嵌入式系统安全性对攻击状况和防卫策略的概述和分析

黑客通过使用故障注入的方法，使用能量脉冲、热量和高频率，试图影响正常的系统运行。一旦这些方法的某种组合可以将系统驱动到一个更"有用"的状态，黑客就能获得更多的信息，从而进一步破坏系统的安全性。

　　在一种资源可再生的攻击中，应用程序的开发者已经假设，一旦某种资源，如一个目标文件，被删除，存储器中资源的内容也就会被删除了。但实际情况并不总是这样，攻击可以利用这个情况来扫描存储器，找到有用的残留信息。一般而言，在一个安全的环境中，用密码写的应用程序，被用来跟踪任何包含敏感信息的资源，并在将那些资源返回信息资源池之前将其清除。

　　然而，在应用程序崩溃或外部中止的情况下，那种行为就不能得到保证。即使安全地使用存储器，紧密地控制资源区，只要在一个恰当时机注入故障条件，比如能量脉冲，存储器中就会残留数据，而这些数据随后将被黑客所盗取。

　　拒绝服务型(DoS)攻击，是试图通过让某个计算机的通信通道饱和或者公然强制发生复位来阻止计算机的资源为其合法用户所用。

在这个分类中，攻击者可以利用很多途径，包括命名很有创意性的攻击状况，如"Smurf攻击"。这个攻击利用配置不好的网络，这种网络将对查询IP广播地址的"Ping"要求作出回应。这种情况下的"ping"操作，可以诱骗受害人返回其地址。这些网络就变成了"Smurf 放大器"，产生大量针对受害者的通信流量。这种攻击并不是什么新鲜招数。对系统管理员来说，配置他们的网络以拒绝"ping"对广播地址的请求且不转移这类信息包，是一件相当简单的事情。虽然这种方法不再是一个活跃的威胁，但很好地说明了DoS的共同特征，或者，更准确的说，是分布拒绝式服务(DDOS)攻击：利用共同的系统特征的漏洞，劫持大量无辜的器件，来放大攻击所产生的影响，和对目标系统的防护措施的破坏力。

　　在当前出现的多种攻击方法中，恶意软件的分布式攻击方法已演变为包括高级的软件机器人或定位于以前所破解的系统中的"bots(木马)"。这些bot被拴绑在团块或"botnet(僵尸网络)"上，协同形成实际DDOS的攻击。

从体系架构的角度解决安全性问题

　　既然我们已经描述了一些主要的攻击特征及策略，我们将开发一些设计系统所需要的元件，使得这些系统即使不具有刀枪不入的能力，也至少高度安全并具有抵御黑客的能力。

　　在需要DMA控制器的系统中，保护程序免受攻击的策略包括：将DMA控制器置于防火墙或虚拟层之后，并确保所有接口都内置于SOC内部。如果除了将存储器置于SOC外部别无选择，那么就应该考虑对与存储器间的数据传输使用加密方案。这不会保护系统不受之前讨论的所谓"重放攻击"，但确实会使系统免受较低级别的攻击。

　　一般来说，从安全角度看外部存储器总线是应该避免的。如果片上资源有限，设计者就会被驱使使用外部存储器，这时控制哪些东西可以从芯片取出以及提供何人在探测总线者的线索就变得很重要了。设计者应该保证芯片上保存有尽可能多的系统关键信息，这样，黑客的探查即使不是完全不可能，至少也变得极为困难。

　　在某些导入码会被破坏的情况下，比如当ROM或者OTP存储器不能使用时，一个防卫措施是产生一个安全引导载入器。这种机制涉及硬件与软件，创造了一个进程，在导入序列继续执行时，系统BIOS可以利用该进程来进行加密标记及验证。这保证了当引导序列将控制权交给操作系统时，机器正处于设计者想要的状态。
然而，虽然引导过程得到完全的保护，一旦系统完全引导完毕，运行时间映像仍然可能被攻击。IBM已经进一步拓宽了这一概念， 在BE处理单元中提供一个运行时间信令能力，由此增加了额外的器件安全防护层4。

　　如果设计者选择让交付用户的产品的调试端口保持激活状态，纯粹从安全角度看，很显然这是不被推荐的做法；那么应考虑对JTAG的访问也给予和系统其他部分的保护程度相同的保护措施。可以置入挑战/响应机制，为某一特殊通路建立围墙保护，同时已经提出了一种高级的解决方案，它将对内部资源的访问划分为不同等级，这种方案基于与内部处理器分离的访问管理器，并与外部安全服务器接口，以管理密钥以及对测试设备访问5。

　　同样的策略，使用一个分立的安全处理器来控制系统内的其他处理器对系统资源的访问，可以在多处理器SOC中广泛应用；在这些应用中，被保护的资源的属性决定了额外的花费和复杂度是合理的，比如机顶盒。

将集成电路的包装去除的情况下，使它运行并用探针进行探查，并不是获得某人的iTunes密码的合适的方法。然而，对系统的成功破解如果真正造成了巨大的经济损失，比如攻击一个销售点终端或敏感