嵌入式系統“多大程度的 安全才算安全”

當今的嵌入式系統常常處理應用代碼(IP)和數據等敏感信息，因此安全是其設計的一個(gè)主要關(guān)注因素。為了確立一個(gè)合理的基礎來(lái)判斷建議的安全系統是否足以御敵或是防衛過(guò)當，就必須識別所察覺(jué)到的安全威脅。這意味著(zhù)我們需要弄清對手有哪些，他們有什么樣的能力，他們的目標是什么?我們要保護什么，我們要防范誰(shuí)的威脅或什么威脅?世界上并沒(méi)有一個(gè)包打天下的解決方案，也沒(méi)有百分之百安全的安全系統。然而，安全系統不必是完美無(wú)缺的解決方案，也不需要全然牢不可破以至于失去應用價(jià)值。安全系統只要足夠安全即可，也就是在它所保護的數據的預期有效時(shí)間內，它能夠抵御可能的敵人進(jìn)攻即可。

若沒(méi)有應用環(huán)境，安全就沒(méi)有意義

嵌入式系統設計師經(jīng)常誤解安全，認為諸如特定的加密算法和安全協(xié)議等安全措施只是系統的附加特性。安全是一個(gè)過(guò)程，而不是永遠保持不變的一款產(chǎn)品或一種終極狀態(tài)。而且，也不能在產(chǎn)品將永遠保持安全的假設下，把安全措施簡(jiǎn)單地加入到一款產(chǎn)品中。當今設計師面臨的最棘手難題之一就是明確嵌入式系統的安全要求和目標。有助于解決這一難題的方法很多，本文所討論的方法涉及威脅建模和風(fēng)險評估，目的是幫助設計師定義安全策略，然后設計對策來(lái)實(shí)施安全策略。

安全設計——在設計的初始階段檢測威脅

在設計安全解決方案的時(shí)候，首先必須做的就是定義一個(gè)威脅模型，然后再創(chuàng )建安全策略。一旦評估完成，就能安心地選擇具體的技術(shù)來(lái)實(shí)現安全對策。威脅決定應對策略，策略決定設計。參見(jiàn)圖1

圖1 設計安全方案需要(1)定義一個(gè)威脅模型，(2)創(chuàng )建一個(gè)安全策略。

許多設計師都會(huì )犯同一個(gè)錯誤，在設計安全系統時(shí)沒(méi)有首先明確和了解可能遇到的真正威脅，以及這些威脅會(huì )給他們的終端產(chǎn)品帶來(lái)的重大風(fēng)險。相反，他們教條地把各類(lèi)安全技術(shù)堆在一起，并希望能獲得很高的安全性。這樣做代價(jià)高昂，沒(méi)有系統能防御所有的安全威脅，在設計中囊括那些沒(méi)有必要的技術(shù)和防御沒(méi)有實(shí)際威脅的風(fēng)險毫無(wú)意義。

威脅建模——價(jià)值意味著(zhù)風(fēng)險

對于資源受限的設備，嵌入式系統必須在存儲容量、功耗、處理能力、上市時(shí)間及成本等參數和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰，通過(guò)仔細考慮威脅模型并設計系統使其工作在能滿(mǎn)足該模型的可用計算能力限制之內，仍有可能開(kāi)發(fā)出使產(chǎn)品在開(kāi)放環(huán)境中有效工作的系統。

對系統設計師來(lái)說(shuō)，考慮“威脅建模”的原理非常有用。威脅建模是基于一種假設，即每個(gè)系統都有值得保護的固有價(jià)值。然而，因為這些系統是有價(jià)值的，他們對內部或外部威脅也是開(kāi)放的，這些威脅能夠且經(jīng)常給終端產(chǎn)品帶來(lái)?yè)p害。設計完成后的安全漏洞常常是無(wú)法修正的，且危及投入的資金和開(kāi)發(fā)資源，因此需要在設計周期的初始階段增強對安全評估的需求，并在整個(gè)設計周期進(jìn)行監測和重復修正。

本質(zhì)上，我們可以把威脅模型定義為：“識別一組可能的攻擊，以便考慮配合一套徹底的風(fēng)險評估策略。”有了威脅模型，我們就能評估攻擊的概率、潛在危害和優(yōu)先級。

威脅建模很難，但是很有必要。威脅建模需要考慮系統是怎樣受到攻擊的。若建模成功，它就能解決潛在的系統安全故障隱患，諸如怎樣發(fā)生故障、以及故障時(shí)出現什么情況等問(wèn)題。通常在市場(chǎng)和成本的壓力下，這個(gè)評估以一種特別的方式來(lái)進(jìn)行，即通過(guò)集思廣益征集系統有可能受到的所有攻擊(當然，潛在的黑客或許比您更超前一步)。對這個(gè)過(guò)程來(lái)說(shuō)，一個(gè)更加系統化及可重復的方法是使用攻擊樹(shù)，這個(gè)概念首先是由Bruce Schneier[1，2]提出來(lái)的。攻擊樹(shù)提供一種將攻擊系統的不同方式進(jìn)行系統性分類(lèi)的方法。大致來(lái)說(shuō)，就是以一種樹(shù)的結構描述系統所受的攻擊，樹(shù)結構模型中的節點(diǎn)代表攻擊。樹(shù)的根節點(diǎn)是攻擊者的總目標，達到該目標的不同路徑則是葉節點(diǎn)，如圖2所示。

圖2. 代表任何必須保護知識產(chǎn)權(IP)的嵌入式系統的攻擊樹(shù)，此類(lèi)系統包括手機、VoIP、視頻監控系統等

當正確完成威脅建模時(shí)，真正的威脅就被確定下來(lái)了。然而，如果弄錯了可能存在的威脅的話(huà)，其代價(jià)將是高昂的。設計師弄錯威脅的一個(gè)案例是DVD的保護措施。盡管DVD碟片被加密，密鑰也放在播放機里，只要播放機里包含抗篡改硬件，這種保護方式是沒(méi)有問(wèn)題的。但引入軟件播放器時(shí)，密鑰會(huì )曝露出來(lái)，通過(guò)逆向工程就能恢復密鑰，也使任何人都能隨便復制和散布任何DVD內容。

在這種情況下，它是有缺陷的威脅模型。雖然有安全措施，但是這無(wú)法真正解決問(wèn)題。

風(fēng)險評估

僅僅列出一堆威脅是不夠的，由于不同威脅的風(fēng)險不同，因此還需要知道每種威脅的風(fēng)險。威脅建模的下一個(gè)步驟是風(fēng)險評估，這是在任何安全系統設計中的一個(gè)至關(guān)重要的部分。風(fēng)險評估的一些基礎問(wèn)題，即“保護什么”、“為什么要保護”和“防范的對象是誰(shuí)”，應在設計周期的最初階段厘清。盡早采取表1所示的措施，將有助于您選擇有效、安全的防范技術(shù)和防御策略。

表1. 風(fēng)險評估

安全策略

識別出威脅，并權衡風(fēng)險后，接下來(lái)就該建立安全策略了。安全策略是解決方案背后的戰略，而技術(shù)僅僅是戰術(shù)手段。安全策略描述“為什么”，而不是“如何做”。

例如，基于FPGA設計的安全策略目標之一也許是“保持配置位流的機密性”，這是一個(gè)系統目標。“如何做”或對策的實(shí)施可能是采用諸如AES等對稱(chēng)密鑰加密的方式，對配置位流進(jìn)行加密以便實(shí)現這個(gè)目標。

整體的設計流程總結如下：

了解系統的真正威脅，并評估這些威脅的風(fēng)險。