【從智能鎖談STM32安全技術】之 - 安全固件安裝

第第頁【從智能鎖談STM32安全技術】之-安全固件安裝在第六季內容中，將介紹安全固件安裝SFI(SecureFirmwareInstallation)的原理及解決方案。

安全固件安裝的本質是，我們是否能相信工廠的制造過程是安全的過程。如果我們相信工廠是可靠的，相信它總是按照我們的指示，例如，我們希望它不要泄露固件代碼，我們希望它不要過生產(chǎn)，他們都能一一辦到，那么安全固件安裝是沒有用武之地。

然而，總有一些工廠，或者工廠里的某些員工，他們?yōu)榱艘粫r利益，可能會將研發(fā)設計公司辛苦開發(fā)的源代碼（通常是廠商的二進制固件代碼），直接泄露給其他第三方。同時他們也有可能將委托生產(chǎn)的產(chǎn)品過生產(chǎn)。即，如果我們希望他試著生產(chǎn)的1000臺，結果他們也許會生產(chǎn)2000臺。1000臺按照合同提供回給廠商，使用正規(guī)的商標與品牌，另外1000臺則不知道使用什么樣的商標流入市場。如果該產(chǎn)品在市場上很火爆，他們獲得的利益會遠遠超過代工的收益。

STM32在這種情景下，提供了一種技術手段，來保護委托方產(chǎn)品研發(fā)的權益。也就是說除了正常的法律手段之外，STM32技術手段可以防止工廠泄漏受委托生產(chǎn)的固件的二進制代碼，同時防止工廠進行過生產(chǎn)，獲取非法利益。

2、安全固件安裝的兩個關鍵問題及解決

安全固件安裝涉及兩個關鍵問題。第一是固件代碼的保密性，就是說，我們即使使用第三方工廠進行制造，我們也不會因為工廠制造的安全弱點，而把我們的固件的二進制代碼泄露出去。第二個問題就是過生產(chǎn)、產(chǎn)計數(shù)的問題。如果我們下的訂單是1000臺，絕無可能生產(chǎn)1001臺。

要進行固件保密，一種方法就是我們派一個人常駐工廠，24小時的對工廠流程進行監(jiān)控。這種情況下我們可以確保沒有人去復制二進制固件代碼。還有一種方法就是通訊安全的思路。從公司研發(fā)部門到設備終端構建一個端對端的安全通道。在這個安全通道上面?zhèn)鬏敼碳?。如果你已聽過前面的安全講座的話，我們很快就可以知道，實現(xiàn)這個方法一定是加密技術。我們在研發(fā)部門發(fā)布產(chǎn)品的時候對固件二進制代碼進行加密，然后讓設備，也就是STM32進行解密。

那么引出第一個問題，這個加密或者解密的密鑰，是如何從研發(fā)部門傳遞到設備里去呢？這就需要安全通道的概念。我們從前面的加解密技術也知道，我們有能力構建這樣的一個安全通道。我們或者利用公鑰體系，或者利用對稱密鑰體系。

那么第二個問題，防止工廠不會過生產(chǎn)產(chǎn)品這個問題是如何解決的呢？如果我們能夠控制STM32能加密的次數(shù)，我們就可以控制實際的產(chǎn)。第一個問題已提到，固件是加密的。那么，只有通過解密，固件才能在STM32里運行。解密的過程，是在STM32內部。換言之，這是一個產(chǎn)品授權的概念。源端只授權了1000臺的生產(chǎn)，那么工廠是沒有辦法解開1001個固件包進行安裝。我們總結一下，在工廠里實施固件保密，是通過對稱密鑰技術。技術原因是，固件一般比較大，不適合使用公鑰算法。而產(chǎn)計數(shù)，則是授權的概念，所授權的數(shù)字對應于具體的需要生產(chǎn)的產(chǎn)品數(shù)目。解密的密鑰通過安全的通道直接發(fā)送到設備里去。STM32設備里所運行的程序，是由ST開發(fā)，是可信的代碼。它能夠保證解密的密鑰只使用一次。從而保證了使用次數(shù)與授權次數(shù)相一致。這樣一個產(chǎn)計數(shù)就成功實現(xiàn)了。

3、安全固件安裝的示例解決方案

在了解原理的基礎上，我們再具體的看一下這個解決方案的組成。