嵌入式系统安全2nd.pptVIP

第九章 嵌入式系统安全 ** 第七章 嵌入式系统安全 嵌入式系统安全 本章内容介绍 本章介绍嵌入式系统面临的攻击状况、系统弱点 ，并讨论对其的防卫策略；从硬件、软件及软硬件混合的角度分析系统的强化，如安全引导、系统管理员对存储器的控制等。 攻击状况可划分为如下几类： 一个聪明的外部人员：这个人很聪明但对系统的了解却很有限。他已经可以使用先进程度中等的设备，并可以利用已知的弱点而不是制造新的弱点。 一个充分了解系统的内部人员：这个人受过专业技术教育并拥有技术方面的经验。他对系统各个部件的了解程度不同，但是，由于其位置处于“防火墙之后”，他将会获得具有高度损坏性的详细资料。这种人可以利用高度专业化的工具和手段进行分析。 嵌入式系统安全 攻击状况分析 攻击状况可合乎情理地划分为如下几类： 一个有资金支持的组织：一个组织将能够组建具有技术互补性的专家队伍。他们有机会使用先进的分析工具和精密的仪器来更改组件。 聚焦离子束（Focused Ion Beam，FIB）是一种复杂且昂贵设备的技术，可以用来修改集成电路。这种设备远远超过大多数个人的使用需要，但是，那些破解有着重要价值对象的安全防护措施的组织却会利用该技术。 嵌入式系统安全 攻击状况分析 软件攻击 ： 依赖于攻击者在执行环境中获得足够的特权，以便能控制和获取敏感的装置及数据。 例：由Charlie Miller等人在2007年夏天公布于众，通过将一个恶意的HTML文件指向电话的Safari网络浏览器，可以控制对包含敏感信息的存储区的访问。这会使电话的Safari网络浏览器崩溃。 在实际应用中，这种攻击可以通过发含有链接的邮件，邮件中链接所指的是一个具有恶意HTML的服务器。如果接收者点击那个链接，使用那个攻击所转化的安装程序，接收者就很可能受到攻击。 嵌入式系统安全 攻击方法 缓存器溢出攻击 ： 攻击普遍利用用来存储用户数据的堆栈，比如：姓名、住址、电话号码和其他的典型表格性数据。在正常操作条件下，数据按照操作者的输入顺序，与返回存储地址一起，存储在堆栈里。 然而，在一些情况下，应用软件并不进行适当的检查，来确定接受到的数据是否超出了所分配的缓冲存储区域。向缓存中传送尺寸过大的数据，并伴以一段恶意的执行代码及一个用来覆盖调用程序的返回地址的地址数据，造成缓存溢出。同时，由于地址数据过多的返回地址指向攻击者的恶意代码，当功能尝试返回时，就开始执行黑客在错误返回地址所写的代码。这种危害一旦达成，侵入者就掌握了控制权。 嵌入式系统安全 攻击方法 恶意程序攻击 ： 在一些情况下，侵入者可以在存储装置上写入代码，比如导入代码。这就允许侵入者可以更改代码，使驱动程序在下次导入时按照攻击者所希望的方式而不是它原来的设计所期望的方式工作。 嵌入式系统安全 攻击方法 拒绝服务攻击 ： 是试图通过让某个嵌入式系统的通信通道饱和或者公然强制发生复位来阻止系统资源为其合法用户所用。 在这个分类中，攻击者可以利用很多途径，如“Smurf攻击”。这个攻击利用配置不好的网络，对查询IP广播地址的“Ping”要求作出回应。这种情况下的“Ping”操作，可以诱骗受害人返回其地址。这些网络就变成了“Smurf 放大器”，产生大量针对受害者的通信流量。 嵌入式系统安全 攻击方法 在需要DMA控制器的系统中，保护程序免受攻击的策略包括：将DMA控制器置于防火墙之后，并确保所有接口都内置于SOC内部。如果除了将存储器置于SOC外部别无选择，那么就应该考虑对与存储器间的数据传输使用加密方案。这会使系统免受较低级别的攻击。 使用一个分立的安全处理器来控制系统内的其他处理器对系统资源的访问，可以在多处理器SOC中广泛应用；在这些应用中，被保护的资源的属性决定了额外的花费和复杂度是合理的，比如机顶盒。 嵌入式系统安全 从体系架构的角度解决安全性问题 将集成电路的包装去除，使它运行并用探针进行探查，可获得某人的iTunes密码。然而，对系统的成功破解如果真正造成了巨大的经济损失（如攻击一个销售点终端或敏感军事政府设备），这个攻击必然是高度复杂的，而且其攻击必须得到大量的资金支持 。 为了避免这种情况，可以在敏感电子器件外覆盖极其精细的、能检测侵入的网格。当一个芯片电路确定被侵入时，敏感数据（如秘钥、安全引导映像、根管理程序等）就会自动被销毁，器件将无法工作 。 嵌入式系统安全 从体系架构的角度解决安全性问题 是一种将软件和硬件相结合为消费者产品提供安全保护的技术。在硬件方面，特殊的具有“安全意识”的存储器包裹层(wrapper)、系统总线、调试端口、中断控制器都被集成到了SOC中。