嵌入式系统“多安全才算安全”
时间:08-20
来源:互联网
点击:
安全策略
一旦您已经识别出了您的威胁,并且权衡了风险,接下来就该建立安全策略了。安全策略是解决方案背后的战略,而技术仅仅是战术手段。安全策略描述“为什么”,而不是“如何做”。
例如,一个基于FPGA设计的安全策略目标之一也许是“保持配置码流的机密性”,这是系统的目标之一。“如何做”或对策的实施可能会是采用诸如AES等对称密钥加密的方式,对配置码流进行加密以便实现这个目标。
下面总结了如何将这个工作放入到整体的设计流程中。
了解系统的真正威胁、并且评估这些威胁的风险,评估哪些威胁是最危险的并最可能发生。将系统性防御这些威胁所需的安全策略进行描述并归档。这将是一系列的声明,例如:“只有可信任的代码才允许进入到受限制的内存”,或“密码密钥必须保密”。
设计并实施能加强系统安全策略的防范措施。理论上,这些防范措施是保护、检测和回应的混合机制。
防范措施
在系统确定了潜在的攻击,且已定义好安全目标后,就可以考虑实施防范技术来减轻风险。一套有效的安全防范措施包括3个不同的部分,并且它们依次发挥作用:保护、检测、回应。
为了解释保护、检测和回应之间的关系,我们来看一个经典的汽车盗窃案例。偷车贼如果想要偷窃您的新车,他必须首先破环车门锁。如果窃贼想要开走汽车而不仅是抢劫车内财物,他可能遇到许多安全措施,包括由于没有使用正确的钥匙而导致触发引擎关断开关,或者由于声音、冲击或篡改而激活警报声。甚至车主还会采纳其他额外的、意料之外的安全措施,如Lojack汽车恢复系统,尽管该系统还存在安全漏洞,但也可能把警察直接带到盗车贼身边。在安全设计术语中,门锁和引擎关断机制是保护对策,而警报是检测对策,警察和Lojack系统是回应对策。
这些对策必须基于系统已知威胁来合理地共同工作。如果保护机制被攻破,必须依靠检测和回应机制来抵御攻击。如果回应机制不存在或无效,那拥有检测机制也就没有意义。
在嵌入式系统中,保护机制也许采取加密的形式、反篡改的机制[3]、或采用多种物理安全形式如机械性地搞乱连接处理器、内存装置数据线以及关键元件封装的硬件接入点。例如,媒体播放器一般使用加密法来实施数字版权管理(DRM),以便作为对音乐和电影内容的保护。
检测机制如入侵传感器可被用于检测开路或短路,从而指示发生了企图物理性损害设备的行为。
回应是系统的最后防御。通常,回应机制将关闭或禁用设备,或删除敏感内容以预防发生危害。回应机制也能记录检测到的攻击类型及发生时间,这样就能在受到攻击后提供有用的法庭审核信息。
结语
安全设计就是一个动态的、与具体的系统相关的过程,且往往很复杂。对于本文中谈论的每种安全话题,都有大量研究和专门技术资料供设计师研究和学习。在开始进行设计时,最重要的事情就是尽早开始您的安全需求评估,定义系统安全目标,并经常性地根据系统用途及市场的变化来确定是否最初的威胁已经改变或扩展。
什么时候您才会知道您的系统是足够安全的?澳大利亚新南威尔士Country Energy负责安全的Robbie Sinclair曾经说过:“在您感觉到不够安全之前,安全措施总是过量的。”当您开始您的安全评估时,请给出您对“多大程度的安全才算安全”这个问题的答案。
一旦您已经识别出了您的威胁,并且权衡了风险,接下来就该建立安全策略了。安全策略是解决方案背后的战略,而技术仅仅是战术手段。安全策略描述“为什么”,而不是“如何做”。
例如,一个基于FPGA设计的安全策略目标之一也许是“保持配置码流的机密性”,这是系统的目标之一。“如何做”或对策的实施可能会是采用诸如AES等对称密钥加密的方式,对配置码流进行加密以便实现这个目标。
下面总结了如何将这个工作放入到整体的设计流程中。
了解系统的真正威胁、并且评估这些威胁的风险,评估哪些威胁是最危险的并最可能发生。将系统性防御这些威胁所需的安全策略进行描述并归档。这将是一系列的声明,例如:“只有可信任的代码才允许进入到受限制的内存”,或“密码密钥必须保密”。
设计并实施能加强系统安全策略的防范措施。理论上,这些防范措施是保护、检测和回应的混合机制。
防范措施
在系统确定了潜在的攻击,且已定义好安全目标后,就可以考虑实施防范技术来减轻风险。一套有效的安全防范措施包括3个不同的部分,并且它们依次发挥作用:保护、检测、回应。
为了解释保护、检测和回应之间的关系,我们来看一个经典的汽车盗窃案例。偷车贼如果想要偷窃您的新车,他必须首先破环车门锁。如果窃贼想要开走汽车而不仅是抢劫车内财物,他可能遇到许多安全措施,包括由于没有使用正确的钥匙而导致触发引擎关断开关,或者由于声音、冲击或篡改而激活警报声。甚至车主还会采纳其他额外的、意料之外的安全措施,如Lojack汽车恢复系统,尽管该系统还存在安全漏洞,但也可能把警察直接带到盗车贼身边。在安全设计术语中,门锁和引擎关断机制是保护对策,而警报是检测对策,警察和Lojack系统是回应对策。
这些对策必须基于系统已知威胁来合理地共同工作。如果保护机制被攻破,必须依靠检测和回应机制来抵御攻击。如果回应机制不存在或无效,那拥有检测机制也就没有意义。
在嵌入式系统中,保护机制也许采取加密的形式、反篡改的机制[3]、或采用多种物理安全形式如机械性地搞乱连接处理器、内存装置数据线以及关键元件封装的硬件接入点。例如,媒体播放器一般使用加密法来实施数字版权管理(DRM),以便作为对音乐和电影内容的保护。
检测机制如入侵传感器可被用于检测开路或短路,从而指示发生了企图物理性损害设备的行为。
回应是系统的最后防御。通常,回应机制将关闭或禁用设备,或删除敏感内容以预防发生危害。回应机制也能记录检测到的攻击类型及发生时间,这样就能在受到攻击后提供有用的法庭审核信息。
结语
安全设计就是一个动态的、与具体的系统相关的过程,且往往很复杂。对于本文中谈论的每种安全话题,都有大量研究和专门技术资料供设计师研究和学习。在开始进行设计时,最重要的事情就是尽早开始您的安全需求评估,定义系统安全目标,并经常性地根据系统用途及市场的变化来确定是否最初的威胁已经改变或扩展。
什么时候您才会知道您的系统是足够安全的?澳大利亚新南威尔士Country Energy负责安全的Robbie Sinclair曾经说过:“在您感觉到不够安全之前,安全措施总是过量的。”当您开始您的安全评估时,请给出您对“多大程度的安全才算安全”这个问题的答案。
- 在嵌入式多核集群中利用OCP处理高速缓冲器一致流量(07-20)
- 嵌入式智能设备的测试方法研究(11-29)
- 基于ARM的信号发生器人机交互系统设计(01-23)
- 采用C8051F020设计的嵌入式测试仪(01-17)
- 关于嵌入式智能设备的测试方法的研究(01-28)
- 基于μC/OS-II的电力参数监测仪设计(02-23)