当今的嵌入式体系常常处理运用代码(IP)和数据等灵敏信息,因而安满是其规划的一个首要重视要素。为了树立一个合理的根底来判别主张的安全体系是否足以御敌或是防卫过当,就有必要辨认所察觉到的安全要挟。这意味着咱们需求澄清对手有哪些,他们有什么样的才能,他们的方针是什么?咱们要维护什么,咱们要防备谁的要挟或什么要挟?世界上并没有一个包打天下的处理计划,也没有百分之百安全的安全体系。可是,安全体系不必是白璧无瑕的处理计划,也不需求全然牢不可破以至于失掉运用价值。安全体系只需满意安全即可,也便是在它所维护的数据的预期有用时刻内,它能够抵挡或许的敌人进攻即可。
若没有运用环境,安全就没有意义
嵌入式体系规划师常常误解安全,以为比如特定的加密算法和安全协议等安全办法只是体系的附加特性。安满是一个进程,而不是永久坚持不变的一款产品或一种终极状况。并且,也不能在产品将永久坚持安全的假定下,把安全办法简略地加入到一款产品中。当今规划师面对的最扎手难题之一便是清晰嵌入式体系的安全要求和方针。有助于处理这一难题的办法许多,本文所评论的办法触及要挟建模和危险评价,意图是协助规划师界说安全战略,然后规划对策来施行安全战略。
安全规划——在规划的初始阶段检测要挟
在规划安全处理计划的时分,首要有必要做的便是界说一个要挟模型,然后再创立安全战略。一旦评价完结,就能安心肠挑选详细的技能来完结安全对策。要挟决议应对战略,战略决议规划。参见图1
图1 规划安全计划需求(1)界说一个要挟模型,(2)创立一个安全战略。
许多规划师都会犯同一个过错,在规划安全体系时没有首要清晰和了解或许遇到的真实要挟,以及这些要挟会给他们的终端产品带来的严重危险。相反,他们教条地把各类安全技能堆在一起,并希望能取得很高的安全性。这样做价值昂扬,没有体系能防护一切的安全要挟,在规划中包括那些没有必要的技能和防护没有实践要挟的危险毫无意义。
要挟建模——价值意味着危险
关于资源受限的设备,嵌入式体系有必要在存储容量、功耗、处理才能、上市时刻及本钱等参数和安全需求之间获取一种平衡。虽然存在资源缺乏的应战,经过细心考虑要挟模型并规划体系使其作业在能满意该模型的可用核算才能约束之内,仍有或许开发出使产品在敞开环境中有用作业的体系。
对体系规划师来说,考虑“要挟建模”的原理十分有用。要挟建模是根据一种假定,即每个体系都有值得维护的固有价值。可是,因为这些体系是有价值的,他们对内部或外部要挟也是敞开的,这些要挟能够且常常给终端产品带来损害。规划完结后的安全漏洞常常是无法批改的,且危及投入的资金和开发资源,因而需求在规划周期的初始阶段增强对安全评价的需求,并在整个规划周期进行监测和重复批改。
本质上,咱们能够把要挟模型界说为:“辨认一组或许的进犯,以便考虑合作一套完全的危险评价战略。”有了要挟模型,咱们就能评价进犯的概率、潜在损害和优先级。
要挟建模很难,可是很有必要。要挟建模需求考虑体系是怎样遭到进犯的。若建模成功,它就能处理潜在的体系安全毛病危险,比如怎样产生毛病、以及毛病时呈现什么情况等问题。通常在商场和本钱的压力下,这个评价以一种特别的办法来进行,即经过群策群力搜集体系有或许遭到的一切进犯(当然,潜在的黑客或许比您更超前一步)。对这个进程来说,一个愈加体系化及可重复的办法是运用进犯树,这个概念首要是由Bruce Schneier[1,2]提出来的。进犯树供给一种将进犯体系的不同办法进行体系性分类的办法。大致来说,便是以一种树的结构描绘体系所受的进犯,树结构模型中的节点代表进犯。树的根节点是进犯者的总方针,到达该方针的不同途径则是叶节点,如图2所示。
图2. 代表任何有必要维护知识产权(IP)的嵌入式体系的进犯树,此类体系包括手机、VoIP、视频监控体系等
当正确完结要挟建模时,真实的要挟就被确认下来了。可是,假如弄错了或许存在的要挟的话,其价值将是昂扬的。规划师弄错要挟的一个事例是DVD的维护办法。虽然DVD碟片被加密,密钥也放在播放机里,只需播放机里包括抗篡改硬件,这种维护办法是没有问题的。但引进软件播放器时,密钥会曝露出来,经过逆向工程就能康复密钥,也使任何人都能随意仿制和分布任何DVD内容。
在这种情况下,它是有缺点的要挟模型。虽然有安全办法,可是这无法真实处理问题。
危险评价
只是列出一堆要挟是不行的,因为不同要挟的危险不同,因而还需求知道每种要挟的危险。要挟建模的下一个过程是危险评价,这是在任何安全体系规划中的一个至关重要的部分。危险评价的一些根底问题,即“维护什么”、“为什么要维护”和“防备的对象是谁”,应在规划周期的开始阶段厘清。尽早采纳表1所示的办法,将有助于您挑选有用、安全的防备技能和防护战略。
表1. 危险评价
安全战略
辨认出要挟,并权衡危险后,接下来就该树立安全战略了。安全战略是处理计划背面的战略,而技能只是是战术手法。安全战略描绘“为什么”,而不是“如何做”。
例如,根据FPGA规划的安全战略方针之一也许是“坚持装备位流的机密性”,这是一个体系方针。“如何做”或对策的施行或许是选用比如AES等对称密钥加密的办法,对装备位流进行加密以便完结这个方针。
全体的规划流程总结如下:
了解体系的真实要挟,并评价这些要挟的危险。