物聯網設備遭受網絡攻擊的現象日益嚴重。獨立研究顯示，在美國，2019年針對物聯網設備發動的網絡攻擊數量同比激增300%。同時，約有57%的物聯網設備難以抵抗中等或嚴重攻擊，而每次物聯網終端遭入侵，企業需支付的平均成本為900萬美元。

網絡攻擊造成的損失不僅是服務中斷帶來的收入損失，還有產品制造商的品牌聲譽損害、政府罰款，以及需要將技術純熟且成本高昂的工程資源從生產開發工作轉移到緊急恢復和維修上。由于網絡安全的法規日益嚴格，物聯網設備制造商非常關注合規要求。歐盟的《網絡安全法案》（EU Cybersecurity Act）和中國的《網絡安全法》（Cybersecurity Law）要求對裝置漏洞進行獨立測試，而《加州消費者隱私保護法》（CCPA）則規定對每一次的非蓄意違規行為，對公司處以2500美元的罰款。

然而不會有任何嵌入式裝置制造商表示，其連網設備遭受安全威脅是安全組件漏洞造成的。因為很容易就能找到可執行復雜密碼算法、加密芯片上的密鑰存儲、功率分析和其他安全功能的安全組件或片上系統（SoC）等專用組件。只要將這些組件正確整合到系統設計中，便能為裝載組件的設備提供強大的防護。

那么，如果安全組件可以很容易整合到系統中，為何每天都會有嵌入式連網裝置遭受攻擊得逞？某些情況下，這是因為系統中某些部分的安全組件或安全SoC以外的漏洞所導致。這類漏洞最常出現在存儲關鍵程序代碼或數據的標準外部閃存中。另外一種情況，是因為系統安全組件或安全SoC缺少所能提供的精密防護功能。

在這兩種情況下，硬件層級安全的障礙通常由于成本和難度。的確，對非安全專家的工程師來說，安全電子組件要在技術上達到支付終端和移動電話等金融產品的高級支付等級，是非常復雜且困難的。

但是現在，新一代安全閃存產品已經上市，為不需要支付等級防護的嵌入式設備提供安全的硬件基礎。這樣的安全閃存通常具有和標準閃存一樣的封裝尺寸和腳位配置，而且是通過標準的SPI NOR Flash指令集進行控制，方便一般的嵌入式設備設計人員采用，同時還提供全面的安全功能，可保護連網設備并防御針對系統完整性或數據隱私的攻擊。

為何要在內存設備中實現安全性？

傳統上將非易失性內存視為一種簡單的設備：寫入位，然后讀出相同的位。它通常被看作存儲設備，而非處理器。

每個用于程序代碼或應用程序數據的NOR Flash中，其實已涵括了用于控制內存運作及通過序列周邊接口與主機進行通訊的邏輯電路。安全閃存設備以此邏輯區塊為基礎，并加以延伸，同時提供安全功能和內存控制功能。

為了適應用于微控制器和SoC嵌入式閃存的制程，華邦等閃存制造商開發了新一代的安全閃存產品。盡管高級的微控制器和SoC已采用20納米以下節點的晶圓制程，但嵌入式NOR Flash的制程卻未能跟上腳步。這代表嵌入式浮柵閃存制程無法與最新的MCU和SoC搭配，且嵌入式NOR Flash容量通常不夠大，不足以存儲所要執行的復雜軟件程序代碼。

因此，在如今的嵌入式設備設計中，應用程序代碼通常存儲在外部閃存設備內。但如果裝置連網（尤其是連接到互聯網的物聯網設備），外部閃存中的開機程序代碼就容易受到攻擊，數據也容易遭到竊取或入侵，除非內存設備本身能受到完整的安全功能保護。這便是安全閃存的價值所在：為SoC/MCU填補安全性的不足之處。

 安全閃存的關鍵功能

用安全閃存取代物聯網終端中的標準外部NOR Flash，是為了保護開機程序代碼和應用程序數據的完整性。市面上的各種安全閃存設備都提供某種形式的安全存儲空間。此安全功能可提供基本的加密身份驗證，內存設備只會允許獲授權的主機執行讀取和寫入操作，進而能保護數據不讓主機SoC以外的任何設備存取。

但這僅能提供有限的安全保護，為了抵御多種類型的網絡攻擊，并遵守歐盟《網絡安全法案》中低層級（basic and substantial levels）的安全功能，華邦開發了多功能的安全NOR Flash內存W77Q。作為TrustME?安全內存系列產品之一，除了安全驗證，W77Q還提供：

系統恢復力：防護、偵測和復原，確保即使網絡攻擊嘗試將物聯網設備停用，設備也可以自動重新啟動以執行已知的安全程序代碼。

信任根，用于與主機SoC以及與外部系統（例如云端運算服務）進行身份驗證通信。

安全數據存儲

從閃存到云端信任機構的安全通道，用于實時無線固件更新。即便SoC本身已遭到入侵，此安全信道可讓內存將開機程序代碼升級為新版本而無需依賴SoC。（請見圖1）。

圖1：W77Q可建立連往云端中信任中心的安全通道，以進行實時無線軟件更新，即使主機SoC已遭入侵亦可進行。（圖片來源：華邦）

W77Q經過外部認可實驗室的評估，符合歐盟GDPR隱私法規的要求，并提供歐盟《網絡安全法案》規定的“中等”保護層級（substantial level）。此外，W77Q安全閃存還獲得了多項安全認證，包括CC EAL2 (VAN.2)、IEC62443、SESIP和Arm平臺安全架構（PSA）認證。

系統恢復力對于物聯網設備尤其重要，然而這是多數安全閃存產品所缺少的功能。在電表等設備中，物理入侵（篡改）是一種常見的攻擊形式，因此需要加以保護。另外像是發電廠或軍事基地等高價值大型資產，則可能會從局域網絡遭到物理入侵。

而對于物聯網設備來說，主要威脅來自可擴展的網絡攻擊，它會利用互聯網遠程聯機到整個設備的設備群。美國國家標準與技術研究院（NIST）的SP 800-193標準規范了用于保護固件和配置數據免受此類攻擊的機制，并可以偵測受到的攻擊并從中復原。W77Q也提供符合此標準所需的系統恢復功能。系統恢復力有三個要素：防御攻擊、偵測攻擊，以及從攻擊中恢復（請見圖2）。

圖2：通過防御、偵測和恢復，W77Q是值得信賴的能維護平臺正常運作的設備。（圖片來源：華邦）

諸如加密身份驗證等功能可以防止未經授權的設備嘗試訪問數據，進而遏止攻擊。但是，成功的攻擊可能發生在主機SoC上，因此W77Q具有隨時偵測何時發生攻擊的能力。例如每次更新或訪問程序代碼時，它都會自動檢查存儲的程序代碼是否毀損，也能按照主機裝置的指令掃描程序代碼。

如果W77Q偵測到成功的攻擊，例如原本的SoC遭到入侵而破壞了自有的開機程序代碼時，內存設備便會自動進行適當的身份驗證，并恢復平臺固件。設備是通過“安全降級”（safe fallback）功能實現，此功能會將開機程序代碼恢復到已知的安全版本。此安全降級功能由經過身份驗證的看門狗定時器提供支持，使用已知的安全程序代碼強制主機SoC進入干凈開機模式（clean boot）。

 適用于多種場景的安全功能：

華邦開發W77Q的方法是提供一系列立即可用的分層化安全功能，讓物聯網設備制造商與設計人員能輕松進行部署（請見圖3）。華邦的W77Q可提供：

端對端、立即可用的安全性，無需具備安全性領域的專業知識

可快速部署

完整全面的解決方案，由安全軟件廠商的兼容產品提供支持

簡單的安全認證

成本合理

圖3：全面性防御網絡攻擊需要實行一套分層化的安全功能。（圖片來源：華邦）

通過采用熟悉的SPI NOR Flash封裝及標準腳位，提供這些全面的功能，華邦可以協助確保每個物聯網設備在上市之前都能具備網絡攻擊防御能力。