嵌入式系統安全性對攻擊狀況和防衛策略的概述和分析

　　拒絕服務(wù)型(DoS)攻擊，是試圖通過(guò)讓某個(gè)計算機的通信通道飽和或者公然強制發(fā)生復位來(lái)阻止計算機的資源為其合法用戶(hù)所用。

  在這個(gè)分類(lèi)中，攻擊者可以利用很多途徑，包括命名很有創(chuàng )意性的攻擊狀況，如“Smurf攻擊”。這個(gè)攻擊利用配置不好的網(wǎng)絡(luò )，這種網(wǎng)絡(luò )將對查詢(xún)IP廣播地址的“Ping”要求作出回應。這種情況下的“ping”操作，可以誘騙受害人返回其地址。這些網(wǎng)絡(luò )就變成了“Smurf 放大器”，產(chǎn)生大量針對受害者的通信流量。這種攻擊并不是什么新鮮招數。對系統管理員來(lái)說(shuō)，配置他們的網(wǎng)絡(luò )以拒絕“ping”對廣播地址的請求且不轉移這類(lèi)信息包，是一件相當簡(jiǎn)單的事情。雖然這種方法不再是一個(gè)活躍的威脅，但很好地說(shuō)明了DoS的共同特征，或者，更準確的說(shuō)，是分布拒絕式服務(wù)(DDOS)攻擊：利用共同的系統特征的漏洞，劫持大量無(wú)辜的器件，來(lái)放大攻擊所產(chǎn)生的影響，和對目標系統的防護措施的破壞力。

　　在當前出現的多種攻擊方法中，惡意軟件的分布式攻擊方法已演變?yōu)榘ǜ呒壍能浖C器人或定位于以前所破解的系統中的“bots(木馬)”。這些bot被拴綁在團塊或“botnet(僵尸網(wǎng)絡(luò ))”上，協(xié)同形成實(shí)際DDOS的攻擊。

從體系架構的角度解決安全性問(wèn)題

　　既然我們已經(jīng)描述了一些主要的攻擊特征及策略，我們將開(kāi)發(fā)一些設計系統所需要的元件，使得這些系統即使不具有刀槍不入的能力，也至少高度安全并具有抵御黑客的能力。

　　在需要DMA控制器的系統中，保護程序免受攻擊的策略包括：將DMA控制器置于防火墻或虛擬層之后，并確保所有接口都內置于SOC內部。如果除了將存儲器置于SOC外部別無(wú)選擇，那么就應該考慮對與存儲器間的數據傳輸使用加密方案。這不會(huì )保護系統不受之前討論的所謂“重放攻擊”，但確實(shí)會(huì )使系統免受較低級別的攻擊。

　　一般來(lái)說(shuō)，從安全角度看外部存儲器總線(xiàn)是應該避免的。如果片上資源有限，設計者就會(huì )被驅使使用外部存儲器，這時(shí)控制哪些東西可以從芯片取出以及提供何人在探測總線(xiàn)者的線(xiàn)索就變得很重要了。設計者應該保證芯片上保存有盡可能多的系統關(guān)鍵信息，這樣，黑客的探查即使不是完全不可能，至少也變得極為困難。

　　在某些導入碼會(huì )被破壞的情況下，比如當ROM或者OTP存儲器不能使用時(shí)，一個(gè)防衛措施是產(chǎn)生一個(gè)安全引導載入器。這種機制涉及硬件與軟件，創(chuàng )造了一個(gè)進(jìn)程，在導入序列繼續執行時(shí)，系統BIOS可以利用該進(jìn)程來(lái)進(jìn)行加密標記及驗證。這保證了當引導序列將控制權交給操作系統時(shí)，機器正處于設計者想要的狀態(tài)。
然而，雖然引導過(guò)程得到完全的保護，一旦系統完全引導完畢，運行時(shí)間映像仍然可能被攻擊。IBM已經(jīng)進(jìn)一步拓寬了這一概念， 在BE處理單元中提供一個(gè)運行時(shí)間信令能力，由此增加了額外的器件安全防護層4。

　　如果設計者選擇讓交付用戶(hù)的產(chǎn)品的調試端口保持激活狀態(tài)，純粹從安全角度看，很顯然這是不被推薦的做法；那么應考慮對JTAG的訪(fǎng)問(wèn)也給予和系統其他部分的保護程度相同的保護措施?？梢灾萌胩魬?響應機制，為某一特殊通路建立圍墻保護，同時(shí)已經(jīng)提出了一種高級的解決方案，它將對內部資源的訪(fǎng)問(wèn)劃分為不同等級，這種方案基于與內部處理器分離的訪(fǎng)問(wèn)管理器，并與外部安全服務(wù)器接口，以管理密鑰以及對測試設備訪(fǎng)問(wèn)5。

　　同樣的策略，使用一個(gè)分立的安全處理器來(lái)控制系統內的其他處理器對系統資源的訪(fǎng)問(wèn)，可以在多處理器SOC中廣泛應用；在這些應用中，被保護的資源的屬性決定了額外的花費和復雜度是合理的，比如機頂盒。

　　將集成電路的包裝去除的情況下，使它運行并用探針進(jìn)行探查，并不是獲得某人的iTunes密碼的合適的方法。然而，對系統的成功破解如果真正造成了巨大的經(jīng)濟損失，比如攻擊一個(gè)銷(xiāo)售點(diǎn)終端或敏感軍事政府設備，這個(gè)攻擊必然是高度復雜的，而且其攻擊必須得到大量的資金支持。

 為了避免這種情況，可以在敏感電子器件外覆蓋極其精細的、能檢測侵入的網(wǎng)格。當一個(gè)芯片電路確定被侵入時(shí)，敏感數據，如秘鑰、安全引導映像、根管理程序等就會(huì )自動(dòng)被銷(xiāo)毀，器件將無(wú)法工作。

　　加固客戶(hù)系統和網(wǎng)絡(luò )以抵抗DoS攻擊的策略，包括各種基于協(xié)議的、能賦予合法的或已授權傳送超出背景或攻擊性傳送的優(yōu)先級別的方法。其中比較好的一個(gè)例子是“快速傳遞協(xié)議”6。

　　快速傳遞協(xié)議為用戶(hù)提供了加密的可用性令牌。用戶(hù)信息以一個(gè)設定信息包開(kāi)頭，信息包中含有提供給下游程序的認證信息。當設定信息包經(jīng)過(guò)驗證后， 信息包中的其他信息以高優(yōu)先級按鏈條模式穿過(guò)通道。含有未經(jīng)驗證的令牌的信息，則在時(shí)間以及帶寬允許的情況下得到處理。
大多數的操作系統都內置有一定程度的安全設置。內置安全設置的成熟性以及集成性是廣受爭議的論題，不過(guò)一般來(lái)說(shuō)，加載貫徹了安全思想的Linux，如SE Linux(源于NSA的Linux派生發(fā)布)，從安全角度看被認為是很強壯的系統(http://selinux.sourceforge.net/。SE Linux包含有一套豐富的訪(fǎng)問(wèn)控制集，它允許系統被分化為眾多細密的安全區。過(guò)去的“用戶(hù)——群——外界環(huán)境”分類(lèi)被擴展為包含了無(wú)數額外的、可用來(lái)創(chuàng )造極其成熟的安全政策的類(lèi)型。其思想是：例如，如果一個(gè)系統驅動(dòng)器被破解并嘗試訪(fǎng)問(wèn)驅動(dòng)器權限范圍外的資源，操作系統將拒絕訪(fǎng)問(wèn)、并產(chǎn)生異議。

　　這些機制很重要，但從整個(gè)系統結構角度來(lái)看，它們忽略了一個(gè)重要方面——“攻擊表面”仍然很大。仍然需要對操作系統及其附帶的服務(wù)進(jìn)行分析，以查找出任何可能忽略的易受攻擊的弱點(diǎn)進(jìn)行分析，而且開(kāi)發(fā)者是人，因此這些弱點(diǎn)終將被找到。集成在任意給定的操作系統中的安全設置只是安全難題中的一項。

借助虛擬化實(shí)現安全性

　　虛擬技術(shù)已從企業(yè)計算空間轉向嵌入式世界。虛擬技術(shù)包括在虛擬計算機監控器的控制下提取系統資源，有時(shí)稱(chēng)為系統管理程序。系統管理程序使運行同時(shí)執行環(huán)境具有可能性，每個(gè)環(huán)境孤立存在，分別運行在基礎硬件平臺的一個(gè)虛擬代表上。

　　從器件整合和資源最優(yōu)化的角度來(lái)說(shuō)，虛擬計算機有很多優(yōu)點(diǎn)。它們可以采用不同設計方法，從“純粹”的或“完全”的虛擬到“部分虛擬(Paravirtualization)”，部分虛擬是嵌入式應用中最常用的方法。在部分虛擬中，進(jìn)行進(jìn)一步的細分，包括微內核、微調度程序和輕薄的產(chǎn)品，這種輕薄產(chǎn)品實(shí)際上擴大了硬件抽象層，使之包括了虛擬特性。

　　從安全的角度來(lái)看，虛擬技術(shù)的使用，允許設計者通過(guò)執行特權分離和最小權限原則7，8，來(lái)減輕計算機安全攻擊的潛在危害。

　　特權分離要求應用程序被分為有特權部分和無(wú)特權部分，有特權的部分應保存得越小越好，來(lái)減小攻擊的表面。因此，一個(gè)成功的、針對對更大的、不安全的組件的攻擊，只會(huì )獲得對敏感數據的極低的訪(fǎng)問(wèn)能力。

　　最小權限要求，每個(gè)軟件模塊僅能獲得合理用途所需的信息和資源。

　　各種各樣不同的虛擬技術(shù)的一個(gè)共同點(diǎn)就是整齊。對于純粹虛擬和完全虛擬，VMM負責捕捉和處理所有由客戶(hù)操作系統執行的指令。這種方法的好處是客戶(hù)操作系統可以不更改地運行。另外，由于操作系統是與硬件完全脫鉤的，才有可能創(chuàng )造更高的便攜式應用，其應用平臺多樣化且在應用程序中。這種方法的缺點(diǎn)是在系統功耗方面是一個(gè)重大的支出，特別是當硬件平臺沒(méi)有配置軟件虛擬支持的情況下。

　　純粹虛擬技術(shù)依靠具有重要硬件支持的底層硬件平臺來(lái)實(shí)現，如Intel公司的VT體系機構和AMD的Pacifica。在這些系統中，虛擬計算機資源的狀態(tài)在硬件中維持，而且VMM的性能消耗大幅度減小。這種技術(shù)的優(yōu)點(diǎn)是它類(lèi)似于全虛擬，表現在客戶(hù)操作系統可以無(wú)修改地運行。缺點(diǎn)是那些運用這一技術(shù)的產(chǎn)品占用的裸片面積稍大一些，而且現有可用的嵌入式裝置中納入這種水平的支持能力者并不多。

　　部分虛擬技術(shù)(Paravirtualization)是這樣一種技術(shù)，其特定操作系統的指示，一般具有“特權”和內核模式指示，被“hypercalls”或API對管理程序的調用所代替。這減輕了處理所有客戶(hù)指示的負擔，降低了系統的開(kāi)銷(xiāo)，明顯地提高了執行績(jì)效。缺點(diǎn)是客戶(hù)操作系統必須被“觸及”，但是，實(shí)際上這種影響是很小的。

　　例如，分析Linux時(shí)，發(fā)現/dev/arch中具有優(yōu)先權的指令僅存在15個(gè)文件中。

　　在普通的部分虛擬技術(shù)種類(lèi)中，存在一些系統管理程序的子程序。

　　微調度器(如圖2)，正如其名稱(chēng)所暗示的那樣，是按照一個(gè)固定的進(jìn)度表來(lái)分配系統資源的程序。商業(yè)上典型的具體實(shí)施方法是在內核模式下運行微調度程序，并且作為主控來(lái)控制一個(gè)客戶(hù)操作系統，該OS也在類(lèi)似的內核模式下進(jìn)行操作。從安全的角度來(lái)說(shuō)，這意味著(zhù)客戶(hù)操作系統一定得是一個(gè)“良好的市民”，因為客戶(hù)完全可能繞過(guò)微調度程序。這使得整個(gè)空閑的存儲器易受攻擊。為了消除這個(gè)弱點(diǎn)，微調度程序的開(kāi)發(fā)者增加了一個(gè)可供選擇的安全引擎，以監測和控制硬件的訪(fǎng)問(wèn)。

圖2 使用微調度器的虛擬化

　　微內核(圖3)本質(zhì)上是一個(gè)操作系統，這個(gè)系統移去了大量的典型操作系統服務(wù)，并代之以可以在用戶(hù)級別執行服務(wù)的機制。從安全的角度來(lái)看，它的優(yōu)點(diǎn)是，用戶(hù)模式實(shí)體訪(fǎng)問(wèn)底層硬件時(shí)不具有危險性，因為內核模式指令調用已被移去。其缺點(diǎn)主要是多重處理域的維護，當執行從微核的本地處理區運行到客戶(hù)操作系統及其應用程序處理區時(shí)，這些處理域需要具體實(shí)現復雜的進(jìn)程間通信(IPS)機制和額外的環(huán)境轉換。

圖3 基于微內核的虛擬化方法

　　虛擬的另一個(gè)途徑是產(chǎn)生一個(gè)硬件抽象層(HAL)，并增加額外的服務(wù)，以照顧多重執行環(huán)境(圖4)的需求。HAL是一個(gè)硬件微薄轉換層，它可以使得軟件具有更好的可移植性。為增加對多重執行環(huán)境的支持，開(kāi)發(fā)者創(chuàng )造了超微內核，盡管這種表述不是很準確。在實(shí)踐中，這種途徑和微核型解決方案的不同之處是，雖然微核在設計時(shí)已經(jīng)考慮到要運行某種客戶(hù)操作系統，而HAL更趨向于以硬件為中心，而且并不了解操作系統的具體情況。

圖4 利用HAL或者超微內核性管理程序實(shí)現的虛擬化

　　從安全的角度來(lái)說(shuō)，最關(guān)鍵的因素是所有商業(yè)管理程序控制對硬件資源(如MMU系統)訪(fǎng)問(wèn)的能力。例如，如果一個(gè)客戶(hù)端應用程序(比如web瀏覽器)被一個(gè)流氓HTML站點(diǎn)所破壞，并試圖侵入存儲器禁區，那么系統管理程序就會(huì )向存儲器強加邊界，并適當地保護敏感數據。通過(guò)使用安全的系統管理員，根據駐留在特定的執行環(huán)境中的應用程序的已知邊界檢查可疑的重填數據，就可以實(shí)現由軟件填充的TBL不受侵擾，由此保證程序的執行處于“界限內”。在路由器或其他客戶(hù)端裝置中，系統管理程序可以用來(lái)提供一定程度的DoS保護，這可以通過(guò)使用多重VM來(lái)控制對任何特定資源的訪(fǎng)問(wèn)或是要求提供適當的通行證來(lái)實(shí)現的，這樣做可以避免VM使用“界限外”的資源。
在虛擬化架構的設計過(guò)程中，虛擬計算機之間的默認通信途徑要盡可能減少，理想的情況是，如果從VM到VM沒(méi)有公開(kāi)昭示的授權的話(huà)，最好沒(méi)有任何通信。