据损失
存储设备是黑客最喜欢的内部攻击目标,这是因为它们保存了产品的固件和敏感数据。很多设备可以在线读出数据,而且可以在工作期间提供临时的文本数据。如果您的设备具有防篡改传感器,您就可以利用硬件或软件资源来迅速抹掉敏感数据。有几家厂商提供
安全存储设备来保护内部数据。例如,Dallas Semiconductor公司的 DS2432 既有 1024 位 EEPROM,又有一个 64 位保密引擎和 512 位安全散列算法引擎,以提供低成本的基于认证的安全性(图 1)。DS2432 售价是 2.03 美元(1000 件批量)。
图 1,Dallas Semiconductor公司的 DS2432 具有 1128 位5V EEPROM(它分区成 4 页,每页 256 位)、一个 64 位只写保密寄存器和5 个通用读/写寄存器。 在软件方面,
嵌入式产品为黑客提供了很多入侵机会。与台式产品不同的是,嵌入式产品采用数十种软件体系结构和操作系统,而这些软件体系结构和操作系统的安全等级各不相同,视其制造商的专业技能而定。为了建立系统安全标准,美国、加拿大和几个欧洲国家制定了《信息技术安全评估共同准则
》 ,或简称《共同准则》。《共同准则》结构允许消费者、开发商和评估人员按标准的保护措施和 EAL(评估保证等级)规定产品的安全功能。虽然还没有操作系统得到最高的 EAL-7 认证,但有几项开发计划正在进行。例如,LynuxWorks公司 正在对其 LynxOS-178 操作系统进行一次小规模运行状态下内核的改进,并期望对它进行最高等级的正式验证和测试。EAL-7 等级认证需要详尽的数学分析,这就把此类软件的长度限制在最多 6000~7000 行代码以内。
另一项嵌入式软件安全标准是《多个独立安全等级》(Multiple Independent Levels of Security, MILS),它需要一个分区的实时操作系统,用户可以利用严格的测试把它认证为安全的系统。存储器保护和有保证的资源可用性使您能够管理在一个处理器上的安全数据和非安全数据。MILS 体系结构允许创建经过数学方法验证的、始终被调用的、防篡改的应用代码,它们具有黑客无法绕过的安全功能。Green Hills Software公司、LynuxWorks公司 和 Wind River Software 公司均属于正在为军用系统和防御系统研制符合 MILS 的RTOS的公司之列。
用户在与某个安全的嵌入式系统交互之前,必须经过一个认证过程来核实他们的身份。认证方案可能包括秘密口令、生理特征(如指纹)或安全设置(如智能卡或密钥)三者的各种组合。黑客通过目视或电子手段获取击键情况,或只是简单地通过各种花招进行询问,便可成功地得到口令。通常,黑客可以广泛使用很容易得到的数据包捕获程序,在有线或无线局域网上不加密传输时透明地读取文本口令。由于口令很容易泄露,因此注重安全的厂商们都需要两级或三级认证。RSA Security公司 的 SecurID 是最受欢迎的两级认证系统之一,许多组织都用它来识别远程用户的身份。令牌安装在密钥链上,并每分钟生成一个新的 6 位安全代码(图 2)。为了获得访问权,用户必须输入自己的私人 PIN 和在令牌上显示代码。
图 2,RSA Security 公司的 SecurID 两级验证系统每分钟生成一个新的同步 6 位安全代码,以阻止口令被窃取。 网络加密
当设计师必须把嵌入式系统连接到一个网络或因特网时,他们采用加密来保护自己的数据。各种有效加密方案在有线、无线或电力线通信系统中的效果同样都很好。目前使用的两类基本加密算法都依赖一个秘密的密钥以及一个编码序列,来把普通文本转换成加密文本,反之亦然。使用对称加密算法时,发送者和接收者都使用同一个密钥来加密和解密信息。非对称加密使用两个密钥,一个用于加密,一个用于解密。公共密钥加密技术是一种流行的非对称加密形式,其一个密钥是公开的,而另一个是秘密的。密钥分配和保密是密码安全系统中的基本问题。只要有足够时间和计算能力,黑客不用密钥就可以解开任何加密的数据。然而,如果一种算法的解密成本或解密时间超过了数据的价值或有效寿命,则设计师就可以认为这种算法是安全的。包括嵌入式产品在内的任何电脑系统都可以生成一对对密钥,并把其中公共密钥提交给 VeriSign 公司等某个认证机构加以确认。各个安全的系统都保存一份本地的证书清单,用作认证进入的信息并加密送出的数据。认证机构核实了申请者的身份后,就会颁发一份证书,证书内有公共密钥、有效期和数字签名数据。
Compaq公司、Hewlett-Packard公司、IBM公司、Intel公司 和 Microsoft 公司在 1999 年成立了“受托计算平台联盟”