嚴肅的現實議題。 另一方面，關注聯網醫療設備的興起，商店裡智慧標籤幫助零售購物的體驗，以及家庭和電器連接手機。如果可以用智慧型手機打開爐子、解鎖前門、解除警報系統，其他人的裝置可以嗎？ 上面的例子都與生活相關，但對於那些消費者看不到的案例呢？針對自動化製造環境部署的工業物聯網(IIoT)─一個安全性的漏洞會導致什麼樣的混亂，以及生產停機和設備損壞可能造成什麼樣的財務後果？隨著潛在攻擊面數量的指數級成長，物聯網的安全必須能夠全面普及、穩健以及快速恢復(圖1)。 圖1　物聯網設備和威脅的指數成長 為什麼物聯網安全不能只依靠軟體？ 試圖竊聽或非法獲取資訊並不是什麼新鮮事。最早記錄的事件包括1985年荷蘭電腦研究員威姆．凡．艾克(Wim van Eck)的努力投入。他透過截獲和解碼的電磁場顯示器竊取(讀取)資訊。他的開創性作為強調了一個事實：利用少量廉價的元件，仍可以繞過昂貴的安全措施達到目的。 如今，這種非侵入和被動式的電磁側通道攻擊變得更加複雜，並且成為攻擊者眾多武器的其中之一。其他側通道攻擊方法包括微分功率分析(Differential Power Analysis, DPA)，通常與電磁側通道攻擊一起進行。透過這種攻擊方式，加密金鑰、密碼和個人身份等敏感資訊，可以在執行加密處理指示時，經由物聯網設備微控制器的電磁訊號被「洩露」。如今，寬頻接收器作為軟體定義的無線電應用已可以廉價取得，可用於檢測和儲存作業時間線上的電磁訊號模式。 DPA是一種稍微複雜的竊取方式。簡單的功率分析用於測量設備在操作過程中處理器的功耗。由於處理設備消耗的功率因執行的功能而異，因此可以透過放大功耗時間表識別離散功能。基於AES、ECC和RSA的加密演算法功能需要大量運算，並且可以透過功耗量測分析來識別。檢查功耗可以發現以微秒為間隔的密碼學經常使用各個數位運算，例如平方和乘法。DPA在簡單的功率分析中增加了統計和糾錯技術，以達成祕密資訊的高精度解碼。 攔截透過有線或無線通訊方式傳輸的資料也可能會洩露機密資訊。隱蔽通道和「中間人攻擊」是利用監聽IoT設備與主機系統間的通訊，用來收集資料的有效方法。但對這些資料進行分析可能須放棄控制設備的協定棧，也可能洩漏操控遠端連接設備所需的私密金鑰。 駭客使用的另一種攻擊技術是針對未受保護的微控制器(MCU)和無線系統晶片(SoC)設備植入故障碼。就最簡單的方式而言，該技術可能降低或干擾微控制器的供電電壓，並呈現不穩定的錯誤情況。隨後，這些錯誤可能會觸發受保護的其他設備打開保存機密資訊的寄存器，進而受到侵入。竄改系統的時脈訊號，例如更改頻率，植入錯誤的觸發訊號或更改訊號電平，也可能導致設備產生異常狀況，並傳播至周圍的IoT設備，造成私密資訊暴露或控制功能被操控的潛在威脅。這兩種情況都需要實質造訪設備上的印刷電路板(PCB)，而且是非侵入性的。 由於許多IoT設備的保護措施都是基於軟體的安全技術，因此資訊安全容易受到入侵。標準密碼加密演算法，諸如AES、ECC和RSA之類的軟體堆疊，都運作在微控制器和嵌入式處理器上。如今使用價格低於100美元的設備和軟體，不但可以觀察功耗，也可使用DPA技術取得私人金鑰和其他敏感資訊。甚至不必成為這些分析方法的專家，就能利用現成的DPA軟體工具自動完成整個過程。諸如此類型的攻擊已不限於理論領域，現在已被全球的駭客廣泛使用。 隨著各種攻擊面向的不斷增加，物聯網設備和系統的開發人員需要重新考慮其執行和整合安全防護功能的方法，如此才能具備更加穩健和快速回復安全的能力。 OTA更新確保硬體安全 如果設計新的IoT設備，必須徹底檢查該設備可能面對的攻擊以及必須加以防範的威脅模式。嵌入式系統的設計規範通常始於產品要求的功能及其工作方式，從源頭審查安全需求並將其納入產品規格是謹慎的第一步。大多數IoT設備預計可以使用很多年，在這種情況下，必須透過空中更新(Over the Air, OTA)進行韌體更新，而僅此功能就需要考慮進一步的攻擊面。要防護所有攻擊面向，需要從晶片到雲端確實執行硬體安全的設計模式。 IoT硬體安全建置要素分析 本節將探討一些硬體的安全技術，這些技術可為IoT設備提供可靠的安全機制。從晶圓廠開始即在硬體中實現安全性，並創建一個無法更改的固定識別證，這樣做的目的是嘗試破壞此類IC或設備的代價將遠高於攻擊軟體安全性漏洞的成本。在選擇微控制器或無線SoC時，嵌入式設計工程師應認知到，基於硬體設備安全的功能審查標準與其他設備，諸如時鐘速度、功耗、記憶體和週邊設備同樣重要。 信任根 對於任何基於處理器的設備，建立信任根(Root of Trust, RoT)是硬體驗證啟動過程的第一步。在晶圓廠製造IC晶圓的過程中，RoT通常作為根源的金鑰或映射嵌入到唯讀記憶體(ROM)中，RoT不可變，並在設備啟動過程時形成錨點以建立信任鏈。RoT還可以包含初始啟動映射，以確保從第一個指令執行開始，設備運作的是真正且經過授權的代碼。這種RoT可保護設備免受外來軟體的攻擊危害。 安全啟動過程 創建信任鏈的下一步是確保啟動設備使用安全的啟動過程。使用經過身分驗證和授權的RoT映射完成第一階段的啟動後，啟動的第二階段就開始了。隨後，安全載入程式驗證並執行主應用程式碼。圖2展示使用雙核心設備的方法，而且這個過程也可以使用單核設備進行。如果需要，安全載入器可以在代碼執行之前啟動更新過程。 圖2　信任根和安全啟動過程 另一種大幅提高基於硬體安全性的技術是使用無法複製的物理特性功能(Physically Unclonable Functions, PUF)。PUF是在晶圓製造過程中，於矽晶片內創建的物理特性。由於無法預測的原子結構變化及其對固有柵極或記憶體電子性能的影響，PUF為半導體元件提供了唯一的身分標誌。 從本質上來說，不可預測/混亂的差異為每個IC創建了一個獨特的「指紋」，實質上是一個數位出生證明。它們不可複製，即使試圖使用相同的製程和材料重新創建一個相同的IC，所生成的PUF也會不同。利用PUF技術，包括單向轉換函數(利用空間可變性)或反覆運算的挑戰─回應機制(利用時間可變性)，從中提取可重複的加密金鑰。 PUF非常安全，並且具有防竄改能力。PUF可將安全金鑰儲存區中的所有金鑰進行加密，金鑰在啟動時會重新生成而不儲存在快閃記憶體中，而且必須對單一設備發起全面攻擊才能提取金鑰。 PUF包裝的金鑰也可經由應用程式處理，同時保持機密。這種技術和複雜性實質上需要侵入奈米等級的矽晶片，其目的是要進行反向工程或在執行PUF基礎下取得完全複製的分子變異，這對大多數(即使不是所有)入侵者來說都是難以做到的。也有晶片業者將硬體安全嵌入每個安全無線SoC和模組的核心。安全整合涵蓋整個產品生命週期，從晶片到雲端以及從最初的設計到整個生命週期結束(圖3)。 圖3　設備在整個生命週期中，硬體安全應注意的事項 安全元素 藉由在硬體中提供安全功能，對手在嘗試入侵或攔截機密資訊時將面臨艱鉅、昂貴且徒勞無功的困境。具有全面硬體安全功能的安全性群組件，可將安全性與主機隔離。通常安全元素的屬性是經由獨立的晶片提供。 安全元素具有四個關鍵功能以增強設備安全性：RTSL的安全啟動，專用的安全內核，真正的亂數產生器(TRNG)和鎖定/解鎖的安全調試。使用RTSL的安全啟動可提供可靠的韌體執行並保護免受遠端攻擊。 專用的安全核心結合了DPA對策，其中包括使用隨機遮罩來保護內部計算過程，並將矽晶中執行的這些計算時序隨機化。TRNG使用不確定的高熵隨機值來幫助創建強大的加密金鑰，並且符合NIST SP800-90和AIS-31標準。安全調試鎖定調試介面，以防止晶片在現場作業時受到入侵，並允許經過認證的調試介面解鎖，以增強故障分析能力。 Silicon Labs提供了Simplicity Studio作為上述硬體安全功能的補充，Simplicity Studio為一整合的開發環境(IDE)，由一系列軟體工具組成，可簡化開發過程。Simplicity Studio的其他功能還包括查看設計的能耗設定檔和分析無線網路通訊的功能。Silicon Labs是安全物聯網聯盟(ioXt)的成員。ioXt使用國際公認的安全標準定義的認證過程，透過該過程對設備進行評估和評等以確保其安全運作。 維持硬體安全可降低功耗 除了實現強大的安全性並降低成本外，使用基於硬體的IoT安全還提供了降低功耗的優點。在軟體中執行加密演算法會為微控制器帶來巨大的運算負擔，增加功耗並縮短電池壽命。將加密處理分流到專用安全核心可實現更節能和更高性能的設計。所有連接設備的安全威脅無處不在，並且不斷變化。過去，基於軟體的安全技術運作良好，但已延伸為潛在的攻擊面。使用基於硬體的方法可實現安全性，現在並被認為是實踐整體和穩健安全機制的唯一可行方法。 (本文作者為Silicon Labs全球資安長)

為解決這一個問題，有些處理元件採用集合在晶片上的硬體電路來檢測未經授權的韌體修改。然而，電路板上其他未採用此種方案的處理元件還是缺乏有效保護，整個伺服器仍然易受攻擊。美國國家標準與技術研究所(NIST)於2018年發布了NIST SP 800 193標準，訂下了一套標準的安全機制，稱為平台韌體保護恢復(PFR)，它主要基於以下三個指導原則(圖1)。 圖1　平台韌體保護恢復機制三大指導原則 PFR功能主要依賴外部的硬體(晶片)帶有「信任根(RoT)」的元件。使用基於FPGA的RoT裝置的FR解決方案證明其比使用基於MCU的硬體信任根裝置更安全、擴展性更好、系統可靠性更高。而PFR開發套件能讓伺服器的原始設備製造商快速為其現有設計增加PFR功能，並充分利用這一強大的安全技術帶來的優勢。系統架構師和系統整合商如今可以更為方便地設計、實現和維護符合PFR標準的FPGA RoT裝置，而毋須擁有專門的安全專業知識。 易受網路攻擊之伺服器韌體 預計到2021年，網路攻擊犯罪造成的損失將達到6兆美元。網路駭客不斷尋找規避安全措施的新方法，目的地在： ．偷看或竊取儲存在伺服器上的專有資料(信用卡號、公司智慧財產權等)。 ．繞過伺服器偷看或竊取資料。 ．劫持伺服器，對其他目標進行DDoS攻擊。 ．透過讓伺服器的一個或多個硬體元件無法運行，而對其造成破壞(稱之為「變磚頭」)。 由於作業系統和應用會定期更新，以便加入新功能或修復漏洞，它們很容易成為駭客入侵伺服器的最大目標。於是，組織的安防資源和戰略一般會傾向於保護作業系統和應用軟體。然而，入侵伺服器還有另外一個較少為人所知的攻擊載體，也就是所謂的韌體。 韌體是指伺服器元件(即CPU、網路控制器，片上RAID解決方案等)率先上電後立即執行的第一個啟動代碼。韌體的處理器假定韌體為一個有效可靠的起點，從中啟動並根據伺服器的配置使用它來分階段驗證和載入更高級別的功能。在某些情況下，處理元件在其運行整個執行週期內皆須借使韌體提供的功能。  國際資訊系統審計協會(ISACA)於2016年的一份調查顯示，在那些聲稱將硬體安全放在企業首位的受訪者中，超過半數「報告了至少一起受惡意軟體影響的韌體被引入公司系統的事件」，並且17%的受訪者表示「這些事件造成了實質性影響」。 韌體安全狀態 伺服器韌體可能在供應鏈的各個不同階段遭到入侵，包括： ．在原始設備製造商處，於生產過程中操作人員惡意植入受感染的韌體。 ．在系統整合商處，於根據客戶要求配置伺服器時安裝未經授權的韌體。 ．轉運到客戶的過程中，駭客可以打開伺服器包裝，通過線纜下載未經授權的韌體，將惡意程式碼植入組件的SPI記憶體中。 ．現場運行過程中，駭客可以利用韌體的自動更新，將可繞過任何現有保護機制的偽造韌體替換掉真正的進行更新。 典型的伺服器主機板目前都使用至少兩種標準的韌體實例，分別為統一可延伸韌體介面(UEFI)和基板管理控制器(BMC)，儘管這些介面能對韌體造成一定的保護作用，但也非常有限。 統一可延伸韌體介面(UEFI) UEFI(之前稱為BIOS)是負責將伺服器韌體載入作業系統的軟體程式。UEFI在生產過程中就已經安裝就緒，用於檢查伺服器有哪些硬體元件、喚醒這些元件並將其交給作業系統。這一標準透過一種稱之為安全啟動的過程，以檢測未經授權的韌體，如果檢測到未經授權的韌體，該安全機制就會阻止硬體元件啟動。然而，安全啟動的實現和支援因元件和供應商而異，這會導致元件安全效能出現漏洞，從而被駭客利用。此外，如果非法韌體設法繞過了安全啟動，UEFI就無法將元件的韌體恢復到上一個經授權的版本並繼續運行。 基板管理控制器(BMC) 基板管理控制器是主機板上的一種專用微控制器(MCU)，透過獨立的連接與系統管理員通訊以及使用感測器來監控「電腦、網路伺服器或其他硬體設備」。許多BMC會篩查各自的韌體安裝情況以確保韌體的合法性，但是對於其他的伺服器韌體則無能為力。BMC無法阻止惡意程式碼攻擊電路板上的其他韌體(圖2)。例如，如果惡意程式碼被植入元件的SPI記憶體未使用的分區，那麼BMC則無法阻止代碼進入伺服器的整個代碼流。 圖2　統一可延伸韌體介面和基板管理控制器介面只能提供有限的韌體保護。 平台韌體保護恢復標準 為解決當前韌體標準的安全問題，美國國家標準技術研究所(NIST)於2018年5月發布了一項新標準，為包括UEFI和BMC在內的所有韌體提供全面保護。這一被稱為PFR的NIST SP 800新標準旨在「提供技術指導和建議，支援平台韌體和資料的恢復，預防潛在的破壞性入侵」。它提供了一種保護系統中所有韌體的統一方法，並且可以設定為對正常系統操作不具有攻擊性，不過一旦確定未經授權的韌體正在嘗試安裝，它就會停止所有相關組件。PFR也能對各個元件可能支援的任何安全功能獨立運行。 該標準概括了保護韌體的三大關鍵原則： 保護：透過阻止對元件SPI記憶體的保護區域實施未經授權的寫入或者清除全部或部分韌體的惡意行為，以確保元件的韌體處於穩定狀態。在有些情況下，甚至對保護區讀取的操作也是禁止的。 檢測：在元件的處理器從韌體啟動之前，可以先驗證來自原始設備製造商的韌體更新裝置。若韌體有被檢測到受破壞或未經授權，則立刻啟動恢復過程。 恢復：若檢測到韌體被篡改或被破壞，處理器將從上一個已認證之韌體版本及「黃金鏡像」啟動，或者通過可信進程獲得新的韌體，啟動全系統的恢復。 PFR需要基於硬體的可信根 根據NIST的這一標準，實現安全的PFR功能需要硬體信任根(RoT)對伺服器的韌體執行保護、檢測和恢復操作(表1)。符合NIST標準的RoT裝置必須在啟動之前，且不借助任何其他外部元件的情況下對其韌體進行以上操作。硬體RoT解決方案必須具備以下特點： ．可擴展性 RoT裝置必須透過外部SPI鏡像實現保護、檢測和恢復功能，同時具備毫微秒級回應速度。這需要專用處理和I/O介面，保證伺服器的效能不受影響。 ．不可繞過性 未經授權的韌體不能繞過RoT裝置，從而無法從受損的韌體件啟動伺服器。 ．自我保護性 RoT裝置必須動態地應對不斷變化的攻擊面(設備或系統中未經授權的使用者所能進入的所有節點)，保護自身免受外部攻擊。 ．自我檢測性 RoT裝置必須能夠使用不可繞過的加密硬體模組檢測未授權的韌體。 ．自我恢復性 當設備發現未經授權的韌體時，RoT裝置必須能夠自動切換到上一個黃金韌體鏡像，確保伺服器繼續運行。 ．保護    啟動前是否能檢測有缺陷的韌體？是否能從有缺陷的韌體中恢復？運行期間是否保護所有韌體在系統內部更新過程中免受攻擊？ 如圖3所示，RoT裝置首先上電，並透過加密方式檢查所有元件的韌體，以及是否有未經授權的修改。若RoT裝置檢測到任何破壞，則啟動可信韌體恢復過程。在極端情況下，若電路板上所有的韌體全部受損，RoT裝置還可以利用儲存在該元件中的可信韌體進行全系統恢復(透過BMC)。 圖3　NIST SP 800-193標準 BMC從可信韌體啟動後，從系統外部取得可被信任的韌體替代被破壞的韌體版本。RoT裝置隨後再次驗證所有韌體，然後啟動電路板的上電程式，在此過程中板上所有元件都將上電，並強制從已知的完好韌體鏡像中啟動，最後開始正常工作。為保證SPI記憶體不再遭受入侵，RoT將主動監測SPI記憶體和對應處理器之間的所有活動，當發現惡意程式企圖更新韌體的行為時將阻止安裝更新。 實現符合NIST標準之PFR解決方案 在PLD上實現信任根的難點在於，實現方案的同時不給原始設備製造商帶來過大的負擔。信任根硬體解決方案(包括基於PLD的解決方案)必須具備可擴展性，也就意味著它能夠保護伺服器上的所有韌體，同時回應時間達到毫微秒級。 它還要能夠使用不可修改的加密模組，透過加密檢測來確定韌體是否遭到篡改。將PFR與伺服器所有元件完整的啟動時序控制功能相結合，RoT就變得不可繞過。最後，解決方案還應能夠自動切換回最近的黃金韌體鏡像，以便在偵測到韌體被破壞時伺服器還是可以繼續運行。 按照定義，基於硬體的RoT裝置自然需要在晶片中實現。在此情況下，最常用的晶片平台即微控制器和現場可程式設計閘陣列(FPGA)。在充分考慮到FPGA和MCU的運行特點和特性後，我們發現FPGA更適用於PFR解決方案。 使用MCU實現可信根 MCU過去常在伺服器硬體產品中用於構建信任根。簡單來說，就是保留MCU層的一部分為可信執行環境(TEE)，MCU的這一部分與晶片的其他區域保持物理隔離，並持續監控韌體，確保其獲得授權並正常工作。通常來說，伺服器上的PFR功能是透過向現有的硬體架構上添加RoT MCU實現的。 MCU通常難以支援驗證服務器中的多個韌體實例。這是因為它無法在沒有外部設備(如PLD)的說明下回應所有對伺服器韌體實例的系統內部攻擊(而PLD能即時監控SPI儲存設備的流量並同步檢測和回應入侵行為)。如圖4所示，使用MCU實現PFR的三個元件為： 圖4　如果需各元件同時啟動，那麼符合PFR標準、使用MCU作為可信根的伺服器還需要額外的元件(FPGA)來提供必要的高性能；在大規模的伺服器應用場景下，此種解決方案不可擴展。 RoT MCU：RoT MCU執行檢測、恢復和保護功能，是實現RoT的核心元件。 保護PLD：透過即時監控所有元件處理器與其SPI儲存體設備之間的活動，大規模實現PFR，全面保護電路板。 控制PLD：該元件整合了所有電路板級的上電和重定時序功能，包括風扇控制、SGPIO、I2C緩衝、訊號整合和帶外通訊等啟動主機板必須的功能。RoT MCU命令控制PLD為電路板上電。若需要在極端情況進行恢復，RoT MCU則命令控制PLD僅為可信恢復過程中使用的部分電路板供電。 這種基於MCU的PFR方案有諸多限制。例如，圖4電路中使用的控制PLD無法保護自身韌體，也就意味著這種架構並非完全符合NIST PFR的要求。控制PLD的代碼仍有可能被修改，讓RoT MCU失效。還有可能受到永久拒絕服務攻擊(PDoS)，透過刪除這些PLD上的資訊，讓系統無法運行，從而使讓伺服器無法啟動。 保護和控制PLD存在的安全性漏洞使得元件在運輸或者系統整合過程中很難防止對韌體的攻擊。為了達到NIST SP 800 193標準，RoT MCU必須同時為控制PLD和保護PLD實現PFR功能。而使用MCU在這些元件上實現恢復和保護功能非常困難。最後，基於MCU的方案需要額外的系統級進程來檢測試圖繞過整個RoT電路的攻擊行為。 PLD滿足PFR標準 正如其名，可程式設計邏輯電路(PLD)是一種幾乎可以暫態實現遠端重新程式設計的積體電路，以適應不斷變化的場景。PLD可以在硬體層面上改變其電路，因此一旦檢測到未經授權的韌體，該韌體就無法安裝。由於PLD被設計為可重新程式設計，因此比MCU有更多的I/O介面，這讓它們可以並行運行多個功能而非按循序執行，因此它們在檢測未授權韌體時，識別和回應速度更快。 此外，PLD使用了先進的模擬軟體，讓工程師得以驗證其PLD設計的功能。工程師還可以使用這一工具來測試其針對各種韌體網路攻擊的設計是否可以保護PLD自身。與PLD相比，MCU的韌體更新需要更複雜的測試和驗證，因為MCU不能透過模擬支援功能驗證。 相反，MCU韌體的任何更新都必須經過多次回歸(試錯過程)測試，以確保新韌體不會對MCU中的其他功能產生不良影響；這一過程遠比運行PLD模擬軟體繁瑣。當我們對比PLD和MCU的特點時，會發現PLD能提供性能更優、更為可靠的平台實現基於硬體的可信根；它也成為滿足PFR標準的必要元件。 應對供應鏈攻擊　MCU/FPGA各有所長 如果出現韌體攻擊，兩種不同類型的PFR系統將採取以下應對措施(按照實施順序)(表2)： 為實現簡化FPGA RoT解決方案。半導體業者如萊迪思(Lattice)開始提供PFR開發套件(圖5)。伺服器元件的原始設備製造商和系統整合商如今可以快速實現基於FPGA的PFR，滿足上市時間的要求。該套件包括一個軟體功能庫、相關的IP和3個開發板，用於實現PFR(包括保護PLD功能)。使用者可以通過Lattice Diamond軟體工具將電路板控制PLD功能添加到RoT FPGA設計中。萊迪思PFR開發套件和開發板包括： 圖5　Lattice FPGA...