2.1 安全保護(hù)的目的

為何需要采取保護(hù)措施

微控制器中的安全性是指保護(hù)內(nèi)置的固件、數(shù)據(jù)以及系統(tǒng)功能。而對(duì)于數(shù)據(jù)保護(hù)有需求的場(chǎng)合，尤其是密鑰和個(gè)人數(shù)據(jù)最為重要。

固件代碼也是重要的資產(chǎn)。如果攻擊者能夠訪問二進(jìn)制代碼，便可對(duì)程序進(jìn)行逆向工程，嘗試找到其它漏洞，繞過許可和軟件限制。攻擊者可以復(fù)制任何自定義算法，甚至可以使用它來刷新硬件的克隆。即使是開源軟件，也有必要證明代碼的真實(shí)性，而且并未被惡意固件替代。

考慮到系統(tǒng)層面的保護(hù)，如環(huán)境，包含氣體，火災(zāi)或侵蝕，檢測(cè)報(bào)警或監(jiān)控?cái)z像頭，拒絕報(bào)務(wù)攻擊（DoS 攻擊）是另一種主要威脅。系統(tǒng)功能須具有穩(wěn)健、可靠的特性。

即使安全要求增加了系統(tǒng)的復(fù)雜性，也不得低估其地位。如今，越來越多的技術(shù)熟練的攻擊者將基于微控制器構(gòu)建的系統(tǒng)做為潛在目標(biāo)，希望以此實(shí)現(xiàn)經(jīng)濟(jì)獲益。這些收益可能會(huì)非常高，特別是在攻擊可大規(guī)模傳播（比如在 IoT環(huán)境中）的情況下。即使系統(tǒng)無法達(dá)到完全安全，也可以提高攻擊的成本。

事實(shí)上，IoT 或智能設(shè)備已提高了對(duì)安全的要求。互聯(lián)設(shè)備可遠(yuǎn)程訪問，因此對(duì)黑客來說極具吸引力。這個(gè)連接性本身可能為攻擊提供了一個(gè)基于協(xié)議弱點(diǎn)的入口。一旦成功實(shí)施攻擊后，一臺(tái)被破解的設(shè)備會(huì)破壞整個(gè)網(wǎng)絡(luò)的完整性（請(qǐng)參見下圖）。

什么需要被保護(hù)

安全不能局限于特定的目標(biāo)或資產(chǎn)。如果代碼二進(jìn)制文件一旦被公開，則很難保護(hù)數(shù)據(jù)，對(duì)應(yīng)攻擊行為和保護(hù)機(jī)制很難被區(qū)分。但是對(duì)資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行匯總?cè)匀环浅Ｓ杏谩Ｏ卤斫榻B的是被攻擊者當(dāng)做目標(biāo)的部分資產(chǎn)列表。

弱點(diǎn)、威脅和攻擊

保護(hù)機(jī)制需要處理不同的威脅。目的在于消除攻擊中可能利用的弱點(diǎn)。

第 3 節(jié) 攻擊類型中概括介紹了主要攻擊類型（從基本攻擊到最高級(jí)的攻擊）。

下面介紹有關(guān)安全的三要素：

? 資產(chǎn)：需要保護(hù)的內(nèi)容

? 威脅：需要保護(hù)器件/用戶免于的內(nèi)容

? 弱點(diǎn)：保護(hù)機(jī)制中存在的漏洞或缺陷

總而言之，攻擊是指一種利用系統(tǒng)漏洞訪問資產(chǎn)的實(shí)現(xiàn)。

3.1 引言

安全的一條重要規(guī)則是攻擊總是無處不在。首先，沒有任何保護(hù)措施能夠完全避免意外攻擊。無論采取哪種安全措施對(duì)系統(tǒng)進(jìn)行保護(hù)，都會(huì)在器件使用過程中發(fā)現(xiàn)安全漏洞并加以利用。

最后一點(diǎn)需要考慮如何更新設(shè)備固件以提高其安全性（請(qǐng)參考第 5.2.2 節(jié) 安全固件更新（SFU））。其次，在實(shí)驗(yàn)室條件下使用，可檢索微控制器內(nèi)容甚至是設(shè)計(jì)架構(gòu)細(xì)節(jié)。這些技術(shù)在 第 3.3 節(jié) 硬件攻擊 中進(jìn)行了簡(jiǎn)短的介紹。

從攻擊者的角度來看，如果期望收益/攻擊成本之比足夠高，那么攻擊便有利可圖。收益取決于竊取的資產(chǎn)價(jià)值以及攻擊的可重復(fù)性。成本則取決于成功實(shí)現(xiàn)攻擊所花費(fèi)的時(shí)間和金錢（設(shè)備）。

攻擊類型

下面對(duì)攻擊進(jìn)行了更為詳細(xì)的分組和分類：

? 軟件攻擊利用漏洞，協(xié)議弱點(diǎn)或不可信的代碼片段來執(zhí)行。對(duì)通信渠道的攻擊（攔截或篡奪）屬于此類。軟件攻擊是最主要的攻擊類型。它們的成本可能非常低。它們可以廣泛傳播，反復(fù)進(jìn)行，破壞力巨大。無需物理訪問器件，即可遠(yuǎn)程執(zhí)行攻擊。

? 硬件攻擊需要對(duì)設(shè)備進(jìn)行物理訪問。最典型的硬件攻擊是利用未受保護(hù)的調(diào)試端口實(shí)施攻擊。但一般而言，硬件攻擊頗為復(fù)雜，成本可能非常高昂。進(jìn)行攻擊時(shí)需要使用特定的材料，而且對(duì)電子工程技能有一定的要求。在板級(jí)或芯片級(jí)實(shí)施的非侵入性攻擊不會(huì)破壞器件，而在器件硅片級(jí)實(shí)施的侵入性攻擊則會(huì)破壞器件封裝。在大多數(shù)情況下，通過此手段找到一種可用于廣泛遠(yuǎn)程攻擊的方法和信息，此類攻擊手段才是可利可圖的。

下表概括介紹了每種攻擊類型的成本及使用的技術(shù)。