【導讀】在終端產品的安全方麵
，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善
、物理環境和網絡環境安全可靠構成了產品的第一道防線
，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作，以防止針對其最終產品的大多數安全攻擊。

雖然產品生命周期中的OEM階段比IC生產的OEM階段要短一些，但每個階段的安全風險與芯片供應商麵臨的風險卻很相似
，且同樣影響深遠。幸運的是，OEM可以在其芯片供應商建立的安全基礎上進行構建，並重複使用多種相同的技術。

正如本係列文章“ 第一部分——IC製造生命周期關鍵階段之安全性入門”所述
，IC生命周期的最後兩個階段是電路板組裝和電路板測試，而這兩個階段是由OEM來掌控的。

圖1：OEM負責確保IC生命周期最後兩個階段的安全。

電路板組裝

電路板組裝與IC生產中的封裝步驟非常相似。但是，電路板組裝不是將晶粒放入封裝內
，而是將芯片安裝到印製電路板(PCB)上，然後通常再將PCB安(an)裝(zhuang)在(zai)某(mou)種(zhong)外(wai)殼(ke)中(zhong)。電(dian)路(lu)板(ban)組(zu)裝(zhuang)現(xian)場(chang)的(de)物(wu)理(li)安(an)全(quan)和(he)網(wang)絡(luo)安(an)全(quan)是(shi)抵(di)禦(yu)攻(gong)擊(ji)的(de)第(di)一(yi)道(dao)防(fang)線(xian)。但(dan)是(shi)
，不(bu)同(tong)承(cheng)包(bao)商(shang)所(suo)提(ti)供(gong)的(de)物(wu)理(li)安(an)全(quan)和(he)網(wang)絡(luo)安(an)全(quan)可(ke)能(neng)會(hui)有(you)天(tian)壤(rang)之(zhi)別(bie)。

而且，受限於成本考慮和電路板測試性質


，所提供的物理安全環境和網絡安全環境往往很糟糕。此階段最嚴重的風險包括設備竊取、設備分析和硬件修改。下文將對如何降低這些風險進行闡述。

圖2：電路板組裝與IC生產階段的封裝非常相似。

設備竊取

竊取設備並試圖以合法手段轉售是該步驟首要關注的問題。與IC生產中的封裝測試階段一樣，通過對比電路板組裝現場的入庫和出庫庫存
，很容易檢測到數量較大的設備竊取行為。

此階段OEM麵臨的最大風險是攻擊者竊取大量設備
、對設備進行修改，並將修改後的產品出售給最終用戶。如果芯片供應商提供定製編程
，OEM可以通過訂購配置安全啟動的部件來大大降低這種風險。安全啟動能夠讓IC阻絕攻擊者試圖通過編程修改的所有軟件。

設備分析

與IC生sheng產chan期qi間jian的de封feng裝zhuang組zu裝zhuang階jie段duan相xiang比bi，在zai此ci步bu驟zhou中zhong
，攻gong擊ji者zhe竊qie取qu係xi統tong進jin行xing分fen析xi的de可ke能neng性xing大da大da降jiang低di。因yin為wei在zai此ci步bu驟zhou中zhong
，電dian路lu板ban通tong常chang並bing不bu包bao含han可ke進jin行xing分fen析xi的de有you用yong信xin息xi。這zhe是shi因yin為wei如ru果guo攻gong擊ji者zhe試shi圖tu分fen析xi硬ying件jian結jie構gou，他ta們men可ke以yi通tong過guo購gou買mai設she備bei輕qing鬆song獲huo取qu樣yang本ben。此ci外wai


，由you於yu尚shang未wei對dui設she備bei進jin行xing編bian程cheng，即ji使shi攻gong擊ji者zhe以yi這zhe種zhong方fang式shi竊qie取qu設she備bei也ye並bing不bu能neng訪fang問wen和he分fen析xi任ren何he具ju體ti的de設she備bei軟ruan件jian。

硬件修改

由於隱蔽修改很容易被檢測到，所以很難對PCB進行大規模隱蔽修改。OEM可ke以yi在zai可ke信xin的de環huan境jing中zhong進jin行xing簡jian單dan的de抽chou樣yang測ce試shi，以yi便bian直zhi觀guan地di檢jian查zha電dian路lu板ban，並bing將jiang其qi與yu已yi知zhi的de良liang好hao樣yang品pin進jin行xing比bi較jiao以yi檢jian測ce是shi否fou進jin行xing了le修xiu改gai。如ru果guo攻gong擊ji僅jin試shi圖tu修xiu改gai一yi套tao特te定ding的de電dian路lu板ban，此ci類lei測ce試shi可ke能neng會hui檢jian測ce不bu到dao
，但dan測ce試shi會hui讓rang此ci類lei攻gong擊ji難nan以yi開kai展zhan和he實shi施shi。

電路板測試

電路板測試階段的風險與IC生產期間的封裝測試風險類似。例如
，多個供應商共享測試係統是很常見的
，這增加了安全漏洞或惡意軟件入侵的風險。然而，OEM在此階段的供應商往往比IC製造的供應商更加多元化
，因此

，電路板測試比芯片封裝測試更難以確保安全。

圖3：同樣，電路板測試與IC生產期間的封裝測試非常相似。

tongchangdianlubanceshidewulianquanhewangluoanquanjiaocha。butongchanpinzhijiangongxiangkongjianheceshizhujishijiqichangjiande，erqiekenengbuhuiyizhiduiceshixitongdabuding。zaizuihouceshizhongxielujimishujudefengxianzuizhongqujueyuchanpindeshishijiqizuizhongceshiguocheng。ruguoIC足zu夠gou安an全quan，那na麼me最zui後hou的de測ce試shi架jia構gou就jiu可ke以yi完wan全quan保bao護hu數shu據ju免mian受shou測ce試shi環huan境jing中zhong惡e意yi軟ruan件jian的de危wei害hai。遺yi憾han的de是shi，該gai主zhu題ti過guo於yu複fu雜za，無wu法fa在zai本ben文wen中zhong深shen入ru探tan討tao。

惡意代碼注入

zaidianlubanceshizhongzuijiandandegongjifangfajiushixiugaishebeiruanjian。youyuqiyonganquanqidongheyingyongchengxubianchengdouzaidianlubanceshidetongyibuzhouzhongwancheng，yincirenmendanxingongjizhewanquankongzhiceshi、注入惡意代碼並禁用安全啟動。可以通過樣本測試或雙插入測試流程來降低這種風險。

此ci外wai，如ru果guo定ding製zhi編bian程cheng可ke用yong，那na麼me要yao求qiu芯xin片pian供gong應ying商shang配pei置zhi並bing啟qi用yong安an全quan啟qi動dong將jiang能neng有you效xiao防fang禦yu惡e意yi代dai碼ma注zhu入ru。以yi此ci方fang式shi使shi用yong編bian程cheng服fu務wu時shi，電dian路lu板ban測ce試shi應ying能neng驗yan證zheng安an全quan啟qi動dong得de以yi正zheng確que配pei置zhi和he啟qi用yong，這zhe一yi點dian仍reng尤you為wei重zhong要yao。封feng裝zhuang步bu驟zhou和he最zui後hou測ce試shi步bu驟zhou可ke以yi協xie同tong工gong作zuo、相互驗證
，因此，攻擊者要想更改芯片供應商或OEM的代碼，就要破壞這兩個步驟才可能得逞。

值得注意的是
，安全啟動是否強力有效取決於是否對私鑰保密。強烈建議在硬件安全模塊(HSM)等(deng)安(an)全(quan)密(mi)鑰(yao)庫(ku)中(zhong)生(sheng)成(cheng)簽(qian)名(ming)密(mi)鑰(yao)，並(bing)且(qie)永(yong)遠(yuan)不(bu)要(yao)導(dao)出(chu)該(gai)密(mi)鑰(yao)。此(ci)外(wai)，應(ying)嚴(yan)格(ge)限(xian)製(zhi)密(mi)鑰(yao)簽(qian)名(ming)

，最(zui)好(hao)是(shi)至(zhi)少(shao)有(you)兩(liang)個(ge)人(ren)的(de)身(shen)份(fen)驗(yan)證(zheng)，以(yi)確(que)保(bao)單(dan)個(ge)參(can)與(yu)者(zhe)不(bu)能(neng)對(dui)惡(e)意(yi)映(ying)像(xiang)文(wen)件(jian)進(jin)行(xing)簽(qian)名(ming)。

身份提取

由於OEM通常會在電路板測試中加入憑證（加密密鑰和證書）
，因此攻擊者會試圖竊取訪問憑證或相關的密鑰材料。

事實證明
，身份憑證的安全配置是一個十分複雜且極為微妙的問題。這不僅涉及到設備的功能、承cheng包bao商shang的de物wu理li安an全quan和he網wang絡luo安an全quan，還hai涉she及ji到dao配pei置zhi方fang法fa的de設she計ji。而er且qie，還hai要yao考kao慮lv到dao製zhi造zao規gui模mo和he成cheng本ben所suo產chan生sheng的de特te有you問wen題ti。此ci外wai，與yu所suo有you安an全quan性xing能neng一yi樣yang，無wu法fa確que保bao所suo有you的de係xi統tong漏lou洞dong都dou得de以yi解jie決jue。為wei設she備bei提ti供gong身shen份fen認ren證zheng很hen容rong易yi，但dan以yi可ke接jie受shou的de成cheng本ben和he較jiao大da的de規gui模mo為wei設she備bei提ti供gong強qiang大da的de身shen份fen安an全quan認ren證zheng卻que絕jue非fei易yi事shi。

如果係統設計完善，私鑰將始終綁定安全密鑰庫
，因此他人不可能訪問密鑰材料並偽造憑證。例如，Silicon Labs采取的措施是將生成設備證書的私鑰存儲在PC上的可信平台模塊(TPM)中
，該模塊可抵禦物理入侵和邏輯入侵
，它位於站點數據中心的訪問受限裝置之中。

此ci外wai
，使shi用yong這zhe些xie密mi鑰yao還hai會hui受shou到dao限xian製zhi
，密mi鑰yao僅jin適shi用yong於yu某mou一yi批pi次ci的de產chan品pin，且qie僅jin在zai該gai批pi次ci產chan品pin完wan成cheng測ce試shi的de前qian幾ji天tian可ke用yong
，一yi旦dan該gai批pi次ci產chan品pin測ce試shi完wan成cheng就jiu會hui刪shan除chu這zhe些xie密mi鑰yao。最zui後hou，如ru果guo此ci種zhong密mi鑰yao被bei泄xie露lu，那na麼me使shi用yong該gai密mi鑰yao製zhi造zao的de設she備bei其qi憑ping證zheng可ke被bei撤che銷xiao
，以yi說shuo明ming這zhe些xie不bu再zai是shi可ke信xin設she備bei。

同tong樣yang地di，所suo有you支zhi持chi安an全quan密mi鑰yao存cun儲chu的de設she備bei都dou在zai電dian路lu板ban上shang生sheng成cheng私si鑰yao，而er且qie這zhe些xie密mi鑰yao將jiang始shi終zhong綁bang定ding安an全quan密mi鑰yao庫ku。必bi須xu對dui不bu支zhi持chi安an全quan密mi鑰yao存cun儲chu的de設she備bei加jia入ru密mi鑰yao。而er實shi際ji上shang
，這zhe些xie設she備bei更geng容rong易yi受shou到dao攻gong擊ji者zhe的de入ru侵qin
，因yin為wei攻gong擊ji者zhe會hui隱yin藏zang在zai測ce試shi基ji礎chu設she施shi中zhong以yi竊qie取qu私si鑰yao。

為了防止低安全性設備的證書冒充高安全性設備的證書，製造過程中生成的所有證書都包含有說明其私鑰存儲能力的數據。

OEM所采用的測試係統應能抵禦對物理訪問的修改及限製，應檢查物理安全性
、進行標準訪問控製並及時記錄日誌。最後，應保證網絡和PC操作標準安全。例如，測試係統不應直接與互聯網連接
，也不應使用公共登錄憑證。

應(ying)開(kai)展(zhan)定(ding)期(qi)檢(jian)查(zha)，以(yi)確(que)保(bao)在(zai)這(zhe)些(xie)過(guo)程(cheng)中(zhong)發(fa)現(xian)並(bing)檢(jian)查(zha)到(dao)所(suo)有(you)的(de)修(xiu)改(gai)。這(zhe)些(xie)標(biao)準(zhun)操(cao)作(zuo)可(ke)以(yi)防(fang)止(zhi)攻(gong)擊(ji)者(zhe)一(yi)開(kai)始(shi)就(jiu)獲(huo)取(qu)對(dui)測(ce)試(shi)係(xi)統(tong)的(de)訪(fang)問(wen)權(quan)。除(chu)以(yi)上(shang)操(cao)作(zuo)外(wai)，OEM還可以將測試設備委托給不與其他供應商共享的合同製造商(CM)，從而進一步提高物理安全和網絡安全。這些係統也可以通過滲透測試來識別和修複漏洞，之後這些係統才可以使用。

最後，要妥善處理存儲在OEM的IT基ji礎chu設she施shi中zhong的de更geng高gao級ji別bie的de密mi鑰yao。這zhe些xie更geng高gao級ji的de密mi鑰yao應ying存cun儲chu在zai密mi鑰yao庫ku中zhong，且qie應ying製zhi定ding合he理li的de訪fang問wen限xian製zhi。這zhe些xie密mi鑰yao的de使shi用yong應ying得de到dao監jian管guan，以yi便bian識shi別bie到dao意yi外wai操cao作zuo，並bing可ke及ji時shi提ti醒xing相xiang關guan工gong作zuo人ren員yuan。

對於那些不想自行建立憑證配置基礎設施的OEM，可選擇提供安全編程服務的芯片供應商。例如，Silicon Labs在其Vault-High產品目錄中提供憑證，並且可以將憑證編程到定製化元件上

，而這些定製化元件是通過定製化元件製造服務(CPMS)訂購的。這些服務使建立憑證配置基礎設施的負擔從電路板測試階段轉移到了芯片供應商的編程階段。

機密信息提取

當(dang)密(mi)鑰(yao)或(huo)專(zhuan)有(you)算(suan)法(fa)等(deng)機(ji)密(mi)信(xin)息(xi)被(bei)編(bian)程(cheng)為(wei)電(dian)路(lu)板(ban)測(ce)試(shi)的(de)一(yi)部(bu)分(fen)時(shi)
，攻(gong)擊(ji)者(zhe)可(ke)能(neng)會(hui)通(tong)過(guo)破(po)壞(huai)測(ce)試(shi)設(she)備(bei)來(lai)獲(huo)取(qu)此(ci)信(xin)息(xi)。電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)用(yong)以(yi)抵(di)禦(yu)身(shen)份(fen)提(ti)取(qu)的(de)所(suo)有(you)建(jian)議(yi)措(cuo)施(shi)均(jun)適(shi)用(yong)於(yu)此(ci)。同(tong)樣(yang)地(di)
，使(shi)用(yong)編(bian)程(cheng)服(fu)務(wu)可(ke)以(yi)將(jiang)這(zhe)種(zhong)風(feng)險(xian)從(cong)電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)轉(zhuan)移(yi)到(dao)芯(xin)片(pian)封(feng)裝(zhuang)測(ce)試(shi)階(jie)段(duan)。

使(shi)用(yong)一(yi)係(xi)列(lie)恰(qia)當(dang)的(de)安(an)全(quan)功(gong)能(neng)，即(ji)使(shi)測(ce)試(shi)係(xi)統(tong)受(shou)到(dao)威(wei)脅(xie)
，也(ye)可(ke)以(yi)配(pei)置(zhi)機(ji)密(mi)信(xin)息(xi)並(bing)加(jia)以(yi)保(bao)護(hu)。如(ru)上(shang)所(suo)述(shu)
，此(ci)配(pei)置(zhi)要(yao)有(you)安(an)全(quan)的(de)中(zhong)央(yang)主(zhu)機(ji)以(yi)及(ji)具(ju)有(you)安(an)全(quan)引(yin)擎(qing)的(de)設(she)備(bei)
，這(zhe)種(zhong)引(yin)擎(qing)可(ke)以(yi)不(bu)受(shou)測(ce)試(shi)係(xi)統(tong)影(ying)響(xiang)且(qie)可(ke)以(yi)通(tong)過(guo)中(zhong)央(yang)主(zhu)機(ji)進(jin)行(xing)檢(jian)驗(yan)以(yi)驗(yan)證(zheng)設(she)備(bei)的(de)狀(zhuang)態(tai)。

電路板測試將對IC進行編程
、啟(qi)用(yong)安(an)全(quan)啟(qi)動(dong)並(bing)鎖(suo)定(ding)設(she)備(bei)，然(ran)後(hou)設(she)備(bei)將(jiang)證(zheng)明(ming)其(qi)狀(zhuang)態(tai)。如(ru)果(guo)測(ce)試(shi)設(she)備(bei)被(bei)入(ru)侵(qin)且(qie)不(bu)再(zai)正(zheng)常(chang)發(fa)揮(hui)作(zuo)用(yong)，中(zhong)央(yang)主(zhu)機(ji)將(jiang)在(zai)已(yi)經(jing)得(de)以(yi)證(zheng)實(shi)的(de)信(xin)息(xi)中(zhong)檢(jian)測(ce)到(dao)它(ta)。如(ru)果(guo)中(zhong)央(yang)主(zhu)機(ji)認(ren)為(wei)設(she)備(bei)配(pei)置(zhi)正(zheng)確(que)

，便(bian)可(ke)以(yi)與(yu)已(yi)知(zhi)的(de)可(ke)靠(kao)應(ying)用(yong)程(cheng)序(xu)交(jiao)換(huan)密(mi)鑰(yao)，然(ran)後(hou)通(tong)過(guo)該(gai)安(an)全(quan)鏈(lian)路(lu)發(fa)送(song)機(ji)密(mi)信(xin)息(xi)。此(ci)過(guo)程(cheng)可(ke)防(fang)止(zhi)測(ce)試(shi)係(xi)統(tong)查(zha)看(kan)或(huo)更(geng)改(gai)機(ji)密(mi)信(xin)息(xi)。

終端產品的安全需要OEM的不懈努力

在終端產品的安全方麵，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善、物理環境和網絡環境安全可靠構成了產品的第一道防線
，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作
，以防止針對其最終產品的大多數安全攻擊。

此外，許多芯片供應商提供的服務和功能，能夠讓OEM降低確保其製造環境安全的工作量和複雜性。如今，有效實施這些技術將有助於確保OEM所有互聯設備的安全，以及確保其所在的生態係統的安全。芯片供應商和OEM應攜手合作，為打造安全可靠的物聯網保駕護航。

（來源：Silicon Labs （亦稱“芯科科技”）作者：高級係統工程師Joshua Norem ）

推薦閱讀：

第一部分——IC製造生命周期關鍵階段之安全性入門

英飛淩中小功率AC／DC數字電源控製器IDP230X介紹

麵向下一代汽車和工業應用的安全閃存

常規控製繼電器選型實例分享

汽車電子後視鏡的大腦