构筑嵌入式系统的安全屏障
——
加入技术交流群
构筑嵌入式系统的安全屏障
随着黑客的攻击目标从台式机转向嵌入式系统,硬件安全决策和软件安全决策在设计过程中占了主导地位。
要点
●与出现故障后提供补丁的台式电脑软件安全策略不同,嵌入式产品即使在遭遇安全威胁时也必须继续工作。
●嵌入式设备面临的安全威胁迫使设计师除了采取传统的软件保护措施之外,还必须采取物理封装保护措施。
●嵌入式系统体系结构多种多样,这为黑客提供了很多攻击机会,而且还妨碍全行业安全保护方案的开发。
●专门的嵌入式安全存储芯片和协处理器把安全认证和加密两项任务推给专用硬件去完成。
5年前,数十亿嵌入式系统成为了注意的焦点,当时权威人士预测Y2K故障将会扰乱制造、配电、运输、通信、水净化、现金提取、武器系统的正常运作,还将带来其他许多灾难。全球的政府和私营公司花费数千工时和数十亿美元来分析和更新嵌入式固件,以便能避免可能发生的灾难。这些嵌入式设备目前面临新的敌人,来自越来越多的黑客和恐怖分子,他们试图造成类似的危害,强制进行计划外的运作,或提取保密信息。对于任何新的嵌入式系统设计来说,这个新的现实使安全问题成为最优先考虑的事项。
嵌入式设备的应用情况,使我们对它们的可靠性期望值比对我们日常使用的大多数其它计算系统高得多。数以千计的用户每天都要关闭或重新启动台式电脑,来处理出错的程序或病毒。然而,如果您关闭或重新启动许多嵌入式设备,比如关键系统中的嵌入设备,您就一定会有造成生命、财产或信息等损失的风险。在台式电脑软件领域,您可以等待故障发生,然后设计补丁来绕过它,但这在嵌入领域是无法让人接受的。由于黑客会对各种基于电脑的系统发起攻击,设备开发商必须相应地采取硬件安全措施和软件安全措施,防止或遏制任何破坏性入侵。
尽管您能采用多层次保护,但任何系统或产品都不是100% 安全的。大多数专家认为,当黑客危害产品所需的时间和资金超过了他们所提取信息的价值时,系统就是安全的。我们必须假设,只要有足够的资源,黑客就能够闯入任何系统。由于几乎无法对现有产品添加安全措施,因此安全性必须是基本的设计目标,从概念一直到生产、部署和寿命到期后的处理都应如此。美国国家标准与技术研究院(NIST)特别出版物800-27提供了若干在产品寿命周期的各个阶段要考虑的与安全有关的设计原则(参考文献1)。这些原则包括:确定安全策略,设计产品,处理升级,对付变化中的威胁,采用新技术,建立多个安全层,培训程序员以便提交安全的软件。
首先应考虑的安全问题之一是确定您需要保护的是哪些信息,这样您就可以选择合适的安全措施。重要的是要区分嵌入式设备存储或显示的公共数据和保密数据,因为您也许能减少甚至去除敏感数据,从而使安全工作量减至最少程度。除了明显的公司保密数据和个人保密数据以外,您的设备也许还需要利用某种数字权利管理方案来保护拥有版权的材料,如书籍、音乐和视频。您的专有产品设计的细节也可能会给外人或竞争对手提供有价值的信息。
谁在门口?
接下来,您应该确定可能的攻击者是谁,以及他们的技巧水平。您也许能够借助简单的口令来保护音乐数据免遭好奇的爱好者的窥探;然而,如果您的设备敞开了金库大门,那您就等着拥有经验、资金和决心的黑客来考验您的安全功能吧。恐怖组织企图绕过安全防备来威胁生命,制造混乱。外国政府也许会资助攻击者搜索对国家安全敏感的数据。如果您保护的数据涉及金融,就可能会有犯罪分子试图突破您的安全措施。最后,您应该提防工业间谍活动,不道德的竞争对手可以借此降低或免除产品设计费用,进而获利。
如果某设备存储有敏感数据或保密数据,那么您的设计必须在正常工作期间、在通过网络连接遭受攻击期间、在攻击者在实验室中采用电子手段探测期间提供保护。嵌入式设备(尤其是便携产品)面临的安全威胁要比典型的台式系统多得多。黑客也许会利用灵敏的测试设备来窃取、拆卸和探测小型设备,以便提取数据。他们能从产品中取出存储元件,以提取存储部件内的数据。同样,他们也许会利用调试端口和软件来读取敏感数据或强制进行计划外的操作。攻击者也许会测量电磁辐射或功耗来获得被隐藏信息的有关线索。另一种技巧是引入极端温度、电压偏移和时钟变化,从而强迫系统在设计参数范围之外工作,表现出异常性能。
由于便携设备面临额外威胁,设计师应该采取物理威慑手段来保护敏感信息。需要专门设备才能打开的加固型外壳也许能阻止一些攻击。当攻击正在进行时,传感器会给软件发信号。外壳设计至少应该用密封条或胶带来提供产品被人动过的明显证据,因为黑客在打开产品时会毁坏这些密封条或胶带。关于内部设计,开发商在设计印刷电路板时应该把安全放在心上。例如,BGA 封装使关键信号隐藏在电路板内层,从而使得黑客对其探测和逆向工程变得更困难。虽然黑客可以用酸清除某些制剂,但设计师可以用环氧树脂和保形涂料来保护产品的所有或部分内部敏感电路。
存储数据损失
存储设备是黑客最喜欢的内部攻击目标,这是因为它们保存了产品的固件和敏感数据。很多设备可以在线读出数据,而且可以在工作期间提供临时的文本数据。如果您的设备具有防篡改传感器,您就可以利用硬件或软件资源来迅速抹掉敏感数据。有几家厂商提供安全存储设备来保护内部数据。例如,Dallas Semiconductor公司的 DS2432 既有 1024 位 EEPROM,又有一个 64 位保密引擎和 512 位安全散列算法引擎,以提供低成本的基于认证的安全性(图 1)。DS2432 售价是 2.03 美元(1000 件批量)。
图 1,Dallas Semiconductor公司的 DS2432 具有 1128 位5V EEPROM(它分区成 4 页,每页 256 位)、一个 64 位只写保密寄存器和5 个通用读/写寄存器。
在软件方面,嵌入式产品为黑客提供了很多入侵机会。与台式产品不同的是,嵌入式产品采用数十种软件体系结构和操作系统,而这些软件体系结构和操作系统的安全等级各不相同,视其制造商的专业技能而定。为了建立系统安全标准,美国、加拿大和几个欧洲国家制定了《信息技术安全评估共同准则》 ,或简称《共同准则》。《共同准则》结构允许消费者、开发商和评估人员按标准的保护措施和 EAL(评估保证等级)规定产品的安全功能。虽然还没有操作系统得到最高的 EAL-7 认证,但有几项开发计划正在进行。例如,LynuxWorks公司 正在对其 LynxOS-178 操作系统进行一次小规模运行状态下内核的改进,并期望对它进行最高等级的正式验证和测试。EAL-7 等级认证需要详尽的数学分析,这就把此类软件的长度限制在最多 6000~7000 行代码以内。
要点
●与出现故障后提供补丁的台式电脑软件安全策略不同,嵌入式产品即使在遭遇安全威胁时也必须继续工作。
●嵌入式设备面临的安全威胁迫使设计师除了采取传统的软件保护措施之外,还必须采取物理封装保护措施。
●嵌入式系统体系结构多种多样,这为黑客提供了很多攻击机会,而且还妨碍全行业安全保护方案的开发。
●专门的嵌入式安全存储芯片和协处理器把安全认证和加密两项任务推给专用硬件去完成。
5年前,数十亿嵌入式系统成为了注意的焦点,当时权威人士预测Y2K故障将会扰乱制造、配电、运输、通信、水净化、现金提取、武器系统的正常运作,还将带来其他许多灾难。全球的政府和私营公司花费数千工时和数十亿美元来分析和更新嵌入式固件,以便能避免可能发生的灾难。这些嵌入式设备目前面临新的敌人,来自越来越多的黑客和恐怖分子,他们试图造成类似的危害,强制进行计划外的运作,或提取保密信息。对于任何新的嵌入式系统设计来说,这个新的现实使安全问题成为最优先考虑的事项。
嵌入式设备的应用情况,使我们对它们的可靠性期望值比对我们日常使用的大多数其它计算系统高得多。数以千计的用户每天都要关闭或重新启动台式电脑,来处理出错的程序或病毒。然而,如果您关闭或重新启动许多嵌入式设备,比如关键系统中的嵌入设备,您就一定会有造成生命、财产或信息等损失的风险。在台式电脑软件领域,您可以等待故障发生,然后设计补丁来绕过它,但这在嵌入领域是无法让人接受的。由于黑客会对各种基于电脑的系统发起攻击,设备开发商必须相应地采取硬件安全措施和软件安全措施,防止或遏制任何破坏性入侵。
尽管您能采用多层次保护,但任何系统或产品都不是100% 安全的。大多数专家认为,当黑客危害产品所需的时间和资金超过了他们所提取信息的价值时,系统就是安全的。我们必须假设,只要有足够的资源,黑客就能够闯入任何系统。由于几乎无法对现有产品添加安全措施,因此安全性必须是基本的设计目标,从概念一直到生产、部署和寿命到期后的处理都应如此。美国国家标准与技术研究院(NIST)特别出版物800-27提供了若干在产品寿命周期的各个阶段要考虑的与安全有关的设计原则(参考文献1)。这些原则包括:确定安全策略,设计产品,处理升级,对付变化中的威胁,采用新技术,建立多个安全层,培训程序员以便提交安全的软件。
首先应考虑的安全问题之一是确定您需要保护的是哪些信息,这样您就可以选择合适的安全措施。重要的是要区分嵌入式设备存储或显示的公共数据和保密数据,因为您也许能减少甚至去除敏感数据,从而使安全工作量减至最少程度。除了明显的公司保密数据和个人保密数据以外,您的设备也许还需要利用某种数字权利管理方案来保护拥有版权的材料,如书籍、音乐和视频。您的专有产品设计的细节也可能会给外人或竞争对手提供有价值的信息。
谁在门口?
接下来,您应该确定可能的攻击者是谁,以及他们的技巧水平。您也许能够借助简单的口令来保护音乐数据免遭好奇的爱好者的窥探;然而,如果您的设备敞开了金库大门,那您就等着拥有经验、资金和决心的黑客来考验您的安全功能吧。恐怖组织企图绕过安全防备来威胁生命,制造混乱。外国政府也许会资助攻击者搜索对国家安全敏感的数据。如果您保护的数据涉及金融,就可能会有犯罪分子试图突破您的安全措施。最后,您应该提防工业间谍活动,不道德的竞争对手可以借此降低或免除产品设计费用,进而获利。
如果某设备存储有敏感数据或保密数据,那么您的设计必须在正常工作期间、在通过网络连接遭受攻击期间、在攻击者在实验室中采用电子手段探测期间提供保护。嵌入式设备(尤其是便携产品)面临的安全威胁要比典型的台式系统多得多。黑客也许会利用灵敏的测试设备来窃取、拆卸和探测小型设备,以便提取数据。他们能从产品中取出存储元件,以提取存储部件内的数据。同样,他们也许会利用调试端口和软件来读取敏感数据或强制进行计划外的操作。攻击者也许会测量电磁辐射或功耗来获得被隐藏信息的有关线索。另一种技巧是引入极端温度、电压偏移和时钟变化,从而强迫系统在设计参数范围之外工作,表现出异常性能。
由于便携设备面临额外威胁,设计师应该采取物理威慑手段来保护敏感信息。需要专门设备才能打开的加固型外壳也许能阻止一些攻击。当攻击正在进行时,传感器会给软件发信号。外壳设计至少应该用密封条或胶带来提供产品被人动过的明显证据,因为黑客在打开产品时会毁坏这些密封条或胶带。关于内部设计,开发商在设计印刷电路板时应该把安全放在心上。例如,BGA 封装使关键信号隐藏在电路板内层,从而使得黑客对其探测和逆向工程变得更困难。虽然黑客可以用酸清除某些制剂,但设计师可以用环氧树脂和保形涂料来保护产品的所有或部分内部敏感电路。
存储数据损失
存储设备是黑客最喜欢的内部攻击目标,这是因为它们保存了产品的固件和敏感数据。很多设备可以在线读出数据,而且可以在工作期间提供临时的文本数据。如果您的设备具有防篡改传感器,您就可以利用硬件或软件资源来迅速抹掉敏感数据。有几家厂商提供安全存储设备来保护内部数据。例如,Dallas Semiconductor公司的 DS2432 既有 1024 位 EEPROM,又有一个 64 位保密引擎和 512 位安全散列算法引擎,以提供低成本的基于认证的安全性(图 1)。DS2432 售价是 2.03 美元(1000 件批量)。
图 1,Dallas Semiconductor公司的 DS2432 具有 1128 位5V EEPROM(它分区成 4 页,每页 256 位)、一个 64 位只写保密寄存器和5 个通用读/写寄存器。
在软件方面,嵌入式产品为黑客提供了很多入侵机会。与台式产品不同的是,嵌入式产品采用数十种软件体系结构和操作系统,而这些软件体系结构和操作系统的安全等级各不相同,视其制造商的专业技能而定。为了建立系统安全标准,美国、加拿大和几个欧洲国家制定了《信息技术安全评估共同准则》 ,或简称《共同准则》。《共同准则》结构允许消费者、开发商和评估人员按标准的保护措施和 EAL(评估保证等级)规定产品的安全功能。虽然还没有操作系统得到最高的 EAL-7 认证,但有几项开发计划正在进行。例如,LynuxWorks公司 正在对其 LynxOS-178 操作系统进行一次小规模运行状态下内核的改进,并期望对它进行最高等级的正式验证和测试。EAL-7 等级认证需要详尽的数学分析,这就把此类软件的长度限制在最多 6000~7000 行代码以内。
评论