【導讀】在終端產品的安全方麵，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善、物理環境和網絡環境安全可靠構成了產品的第一道防線
，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作，以防止針對其最終產品的大多數安全攻擊。

雖然產品生命周期中的OEM階段比IC生產的OEM階段要短一些
，但每個階段的安全風險與芯片供應商麵臨的風險卻很相似
，且同樣影響深遠。幸運的是，OEM可以在其芯片供應商建立的安全基礎上進行構建
，並重複使用多種相同的技術。

正如本係列文章“ 第一部分——IC製造生命周期關鍵階段之安全性入門”所述
，IC生命周期的最後兩個階段是電路板組裝和電路板測試
，而這兩個階段是由OEM來掌控的。

圖1：OEM負責確保IC生命周期最後兩個階段的安全。

電路板組裝

電路板組裝與IC生產中的封裝步驟非常相似。但是
，電路板組裝不是將晶粒放入封裝內，而是將芯片安裝到印製電路板(PCB)上

，然後通常再將PCB安an裝zhuang在zai某mou種zhong外wai殼ke中zhong。電dian路lu板ban組zu裝zhuang現xian場chang的de物wu理li安an全quan和he網wang絡luo安an全quan是shi抵di禦yu攻gong擊ji的de第di一yi道dao防fang線xian。但dan是shi
，不bu同tong承cheng包bao商shang所suo提ti供gong的de物wu理li安an全quan和he網wang絡luo安an全quan可ke能neng會hui有you天tian壤rang之zhi別bie。

而且，受限於成本考慮和電路板測試性質，所提供的物理安全環境和網絡安全環境往往很糟糕。此階段最嚴重的風險包括設備竊取
、設備分析和硬件修改。下文將對如何降低這些風險進行闡述。

圖2：電路板組裝與IC生產階段的封裝非常相似。

設備竊取

竊取設備並試圖以合法手段轉售是該步驟首要關注的問題。與IC生產中的封裝測試階段一樣，通過對比電路板組裝現場的入庫和出庫庫存
，很容易檢測到數量較大的設備竊取行為。

此階段OEM麵臨的最大風險是攻擊者竊取大量設備

、對設備進行修改，並將修改後的產品出售給最終用戶。如果芯片供應商提供定製編程
，OEM可以通過訂購配置安全啟動的部件來大大降低這種風險。安全啟動能夠讓IC阻絕攻擊者試圖通過編程修改的所有軟件。

設備分析

與IC生(sheng)產(chan)期(qi)間(jian)的(de)封(feng)裝(zhuang)組(zu)裝(zhuang)階(jie)段(duan)相(xiang)比(bi)
，在(zai)此(ci)步(bu)驟(zhou)中(zhong)，攻(gong)擊(ji)者(zhe)竊(qie)取(qu)係(xi)統(tong)進(jin)行(xing)分(fen)析(xi)的(de)可(ke)能(neng)性(xing)大(da)大(da)降(jiang)低(di)。因(yin)為(wei)在(zai)此(ci)步(bu)驟(zhou)中(zhong)，電(dian)路(lu)板(ban)通(tong)常(chang)並(bing)不(bu)包(bao)含(han)可(ke)進(jin)行(xing)分(fen)析(xi)的(de)有(you)用(yong)信(xin)息(xi)。這(zhe)是(shi)因(yin)為(wei)如(ru)果(guo)攻(gong)擊(ji)者(zhe)試(shi)圖(tu)分(fen)析(xi)硬(ying)件(jian)結(jie)構(gou)
，他(ta)們(men)可(ke)以(yi)通(tong)過(guo)購(gou)買(mai)設(she)備(bei)輕(qing)鬆(song)獲(huo)取(qu)樣(yang)本(ben)。此(ci)外(wai)
，由(you)於(yu)尚(shang)未(wei)對(dui)設(she)備(bei)進(jin)行(xing)編(bian)程(cheng)
，即(ji)使(shi)攻(gong)擊(ji)者(zhe)以(yi)這(zhe)種(zhong)方(fang)式(shi)竊(qie)取(qu)設(she)備(bei)也(ye)並(bing)不(bu)能(neng)訪(fang)問(wen)和(he)分(fen)析(xi)任(ren)何(he)具(ju)體(ti)的(de)設(she)備(bei)軟(ruan)件(jian)。

硬件修改

由於隱蔽修改很容易被檢測到，所以很難對PCB進行大規模隱蔽修改。OEM可ke以yi在zai可ke信xin的de環huan境jing中zhong進jin行xing簡jian單dan的de抽chou樣yang測ce試shi
，以yi便bian直zhi觀guan地di檢jian查zha電dian路lu板ban，並bing將jiang其qi與yu已yi知zhi的de良liang好hao樣yang品pin進jin行xing比bi較jiao以yi檢jian測ce是shi否fou進jin行xing了le修xiu改gai。如ru果guo攻gong擊ji僅jin試shi圖tu修xiu改gai一yi套tao特te定ding的de電dian路lu板ban，此ci類lei測ce試shi可ke能neng會hui檢jian測ce不bu到dao，但dan測ce試shi會hui讓rang此ci類lei攻gong擊ji難nan以yi開kai展zhan和he實shi施shi。

電路板測試

電路板測試階段的風險與IC生產期間的封裝測試風險類似。例如，多個供應商共享測試係統是很常見的，這增加了安全漏洞或惡意軟件入侵的風險。然而，OEM在此階段的供應商往往比IC製造的供應商更加多元化


，因此，電路板測試比芯片封裝測試更難以確保安全。

圖3：同樣
，電路板測試與IC生產期間的封裝測試非常相似。

通(tong)常(chang)電(dian)路(lu)板(ban)測(ce)試(shi)的(de)物(wu)理(li)安(an)全(quan)和(he)網(wang)絡(luo)安(an)全(quan)較(jiao)差(cha)。不(bu)同(tong)產(chan)品(pin)之(zhi)間(jian)共(gong)享(xiang)空(kong)間(jian)和(he)測(ce)試(shi)主(zhu)機(ji)是(shi)極(ji)其(qi)常(chang)見(jian)的(de)

，而(er)且(qie)可(ke)能(neng)不(bu)會(hui)一(yi)直(zhi)對(dui)測(ce)試(shi)係(xi)統(tong)打(da)補(bu)丁(ding)。在(zai)最(zui)後(hou)測(ce)試(shi)中(zhong)泄(xie)露(lu)機(ji)密(mi)數(shu)據(ju)的(de)風(feng)險(xian)最(zui)終(zhong)取(qu)決(jue)於(yu)產(chan)品(pin)的(de)實(shi)施(shi)及(ji)其(qi)最(zui)終(zhong)測(ce)試(shi)過(guo)程(cheng)。如(ru)果(guo)ICzugouanquan，namezuihoudeceshijiagoujiukeyiwanquanbaohushujumianshouceshihuanjingzhongeyiruanjiandeweihai。yihandeshi，gaizhutiguoyufuza
，wufazaibenwenzhongshenrutantao。

惡意代碼注入

zaidianlubanceshizhongzuijiandandegongjifangfajiushixiugaishebeiruanjian。youyuqiyonganquanqidongheyingyongchengxubianchengdouzaidianlubanceshidetongyibuzhouzhongwancheng，yincirenmendanxingongjizhewanquankongzhiceshi
、注入惡意代碼並禁用安全啟動。可以通過樣本測試或雙插入測試流程來降低這種風險。

ciwai
，ruguodingzhibianchengkeyong，nameyaoqiuxinpiangongyingshangpeizhibingqiyonganquanqidongjiangnengyouxiaofangyueyidaimazhuru。yicifangshishiyongbianchengfuwushi
，dianlubanceshiyingnengyanzhenganquanqidongdeyizhengquepeizhiheqiyong，zheyidianrengyouweizhongyao。fengzhuangbuzhouhezuihouceshibuzhoukeyixietonggongzuo、相互驗證，因此

，攻擊者要想更改芯片供應商或OEM的代碼，就要破壞這兩個步驟才可能得逞。

值得注意的是，安全啟動是否強力有效取決於是否對私鑰保密。強烈建議在硬件安全模塊(HSM)denganquanmiyaokuzhongshengchengqianmingmiyao，bingqieyongyuanbuyaodaochugaimiyao。ciwai，yingyangexianzhimiyaoqianming

，zuihaoshizhishaoyoulianggerendeshenfenyanzheng，yiquebaodangecanyuzhebunengduieyiyingxiangwenjianjinxingqianming。

身份提取

由於OEM通常會在電路板測試中加入憑證（加密密鑰和證書），因此攻擊者會試圖竊取訪問憑證或相關的密鑰材料。

事實證明，身份憑證的安全配置是一個十分複雜且極為微妙的問題。這不僅涉及到設備的功能、chengbaoshangdewulianquanhewangluoanquan，haishejidaopeizhifangfadesheji。erqie，haiyaokaolvdaozhizaoguimohechengbensuochanshengdeteyouwenti。ciwai，yusuoyouanquanxingnengyiyang
，wufaquebaosuoyoudexitongloudongdoudeyijiejue。weishebeitigongshenfenrenzhenghenrongyi，danyikejieshoudechengbenhejiaodadeguimoweishebeitigongqiangdadeshenfenanquanrenzhengquejuefeiyishi。

如果係統設計完善，私鑰將始終綁定安全密鑰庫，因此他人不可能訪問密鑰材料並偽造憑證。例如
，Silicon Labs采取的措施是將生成設備證書的私鑰存儲在PC上的可信平台模塊(TPM)中，該模塊可抵禦物理入侵和邏輯入侵，它位於站點數據中心的訪問受限裝置之中。

此(ci)外(wai)
，使(shi)用(yong)這(zhe)些(xie)密(mi)鑰(yao)還(hai)會(hui)受(shou)到(dao)限(xian)製(zhi)，密(mi)鑰(yao)僅(jin)適(shi)用(yong)於(yu)某(mou)一(yi)批(pi)次(ci)的(de)產(chan)品(pin)，且(qie)僅(jin)在(zai)該(gai)批(pi)次(ci)產(chan)品(pin)完(wan)成(cheng)測(ce)試(shi)的(de)前(qian)幾(ji)天(tian)可(ke)用(yong)，一(yi)旦(dan)該(gai)批(pi)次(ci)產(chan)品(pin)測(ce)試(shi)完(wan)成(cheng)就(jiu)會(hui)刪(shan)除(chu)這(zhe)些(xie)密(mi)鑰(yao)。最(zui)後(hou)，如(ru)果(guo)此(ci)種(zhong)密(mi)鑰(yao)被(bei)泄(xie)露(lu)，那(na)麼(me)使(shi)用(yong)該(gai)密(mi)鑰(yao)製(zhi)造(zao)的(de)設(she)備(bei)其(qi)憑(ping)證(zheng)可(ke)被(bei)撤(che)銷(xiao)
，以(yi)說(shuo)明(ming)這(zhe)些(xie)不(bu)再(zai)是(shi)可(ke)信(xin)設(she)備(bei)。

tongyangdi，suoyouzhichianquanmiyaocunchudeshebeidouzaidianlubanshangshengchengsiyao

，erqiezhexiemiyaojiangshizhongbangdinganquanmiyaoku。bixuduibuzhichianquanmiyaocunchudeshebeijiarumiyao。ershijishang，zhexieshebeigengrongyishoudaogongjizhederuqin，yinweigongjizhehuiyinzangzaiceshijichusheshizhongyiqiequsiyao。

為了防止低安全性設備的證書冒充高安全性設備的證書
，製造過程中生成的所有證書都包含有說明其私鑰存儲能力的數據。

OEM所采用的測試係統應能抵禦對物理訪問的修改及限製
，應檢查物理安全性、進行標準訪問控製並及時記錄日誌。最後，應保證網絡和PC操作標準安全。例如，測試係統不應直接與互聯網連接，也不應使用公共登錄憑證。

應(ying)開(kai)展(zhan)定(ding)期(qi)檢(jian)查(zha)
，以(yi)確(que)保(bao)在(zai)這(zhe)些(xie)過(guo)程(cheng)中(zhong)發(fa)現(xian)並(bing)檢(jian)查(zha)到(dao)所(suo)有(you)的(de)修(xiu)改(gai)。這(zhe)些(xie)標(biao)準(zhun)操(cao)作(zuo)可(ke)以(yi)防(fang)止(zhi)攻(gong)擊(ji)者(zhe)一(yi)開(kai)始(shi)就(jiu)獲(huo)取(qu)對(dui)測(ce)試(shi)係(xi)統(tong)的(de)訪(fang)問(wen)權(quan)。除(chu)以(yi)上(shang)操(cao)作(zuo)外(wai)，OEM還可以將測試設備委托給不與其他供應商共享的合同製造商(CM)
，從而進一步提高物理安全和網絡安全。這些係統也可以通過滲透測試來識別和修複漏洞，之後這些係統才可以使用。

最後
，要妥善處理存儲在OEM的ITjichusheshizhongdegenggaojibiedemiyao。zhexiegenggaojidemiyaoyingcunchuzaimiyaokuzhong
，qieyingzhidinghelidefangwenxianzhi。zhexiemiyaodeshiyongyingdedaojianguan
，yibianshibiedaoyiwaicaozuo
，bingkejishitixingxiangguangongzuorenyuan。

對於那些不想自行建立憑證配置基礎設施的OEM，可選擇提供安全編程服務的芯片供應商。例如，Silicon Labs在其Vault-High產品目錄中提供憑證，並且可以將憑證編程到定製化元件上

，而這些定製化元件是通過定製化元件製造服務(CPMS)訂購的。這些服務使建立憑證配置基礎設施的負擔從電路板測試階段轉移到了芯片供應商的編程階段。

機密信息提取

當(dang)密(mi)鑰(yao)或(huo)專(zhuan)有(you)算(suan)法(fa)等(deng)機(ji)密(mi)信(xin)息(xi)被(bei)編(bian)程(cheng)為(wei)電(dian)路(lu)板(ban)測(ce)試(shi)的(de)一(yi)部(bu)分(fen)時(shi)，攻(gong)擊(ji)者(zhe)可(ke)能(neng)會(hui)通(tong)過(guo)破(po)壞(huai)測(ce)試(shi)設(she)備(bei)來(lai)獲(huo)取(qu)此(ci)信(xin)息(xi)。電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)用(yong)以(yi)抵(di)禦(yu)身(shen)份(fen)提(ti)取(qu)的(de)所(suo)有(you)建(jian)議(yi)措(cuo)施(shi)均(jun)適(shi)用(yong)於(yu)此(ci)。同(tong)樣(yang)地(di)，使(shi)用(yong)編(bian)程(cheng)服(fu)務(wu)可(ke)以(yi)將(jiang)這(zhe)種(zhong)風(feng)險(xian)從(cong)電(dian)路(lu)板(ban)測(ce)試(shi)階(jie)段(duan)轉(zhuan)移(yi)到(dao)芯(xin)片(pian)封(feng)裝(zhuang)測(ce)試(shi)階(jie)段(duan)。

shiyongyixilieqiadangdeanquangongneng，jishiceshixitongshoudaoweixie，yekeyipeizhijimixinxibingjiayibaohu。rushangsuoshu，cipeizhiyaoyouanquandezhongyangzhujiyijijuyouanquanyinqingdeshebei，zhezhongyinqingkeyibushouceshixitongyingxiangqiekeyitongguozhongyangzhujijinxingjianyanyiyanzhengshebeidezhuangtai。

電路板測試將對IC進行編程
、啟(qi)用(yong)安(an)全(quan)啟(qi)動(dong)並(bing)鎖(suo)定(ding)設(she)備(bei)
，然(ran)後(hou)設(she)備(bei)將(jiang)證(zheng)明(ming)其(qi)狀(zhuang)態(tai)。如(ru)果(guo)測(ce)試(shi)設(she)備(bei)被(bei)入(ru)侵(qin)且(qie)不(bu)再(zai)正(zheng)常(chang)發(fa)揮(hui)作(zuo)用(yong)，中(zhong)央(yang)主(zhu)機(ji)將(jiang)在(zai)已(yi)經(jing)得(de)以(yi)證(zheng)實(shi)的(de)信(xin)息(xi)中(zhong)檢(jian)測(ce)到(dao)它(ta)。如(ru)果(guo)中(zhong)央(yang)主(zhu)機(ji)認(ren)為(wei)設(she)備(bei)配(pei)置(zhi)正(zheng)確(que)，便(bian)可(ke)以(yi)與(yu)已(yi)知(zhi)的(de)可(ke)靠(kao)應(ying)用(yong)程(cheng)序(xu)交(jiao)換(huan)密(mi)鑰(yao)，然(ran)後(hou)通(tong)過(guo)該(gai)安(an)全(quan)鏈(lian)路(lu)發(fa)送(song)機(ji)密(mi)信(xin)息(xi)。此(ci)過(guo)程(cheng)可(ke)防(fang)止(zhi)測(ce)試(shi)係(xi)統(tong)查(zha)看(kan)或(huo)更(geng)改(gai)機(ji)密(mi)信(xin)息(xi)。

終端產品的安全需要OEM的不懈努力

在終端產品的安全方麵，OEM麵臨著與芯片供應商相同的許多挑戰。雖然產品設計完善、物理環境和網絡環境安全可靠構成了產品的第一道防線，但OEM可以按照其芯片供應商采取的許多相同步驟和程序進行操作
，以防止針對其最終產品的大多數安全攻擊。

此外
，許多芯片供應商提供的服務和功能，能夠讓OEM降低確保其製造環境安全的工作量和複雜性。如今
，有效實施這些技術將有助於確保OEM所有互聯設備的安全
，以及確保其所在的生態係統的安全。芯片供應商和OEM應攜手合作，為打造安全可靠的物聯網保駕護航。

（來源：Silicon Labs （亦稱“芯科科技”）作者：高級係統工程師Joshua Norem ）

推薦閱讀：

第一部分——IC製造生命周期關鍵階段之安全性入門

英飛淩中小功率AC／DC數字電源控製器IDP230X介紹

麵向下一代汽車和工業應用的安全閃存

常規控製繼電器選型實例分享

汽車電子後視鏡的大腦