基于國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施的通用固件安全模型研究

徐辰福，安 婧，韋曉鵬

（1.成都市隕石慢游科技有限公司，四川 成都 610096；2.遼寧軌道交通職業(yè)學(xué)院，遼寧沈陽(yáng) 110023）

0 引言

目前，物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、5G 等熱門(mén)信息技術(shù)革命方興未艾，已經(jīng)成為中國(guó)新基建的核心組成部分。上述新興技術(shù)的產(chǎn)業(yè)體系發(fā)展都必須依賴(lài)于底層硬件設(shè)備提供的存儲(chǔ)和計(jì)算環(huán)境，而幾乎所有的硬件設(shè)備都內(nèi)置了可以確保其正常工作的底層軟件——固件。固件是以軟件形式固化存儲(chǔ)于芯片的部件，是硬件設(shè)備中不可或缺的核心部件。在硬件設(shè)備體系中，固件位于底層芯片處理器與操作系統(tǒng)之間，是實(shí)現(xiàn)硬件設(shè)備初始化、操作系統(tǒng)啟動(dòng)引導(dǎo)和服務(wù)器集群遠(yuǎn)程監(jiān)控的底層軟件。因此，固件在產(chǎn)業(yè)鏈中發(fā)揮著連接設(shè)備底層硬件與操作系統(tǒng)的紐帶作用。

硬件設(shè)備中的固件主要分為兩類(lèi)：第一類(lèi)是基本輸入輸出系統(tǒng)（Basic Input/Output System，BIOS），第二類(lèi)是基板管理控制器（Baseboard Management Controller，BMC）。BIOS 主要用于硬件初始化和操作系統(tǒng)引導(dǎo)實(shí)現(xiàn)；BMC 主要用于服務(wù)器遠(yuǎn)程運(yùn)行狀態(tài)監(jiān)控、服務(wù)器遠(yuǎn)程電源管理等。固件的概念始于計(jì)算機(jī)系統(tǒng)，各種類(lèi)型的計(jì)算機(jī)顯卡、硬盤(pán)、主板中都含有固件，目前固件的概念已經(jīng)擴(kuò)展到各種類(lèi)型的設(shè)備中，包括但不僅限于路由器、手機(jī)、物聯(lián)網(wǎng)設(shè)備等。沒(méi)有固件，設(shè)備將無(wú)法正常啟動(dòng)和運(yùn)行；固件被攻擊，設(shè)備將失去底層運(yùn)行環(huán)境安全性保證。以物聯(lián)網(wǎng)（Internet of Things，IoT）為例，IoT 設(shè)備承載著海量個(gè)人和組織隱私數(shù)據(jù)信息，IoT 的安全性直接影響平臺(tái)的可用性。IoT 終端設(shè)備上的固件是一種嵌入在硬件中的軟件，其承擔(dān)著系統(tǒng)最基礎(chǔ)、最底層的工作，是硬件設(shè)備的靈魂。攻擊者通過(guò)提取IoT 終端設(shè)備中的固件數(shù)據(jù)進(jìn)行反編譯，分析設(shè)備的運(yùn)行流程和網(wǎng)絡(luò)行為，獲取口令、密鑰等敏感信息，進(jìn)而執(zhí)行漏洞利用和漏洞攻擊。因此，IoT 設(shè)備的安全性很大程度上取決于固件安全與否。

本文對(duì)固件安全現(xiàn)狀進(jìn)行深度分析，提出針對(duì)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)的通用設(shè)備固件安全模型。通過(guò)該模型可以實(shí)現(xiàn)固件安全評(píng)估、固件安全防護(hù)和固件安全標(biāo)準(zhǔn)的有機(jī)整合，以期推動(dòng)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)自主健康發(fā)展。

1 相關(guān)研究

綜述性文獻(xiàn)［1-3］針對(duì)設(shè)備之間日益增長(zhǎng)的互聯(lián)互通、制造商對(duì)安全的忽視、設(shè)備固件更新不及時(shí)或難以更新等問(wèn)題，圍繞當(dāng)前嵌入式設(shè)備固件面臨的安全風(fēng)險(xiǎn)，深度分析與總結(jié)了國(guó)內(nèi)外最新研究成果，并對(duì)相關(guān)安全技術(shù)進(jìn)行了綜合分析與評(píng)估。Costin 等［4］提出第一個(gè)完全自動(dòng)化的框架，該框架應(yīng)用動(dòng)態(tài)固件分析技術(shù)，以可伸縮的方式實(shí)現(xiàn)嵌入式固件映像中的自動(dòng)漏洞發(fā)現(xiàn)，可以幫助用戶(hù)、程序員和審計(jì)人員有效測(cè)試和保護(hù)支持互聯(lián)網(wǎng)的嵌入式設(shè)備安全。Chen 等［5］設(shè)計(jì)了第一個(gè)專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)連接COTS（Commercial Off-The-Shelf）設(shè)備的基于Linux 固件的可擴(kuò)展自動(dòng)化動(dòng)態(tài)分析系統(tǒng)Firmadyne，該系統(tǒng)依賴(lài)基于軟件的全系統(tǒng)仿真和一個(gè)插入指令的內(nèi)核，實(shí)現(xiàn)了自動(dòng)分析數(shù)千個(gè)固件二進(jìn)制文件所需的可伸縮性。劉文祺［6］基于UEFI 固件并借鑒傳統(tǒng)的惡意代碼檢測(cè)技術(shù)設(shè)計(jì)了一種新的惡意代碼檢測(cè)系統(tǒng)，解決了固件文件惡意代碼特征提取、啟動(dòng)項(xiàng)信息特征提取、檢測(cè)過(guò)程的模式匹配、固件驅(qū)動(dòng)加載的問(wèn)題，保障了UEFI 固件的安全。

以上針對(duì)固件安全的研究成果或多或少存在固件安全防護(hù)手段單一、固件安全相關(guān)標(biāo)準(zhǔn)缺乏、固件安全評(píng)估體系缺失以及國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)體系支撐薄弱等問(wèn)題。本文基于前人研究成果，針對(duì)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)的固件安全進(jìn)行研究，提出系統(tǒng)化通用模型，彌補(bǔ)前人研究工作的不足。

2 固件安全現(xiàn)狀

全球移動(dòng)通信系統(tǒng)協(xié)會(huì)（Global System for Mobile communications Association，GSMA）統(tǒng)計(jì)報(bào)告指出，自2010 年起，全球IoT 設(shè)備數(shù)量呈現(xiàn)快速增長(zhǎng)趨勢(shì)，年復(fù)合增長(zhǎng)率達(dá)19%，2020 年全球IoT 設(shè)備數(shù)量高達(dá)126 億，萬(wàn)物互聯(lián)已成為全球信息技術(shù)的發(fā)展趨勢(shì)［7］。此外，根據(jù)國(guó)際數(shù)據(jù)公司（International Data Corporation，IDC）市場(chǎng)報(bào)告顯示，2020 年全球IoT 市場(chǎng)規(guī)模超過(guò)1.36 萬(wàn)億美元。

與此同時(shí)，針對(duì)固件的攻擊事件呈現(xiàn)井噴態(tài)勢(shì)。2016年以來(lái)，美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)中的漏洞數(shù)量每年都創(chuàng)新高，其中2019 年曝出的固件漏洞數(shù)量比2018 年增加了43%，比2016 年增長(zhǎng)了7.5 倍。固件漏洞的激增不僅意味著攻擊面迅速擴(kuò)大，還表明攻擊者越來(lái)越關(guān)注固件［8］。微軟公司于2021 年進(jìn)行的一項(xiàng)調(diào)查顯示，83%的被調(diào)查企業(yè)在過(guò)去兩年曾經(jīng)遭受過(guò)固件攻擊，例如2017 年9 月，一位黑客通過(guò)分析ofo 共享單車(chē)APP 的固件，發(fā)現(xiàn)了4 種攻擊方法，并成功控制了共享單車(chē)［9］；2017 年10 月，LIFX 智能燈泡被成功入侵，其固件泄露了密鑰相關(guān)信息；2018 年Re-Con BRX 會(huì)議上，來(lái)自美國(guó)東北大學(xué)的兩位研究員逆向分析了小米IoT 設(shè)備的內(nèi)部固件，發(fā)現(xiàn)整個(gè)小米生態(tài)存在漏洞［10-11］。

通過(guò)分析各種固件攻擊事件的前因后果，發(fā)現(xiàn)固件安全存在以下問(wèn)題：①固件行業(yè)缺乏完善的安全評(píng)估體系，用戶(hù)無(wú)法感知潛在的固件安全隱患；②固件安全防護(hù)手段單一或僅采用低安全級(jí)別的防護(hù)技術(shù)；③固件安全行業(yè)缺乏統(tǒng)一標(biāo)準(zhǔn)，固件安全孤島隨處可見(jiàn)［12］。

3 國(guó)產(chǎn)化固件安全威脅模型與技術(shù)實(shí)例

基于國(guó)產(chǎn)通用芯片（龍芯、飛騰、申威、威盛等）、國(guó)產(chǎn)操作系統(tǒng)（麒麟、紅旗Linux、普華Linux 等）和國(guó)產(chǎn)應(yīng)用軟件（數(shù)據(jù)庫(kù)、辦公軟件、中間件、瀏覽器等），可將固件安全威脅分為兩大類(lèi)：主動(dòng)攻擊威脅和漏洞利用攻擊。主動(dòng)攻擊威脅是指攻擊者從硬件、軟件、網(wǎng)絡(luò)3 個(gè)不同維度對(duì)固件進(jìn)行攻擊：在硬件層面，攻擊者可通過(guò)調(diào)試接口、芯片、邊信道攻擊等方式對(duì)固件安全造成威脅；在軟件層面，攻擊者可通過(guò)惡意軟件代碼、操作系統(tǒng)代碼溢出、后門(mén)等設(shè)計(jì)上的缺陷對(duì)固件安全產(chǎn)生威脅；在網(wǎng)絡(luò)層面，攻擊者利用通信協(xié)議中的安全漏洞、弱口令暴力破解等手段對(duì)固件數(shù)據(jù)安全進(jìn)行攻擊［13］。漏洞利用攻擊主要是利用弱身份認(rèn)證、不安全缺省配置、硬編碼憑證、未認(rèn)證管理接口、代碼運(yùn)行內(nèi)存漏洞等手段，以被攻擊固件設(shè)備為跳板，為后續(xù)網(wǎng)絡(luò)攻擊行為奠定基礎(chǔ)。

針對(duì)固件安全面臨的各類(lèi)威脅，本文提出通用固件安全模型（General Firmware Security Model，GFSM），架構(gòu)如圖1 所示。GFSM 包含固件安全評(píng)估、固件安全防護(hù)和固件安全標(biāo)準(zhǔn)3 大組件。其中，執(zhí)行固件安全評(píng)估能全面了解固件面臨的各種風(fēng)險(xiǎn)與威脅，進(jìn)而有針對(duì)性地制定固件安全防護(hù)方案［14］。固件安全防護(hù)組件為方案提供技術(shù)支撐。不同廠商提供的固件接口、架構(gòu)和實(shí)現(xiàn)不同，在這種復(fù)雜的產(chǎn)業(yè)環(huán)境下實(shí)施固件安全防護(hù)應(yīng)制定相應(yīng)的固件安全標(biāo)準(zhǔn)，有利于推動(dòng)固件安全的集約化、標(biāo)準(zhǔn)化和持續(xù)化發(fā)展。

Fig.1 GFSM architecture圖1 GFSM 架構(gòu)

3.1 固件安全評(píng)估

固件安全評(píng)估是GFSM 的起始點(diǎn)，開(kāi)展安全評(píng)估工作可對(duì)固件的安全風(fēng)險(xiǎn)和威脅有清晰的認(rèn)識(shí)和了解。固件安全評(píng)估主要包括固件漏洞掃描、固件惡意代碼檢測(cè)、固件風(fēng)險(xiǎn)評(píng)估和固件滲透測(cè)試4 個(gè)部分，利用公開(kāi)、透明的手段與方法評(píng)估后導(dǎo)出評(píng)估結(jié)果［15］，該評(píng)估結(jié)果具有客觀性和可重復(fù)性，可作為引用證據(jù)。

（1）固件漏洞掃描。借鑒傳統(tǒng)網(wǎng)絡(luò)安全漏洞掃描的技術(shù)路線，快速分析并發(fā)現(xiàn)硬件設(shè)備固件中存在的安全漏洞，避免因弱口令、緩沖區(qū)溢出等漏洞導(dǎo)致固件設(shè)備權(quán)限控制混亂、用戶(hù)提權(quán)等非法行為。通過(guò)自動(dòng)化流水線技術(shù)對(duì)嵌入式固件進(jìn)行仿真與動(dòng)態(tài)分析，遍歷固件文件系統(tǒng)中的所有文件內(nèi)容和網(wǎng)絡(luò)連接行為，與業(yè)界已知的固件漏洞庫(kù)實(shí)時(shí)同步并實(shí)施漏洞掃描，發(fā)現(xiàn)固件安全盲點(diǎn)。同時(shí)，GFSM 引入固件安全沙箱機(jī)制，實(shí)現(xiàn)對(duì)未知固件漏洞的檢測(cè)功能。通過(guò)聯(lián)合靜態(tài)漏洞庫(kù)掃描與動(dòng)態(tài)沙箱智能識(shí)別機(jī)制，全方位提高固件設(shè)備的漏洞掃描能力。

（2）固件惡意代碼檢測(cè)。利用惡意代碼檢測(cè)引擎對(duì)固件進(jìn)行檢測(cè)分析，識(shí)別出固件中的惡意代碼，并生成惡意代碼畫(huà)像，包括威脅等級(jí)、標(biāo)準(zhǔn)編號(hào)、處置建議等參數(shù)。使用惡意代碼檢測(cè)引擎定義一組依靠可維護(hù)規(guī)則的數(shù)據(jù)結(jié)構(gòu)，通過(guò)接口調(diào)用對(duì)輸入數(shù)據(jù)進(jìn)行惡意代碼檢測(cè)［16］?？紤]到固件設(shè)備本身的硬件狀況，惡意代碼檢測(cè)引擎將支持在線和離線兩種檢測(cè)方式，分析者根據(jù)固件本身的特點(diǎn)擇優(yōu)選擇。

（3）固件風(fēng)險(xiǎn)評(píng)估。針對(duì)固件存在的風(fēng)險(xiǎn)要素（脆弱性、威脅、安全措施等）進(jìn)行全面識(shí)別與評(píng)估，發(fā)現(xiàn)固件安全風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)的嚴(yán)重程度和影響范圍，為后期固件升級(jí)、規(guī)劃和調(diào)整提供科學(xué)、客觀的依據(jù)。固件安全評(píng)估將風(fēng)險(xiǎn)管理的理念引入到固件安全領(lǐng)域，是固件安全管理最重要的手段之一。固件安全風(fēng)險(xiǎn)評(píng)估根據(jù)評(píng)估范圍、人員能力、可用評(píng)估工具和國(guó)內(nèi)/國(guó)內(nèi)/行業(yè)評(píng)估標(biāo)準(zhǔn)實(shí)施安全風(fēng)險(xiǎn)評(píng)估。此外，固件安全風(fēng)險(xiǎn)評(píng)估不僅應(yīng)按照評(píng)估計(jì)劃按時(shí)執(zhí)行，還需要根據(jù)行業(yè)外部情況不定時(shí)實(shí)施風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)評(píng)估工作的實(shí)戰(zhàn)化、體系化、常態(tài)化和制度化。

（4）固件滲透測(cè)試。固件滲透測(cè)試模擬潛在攻擊者的攻擊手段，在授權(quán)可控的前提條件下對(duì)固件進(jìn)行深層次、多維度、高強(qiáng)度的安全測(cè)試，充分挖掘固件可能存在的薄弱環(huán)節(jié)，為固件安全防護(hù)提供有針對(duì)性的安全風(fēng)險(xiǎn)評(píng)估。滲透測(cè)試的主要目的為模擬潛在的網(wǎng)絡(luò)攻擊者，對(duì)固件相關(guān)應(yīng)用、網(wǎng)絡(luò)和設(shè)備開(kāi)展安全測(cè)試，查找可能隱藏于系統(tǒng)中的漏洞。滲透測(cè)試結(jié)合固件設(shè)備本身的硬件條件，充分利用黑盒測(cè)試、白盒測(cè)試和灰盒測(cè)試的特性，搭建國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施固件安全供應(yīng)鏈體系［17］。

固件擁有者由于缺乏相關(guān)領(lǐng)域的安全知識(shí)、專(zhuān)家經(jīng)驗(yàn)和資源，無(wú)法對(duì)固件本身及周邊的安全置信度是否在可接受范圍內(nèi)有清晰的判斷，因此安全評(píng)估應(yīng)運(yùn)而生。固件安全評(píng)估的對(duì)象不僅僅是固件本身，還包括固件關(guān)聯(lián)的軟硬件環(huán)境和網(wǎng)絡(luò)環(huán)境。安全評(píng)估針對(duì)的是固件信息的機(jī)密性、完整性和可用性，對(duì)多個(gè)評(píng)估示例抽象后得到的固件安全評(píng)估流程如圖2 所示。

Fig.2 Firmware security assessment procedure圖2 固件安全評(píng)估流程

固件安全評(píng)估需要在權(quán)威的安全評(píng)估框架內(nèi)進(jìn)行，從而保證評(píng)估結(jié)果具備較強(qiáng)的橫向可比性。評(píng)估標(biāo)準(zhǔn)、評(píng)估方法和評(píng)估方案必須遵守統(tǒng)一的規(guī)章，以便實(shí)現(xiàn)不同評(píng)估機(jī)構(gòu)之間評(píng)估結(jié)果的相互認(rèn)可。固件評(píng)估中間結(jié)果和最終結(jié)果將通過(guò)負(fù)向反饋的方式，為固件安全評(píng)估的整體框架優(yōu)化提供可靠的數(shù)據(jù)輸入。此外，可將固件安全評(píng)估整體框架提交給統(tǒng)一可信的認(rèn)證中心進(jìn)行認(rèn)證，從而在局部范圍內(nèi)達(dá)到固件安全評(píng)估結(jié)果的一致性。由認(rèn)證中心頒發(fā)的固件評(píng)估結(jié)果將公開(kāi)接受公眾監(jiān)督，并作為固件安全評(píng)估示范工程供全社會(huì)參考［18］。

3.2 固件安全防護(hù)

固件安全防護(hù)組件以固件安全評(píng)估結(jié)果為輸入，針對(duì)固件存在的安全威脅和風(fēng)險(xiǎn)提供處置方案。固件安全防護(hù)措施包括固件漏洞補(bǔ)丁、固件安全加固、固件密鑰管理、固件可信加密和固件可信簽名5 種，利用上述手段可在一定程度上避免固件存在的安全風(fēng)險(xiǎn)和隱患。

（1）固件漏洞補(bǔ)丁。針對(duì)固件安全評(píng)估中發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)，避免攻擊者利用已知漏洞向固件植入木馬等惡意程序。針對(duì)固件漏洞的攻擊事件頻發(fā)意味著黑客的攻擊下沉，攻擊者通過(guò)固件漏洞實(shí)施嫁接攻擊，從而進(jìn)入局域網(wǎng)內(nèi)部進(jìn)行非法數(shù)據(jù)盜取，亦或通過(guò)固件漏洞控制“肉雞”攻擊其他網(wǎng)絡(luò)平臺(tái)的“灘頭陣地”。漏洞補(bǔ)丁是消除漏洞最有效的手段，其可針對(duì)不同類(lèi)型、不同用途和不同應(yīng)用場(chǎng)景的固件設(shè)備制定不同等級(jí)的修復(fù)程序，以最快的速度修復(fù)固件存在的關(guān)鍵漏洞，消除固件安全隱患。

（2）固件安全加固。針對(duì)弱口令、安全策略、root 權(quán)限賬號(hào)安全性、高風(fēng)險(xiǎn)服務(wù)等進(jìn)行安全運(yùn)維，并對(duì)高風(fēng)險(xiǎn)操作進(jìn)行日志記錄，防止出現(xiàn)安全事件后無(wú)據(jù)可查。通過(guò)設(shè)置復(fù)雜密碼與安全密碼策略、限制用戶(hù)登錄次數(shù)、禁止root用戶(hù)遠(yuǎn)程登陸、更改默認(rèn)常用服務(wù)端口、端口設(shè)置采用白名單策略和默認(rèn)拒絕策略、設(shè)置賬戶(hù)登陸超時(shí)時(shí)間、定期審計(jì)系統(tǒng)日志、定期備份重要數(shù)據(jù)等多種方式全方位提高固件安全防護(hù)能力。

（3）固件密鑰管理。固件中可能存儲(chǔ)著密鑰文件，因此需要對(duì)密鑰的交換、存儲(chǔ)和使用進(jìn)行嚴(yán)格管理。密鑰交換時(shí)必須通過(guò)安全信道或以密文的形式交換；密鑰存儲(chǔ)時(shí)使用可信存儲(chǔ)，避免密鑰丟失導(dǎo)致信任鏈被摧毀；密鑰使用時(shí)需要身份認(rèn)證并考慮密鑰長(zhǎng)度和密鑰存儲(chǔ)強(qiáng)度。通過(guò)密鑰的生成、交換、存儲(chǔ)、使用、銷(xiāo)毀和更新實(shí)施全生命周期管理，實(shí)現(xiàn)密鑰數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)源認(rèn)證。

（4）固件可信加密。加密技術(shù)是指發(fā)送方通過(guò)加密密鑰和加密函數(shù)將明文數(shù)據(jù)轉(zhuǎn)換為無(wú)意義的密文數(shù)據(jù)，接收方再經(jīng)過(guò)解密函數(shù)和解密密鑰將該密文還原為原始明文數(shù)據(jù)的操作。加密技術(shù)是網(wǎng)絡(luò)安全的基石，在數(shù)據(jù)保密、身份認(rèn)證和數(shù)據(jù)完整性認(rèn)證方面有廣泛應(yīng)用。使用國(guó)密SM4 分組密碼算法對(duì)固件中存儲(chǔ)的敏感數(shù)據(jù)和隱私數(shù)據(jù)實(shí)施加密處理，密鑰信息由固件密鑰管理模塊進(jìn)行管理，從而保護(hù)固件數(shù)據(jù)的安全性，避免惡意攻擊者通過(guò)固件竊取敏感信息。

（5）固件可信簽名。數(shù)字簽名機(jī)制是指發(fā)送者產(chǎn)生其他任何人都無(wú)法偽造的數(shù)據(jù)值，以實(shí)現(xiàn)對(duì)信息發(fā)送者數(shù)據(jù)真實(shí)性認(rèn)證的有效證明。數(shù)字簽名是非對(duì)稱(chēng)密碼算法和數(shù)字摘要技術(shù)的綜合應(yīng)用，通常包含簽名運(yùn)算和驗(yàn)證運(yùn)算，兩種運(yùn)算互補(bǔ)實(shí)現(xiàn)鑒權(quán)、數(shù)據(jù)完整性保護(hù)和數(shù)據(jù)不可抵賴(lài)性。在固件更新、啟動(dòng)和升級(jí)過(guò)程中引入固件可信簽名機(jī)制，利用國(guó)密SM2 橢圓曲線公鑰密碼算法對(duì)固件進(jìn)行數(shù)字簽名，可保護(hù)固件的完整性和可靠性，避免攻擊者在固件更新、啟動(dòng)和升級(jí)過(guò)程中植入惡意代碼，從而輕松實(shí)現(xiàn)固件攻擊。

固件安全防護(hù)以固件安全評(píng)估結(jié)果為輸入，根據(jù)評(píng)估的不同可量化結(jié)果使用針對(duì)性防護(hù)手段進(jìn)行處置，并最終通過(guò)防護(hù)響應(yīng)的層層傳遞完成固件安全風(fēng)險(xiǎn)處置機(jī)制的閉環(huán)，其處理框架如圖3 所示。

Fig.3 Firmware security protection architecture圖3 固件安全防護(hù)框架

固件安全評(píng)估結(jié)果包括固件漏洞信息、惡意代碼信息、隱私泄漏風(fēng)險(xiǎn)以及其他可量化的風(fēng)險(xiǎn)指標(biāo)。固件安全防護(hù)核心組件以評(píng)估結(jié)果作為輸入，收集、分析并處置不同類(lèi)型的安全風(fēng)險(xiǎn)事件。固件安全防護(hù)以漏洞補(bǔ)丁、安全加固、安全管理、數(shù)據(jù)加密、數(shù)字簽名作為技術(shù)工具，形成資源池供總體框架調(diào)用。資源池工具對(duì)固件面臨的安全風(fēng)險(xiǎn)進(jìn)行處置，然后返回處置結(jié)果，并最終根據(jù)處置結(jié)果返回防護(hù)響應(yīng)。需要特別指出的是，針對(duì)固件安全評(píng)估的處置是一個(gè)自循環(huán)流程，返回固件安全風(fēng)險(xiǎn)處置結(jié)果后需要再次對(duì)固件安全進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果進(jìn)行安全處置，從而避免在處置舊固件安全風(fēng)險(xiǎn)時(shí)引入新風(fēng)險(xiǎn)。

3.3 固件安全標(biāo)準(zhǔn)

固件安全標(biāo)準(zhǔn)是固件安全的重要基礎(chǔ)保障，制訂固件安全標(biāo)準(zhǔn)能有效推動(dòng)固件設(shè)施行業(yè)的健康發(fā)展。此外，固件安全標(biāo)準(zhǔn)在國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施發(fā)展中的作用也日益受到重視。標(biāo)準(zhǔn)的制定應(yīng)充分考慮本國(guó)利益，同時(shí)兼容國(guó)際標(biāo)準(zhǔn)，形成“國(guó)內(nèi)標(biāo)準(zhǔn)為主、國(guó)際標(biāo)準(zhǔn)為輔、兩類(lèi)標(biāo)準(zhǔn)并存”的現(xiàn)象。固件安全標(biāo)準(zhǔn)包括固件安全評(píng)估標(biāo)準(zhǔn)、固件密鑰標(biāo)準(zhǔn)、固件加密標(biāo)準(zhǔn)、固件簽名標(biāo)準(zhǔn)和固件升級(jí)標(biāo)準(zhǔn)，覆蓋了固件安全保護(hù)的全生命周期。

（1）固件安全評(píng)估標(biāo)準(zhǔn)。風(fēng)險(xiǎn)評(píng)估是確定固件安全需求的重要途徑。固件安全評(píng)估標(biāo)準(zhǔn)可作為固件安全性的評(píng)估依據(jù)，風(fēng)險(xiǎn)評(píng)估人員按照該標(biāo)準(zhǔn)實(shí)行評(píng)估時(shí)所需執(zhí)行的最小動(dòng)作。固件安全評(píng)估標(biāo)準(zhǔn)的核心包括靜態(tài)功能指標(biāo)、動(dòng)態(tài)運(yùn)行指標(biāo)和狀態(tài)屬性指標(biāo)，通過(guò)安全級(jí)別分類(lèi)與功能屬性分類(lèi)相結(jié)合，確定固件安全評(píng)估對(duì)象、固件安全保護(hù)輪廓和固件安全保護(hù)目標(biāo)。

（2）固件密鑰標(biāo)準(zhǔn)。固件安全機(jī)制的實(shí)現(xiàn)依賴(lài)于密鑰安全性，因此需要設(shè)立固件密鑰標(biāo)準(zhǔn)對(duì)密鑰的產(chǎn)生、傳輸、存儲(chǔ)、使用和銷(xiāo)毀進(jìn)行全生命周期管理，避免密鑰管理安全盲點(diǎn)。

（3）固件加密標(biāo)準(zhǔn)。嵌入式設(shè)備的特殊性決定其搭載的計(jì)算和存儲(chǔ)能力有限，因此在固件數(shù)據(jù)機(jī)密性的保護(hù)過(guò)程中需要制定固件加密標(biāo)準(zhǔn)，在固件數(shù)據(jù)安全與性能之間達(dá)成平衡。

（4）固件簽名標(biāo)準(zhǔn)。數(shù)字簽名機(jī)制對(duì)設(shè)備的計(jì)算和存儲(chǔ)能力有較高要求，而固件本身的體系架構(gòu)決定了傳統(tǒng)的公鑰密碼體制無(wú)法廣泛應(yīng)用，因此需要制定針對(duì)固件的數(shù)字簽名標(biāo)準(zhǔn)，從而滿(mǎn)足固件數(shù)字簽名和驗(yàn)簽的安全需求。

（5）固件升級(jí)標(biāo)準(zhǔn)。在萬(wàn)物互聯(lián)時(shí)代，每臺(tái)設(shè)備都可以被黑客視為攻擊目標(biāo)，開(kāi)發(fā)商借助驗(yàn)證操作和安全版本控制確保所有固件和相關(guān)補(bǔ)丁都處于最新?tīng)顟B(tài)，可在一定程度上保證固件安全。為達(dá)成上述效果，需要依賴(lài)遠(yuǎn)程或無(wú)線（OTA）的方式更新和保護(hù)固件?；诠碳?jí)標(biāo)準(zhǔn)，兼容的操作系統(tǒng)可將固件更新、應(yīng)用至任何平臺(tái)，類(lèi)似于操作系統(tǒng)驅(qū)動(dòng)程序或應(yīng)用程序更新。

固件行業(yè)的發(fā)展離不開(kāi)固件安全標(biāo)準(zhǔn)的制定。我國(guó)領(lǐng)導(dǎo)人多次在不同場(chǎng)合提出要強(qiáng)化標(biāo)準(zhǔn)引領(lǐng)，提升產(chǎn)業(yè)基礎(chǔ)能力和產(chǎn)業(yè)鏈現(xiàn)代化水平，從長(zhǎng)遠(yuǎn)戰(zhàn)略角度為國(guó)產(chǎn)化固件行業(yè)的發(fā)展指明了方向。此外，固件安全評(píng)估和安全防護(hù)有賴(lài)于固件安全相關(guān)標(biāo)準(zhǔn)的制定，而技術(shù)創(chuàng)新與技術(shù)標(biāo)準(zhǔn)的結(jié)合決定了固件產(chǎn)業(yè)的發(fā)展方向和產(chǎn)業(yè)價(jià)值鏈的分配比。標(biāo)準(zhǔn)的制定需要產(chǎn)—學(xué)—研三位一體協(xié)調(diào)發(fā)展，從而推動(dòng)固件安全標(biāo)準(zhǔn)的體系化。

3.4 國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)

國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)的核心在于通過(guò)各種終端應(yīng)用推動(dòng)國(guó)產(chǎn)化軟硬件基礎(chǔ)設(shè)施的搭建，解決網(wǎng)信領(lǐng)域核心技術(shù)受制于人的難題。國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施涉及的領(lǐng)域主要包括通用芯片、操作系統(tǒng)和應(yīng)用軟件3 大類(lèi)。

（1）通用芯片是核心處理器CPU 的技術(shù)和處理引擎，負(fù)責(zé)指令計(jì)算、時(shí)鐘控制、數(shù)據(jù)處理等功能，是所有網(wǎng)絡(luò)設(shè)備運(yùn)算和存儲(chǔ)必不可少的部分。GFSM 不僅完全兼容自主創(chuàng)新的國(guó)產(chǎn)CPU 品牌系列（例如龍芯、申威），而且支持獲得國(guó)外授權(quán)引進(jìn)的國(guó)產(chǎn)CPU 品牌系列（例如飛騰、兆芯、海光、海思、華芯通等）。

（2）操作系統(tǒng)是計(jì)算設(shè)備的核心，是底層硬件設(shè)備與上層應(yīng)用系統(tǒng)的中間橋梁，負(fù)責(zé)CPU 底層調(diào)度、資源分配、內(nèi)存管理、網(wǎng)絡(luò)管理、文件管理等核心基礎(chǔ)功能的實(shí)現(xiàn)。通用芯片和操作系統(tǒng)是國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)發(fā)展的核心突破點(diǎn)，通用芯片決定了硬件產(chǎn)業(yè)鏈的發(fā)展方向和趨勢(shì)，而操作系統(tǒng)關(guān)系到軟件產(chǎn)業(yè)鏈的核心技術(shù)能力，兩者共同決定了國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)未來(lái)的發(fā)展道路。GFSM 基于國(guó)產(chǎn)通用芯片，充分適配中標(biāo)麒麟、普華、深度、銀河麒麟等主流國(guó)產(chǎn)操作系統(tǒng)。

（3）應(yīng)用軟件是基于國(guó)產(chǎn)CPU 和國(guó)產(chǎn)操作系統(tǒng)之上，為滿(mǎn)足不同領(lǐng)域用戶(hù)解決不同類(lèi)型問(wèn)題的需求而開(kāi)發(fā)的程序集合。國(guó)產(chǎn)應(yīng)用軟件主要集中在數(shù)據(jù)庫(kù)、中間件、瀏覽器、辦公軟件、打印設(shè)備、IP 網(wǎng)絡(luò)等方面。GFSM 為國(guó)產(chǎn)應(yīng)用軟件搭建了以固件安全為核心特色的底層軟硬件基礎(chǔ)設(shè)施，一定程度上降低了對(duì)美國(guó)主導(dǎo)的全球IT 軟硬件產(chǎn)業(yè)鏈的依附。

國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)的愿景是通過(guò)各種豐富的行業(yè)應(yīng)用拉動(dòng)國(guó)產(chǎn)化軟硬件基礎(chǔ)設(shè)施的生態(tài)建設(shè)，解決中國(guó)信息技術(shù)產(chǎn)業(yè)發(fā)展面臨的“卡脖子”問(wèn)題。固件是構(gòu)建國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施核心產(chǎn)業(yè)鏈的底層關(guān)鍵技術(shù)之一，其安全性直接影響操作系統(tǒng)、芯片以及應(yīng)用系統(tǒng)的正常運(yùn)行。GFSM 模型通過(guò)固件安全評(píng)估、安全防護(hù)和安全標(biāo)準(zhǔn)3 個(gè)維度對(duì)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)的固件安全進(jìn)行體系化研究，為國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施的持續(xù)發(fā)展奠定了安全基礎(chǔ)。

4 結(jié)語(yǔ)

本文首先對(duì)固件的標(biāo)準(zhǔn)定義進(jìn)行闡述，分析固件對(duì)硬件設(shè)備啟動(dòng)、引導(dǎo)和監(jiān)控等功能實(shí)現(xiàn)的重要性，指出固件安全是國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)安全發(fā)展的重要基礎(chǔ)。通過(guò)分析目前固件安全面臨的威脅，針對(duì)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施體系的固件提出通用固件安全模型。該模型通過(guò)固件安全評(píng)估、固件安全防護(hù)和固件安全標(biāo)準(zhǔn)三大組件，搭建了基于國(guó)產(chǎn)通用芯片、操作系統(tǒng)和應(yīng)用軟件的固件安全體系，賦能?chē)?guó)產(chǎn)化IT 基礎(chǔ)設(shè)施產(chǎn)業(yè)發(fā)展。

目前，中國(guó)正在從制造業(yè)大國(guó)邁向制造業(yè)強(qiáng)國(guó)，核高基項(xiàng)目作為國(guó)家中長(zhǎng)期發(fā)展綱要中的核心內(nèi)容之一，其中的信息基礎(chǔ)設(shè)施國(guó)產(chǎn)化替代研究將逐步展開(kāi)。企業(yè)作為中國(guó)當(dāng)前最具創(chuàng)新能力的實(shí)體，參與標(biāo)準(zhǔn)制定的能力和動(dòng)力不足，固件安全行業(yè)也不例外。當(dāng)前標(biāo)準(zhǔn)制定呈現(xiàn)“大政府、小企業(yè)”的怪象，標(biāo)準(zhǔn)制定者和實(shí)施主體脫鉤導(dǎo)致技術(shù)標(biāo)準(zhǔn)不能滿(mǎn)足現(xiàn)代化企業(yè)的需求，技術(shù)標(biāo)準(zhǔn)與產(chǎn)業(yè)創(chuàng)新脫節(jié)。未來(lái)，國(guó)家應(yīng)當(dāng)積極引導(dǎo)并鼓勵(lì)企業(yè)參與標(biāo)準(zhǔn)制定，推動(dòng)技術(shù)標(biāo)準(zhǔn)與技術(shù)創(chuàng)新的有效銜接，并積極參與國(guó)際標(biāo)準(zhǔn)工作的制定，提升國(guó)內(nèi)標(biāo)準(zhǔn)的國(guó)際化程度，以先進(jìn)標(biāo)準(zhǔn)引領(lǐng)國(guó)產(chǎn)化IT 基礎(chǔ)設(shè)施邁向全球產(chǎn)業(yè)鏈中高端層次。