構筑嵌入式系統的安全屏障
——
加入技術交流群
構筑嵌入式系統的安全屏障
隨著黑客的攻擊目標從臺式機轉向嵌入式系統,硬件安全決策和軟件安全決策在設計過程中占了主導地位。
要點
●與出現故障后提供補丁的臺式電腦軟件安全策略不同,嵌入式產品即使在遭遇安全威脅時也必須繼續工作。
●嵌入式設備面臨的安全威脅迫使設計師除了采取傳統的軟件保護措施之外,還必須采取物理封裝保護措施。
●嵌入式系統體系結構多種多樣,這為黑客提供了很多攻擊機會,而且還妨礙全行業安全保護方案的開發。
●專門的嵌入式安全存儲芯片和協處理器把安全認證和加密兩項任務推給專用硬件去完成。
5年前,數十億嵌入式系統成為了注意的焦點,當時權威人士預測Y2K故障將會擾亂制造、配電、運輸、通信、水凈化、現金提取、武器系統的正常運作,還將帶來其他許多災難。全球的政府和私營公司花費數千工時和數十億美元來分析和更新嵌入式固件,以便能避免可能發生的災難。這些嵌入式設備目前面臨新的敵人,來自越來越多的黑客和恐怖分子,他們試圖造成類似的危害,強制進行計劃外的運作,或提取保密信息。對于任何新的嵌入式系統設計來說,這個新的現實使安全問題成為最優先考慮的事項。
嵌入式設備的應用情況,使我們對它們的可靠性期望值比對我們日常使用的大多數其它計算系統高得多。數以千計的用戶每天都要關閉或重新啟動臺式電腦,來處理出錯的程序或病毒。然而,如果您關閉或重新啟動許多嵌入式設備,比如關鍵系統中的嵌入設備,您就一定會有造成生命、財產或信息等損失的風險。在臺式電腦軟件領域,您可以等待故障發生,然后設計補丁來繞過它,但這在嵌入領域是無法讓人接受的。由于黑客會對各種基于電腦的系統發起攻擊,設備開發商必須相應地采取硬件安全措施和軟件安全措施,防止或遏制任何破壞性入侵。
盡管您能采用多層次保護,但任何系統或產品都不是100% 安全的。大多數專家認為,當黑客危害產品所需的時間和資金超過了他們所提取信息的價值時,系統就是安全的。我們必須假設,只要有足夠的資源,黑客就能夠闖入任何系統。由于幾乎無法對現有產品添加安全措施,因此安全性必須是基本的設計目標,從概念一直到生產、部署和壽命到期后的處理都應如此。美國國家標準與技術研究院(NIST)特別出版物800-27提供了若干在產品壽命周期的各個階段要考慮的與安全有關的設計原則(參考文獻1)。這些原則包括:確定安全策略,設計產品,處理升級,對付變化中的威脅,采用新技術,建立多個安全層,培訓程序員以便提交安全的軟件。
首先應考慮的安全問題之一是確定您需要保護的是哪些信息,這樣您就可以選擇合適的安全措施。重要的是要區分嵌入式設備存儲或顯示的公共數據和保密數據,因為您也許能減少甚至去除敏感數據,從而使安全工作量減至最少程度。除了明顯的公司保密數據和個人保密數據以外,您的設備也許還需要利用某種數字權利管理方案來保護擁有版權的材料,如書籍、音樂和視頻。您的專有產品設計的細節也可能會給外人或競爭對手提供有價值的信息。
誰在門口?
接下來,您應該確定可能的攻擊者是誰,以及他們的技巧水平。您也許能夠借助簡單的口令來保護音樂數據免遭好奇的愛好者的窺探;然而,如果您的設備敞開了金庫大門,那您就等著擁有經驗、資金和決心的黑客來考驗您的安全功能吧。恐怖組織企圖繞過安全防備來威脅生命,制造混亂。外國政府也許會資助攻擊者搜索對國家安全敏感的數據。如果您保護的數據涉及金融,就可能會有犯罪分子試圖突破您的安全措施。最后,您應該提防工業間諜活動,不道德的競爭對手可以借此降低或免除產品設計費用,進而獲利。
如果某設備存儲有敏感數據或保密數據,那么您的設計必須在正常工作期間、在通過網絡連接遭受攻擊期間、在攻擊者在實驗室中采用電子手段探測期間提供保護。嵌入式設備(尤其是便攜產品)面臨的安全威脅要比典型的臺式系統多得多。黑客也許會利用靈敏的測試設備來竊取、拆卸和探測小型設備,以便提取數據。他們能從產品中取出存儲元件,以提取存儲部件內的數據。同樣,他們也許會利用調試端口和軟件來讀取敏感數據或強制進行計劃外的操作。攻擊者也許會測量電磁輻射或功耗來獲得被隱藏信息的有關線索。另一種技巧是引入極端溫度、電壓偏移和時鐘變化,從而強迫系統在設計參數范圍之外工作,表現出異常性能。
由于便攜設備面臨額外威脅,設計師應該采取物理威懾手段來保護敏感信息。需要專門設備才能打開的加固型外殼也許能阻止一些攻擊。當攻擊正在進行時,傳感器會給軟件發信號。外殼設計至少應該用密封條或膠帶來提供產品被人動過的明顯證據,因為黑客在打開產品時會毀壞這些密封條或膠帶。關于內部設計,開發商在設計印刷電路板時應該把安全放在心上。例如,BGA 封裝使關鍵信號隱藏在電路板內層,從而使得黑客對其探測和逆向工程變得更困難。雖然黑客可以用酸清除某些制劑,但設計師可以用環氧樹脂和保形涂料來保護產品的所有或部分內部敏感電路。
存儲數據損失
存儲設備是黑客最喜歡的內部攻擊目標,這是因為它們保存了產品的固件和敏感數據。很多設備可以在線讀出數據,而且可以在工作期間提供臨時的文本數據。如果您的設備具有防篡改傳感器,您就可以利用硬件或軟件資源來迅速抹掉敏感數據。有幾家廠商提供安全存儲設備來保護內部數據。例如,Dallas Semiconductor公司的 DS2432 既有 1024 位 EEPROM,又有一個 64 位保密引擎和 512 位安全散列算法引擎,以提供低成本的基于認證的安全性(圖 1)。DS2432 售價是 2.03 美元(1000 件批量)。
圖 1,Dallas Semiconductor公司的 DS2432 具有 1128 位5V EEPROM(它分區成 4 頁,每頁 256 位)、一個 64 位只寫保密寄存器和5 個通用讀/寫寄存器。
在軟件方面,嵌入式產品為黑客提供了很多入侵機會。與臺式產品不同的是,嵌入式產品采用數十種軟件體系結構和操作系統,而這些軟件體系結構和操作系統的安全等級各不相同,視其制造商的專業技能而定。為了建立系統安全標準,美國、加拿大和幾個歐洲國家制定了《信息技術安全評估共同準則》 ,或簡稱《共同準則》。《共同準則》結構允許消費者、開發商和評估人員按標準的保護措施和 EAL(評估保證等級)規定產品的安全功能。雖然還沒有操作系統得到最高的 EAL-7 認證,但有幾項開發計劃正在進行。例如,LynuxWorks公司 正在對其 LynxOS-178 操作系統進行一次小規模運行狀態下內核的改進,并期望對它進行最高等級的正式驗證和測試。EAL-7 等級認證需要詳盡的數學分析,這就把此類軟件的長度限制在最多 6000~7000 行代碼以內。
要點
●與出現故障后提供補丁的臺式電腦軟件安全策略不同,嵌入式產品即使在遭遇安全威脅時也必須繼續工作。
●嵌入式設備面臨的安全威脅迫使設計師除了采取傳統的軟件保護措施之外,還必須采取物理封裝保護措施。
●嵌入式系統體系結構多種多樣,這為黑客提供了很多攻擊機會,而且還妨礙全行業安全保護方案的開發。
●專門的嵌入式安全存儲芯片和協處理器把安全認證和加密兩項任務推給專用硬件去完成。
5年前,數十億嵌入式系統成為了注意的焦點,當時權威人士預測Y2K故障將會擾亂制造、配電、運輸、通信、水凈化、現金提取、武器系統的正常運作,還將帶來其他許多災難。全球的政府和私營公司花費數千工時和數十億美元來分析和更新嵌入式固件,以便能避免可能發生的災難。這些嵌入式設備目前面臨新的敵人,來自越來越多的黑客和恐怖分子,他們試圖造成類似的危害,強制進行計劃外的運作,或提取保密信息。對于任何新的嵌入式系統設計來說,這個新的現實使安全問題成為最優先考慮的事項。
嵌入式設備的應用情況,使我們對它們的可靠性期望值比對我們日常使用的大多數其它計算系統高得多。數以千計的用戶每天都要關閉或重新啟動臺式電腦,來處理出錯的程序或病毒。然而,如果您關閉或重新啟動許多嵌入式設備,比如關鍵系統中的嵌入設備,您就一定會有造成生命、財產或信息等損失的風險。在臺式電腦軟件領域,您可以等待故障發生,然后設計補丁來繞過它,但這在嵌入領域是無法讓人接受的。由于黑客會對各種基于電腦的系統發起攻擊,設備開發商必須相應地采取硬件安全措施和軟件安全措施,防止或遏制任何破壞性入侵。
盡管您能采用多層次保護,但任何系統或產品都不是100% 安全的。大多數專家認為,當黑客危害產品所需的時間和資金超過了他們所提取信息的價值時,系統就是安全的。我們必須假設,只要有足夠的資源,黑客就能夠闖入任何系統。由于幾乎無法對現有產品添加安全措施,因此安全性必須是基本的設計目標,從概念一直到生產、部署和壽命到期后的處理都應如此。美國國家標準與技術研究院(NIST)特別出版物800-27提供了若干在產品壽命周期的各個階段要考慮的與安全有關的設計原則(參考文獻1)。這些原則包括:確定安全策略,設計產品,處理升級,對付變化中的威脅,采用新技術,建立多個安全層,培訓程序員以便提交安全的軟件。
首先應考慮的安全問題之一是確定您需要保護的是哪些信息,這樣您就可以選擇合適的安全措施。重要的是要區分嵌入式設備存儲或顯示的公共數據和保密數據,因為您也許能減少甚至去除敏感數據,從而使安全工作量減至最少程度。除了明顯的公司保密數據和個人保密數據以外,您的設備也許還需要利用某種數字權利管理方案來保護擁有版權的材料,如書籍、音樂和視頻。您的專有產品設計的細節也可能會給外人或競爭對手提供有價值的信息。
誰在門口?
接下來,您應該確定可能的攻擊者是誰,以及他們的技巧水平。您也許能夠借助簡單的口令來保護音樂數據免遭好奇的愛好者的窺探;然而,如果您的設備敞開了金庫大門,那您就等著擁有經驗、資金和決心的黑客來考驗您的安全功能吧。恐怖組織企圖繞過安全防備來威脅生命,制造混亂。外國政府也許會資助攻擊者搜索對國家安全敏感的數據。如果您保護的數據涉及金融,就可能會有犯罪分子試圖突破您的安全措施。最后,您應該提防工業間諜活動,不道德的競爭對手可以借此降低或免除產品設計費用,進而獲利。
如果某設備存儲有敏感數據或保密數據,那么您的設計必須在正常工作期間、在通過網絡連接遭受攻擊期間、在攻擊者在實驗室中采用電子手段探測期間提供保護。嵌入式設備(尤其是便攜產品)面臨的安全威脅要比典型的臺式系統多得多。黑客也許會利用靈敏的測試設備來竊取、拆卸和探測小型設備,以便提取數據。他們能從產品中取出存儲元件,以提取存儲部件內的數據。同樣,他們也許會利用調試端口和軟件來讀取敏感數據或強制進行計劃外的操作。攻擊者也許會測量電磁輻射或功耗來獲得被隱藏信息的有關線索。另一種技巧是引入極端溫度、電壓偏移和時鐘變化,從而強迫系統在設計參數范圍之外工作,表現出異常性能。
由于便攜設備面臨額外威脅,設計師應該采取物理威懾手段來保護敏感信息。需要專門設備才能打開的加固型外殼也許能阻止一些攻擊。當攻擊正在進行時,傳感器會給軟件發信號。外殼設計至少應該用密封條或膠帶來提供產品被人動過的明顯證據,因為黑客在打開產品時會毀壞這些密封條或膠帶。關于內部設計,開發商在設計印刷電路板時應該把安全放在心上。例如,BGA 封裝使關鍵信號隱藏在電路板內層,從而使得黑客對其探測和逆向工程變得更困難。雖然黑客可以用酸清除某些制劑,但設計師可以用環氧樹脂和保形涂料來保護產品的所有或部分內部敏感電路。
存儲數據損失
存儲設備是黑客最喜歡的內部攻擊目標,這是因為它們保存了產品的固件和敏感數據。很多設備可以在線讀出數據,而且可以在工作期間提供臨時的文本數據。如果您的設備具有防篡改傳感器,您就可以利用硬件或軟件資源來迅速抹掉敏感數據。有幾家廠商提供安全存儲設備來保護內部數據。例如,Dallas Semiconductor公司的 DS2432 既有 1024 位 EEPROM,又有一個 64 位保密引擎和 512 位安全散列算法引擎,以提供低成本的基于認證的安全性(圖 1)。DS2432 售價是 2.03 美元(1000 件批量)。
圖 1,Dallas Semiconductor公司的 DS2432 具有 1128 位5V EEPROM(它分區成 4 頁,每頁 256 位)、一個 64 位只寫保密寄存器和5 個通用讀/寫寄存器。
在軟件方面,嵌入式產品為黑客提供了很多入侵機會。與臺式產品不同的是,嵌入式產品采用數十種軟件體系結構和操作系統,而這些軟件體系結構和操作系統的安全等級各不相同,視其制造商的專業技能而定。為了建立系統安全標準,美國、加拿大和幾個歐洲國家制定了《信息技術安全評估共同準則》 ,或簡稱《共同準則》。《共同準則》結構允許消費者、開發商和評估人員按標準的保護措施和 EAL(評估保證等級)規定產品的安全功能。雖然還沒有操作系統得到最高的 EAL-7 認證,但有幾項開發計劃正在進行。例如,LynuxWorks公司 正在對其 LynxOS-178 操作系統進行一次小規模運行狀態下內核的改進,并期望對它進行最高等級的正式驗證和測試。EAL-7 等級認證需要詳盡的數學分析,這就把此類軟件的長度限制在最多 6000~7000 行代碼以內。
評論