通过检测电源的稳定性确保物联网设备的安全

物联网（IoT）的许多设备都需要安全地传输数据，要求使用加密算法和安全密钥存储。其中一些密钥将用于访问重要服务，这些服务可能被网络犯罪分子用于在网络上发起攻击或获得财务优势。例如，报告诸如能量之类的资源的使用的仪表可以被篡改以减少账单。

因此，任何安全密钥都得到有效保护是非常重要的，这样就无法检索和滥用它们。不幸的是，有些技术可以使未受保护的系统受到损害。

电子电路产生的各种排放作为其处理的副产品，使攻击者无法详细了解其实际结构。电路本身可以推断它正在处理的数据。热量和电磁辐射都是攻击者可靠的信息来源。由于这些排放是操作的副作用，因此使用它们进行逆向工程已经获得了“侧通道分析”这一术语。

所有攻击都利用了将在算法执行期间的不同时间。侧通道分析有两大类：简单和差异。在这些类中，攻击者可以使用一系列旁道属性，例如产生的热量，消耗的功率或执行时间。例如，天真的算法可能会从比较中提前返回，向攻击者指示密码中的哪些字节是错误的。

加密算法的软件实现还可以演示取决于密钥内位的状态的时序变化，因为操作的复杂程度可能因密钥值而异。软件代码的另一个问题是片上高速缓存可以以允许攻击者获取有关正在处理的数据的信息的方式影响定时。

开发人员实施了一系列旨在抵御旁道攻击的对策 - 通过均衡执行时间和逻辑活动 - 以及执行进一步加密步骤，改变发送的连续数据字之间的汉明距离片上总线。由于总线所经历的电容负载在很大程度上取决于汉明距离，并且负载的这种变化表现为相对较大的EMI和热尖峰，这种类型的活动是侧通道攻击的关键目标。虽然改变逻辑平衡可以抵消基于时间的攻击，但基于伪装汉明距离的防御可以更有效地处理EMI和基于热量的攻击。

随着对策的改进，攻击者正在转向更积极的技术他们试图破坏目标的正常行为，希望揭示数据。关键攻击向量是时钟信号和电源轨。在周期中停止时钟然后重新启动它是一项关键技术。另一个是暂时将电源电压降低到晶体管能够正确切换的点以下。这些技术可能导致异常行为和数据损坏。

例如，微控制器的中央处理单元（CPU）可能会错误地执行指令，并导致内部数据地址和控制线的意外活动。反过来，这可能导致CPU寄存器，I/O寄存器或存储器损坏。这种损坏对攻击者很有帮助，因为与正常操作相比，输入到系统的数据的微小变化加上精心定时的电源毛刺可以被检测为处理器或电路行为的变化。

可以设计通过使用内部时钟源来破坏加密硬件上基于时钟的攻击的电路。只有具备物理探测芯片能力的资金充足的攻击者才能随意改变时钟。但是，没有简单的方法可以防止访问硬件的攻击者干扰电源轨，因为很少有（如果有的话）将能源与IC集成的实用方法。

为避免突然断电造成的问题，应防止处理器或加密电路在电压不足的情况下运行，通常称为“掉电”。确保这一点的有效方法是使用外部电源低压或欠压检测器。低于设定的阈值电压 - 可能比标称值低5％至15％ - 持续时间足以引起问题，检测器切换复位引脚，这将停止执行。这迫使处理器和相关电路进入已知状态并阻止内部程序，控制和数据访问。

图1：一个简单的低功耗外部欠压电路，适用于复位Atmel的AVR系列等MCU。

当提供的电压上升超过阈值足够长的时间时，复位引脚被释放并且受保护的电路从已知的复位状态开始。通常，这将删除任何易失性数据并从系统的起点重新开始执行。任何正在进行的任务都需要重新启动，因为寄存器通常会被强制为默认状态。复位也可能具有擦除内部SRAM的效果，这是最安全的选择，因为掉电可能导致单个单元丢失其内容，因为这种类型的存储器依赖于恒定的电源。

重置切换导致的重启会导致攻击者在任何中断电源的尝试后从头开始，并将其降低到可以确定的关于设备内部状态的最低限度。每个掉电都会被触发。

图2：使用简单的低功耗检测器的复位信号的典型响应曲线。

有一个数字检测掉电的方法可以提供可以离散建立的必要复位控制。但是，离散方法存在潜在的缺点。建立具有响应性和可靠性的必要组合的电路可能是困难的。一个关键问题是如果电源在触发点周围振荡会发生什么情况，这可能导致设备快速连续地进出复位并导致其他问题。

另外还有以下情况：架子设备，包括支持滞后，以防止触发点周围的振荡问题。许多微控制器，例如Atmel的AVR系列，也包括掉电检测器。

Maxim Integrated的ICL7665警告微处理器过压和欠压条件，并支持可编程滞后条件和电压阈值，以确保电压稳定到足以使处理器复位。两个电压检测器的跳变点和迟滞使用外部电阻单独编程为任何大于1.3 V的电压.ICL7665可在1.6 V至16 V范围内的任何电源电压下工作，监控1.3 V至几百伏的电压。 Maxim ICL7665A具有更高的精度，阈值精确到2％以内，并保证了整个温度范围内的性能。 ICL7665的3μA静态电流使其适用于电池供电系统中的电压监控，这是典型的物联网应用。

图3：使用用于阈值检测的Maxim ICL7665。

除电源监控外，还提供看门狗定时器功能 - 允许监控系统软件，防止电源轨中断以外的毛刺引起的问题 - 由MCP1316制造Microchip Technology将把器件保持在复位状态，直到电压稳定为止。如果电源轨上的噪声导致电压在跳闸点上方和下方快速移动，则器件支持迟滞，以避免复位过早退出。内部延迟电路将保持复位，直到经过适当的复位延迟时间。

同时提供看门狗定时器和电源轨监控的组合，德州仪器的LM3710具有独立的电源故障和掉电检测输出。前者可以在路由到监视外部电源输入的分压器时提供欠压的提前警告。虽然可以使用电源失效警告将受保护电路置于保持状态，但掉电输入通常用于驱动复位信号。

同时确保电源轨不易受损值得注意的是，封装选择也会影响物联网硬件对攻击的免疫力。大多数硅器件都容易受到光子的影响，特别是红外线，因此可以通过在芯片上照射的强光来破坏光子器件。传统的塑料封装可以有效地防止这个问题，但不会出现芯片暴露在光线下的情况，这种情况可能会发生在一些芯片级封装中，例如DSBGA。

通过关注电源轨对攻击的敏感性，物联网设备开发人员关心其系统的完整性可以降低加密密钥和其他敏感数据暴露的风险，假设他们采取了其他预防措施对抗旁道分析和其他形式的逆向工程。