嵌入式系统安全性(上)

　　在这个分类中，攻击者可以利用很多途径，包括命名很有创意性的攻击状况，如“Smurf攻击”。这个攻击利用配置不好的网络，这种网络将对查询IP广播地址的“Ping”要求作出回应。这种情况下的“ping”操作，可以诱骗受害人返回其地址。这些网络就变成了“Smurf 放大器”，产生大量针对受害者的通信流量。这种攻击并不是什么新鲜招数。对系统管理员来说，配置他们的网络以拒绝“ping”对广播地址的请求且不转移这类信息包，是一件相当简单的事情。虽然这种方法不再是一个活跃的威胁，但很好地说明了DoS的共同特征，或者，更准确的说，是分布拒绝式服务(DDOS)攻击：利用共同的系统特征的漏洞，劫持大量无辜的器件，来放大攻击所产生的影响，和对目标系统的防护措施的破坏力。

　　在当前出现的多种攻击方法中，恶意软件的分布式攻击方法已演变为包括高级的软件机器人或定位于以前所破解的系统中的“bots(木马)”。这些bot被拴绑在团块或“botnet(僵尸网络)”上，协同形成实际DDOS的攻击。

从体系架构的角度解决安全性问题

　　既然我们已经描述了一些主要的攻击特征及策略，我们将开发一些设计系统所需要的元件，使得这些系统即使不具有刀枪不入的能力，也至少高度安全并具有抵御黑客的能力。

　　在需要DMA控制器的系统中，保护程序免受攻击的策略包括：将DMA控制器置于防火墙或虚拟层之后，并确保所有接口都内置于SOC内部。如果除了将存储器置于SOC外部别无选择，那么就应该考虑对与存储器间的数据传输使用加密方案。这不会保护系统不受之前讨论的所谓“重放攻击”，但确实会使系统免受较低级别的攻击。

　　一般来说，从安全角度看外部存储器总线是应该避免的。如果片上资源有限，设计者就会被驱使使用外部存储器，这时控制哪些东西可以从芯片取出以及提供何人在探测总线者的线索就变得很重要了。设计者应该保证芯片上保存有尽可能多的系统关键信息，这样，黑客的探查即使不是完全不可能，至少也变得极为困难。

　　在某些导入码会被破坏的情况下，比如当ROM或者OTP存储器不能使用时，一个防卫措施是产生一个安全引导载入器。这种机制涉及硬件与软件，创造了一个进程，在导入序列继续执行时，系统BIOS可以利用该进程来进行加密标记及验证。这保证了当引导序列将控制权交给操作系统时，机器正处于设计者想要的状态。
　　然而，虽然引导过程得到完全的保护，一旦系统完全引导完毕，运行时间映像仍然可能被攻击。IBM已经进一步拓宽了这一概念， 在BE处理单元中提供一个运行时间信令能力，由此增加了额外的器件安全防护层4。

　　如果设计者选择让交付用户的产品的调试端口保持激活状态，纯粹从安全角度看，很显然这是不被推荐的做法；那么应考虑对JTAG的访问也给予和系统其他部分的保护程度相同的保护措施。可以置入挑战/响应机制，为某一特殊通路建立围墙保护，同时已经提出了一种高级的解决方案，它将对内部资源的访问划分为不同等级，这种方案基于与内部处理器分离的访问管理器，并与外部安全服务器接口，以管理密钥以及对测试设备访问5。

　　同样的策略，使用一个分立的安全处理器来控制系统内的其他处理器对系统资源的访问，可以在多处理器SOC中广泛应用；在这些应用中，被保护的资源的属性决定了额外的花费和复杂度是合理的，比如机顶盒。

　　将集成电路的包装去除的情况下，使它运行并用探针进行探查，并不是获得某人的iTunes密码的合适的方法。然而，对系统的成功破解如果真正造成了巨大的经济损失，比如攻击一个销售点终端或敏感军事政府设备，这个攻击必然是高度复杂的，而且其攻击必须得到大量的资金支持。

为了避免这种情况，可以在敏感电子器件外覆盖极其精细的、能检测侵入的网格。当一个芯片电路确定被侵入时，敏感数据，如秘钥、安全引导映像、根管理程序等就会自动被销毁，器件将无法工作。

　　加固客户系统和网络以抵抗DoS攻击的策略，包括各种基于协议的、能赋予合法的或已授权传送超出背景或攻击性传送的优先级别的方法。其中比较好的一个例子是“快速传递协议”6。

　　快速传递协议为用户提供了加密的可用性令牌。用户信息以一个设定信息包开头，信息包中含有提供给下游程序的认证信息。当设定信息包经过验证后， 信息包中的其他信息以高优先级按链条模式穿过通道。含有未经验证的令牌的信息，则在时间以及带宽允许的情况下得到处理。
大多数的操作系统都内置有一定程度的安全设置。内置安全设置的成熟性以及集成性是广受争议的论题，不过一般来说，加载贯彻了安全思想的Linux，如SE Linux(源于NSA的Linux派生发布)，从安全角度看被认为是很强壮的系统(http://selinux.sourceforge.net/。SE Linux包含有一套丰富的访问控制集，它允许系统被分化为众多细密的安全区。过去的“用户——群——外界环境”分类被扩展为包含了无数额外的、可用来创造极其成熟的安全政策的类型。其思想是：例如，如果一个系统驱动器被破解并尝试访问驱动器权限范围外的资源，操作系统将拒绝访问、并产生异议。

　　这些机制很重要，但从整个系统结构角度来看，它们忽略了一个重要方面——“攻击表面”仍然很大。仍然需要对操作系统及其附带的服务进行分析，以查找出任何可能忽略的易受攻击的弱点进行分析，而且开发者是人，因此这些弱点终将被找到。集成在任意给定的操作系统中的安全设置只是安全难题中的一项。

参考文献：
1. Charlie Miller, Jake Honoroff, Joshua Mason. Security Evaluation of Apple's iPhone (Independent Security Evaluators White paper, July 19, 2007).http://www.securityevaluators.com/iphone/exploitingiphone.pdf
2. David Brumley, Dan Boneh. Remote Timing Attacks Are Practical (Usenix Security Symposium 2003).http://crypto.stanford.edu/~dabo/papers/ssl-timing.pdf
3. Craig A. Huegen. The Latest in Denial of Service Attacks: "Smurfing" Description and Information to Minimize Effects (Feb 8, 2000).http://www.pentics.net/denial-of-service/presentations/19971027_smurf_files/frame.htm