Global Sources
電子工程專輯
 
電子工程專輯 > 嵌入式技術
 
 
嵌入式技術  

嵌入式系統的安全性求認證選擇和適用性

上網時間: 2008年09月05日     打印版  Bookmark and Share  字型大小:  

關鍵字:嵌入式系統  安全性  網路安全性 

系統安全性對於快速成長的各種終端設備至關重要。對於互連性、可移植性、普適性不斷增強的嵌入式系統,安全性的需求也在多樣化。因此,推動安全性需求和實施細節的機制完全不同。有關數據安全性和用戶身份識別或加密保護的問題,是下一代系統設計需要考慮的關鍵之一。

知識產權保護、反盜版、設備/系統間認證以及對於威脅系統的作業監測和應對機制,都具有特殊的安全性要求,需要嚴謹的設計考慮。此外,由於普適運算和互連需求的增加,安全保護已經延伸到需要考慮系統作業特徵的更加廣泛的應用領域。在網路環境下,即使是一個失效節點也可能破壞整個連接系統。

綜合上述問題,相關組織已經制訂了一套標準和認證制度,為設計商、製造商和最終用戶的下一代產品、系統提供不同等級保證的參考。本文討論了一些主要應用領域中的安全風險評估以及適合的認證、保護需求。

普適運算

這是一個最具挑戰的安全性應用,它代表著多種應用的融合,傳統設計中是按照具體的安全要求提供分離的設計單元。例如,蘋果公司的iPhone,它整合了手機、PC、網路客戶端和媒體播放器等功能。把這些功能整合在一起為用戶提供更加豐富的應用環境,並允許在多個應用中無縫互動。但是,這種整合化設計存在潛在的安全隱憂。

對於DRM(數位版權管理)安全性的爭議,主要反映在沒有可依據的標準,另外還要考慮提供可信的運算環境,以確保作業系統、用戶數據和數位證書的安全可靠。

網路安全性正成為備受關注的議題,引發業界制定進一步的標準和安全政策。一個不容忽視的趨勢是:網路設備被賦予了金融交易功能,甚至充當電子錢包的功能。一旦這些關於貨幣和個人身份的感應資訊被使用,就需要啟動一套新的標準和認證規格。

從設備製造商的角度看,要求高整合度系統的每一個子系統都取得標準認證是行不通或不現實的。但是,OEM廠商需要關注這些新興標準,並採取合理的步驟實施切實可行的安全策略。

由於上述內容涉及相當多的安全問題,以下我們將討論一些適用的標準及相關技術。

1. DRM

數位版權管理代表了一套最難實施的標準。目前,它的實施被限制或整合到特定的應用、設備和內容供應商,但幾乎所有的舉動都依賴於數位證書。它們定義了權限並把內容整合到某一特定用戶或設備。在一個高度整合的環境中,可能導致需要管理多重證書的問題,由於數位證書的儲存和校驗與個人身份識別環環相扣,因而影響了其他標準的實施。

2. 可信任運算

TCG(Trusted Computing Group,TCG)電腦組織是該產業的領導者,其目標是針對可靠、安全運算環境的設立提供一種方法和標準定義,因而導入了一種可信平台模組(TPM)。TPM是一個獨立的安全處理器,獨立於主機CPU,負責處理數位證書的校驗、儲存和管理,它控制著所有軟體的導入裝載。因此,如果全面實施安全性措施(與Windows Vista類似),所有執行軟體和數據在裝載和進一步處理之前都必須經過TPM數位簽名和驗證。這種控制形式引發了許多爭議,但是,有關這方面的內容超出了本文的討論範圍。

雖然TPM量產已超過兩年,但在大多數PC中,許多功能仍然處於禁止狀態。在下一代作業系統和媒體軟體開發中,對於製造商和應用開發商而言,安全性標準的重要性將進一步提高。

在考慮定義認證功能及相關的維護費用時,與驗證相關的問題將是設計關鍵,決定是否需要支援PKI(公鑰基礎結構)機制以及如何支援。總之,製造商、內容供應商和軟體開發商需要根據具體的安全策略和相容性做出決策,產品在不同的應用領域可能對安全性的要求有所不同。

網路安全性

網路安全性的概念比較廣泛,所涉及的軟體與硬體一樣多。從軟體角度看,標準中定義了網路伺服器、客戶和路由器的作業特性。TNC規格定義這些標準,並且是TCG組織提出的規格中的一部份,具體取決於大部份網路節點中是否存在TPM。

在網路安全性方面,陸續出現了許多新興標準和認證標準。大部份是由規模較大的網路系統供應商提出的。然而,幾乎所有標準都是在NIST FIPS(國家標準與技術研究機構)或共同標準安全認證標準基礎上的擴展。

由於網路路由器和交換機的複雜度差別較大,對於無法接受加密和數位簽名的環境,需要考慮一種保護和驗證系統完整性的方法。

由此引出了與實體保護相關的另外一個內容:篡改偵測和防盜版。遵循標準規格時並不需要考慮OEM廠商必須考慮的問題,標準體系或認證試驗也很少考慮知識產權保護問題,除非這一缺陷可能影響到其他系統級的安全策略。

換句話說,安全標準只是關注最終用戶的數據和網路是否安全,而不保護製造商的設計技術的所有權。這種情況下,製造商在進行系統設計時不僅要考慮產品需要遵循的認證標準,而且也要考慮專有技術和知識產權的保護問題,實施具體的安全策略時必須涵蓋上述內容。

1. 金融交易

金融交易領域的標準和認證要求最為嚴格,並且這些標準也在不斷地產生變化。這些標準由從事交易活動的金融機構提出,EMV和PCI/PED是最常見的標準,有些情況下還必須要求NIST認證,是實施安全策略時必須考慮的問題。

金融領域另一項新興技術是NFC。這項技術源於ISO 14443 RFID規格和非接觸式智慧卡標準。這項實用技術提供了一套簡便的交易方式,允許電子設備在相互靠近時進行通訊。

這個標準的規格由NFC論壇定義,該論壇由飛利浦、新力和諾基亞等公司聯合製作。目前,眾多知名廠商已經加入該論壇,不斷推出了新興標準:ECMA 340 NFC IP1、ECMA 340 NFC IP2、ISO IEC 18092和ISO 7816,表1列出了這些標準及其他相關的安全標準。

2. 個人身份識別

設立核實個人身份的方法是一個複雜而有爭議的問題,身份核實對於政府和軍事應用尤其重要。美國國土安全部發出總統令SPD-12,號召執行一項新計畫以提高聯邦員工和承包人介入聯邦設備和資訊系統時的識別和認證。名為‘聯邦員工和承包人身份鑑定’的聯邦資訊處理標準(FIPS)201經過開發滿足HSPD 12的安全性要求,由美國商務部批准後於2005年2月25日對外公佈。

為了支援這個標準,需要提高智慧卡實施以及生物學識別技術,定義一系列新的技術標準和規格。雖然該標準的最初目標針對政府員工,但其應用向其他領域的滲透也備受關注。

PIV基礎架構的實施和維護非常複雜,FIPS-201是否能夠成功實現並得到廣泛推廣尚不明朗。而製造商和開發商已將身份證明這項技術納入其長期的產品開發計劃。HSPD-12要求從2006年10月開始實施和推廣,目前正進行中。

3. 政府和重要基礎設備的通訊

毫無疑問,政府應用系統的安全認證極為嚴格。為了達到FIPS的要求,通常需要達到國家安全局(NSA)的認證等級。對於分類材料的處理還有其他方面的相關規定,但對這部份內容的討論已經超出了本文範圍。

PKI架構及安全性

公鑰基礎架構(PKI)伺服器可以看作一個非對稱加密系統的集線器。這個非對稱加密系統是所有數位簽名證書加密系統的基礎。因為它是所有可信任機制的基礎,所以它也成為系統安全性設計最大挑戰。執行任何加密措施之前,必須有某種機制使得第三方可以驗證數位證書是否有效。

理想情況是存在一個唯一的可以和全球用戶始終連接的實體,它永遠不會受到攻擊或包含不準確的資訊。顯然,設立這樣的實體是不可能的。目前採用的方法是信用分散管理,要求在具體應用區域內保持可靠的連通性,合理維護PKI伺服器。比如,如果用戶A希望從用戶B裝載一個經過數位簽名的文件並與用戶B聯絡確認,用戶A可以透過一定的途徑驗證具有數位簽名的數位證書是由用戶B製作的。用戶A透過連接二者都信任的PKI伺服器完成以上作業。

PKI伺服器的完整性需要一條最重要的鏈路來保持一個安全環境,需要與此相匹配的高階加密硬體和軟體的支援。通常是對系統進行劃分,將所有需要加密的功能集中到一個模組內,該模組需要具備各種保護以防系統可能受到的攻擊。在大規模系統中,這部份功能被駐留在硬體加密協同處理器中,需要最高等級的認證,通常需要滿足FIPS 140.2的第4級、一級NSA或兩者同時滿足。

混合加密系統

為了確定具體應用的安全等級要求,必須瞭解這一應用可能遭受到攻擊程度。透過瞭解受到攻擊的代價和損傷程度進行評估。設計人員必須熟悉不同等級的攻擊和經過驗證的有效防護措施。

為了判斷所需要的安全等級,IBM設立了一套分類方法,用於描述潛在的攻擊等級,這套方法至今仍然延用:

I級(聰明的外行)

1. 通常很聰明

2. 沒有足夠的系統知識

3. 可以使用具備一定功能的儀器分析系統

4. 通常是攻擊系統的薄弱點,而不是製造一個薄弱點

II級(具備專業知識)

1. 受過專業的技術培訓,有相關經驗

2. 具備一定的系統知識,可能接觸過大部份系統

3. 經常使用各種設備和儀器分析系統

III級(組織機構)

1. 幾乎擁有無限資源

2. 可以成立專業團隊

3. 能夠獲得並使用最先進的分析工具

4. 能夠深入分析、設計複雜的攻擊方法

5. 可以雇佣達到II級水準的專業人員加入

從軟體角度看,認證流程需要評估API,並進行一系列測試來保證演算法正確,可以成功追蹤API錯誤、提供溢出緩衝區並規避其他常見軟體的弱點。

然而,任何有效的安全方案都必須具有防篡改的實體保護方法。即使是最完善的安全處理器、FPGA、智慧卡等安全裝置,對於一些特定的攻擊方法都具有其薄弱環節。這就需要系統具備有效的保護電路,即使在系統斷電的情況下這一部份電路也能保持工作,以便偵測可能產生的擷取或竊取感應資訊的行為。為了實現這一功能,這種設備必須具有非常低的功耗,採用防篡改封裝,具備與各種保護感測器進行通訊的介面。

需要注意的是強大的加密演算法已經不再是受攻擊的目標。竊取密鑰似乎更加容易,所需要的設備也更加簡單,這就要求高度關注硬體防護。

系統設計人員尋求認證方案時,需要正確描述至少與下列常見攻擊的攻擊方法相關的破壞行為:

實體攻擊

1. 侵入封裝

2. 切割、蝕刻、粒子/雷射鑽孔

3. 反向工程(需要一些樣本)

4. 獲取電路圖

5. 擷取ROM程式碼

6. 識別關鍵電路(例如,記憶體)的實體位置

7. 開槽讀取記憶體

8. 利用FIB工作站改變電路

9. 透過電離輻射改變特定電晶體的工作狀態

10. 微探針

11. 用高階光譜儀分析記憶體單元的氧化層厚度

非入侵性攻擊

1. 電離輻射、加熱/冷凍

2. 導入電壓波動和時脈干擾

3. 差分功率分析

Robert Backus

Product Definer Secure Supervisors

Maxim公司





投票數:   加入我的最愛
我來評論 - 嵌入式系統的安全性求認證選擇和適用性
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首