【導讀】在終端產品的安全方麵，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善

、物理環境和網絡環境安全可靠構成了產品的第一道防線，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作，以防止針對其最終產品的大多數安全攻擊。

雖然產品生命周期中的OEM階段比IC生產的OEM階段要短一些，但每個階段的安全風險與芯片供應商麵臨的風險卻很相似，且同樣影響深遠。幸運的是，OEM可以在其芯片供應商建立的安全基礎上進行構建，並重複使用多種相同的技術。

正如本係列文章“ 第一部分——IC製造生命周期關鍵階段之安全性入門”所述
，IC生命周期的最後兩個階段是電路板組裝和電路板測試，而這兩個階段是由OEM來掌控的。

圖1：OEM負責確保IC生命周期最後兩個階段的安全。

電路板組裝

電路板組裝與IC生產中的封裝步驟非常相似。但是
，電路板組裝不是將晶粒放入封裝內，而是將芯片安裝到印製電路板(PCB)上，然後通常再將PCBanzhuangzaimouzhongwaikezhong。dianlubanzuzhuangxianchangdewulianquanhewangluoanquanshidiyugongjidediyidaofangxian。danshi，butongchengbaoshangsuotigongdewulianquanhewangluoanquankenenghuiyoutianrangzhibie。

而且
，受限於成本考慮和電路板測試性質，所提供的物理安全環境和網絡安全環境往往很糟糕。此階段最嚴重的風險包括設備竊取
、設備分析和硬件修改。下文將對如何降低這些風險進行闡述。

圖2：電路板組裝與IC生產階段的封裝非常相似。

設備竊取

竊取設備並試圖以合法手段轉售是該步驟首要關注的問題。與IC生產中的封裝測試階段一樣
，通過對比電路板組裝現場的入庫和出庫庫存
，很容易檢測到數量較大的設備竊取行為。

此階段OEM麵臨的最大風險是攻擊者竊取大量設備
、對設備進行修改，並將修改後的產品出售給最終用戶。如果芯片供應商提供定製編程，OEM可以通過訂購配置安全啟動的部件來大大降低這種風險。安全啟動能夠讓IC阻絕攻擊者試圖通過編程修改的所有軟件。

設備分析

與IC生(sheng)產(chan)期(qi)間(jian)的(de)封(feng)裝(zhuang)組(zu)裝(zhuang)階(jie)段(duan)相(xiang)比(bi)，在(zai)此(ci)步(bu)驟(zhou)中(zhong)，攻(gong)擊(ji)者(zhe)竊(qie)取(qu)係(xi)統(tong)進(jin)行(xing)分(fen)析(xi)的(de)可(ke)能(neng)性(xing)大(da)大(da)降(jiang)低(di)。因(yin)為(wei)在(zai)此(ci)步(bu)驟(zhou)中(zhong)，電(dian)路(lu)板(ban)通(tong)常(chang)並(bing)不(bu)包(bao)含(han)可(ke)進(jin)行(xing)分(fen)析(xi)的(de)有(you)用(yong)信(xin)息(xi)。這(zhe)是(shi)因(yin)為(wei)如(ru)果(guo)攻(gong)擊(ji)者(zhe)試(shi)圖(tu)分(fen)析(xi)硬(ying)件(jian)結(jie)構(gou)
，他(ta)們(men)可(ke)以(yi)通(tong)過(guo)購(gou)買(mai)設(she)備(bei)輕(qing)鬆(song)獲(huo)取(qu)樣(yang)本(ben)。此(ci)外(wai)
，由(you)於(yu)尚(shang)未(wei)對(dui)設(she)備(bei)進(jin)行(xing)編(bian)程(cheng)
，即(ji)使(shi)攻(gong)擊(ji)者(zhe)以(yi)這(zhe)種(zhong)方(fang)式(shi)竊(qie)取(qu)設(she)備(bei)也(ye)並(bing)不(bu)能(neng)訪(fang)問(wen)和(he)分(fen)析(xi)任(ren)何(he)具(ju)體(ti)的(de)設(she)備(bei)軟(ruan)件(jian)。

硬件修改

由於隱蔽修改很容易被檢測到
，所以很難對PCB進行大規模隱蔽修改。OEMkeyizaikexindehuanjingzhongjinxingjiandandechouyangceshi
，yibianzhiguandijianzhadianluban，bingjiangqiyuyizhidelianghaoyangpinjinxingbijiaoyijianceshifoujinxinglexiugai。ruguogongjijinshituxiugaiyitaotedingdedianluban，cileiceshikenenghuijiancebudao
，danceshihuirangcileigongjinanyikaizhanheshishi。

電路板測試

電路板測試階段的風險與IC生產期間的封裝測試風險類似。例如
，多個供應商共享測試係統是很常見的，這增加了安全漏洞或惡意軟件入侵的風險。然而
，OEM在此階段的供應商往往比IC製造的供應商更加多元化

，因此

，電路板測試比芯片封裝測試更難以確保安全。

圖3：同樣
，電路板測試與IC生產期間的封裝測試非常相似。

通(tong)常(chang)電(dian)路(lu)板(ban)測(ce)試(shi)的(de)物(wu)理(li)安(an)全(quan)和(he)網(wang)絡(luo)安(an)全(quan)較(jiao)差(cha)。不(bu)同(tong)產(chan)品(pin)之(zhi)間(jian)共(gong)享(xiang)空(kong)間(jian)和(he)測(ce)試(shi)主(zhu)機(ji)是(shi)極(ji)其(qi)常(chang)見(jian)的(de)
，而(er)且(qie)可(ke)能(neng)不(bu)會(hui)一(yi)直(zhi)對(dui)測(ce)試(shi)係(xi)統(tong)打(da)補(bu)丁(ding)。在(zai)最(zui)後(hou)測(ce)試(shi)中(zhong)泄(xie)露(lu)機(ji)密(mi)數(shu)據(ju)的(de)風(feng)險(xian)最(zui)終(zhong)取(qu)決(jue)於(yu)產(chan)品(pin)的(de)實(shi)施(shi)及(ji)其(qi)最(zui)終(zhong)測(ce)試(shi)過(guo)程(cheng)。如(ru)果(guo)ICzugouanquan，namezuihoudeceshijiagoujiukeyiwanquanbaohushujumianshouceshihuanjingzhongeyiruanjiandeweihai。yihandeshi，gaizhutiguoyufuza
，wufazaibenwenzhongshenrutantao。

惡意代碼注入

zaidianlubanceshizhongzuijiandandegongjifangfajiushixiugaishebeiruanjian。youyuqiyonganquanqidongheyingyongchengxubianchengdouzaidianlubanceshidetongyibuzhouzhongwancheng，yincirenmendanxingongjizhewanquankongzhiceshi
、注入惡意代碼並禁用安全啟動。可以通過樣本測試或雙插入測試流程來降低這種風險。

ciwai
，ruguodingzhibianchengkeyong
，nameyaoqiuxinpiangongyingshangpeizhibingqiyonganquanqidongjiangnengyouxiaofangyueyidaimazhuru。yicifangshishiyongbianchengfuwushi，dianlubanceshiyingnengyanzhenganquanqidongdeyizhengquepeizhiheqiyong
，zheyidianrengyouweizhongyao。fengzhuangbuzhouhezuihouceshibuzhoukeyixietonggongzuo、相互驗證，因此，攻擊者要想更改芯片供應商或OEM的代碼
，就要破壞這兩個步驟才可能得逞。

值得注意的是，安全啟動是否強力有效取決於是否對私鑰保密。強烈建議在硬件安全模塊(HSM)等(deng)安(an)全(quan)密(mi)鑰(yao)庫(ku)中(zhong)生(sheng)成(cheng)簽(qian)名(ming)密(mi)鑰(yao)，並(bing)且(qie)永(yong)遠(yuan)不(bu)要(yao)導(dao)出(chu)該(gai)密(mi)鑰(yao)。此(ci)外(wai)，應(ying)嚴(yan)格(ge)限(xian)製(zhi)密(mi)鑰(yao)簽(qian)名(ming)
，最(zui)好(hao)是(shi)至(zhi)少(shao)有(you)兩(liang)個(ge)人(ren)的(de)身(shen)份(fen)驗(yan)證(zheng)

，以(yi)確(que)保(bao)單(dan)個(ge)參(can)與(yu)者(zhe)不(bu)能(neng)對(dui)惡(e)意(yi)映(ying)像(xiang)文(wen)件(jian)進(jin)行(xing)簽(qian)名(ming)。

身份提取

由於OEM通常會在電路板測試中加入憑證（加密密鑰和證書）
，因此攻擊者會試圖竊取訪問憑證或相關的密鑰材料。

事實證明，身份憑證的安全配置是一個十分複雜且極為微妙的問題。這不僅涉及到設備的功能、承(cheng)包(bao)商(shang)的(de)物(wu)理(li)安(an)全(quan)和(he)網(wang)絡(luo)安(an)全(quan)，還(hai)涉(she)及(ji)到(dao)配(pei)置(zhi)方(fang)法(fa)的(de)設(she)計(ji)。而(er)且(qie)，還(hai)要(yao)考(kao)慮(lv)到(dao)製(zhi)造(zao)規(gui)模(mo)和(he)成(cheng)本(ben)所(suo)產(chan)生(sheng)的(de)特(te)有(you)問(wen)題(ti)。此(ci)外(wai)，與(yu)所(suo)有(you)安(an)全(quan)性(xing)能(neng)一(yi)樣(yang)，無(wu)法(fa)確(que)保(bao)所(suo)有(you)的(de)係(xi)統(tong)漏(lou)洞(dong)都(dou)得(de)以(yi)解(jie)決(jue)。為(wei)設(she)備(bei)提(ti)供(gong)身(shen)份(fen)認(ren)證(zheng)很(hen)容(rong)易(yi)，但(dan)以(yi)可(ke)接(jie)受(shou)的(de)成(cheng)本(ben)和(he)較(jiao)大(da)的(de)規(gui)模(mo)為(wei)設(she)備(bei)提(ti)供(gong)強(qiang)大(da)的(de)身(shen)份(fen)安(an)全(quan)認(ren)證(zheng)卻(que)絕(jue)非(fei)易(yi)事(shi)。

如果係統設計完善，私鑰將始終綁定安全密鑰庫，因此他人不可能訪問密鑰材料並偽造憑證。例如
，Silicon Labs采取的措施是將生成設備證書的私鑰存儲在PC上的可信平台模塊(TPM)中，該模塊可抵禦物理入侵和邏輯入侵，它位於站點數據中心的訪問受限裝置之中。

ciwai，shiyongzhexiemiyaohaihuishoudaoxianzhi，miyaojinshiyongyumouyipicidechanpin，qiejinzaigaipicichanpinwanchengceshideqianjitiankeyong，yidangaipicichanpinceshiwanchengjiuhuishanchuzhexiemiyao。zuihou
，ruguocizhongmiyaobeixielu
，nameshiyonggaimiyaozhizaodeshebeiqipingzhengkebeichexiao，yishuomingzhexiebuzaishikexinshebei。

同(tong)樣(yang)地(di)，所(suo)有(you)支(zhi)持(chi)安(an)全(quan)密(mi)鑰(yao)存(cun)儲(chu)的(de)設(she)備(bei)都(dou)在(zai)電(dian)路(lu)板(ban)上(shang)生(sheng)成(cheng)私(si)鑰(yao)，而(er)且(qie)這(zhe)些(xie)密(mi)鑰(yao)將(jiang)始(shi)終(zhong)綁(bang)定(ding)安(an)全(quan)密(mi)鑰(yao)庫(ku)。必(bi)須(xu)對(dui)不(bu)支(zhi)持(chi)安(an)全(quan)密(mi)鑰(yao)存(cun)儲(chu)的(de)設(she)備(bei)加(jia)入(ru)密(mi)鑰(yao)。而(er)實(shi)際(ji)上(shang)，這(zhe)些(xie)設(she)備(bei)更(geng)容(rong)易(yi)受(shou)到(dao)攻(gong)擊(ji)者(zhe)的(de)入(ru)侵(qin)，因(yin)為(wei)攻(gong)擊(ji)者(zhe)會(hui)隱(yin)藏(zang)在(zai)測(ce)試(shi)基(ji)礎(chu)設(she)施(shi)中(zhong)以(yi)竊(qie)取(qu)私(si)鑰(yao)。

為了防止低安全性設備的證書冒充高安全性設備的證書，製造過程中生成的所有證書都包含有說明其私鑰存儲能力的數據。

OEM所采用的測試係統應能抵禦對物理訪問的修改及限製，應檢查物理安全性、進行標準訪問控製並及時記錄日誌。最後，應保證網絡和PC操作標準安全。例如，測試係統不應直接與互聯網連接，也不應使用公共登錄憑證。

應ying開kai展zhan定ding期qi檢jian查zha，以yi確que保bao在zai這zhe些xie過guo程cheng中zhong發fa現xian並bing檢jian查zha到dao所suo有you的de修xiu改gai。這zhe些xie標biao準zhun操cao作zuo可ke以yi防fang止zhi攻gong擊ji者zhe一yi開kai始shi就jiu獲huo取qu對dui測ce試shi係xi統tong的de訪fang問wen權quan。除chu以yi上shang操cao作zuo外wai，OEM還可以將測試設備委托給不與其他供應商共享的合同製造商(CM)，從而進一步提高物理安全和網絡安全。這些係統也可以通過滲透測試來識別和修複漏洞，之後這些係統才可以使用。

最後，要妥善處理存儲在OEM的IT基(ji)礎(chu)設(she)施(shi)中(zhong)的(de)更(geng)高(gao)級(ji)別(bie)的(de)密(mi)鑰(yao)。這(zhe)些(xie)更(geng)高(gao)級(ji)的(de)密(mi)鑰(yao)應(ying)存(cun)儲(chu)在(zai)密(mi)鑰(yao)庫(ku)中(zhong)
，且(qie)應(ying)製(zhi)定(ding)合(he)理(li)的(de)訪(fang)問(wen)限(xian)製(zhi)。這(zhe)些(xie)密(mi)鑰(yao)的(de)使(shi)用(yong)應(ying)得(de)到(dao)監(jian)管(guan)，以(yi)便(bian)識(shi)別(bie)到(dao)意(yi)外(wai)操(cao)作(zuo)

，並(bing)可(ke)及(ji)時(shi)提(ti)醒(xing)相(xiang)關(guan)工(gong)作(zuo)人(ren)員(yuan)。

對於那些不想自行建立憑證配置基礎設施的OEM，可選擇提供安全編程服務的芯片供應商。例如，Silicon Labs在其Vault-High產品目錄中提供憑證，並且可以將憑證編程到定製化元件上，而這些定製化元件是通過定製化元件製造服務(CPMS)訂購的。這些服務使建立憑證配置基礎設施的負擔從電路板測試階段轉移到了芯片供應商的編程階段。

機密信息提取

當(dang)密(mi)鑰(yao)或(huo)專(zhuan)有(you)算(suan)法(fa)等(deng)機(ji)密(mi)信(xin)息(xi)被(bei)編(bian)程(cheng)為(wei)電(dian)路(lu)板(ban)測(ce)試(shi)的(de)一(yi)部(bu)分(fen)時(shi)
，攻(gong)擊(ji)者(zhe)可(ke)能(neng)會(hui)通(tong)過(guo)破(po)壞(huai)測(ce)試(shi)設(she)備(bei)來(lai)獲(huo)取(qu)此(ci)信(xin)息(xi)。電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)用(yong)以(yi)抵(di)禦(yu)身(shen)份(fen)提(ti)取(qu)的(de)所(suo)有(you)建(jian)議(yi)措(cuo)施(shi)均(jun)適(shi)用(yong)於(yu)此(ci)。同(tong)樣(yang)地(di)，使(shi)用(yong)編(bian)程(cheng)服(fu)務(wu)可(ke)以(yi)將(jiang)這(zhe)種(zhong)風(feng)險(xian)從(cong)電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)轉(zhuan)移(yi)到(dao)芯(xin)片(pian)封(feng)裝(zhuang)測(ce)試(shi)階(jie)段(duan)。

使shi用yong一yi係xi列lie恰qia當dang的de安an全quan功gong能neng，即ji使shi測ce試shi係xi統tong受shou到dao威wei脅xie，也ye可ke以yi配pei置zhi機ji密mi信xin息xi並bing加jia以yi保bao護hu。如ru上shang所suo述shu，此ci配pei置zhi要yao有you安an全quan的de中zhong央yang主zhu機ji以yi及ji具ju有you安an全quan引yin擎qing的de設she備bei
，這zhe種zhong引yin擎qing可ke以yi不bu受shou測ce試shi係xi統tong影ying響xiang且qie可ke以yi通tong過guo中zhong央yang主zhu機ji進jin行xing檢jian驗yan以yi驗yan證zheng設she備bei的de狀zhuang態tai。

電路板測試將對IC進行編程
、啟qi用yong安an全quan啟qi動dong並bing鎖suo定ding設she備bei，然ran後hou設she備bei將jiang證zheng明ming其qi狀zhuang態tai。如ru果guo測ce試shi設she備bei被bei入ru侵qin且qie不bu再zai正zheng常chang發fa揮hui作zuo用yong

，中zhong央yang主zhu機ji將jiang在zai已yi經jing得de以yi證zheng實shi的de信xin息xi中zhong檢jian測ce到dao它ta。如ru果guo中zhong央yang主zhu機ji認ren為wei設she備bei配pei置zhi正zheng確que，便bian可ke以yi與yu已yi知zhi的de可ke靠kao應ying用yong程cheng序xu交jiao換huan密mi鑰yao，然ran後hou通tong過guo該gai安an全quan鏈lian路lu發fa送song機ji密mi信xin息xi。此ci過guo程cheng可ke防fang止zhi測ce試shi係xi統tong查zha看kan或huo更geng改gai機ji密mi信xin息xi。

終端產品的安全需要OEM的不懈努力

在終端產品的安全方麵

，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善

、物理環境和網絡環境安全可靠構成了產品的第一道防線，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作，以防止針對其最終產品的大多數安全攻擊。

此外，許多芯片供應商提供的服務和功能
，能夠讓OEM降低確保其製造環境安全的工作量和複雜性。如今，有效實施這些技術將有助於確保OEM所有互聯設備的安全，以及確保其所在的生態係統的安全。芯片供應商和OEM應攜手合作，為打造安全可靠的物聯網保駕護航。

（來源：Silicon Labs （亦稱“芯科科技”）作者：高級係統工程師Joshua Norem ）

推薦閱讀：

第一部分——IC製造生命周期關鍵階段之安全性入門

英飛淩中小功率AC／DC數字電源控製器IDP230X介紹

麵向下一代汽車和工業應用的安全閃存

常規控製繼電器選型實例分享

汽車電子後視鏡的大腦