嵌入式系统安全性对攻击状况和防卫策略

在分层的策略中，每一个组件对整个安全性的贡献是可以相加的。一个组件，如操作系统，有一个固有的"虚拟化"以盗用一个加分条款，80就被加到另一个组件固有的分数上，比如安全导入机制的80 分，加起来就是160分。现在，如果操作系统由于大量附加特征，呈现出一个大的攻击表面，那么，这个组分的分数就会降低一些，最多减少40分。

　　加权分数计算实例：挑选一个有MMU的SoC，MMU是系统管理程序对存储器的控制所不能缺少的，和一个安全操作系统。选择一个系统管理程序，它允许操作系统和应用程序在"用户空间"运行，从而产生一个更安全的处理环境。系统管理程序 （+80）呈现出一个小的攻击表面，因此不会从它的安全分中减分。选择一个安全操作系统，比如SE Linux （+80），但是，在开发者加入大量代码的同时，也会生成一个大的攻击表面（-40）。加权分数就是：

　　虚拟化：80

　　安全操作系统：80

　　代码尺寸减分：-40

　　总安全分：160

　　一些设计的组成，由于其本身特点，在装置的安全装甲中形成了固有的裂痕，需要小心地处理。一个好的例子就是DMA控制器。有DMA控制器的系统，考虑到其存在这样一个弱点，应该从总分中减去80分，那么在那个分数上，就明显需要一个保护系统的机制。有DMA控制器的系统的调整范围表明，这样的系统可以被设计得更加安全，但是机制的性质就是这样，在成块存取中以及从安全的观点来说，它永远不可能达到100%的效率，这是不可避免的。

　　这种方法的正式、细致、凝练允许了度量的产生，它允许设计者使用安全措施来满足他们特定的需要。由于基准提供了处理器在特定应用中可能性能的粗略评估，所以安全分数的产生也就提供了测量产品在抵御外来攻击时可能性能的方式。

　　结语

　　现在应该清楚的是，真正强健的系统安全不能单靠软件来保证的。加密和迷惑仅能减缓黑客的进攻。即使是高度防篡改的系统，也会受到软件硬件联合的进攻15的威胁，而且，对于任何攻击者可以在物理上接触的器件，都它至少需要安全的引导。

　　另一方面，全硬件的解决方式很昂贵且不具有弹性的，由于这个原因，如果它们过于冗琐，就会迫使设计者和最终使用者转而采用节省时间的、规避性的方法，而这些方法是器件的安全防护架构所无法预料到的。因此，最好的安全解决方案是基于以硬件为中心 （如TrustZone）、软件（如安全操作系统）和虚拟技术相结合的平衡结合方式，以保护存储区域，DMA控制器，或其他潜在的易受攻击的因素。