连网设备需要更安全的内存

随着更多的新兴应用案例出现，揭露了内存技术可能成为黑客制造破坏的一个威胁管道，无论他是透过窃取数据还是发送恶意指令等方式。

当然，在内存中内建安全功能并不是什么新鲜事。例如“SD卡”(Secure Digital Memory Card)中的‘S’一开始就是指“安全”(secure)，只是SD协会(SD Association)一直未真正的强调这一点。此外，电子擦除式可编程只读存储器(EEPROM)长久以来也已经用于需要嵌入式安全的应用，如信用卡、SIM卡和车用免钥匙进入系统等。

但随着不同的内存类型开始应用于更广泛的系统——如汽车、制造业和物联网(IoT)——对于安全的需求相对大幅增加了。但问题并不仅在于其整合安全之处，更重要的是如何加以管理，特别是在嵌入式内存中，这些内存预计将存在于设备中使用许多年，甚至可能是几十年。

Objective Analysis首席分析师Jim Handy去年参加储存网络产业协会(Storage Networking Industry Association；SNIA)储存开发者大会(Storage Developer Conference)时，他在一场英特尔(Intel)的议程中介绍了非挥发性双列直插式内存模块(NVDIMM)的固件升级标准，以及如何解决漏洞问题。Handy告诉《EE Times》编辑，“我之前一直未曾考虑到恶意软件可能插入运算环境的众多可能之处。”

他说，这不仅仅可能发生在使用闪存(flash)的系统各处，例如SSD中的统一可扩展固件接口(Unified Extensible Firmware Interface；UEFI)的启动和固件，还有flash芯片中控制编程算法的处理器。Handy说：“这些处理器的固件与flash中的数据储存在一起，形成了另一个漏洞。”

从经济效益来看，破坏某种特定内存和破解内建该内存的计算机差不多。就像苹果(Apple)计算机比较少因为病毒和恶意软件破坏而上新闻，这是因为他们只占整个计算机市场的一小部份，所使用的内存出货单位较少，即使黑客要对其搞破坏似乎也不太有投资报酬率(ROI)。

Handy说，再从每年SRAM芯片的销售数字不高来看，显示黑客就算更努力寻找安全漏洞，最终可能取得的利润也不高。然而，如果全球推出了数十亿个单位的某种DRAM，那就可能经由行锤(row hammer)攻击而赚钱。

但在大多数情况下，考虑到要攻破这些技术所涉及的工作量庞大，也就不必太过于担心DRAM保护的问题。不过，一个极端的情况是窃取仍处于睡眠模式且受密码保护的笔记本电脑。他说，小偷可以在DRAM模块上使用液氮，将它们移除后放入另一个系统而取得内容。Handy说：“让DRAM维持在更低温，保持位数据新鲜的时间就越长，而不需要随时刷新。”

自加密硬盘(例如由Virtium制造的产品)包括使用先进加密标准(AES)的专用加密引擎，无需采用软件在主机上运行。

那么其他的内存呢？Handy说，铁电随机存取内存(FRAM)与EEPROM类似，也适于需要安全的应用，例如交通支付卡。而磁阻式随机存取内存(MRAM)和可变电阻式随机存取内存(RRAM)尚未落实于安全攸关应用，主要因为目前其市场较小，还不值得投入这些技术的安全应用。然而，闪存具有更多安全特性，特别是NOR Flash。

Handy说，“由于引擎控制器使用NOR Flash，使得汽车产业很早就切入安全领域了，而且他们还发现可以经由改变NOR Flash成份来调整引擎，以降低空气污染并提供更多动力。”但是，这很可能导致引擎在保固期满前发生故障，而使得汽车制造商陷入困境。

当然，在汽车系统中，内存受损的后果可能比调整或改装引擎更严重。当今的智能车辆和自动驾驶车中充满着各种传感器，包括摄影机、雷达和激光雷达，用于在车辆内外传输关键数据。例如，下一代雷达——即认知雷达，透过微控制器(MCU)控制模拟雷达、储存和提取本地flash中的数据。因此，旺宏电子(Macronix)市场营销处资深处长Anthony Le表示，这必须进行身份验证，否则系统就可能被人攻破，甚至接管车辆。

将安全性分层到任何系统的挑战之一是对于性能的影响。针对车用flash和其他内存，真正的问题就在于启动时间。Le说：“安全性并不会增加任何功耗。相较于MCU和处理器，flash消耗的功率非常少。”当MCU必须进行大量的系统检查和认证时，旺宏的解决方案则可用于解决启动周期的问题。

以成本和质量来看，NOR Flash在汽车领域均得到了验证。但在接下来的五到十年，RRAM和FRAM等内存将陆续进入汽车领域的利基市场——甚至在某些情况下取代EEPROM，不过它们还需要一些时间来证明。

SSD的安全性

当然，NAND无处不在，它很快地从用于混合储存数组的高成本储存介质开始变得更实惠，All-Flash数组也日益普及。但SNIA安全技术工作组主席Eric Hibbard表示，为了避免资料被窃取，确保SSD的安全性就像也能选择擦除数据一样，原因就在于超容量快取(OP)。

为了延长SSD的使用寿命，供应商可能对其进行超容量快取，以确保相同的内存单元不至于因为过多的覆写而磨损。他说：“当你想让资料消失时，问题就来了。”假设1TB SSD可能进行超容量快取，使实际储存容量达到1.3TB，但是当你想以覆写方式清除硬盘时，只能清理掉1TB的内容。

Hibbard表示，使用者越来越习惯以加密方式保护SSD上的数据。Hibbard说：“当运用flash技术时，我们看到越来越多导入了加密技术，因为它基本上是一种确保数据在这些SSD上写入后也能删除的可靠方法。”

他说，这种加密擦除的途径并非依靠覆写来删除SSD中的数据。“基本上是摧毁了数据的加密密钥，但实际上并不会触及任何内存单元。它是一种近乎实时的处理机制。”

Hibbard说，这种加密擦除技术可用于储存数组，以及处理内部的所有硬盘，或是用于实际的自加密介质。“控制器和硬盘之间的关系基本上取决于验证身份的密钥。”如果没有这些功能，就必须摧毁整个介质，以避免数据无法完全清除。

加密变得更加容易了，因为它是在硬件中实现的。他说：“你会看到加密芯片实际安装在控制器板上，或者实际嵌入于此磁盘的加密机制。”此外，它并不会影响性能——无论加密是否添加到硬盘或控制器中，几乎都不影响I/O。

现代车辆中的先进驾驶辅助系统(ADAS)只是许多需要更进一步确保内存技术安全的众多新兴用例之一

如何有效管理安全性以及如何更新设备，将因为内存所在位置而改变，汽车和物联网就是很好的例子，因为它们都具有分布式和连接本质。工业级flash内存制造商Swissbit AG最近展示了用于现场控制和管理内存的网络策略服务器概念。透过将双因素验证绑定到单个IP地址，启动加载程序将仅在定义的网络中运行。例如，如果从制造设施中移除一款设备，就表示不存在安全风险。赛普拉斯半导体(Cypress Semiconductor ) Flash业务行销总监Sandeep Krishnegowda指出，管理内存的安全性和用户权限的发展历史比机顶盒(STB)更久远，这是远程管理设备的一项早期案例。

还有一些变化就是一些新兴用例的生命周期。具有内存功能的设备预计可持续使用长达十年或更长时间，无论是现场监测作物还是嵌入自驾车中的传感器。例如，Krishnegowda表示，赛普拉斯等内存供应商需要在产品生命周期内添加算法。“您需要提供某种类型的远程升级，才能管理其中一些加密算法或更新。”

他并预期，设备将可透过空中传输(OTA)的方法，经由云端进行配置。“如果你可以从云端管理其中一些升级，那么它就是一种新的商业模式。”

编译：Susan Hong，EET Taiwan

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”