當(dāng)前位置:首頁(yè) > 嵌入式 > 嵌入式硬件
[導(dǎo)讀]當(dāng)今的嵌入式系統(tǒng)常常處理應(yīng)用代碼(IP)和數(shù)據(jù)等敏感信息,因此安全是其設(shè)計(jì)的一個(gè)主要關(guān)注因素。

當(dāng)今的嵌入式系統(tǒng)常常處理應(yīng)用代碼(IP)和數(shù)據(jù)等敏感信息,因此安全是其設(shè)計(jì)的一個(gè)主要關(guān)注因素。為了確立一個(gè)合理的基礎(chǔ)來(lái)判斷建議的安全系統(tǒng)是否足以御敵或是防衛(wèi)過(guò)當(dāng),就必須識(shí)別所察覺到的安全威脅。這意味著我們需要弄清對(duì)手有哪些,他們有什么樣的能力,他們的目標(biāo)是什么?我們要保護(hù)什么,我們要防范誰(shuí)的威脅或什么威脅?世界上并沒有一個(gè)包打天下的解決方案,也沒有百分之百安全的安全系統(tǒng)。然而,安全系統(tǒng)不必是完美無(wú)缺的解決方案,也不需要全然牢不可破以至于失去應(yīng)用價(jià)值。安全系統(tǒng)只要足夠安全即可,也就是在它所保護(hù)的數(shù)據(jù)的預(yù)期有效時(shí)間內(nèi),它能夠抵御可能的敵人進(jìn)攻即可。

若沒有應(yīng)用環(huán)境,安全就沒有意義

嵌入式系統(tǒng)設(shè)計(jì)師經(jīng)常誤解安全,認(rèn)為諸如特定的加密算法和安全協(xié)議等安全措施只是系統(tǒng)的附加特性。安全是一個(gè)過(guò)程,而不是永遠(yuǎn)保持不變的一款產(chǎn)品或一種終極狀態(tài)。而且,也不能在產(chǎn)品將永遠(yuǎn)保持安全的假設(shè)下,把安全措施簡(jiǎn)單地加入到一款產(chǎn)品中。當(dāng)今設(shè)計(jì)師面臨的最棘手難題之一就是明確嵌入式系統(tǒng)的安全要求和目標(biāo)。有助于解決這一難題的方法很多,本文所討論的方法涉及威脅建模和風(fēng)險(xiǎn)評(píng)估,目的是幫助設(shè)計(jì)師定義安全策略,然后設(shè)計(jì)對(duì)策來(lái)實(shí)施安全策略。

安全設(shè)計(jì)——在設(shè)計(jì)的初始階段檢測(cè)威脅

在設(shè)計(jì)安全解決方案的時(shí)候,首先必須做的就是定義一個(gè)威脅模型,然后再創(chuàng)建安全策略。一旦評(píng)估完成,就能安心地選擇具體的技術(shù)來(lái)實(shí)現(xiàn)安全對(duì)策。威脅決定應(yīng)對(duì)策略,策略決定設(shè)計(jì)。參見圖1



圖1設(shè)計(jì)安全方案需要(1)定義一個(gè)威脅模型,(2)創(chuàng)建一個(gè)安全策略。


許多設(shè)計(jì)師都會(huì)犯同一個(gè)錯(cuò)誤,在設(shè)計(jì)安全系統(tǒng)時(shí)沒有首先明確和了解可能遇到的真正威脅,以及這些威脅會(huì)給他們的終端產(chǎn)品帶來(lái)的重大風(fēng)險(xiǎn)。相反,他們教條地把各類安全技術(shù)堆在一起,并希望能獲得很高的安全性。這樣做代價(jià)高昂,沒有系統(tǒng)能防御所有的安全威脅,在設(shè)計(jì)中囊括那些沒有必要的技術(shù)和防御沒有實(shí)際威脅的風(fēng)險(xiǎn)毫無(wú)意義。

威脅建模——價(jià)值意味著風(fēng)險(xiǎn)

對(duì)于資源受限的設(shè)備,嵌入式系統(tǒng)必須在存儲(chǔ)容量、功耗、處理能力、上市時(shí)間及成本等參數(shù)和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰(zhàn),通過(guò)仔細(xì)考慮威脅模型并設(shè)計(jì)系統(tǒng)使其工作在能滿足該模型的可用計(jì)算能力限制之內(nèi),仍有可能開發(fā)出使產(chǎn)品在開放環(huán)境中有效工作的系統(tǒng)。

對(duì)系統(tǒng)設(shè)計(jì)師來(lái)說(shuō),考慮“威脅建模”的原理非常有用。威脅建模是基于一種假設(shè),即每個(gè)系統(tǒng)都有值得保護(hù)的固有價(jià)值。然而,因?yàn)檫@些系統(tǒng)是有價(jià)值的,他們對(duì)內(nèi)部或外部威脅也是開放的,這些威脅能夠且經(jīng)常給終端產(chǎn)品帶來(lái)?yè)p害。設(shè)計(jì)完成后的安全漏洞常常是無(wú)法修正的,且危及投入的資金和開發(fā)資源,因此需要在設(shè)計(jì)周期的初始階段增強(qiáng)對(duì)安全評(píng)估的需求,并在整個(gè)設(shè)計(jì)周期進(jìn)行監(jiān)測(cè)和重復(fù)修正。

本質(zhì)上,我們可以把威脅模型定義為:“識(shí)別一組可能的攻擊,以便考慮配合一套徹底的風(fēng)險(xiǎn)評(píng)估策略。”有了威脅模型,我們就能評(píng)估攻擊的概率、潛在危害和優(yōu)先級(jí)。

威脅建模很難,但是很有必要。威脅建模需要考慮系統(tǒng)是怎樣受到攻擊的。若建模成功,它就能解決潛在的系統(tǒng)安全故障隱患,諸如怎樣發(fā)生故障、以及故障時(shí)出現(xiàn)什么情況等問題。通常在市場(chǎng)和成本的壓力下,這個(gè)評(píng)估以一種特別的方式來(lái)進(jìn)行,即通過(guò)集思廣益征集系統(tǒng)有可能受到的所有攻擊(當(dāng)然,潛在的黑客或許比您更超前一步)。對(duì)這個(gè)過(guò)程來(lái)說(shuō),一個(gè)更加系統(tǒng)化及可重復(fù)的方法是使用攻擊樹,這個(gè)概念首先是由Bruce Schneier[1,2]提出來(lái)的。攻擊樹提供一種將攻擊系統(tǒng)的不同方式進(jìn)行系統(tǒng)性分類的方法。大致來(lái)說(shuō),就是以一種樹的結(jié)構(gòu)描述系統(tǒng)所受的攻擊,樹結(jié)構(gòu)模型中的節(jié)點(diǎn)代表攻擊。樹的根節(jié)點(diǎn)是攻擊者的總目標(biāo),達(dá)到該目標(biāo)的不同路徑則是葉節(jié)點(diǎn),如圖2所示。



圖2.代表任何必須保護(hù)知識(shí)產(chǎn)權(quán)(IP)的嵌入式系統(tǒng)的攻擊樹,此類系統(tǒng)包括手機(jī)、VoIP、視頻監(jiān)控系統(tǒng)等


當(dāng)正確完成威脅建模時(shí),真正的威脅就被確定下來(lái)了。然而,如果弄錯(cuò)了可能存在的威脅的話,其代價(jià)將是高昂的。設(shè)計(jì)師弄錯(cuò)威脅的一個(gè)案例是DVD的保護(hù)措施。盡管DVD碟片被加密,密鑰也放在播放機(jī)里,只要播放機(jī)里包含抗篡改硬件,這種保護(hù)方式是沒有問題的。但引入軟件播放器時(shí),密鑰會(huì)曝露出來(lái),通過(guò)逆向工程就能恢復(fù)密鑰,也使任何人都能隨便復(fù)制和散布任何DVD內(nèi)容。

在這種情況下,它是有缺陷的威脅模型。雖然有安全措施,但是這無(wú)法真正解決問題。

風(fēng)險(xiǎn)評(píng)估

僅僅列出一堆威脅是不夠的,由于不同威脅的風(fēng)險(xiǎn)不同,因此還需要知道每種威脅的風(fēng)險(xiǎn)。威脅建模的下一個(gè)步驟是風(fēng)險(xiǎn)評(píng)估,這是在任何安全系統(tǒng)設(shè)計(jì)中的一個(gè)至關(guān)重要的部分。風(fēng)險(xiǎn)評(píng)估的一些基礎(chǔ)問題,即“保護(hù)什么”、“為什么要保護(hù)”和“防范的對(duì)象是誰(shuí)”,應(yīng)在設(shè)計(jì)周期的最初階段厘清。盡早采取表1所示的措施,將有助于您選擇有效、安全的防范技術(shù)和防御策略。



表1.風(fēng)險(xiǎn)評(píng)估

安全策略

識(shí)別出威脅,并權(quán)衡風(fēng)險(xiǎn)后,接下來(lái)就該建立安全策略了。安全策略是解決方案背后的戰(zhàn)略,而技術(shù)僅僅是戰(zhàn)術(shù)手段。安全策略描述“為什么”,而不是“如何做”。

例如,基于FPGA設(shè)計(jì)的安全策略目標(biāo)之一也許是“保持配置位流的機(jī)密性”,這是一個(gè)系統(tǒng)目標(biāo)。“如何做”或?qū)Σ叩膶?shí)施可能是采用諸如AES等對(duì)稱密鑰加密的方式,對(duì)配置位流進(jìn)行加密以便實(shí)現(xiàn)這個(gè)目標(biāo)。

整體的設(shè)計(jì)流程總結(jié)如下:

了解系統(tǒng)的真正威脅,并評(píng)估這些威脅的風(fēng)險(xiǎn)。

評(píng)估哪些威脅是最危險(xiǎn)的,并且最可能發(fā)生。

將系統(tǒng)性防御這些威脅所需的安全策略進(jìn)行描述并歸檔。這將是一系列的聲明,例如:“只有可信任的代碼才允許進(jìn)入受限制的內(nèi)存”,或“密碼密鑰必須保密”。

設(shè)計(jì)并實(shí)施能加強(qiáng)系統(tǒng)安全策略的防范措施。理論上,這些防范措施是保護(hù)、檢測(cè)和回應(yīng)的混合機(jī)制。

防范措施

在確定了潛在的攻擊,且已定義好安全目標(biāo)后,就可以考慮實(shí)施防范技術(shù)來(lái)減輕風(fēng)險(xiǎn)。一套有效的安全防范措施包括三個(gè)不同的部分:保護(hù)、檢測(cè)、回應(yīng)。這些對(duì)策必須基于系統(tǒng)已知威脅來(lái)合理地共同工作。如果保護(hù)機(jī)制被攻破,必須依靠檢測(cè)和回應(yīng)機(jī)制來(lái)抵御攻擊。如果回應(yīng)機(jī)制不存在或無(wú)效,那擁有檢測(cè)機(jī)制也就沒有意義。

在嵌入式系統(tǒng)中,保護(hù)、檢測(cè)和回應(yīng)技術(shù)可以采取許多形式(參見表2)。這些技術(shù)互相配合,可以阻止?jié)撛诘墓?,或者在受到攻擊后提供有用的法庭審核信息?/p>



表2.防范技術(shù)


結(jié)語(yǔ)

安全設(shè)計(jì)是一個(gè)動(dòng)態(tài)的、與具體的系統(tǒng)相關(guān)的過(guò)程,且往往很復(fù)雜。對(duì)于本文中談?wù)摰拿糠N安全話題,都有大量研究和專門技術(shù)資料供設(shè)計(jì)師研究和學(xué)習(xí)。在開始進(jìn)行設(shè)計(jì)時(shí),最重要的事情就是盡早開始安全需求評(píng)估,定義系統(tǒng)安全目標(biāo),并經(jīng)常性地根據(jù)系統(tǒng)用途及市場(chǎng)的變化來(lái)確定是否最初的威脅已經(jīng)改變或擴(kuò)展。

您什么時(shí)候才能知道系統(tǒng)是足夠安全的?澳大利亞新南威爾士Country Energy負(fù)責(zé)安全的Robbie Sinclair曾經(jīng)說(shuō)過(guò):“在您感覺不夠安全之前,安全措施總是會(huì)過(guò)量的。”當(dāng)您開始安全評(píng)估時(shí),請(qǐng)給出您對(duì)“多大程度的安全才算安全”這個(gè)問題的答案。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉