《嵌入式系統(tǒng)安全》PPT課件.ppt

1、2020/10/17,1,第九章 嵌入式系統(tǒng)安全,嵌入式系統(tǒng)安全,2020/10/17,2,本章內容介紹,本章介紹嵌入式系統(tǒng)面臨的攻擊狀況、系統(tǒng)弱點 ，并討論對其的防衛(wèi)策略；從硬件、軟件及軟硬件混合的角度分析系統(tǒng)的強化，如安全引導、系統(tǒng)管理員對存儲器的控制等。,2020/10/17,3,攻擊狀況可劃分為如下幾類： 一個聰明的外部人員：這個人很聰明但對系統(tǒng)的了解卻很有限。他已經(jīng)可以使用先進程度中等的設備，并可以利用已知的弱點而不是制造新的弱點。 一個充分了解系統(tǒng)的內部人員：這個人受過專業(yè)技術教育并擁有技術方面的經(jīng)驗。他對系統(tǒng)各個部件的了解程度不同，但是，由于其位置處于“防火墻之后”，他將會獲得具

2、有高度損壞性的詳細資料。這種人可以利用高度專業(yè)化的工具和手段進行分析。,嵌入式系統(tǒng)安全,攻擊狀況分析,2020/10/17,4,攻擊狀況可合乎情理地劃分為如下幾類： 一個有資金支持的組織：一個組織將能夠組建具有技術互補性的專家隊伍。他們有機會使用先進的分析工具和精密的儀器來更改組件。 聚焦離子束（Focused Ion Beam，F(xiàn)IB）是一種復雜且昂貴設備的技術，可以用來修改集成電路。這種設備遠遠超過大多數(shù)個人的使用需要，但是，那些破解有著重要價值對象的安全防護措施的組織卻會利用該技術。,嵌入式系統(tǒng)安全,攻擊狀況分析,2020/10/17,5,軟件攻擊 ： 依賴于攻擊者在執(zhí)行環(huán)境中獲得足夠的

3、特權，以便能控制和獲取敏感的裝置及數(shù)據(jù)。 例：由Charlie Miller等人在2007年夏天公布于眾，通過將一個惡意的HTML文件指向電話的Safari網(wǎng)絡瀏覽器，可以控制對包含敏感信息的存儲區(qū)的訪問。這會使電話的Safari網(wǎng)絡瀏覽器崩潰。 在實際應用中，這種攻擊可以通過發(fā)含有鏈接的郵件，郵件中鏈接所指的是一個具有惡意HTML的服務器。如果接收者點擊那個鏈接，使用那個攻擊所轉化的安裝程序，接收者就很可能受到攻擊。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,6,緩存器溢出攻擊 ： 攻擊普遍利用用來存儲用戶數(shù)據(jù)的堆棧，比如：姓名、住址、電話號碼和其他的典型表格性數(shù)據(jù)。在正常操作條件下，

4、數(shù)據(jù)按照操作者的輸入順序，與返回存儲地址一起，存儲在堆棧里。 然而，在一些情況下，應用軟件并不進行適當?shù)臋z查，來確定接受到的數(shù)據(jù)是否超出了所分配的緩沖存儲區(qū)域。向緩存中傳送尺寸過大的數(shù)據(jù)，并伴以一段惡意的執(zhí)行代碼及一個用來覆蓋調用程序的返回地址的地址數(shù)據(jù)，造成緩存溢出。同時，由于地址數(shù)據(jù)過多的返回地址指向攻擊者的惡意代碼，當功能嘗試返回時，就開始執(zhí)行黑客在錯誤返回地址所寫的代碼。這種危害一旦達成，侵入者就掌握了控制權。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,7,惡意程序攻擊 ： 在一些情況下，侵入者可以在存儲裝置上寫入代碼，比如導入代碼。這就允許侵入者可以更改代碼，使驅動程序在下次導

5、入時按照攻擊者所希望的方式而不是它原來的設計所期望的方式工作。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,8,拒絕服務攻擊 ： 是試圖通過讓某個嵌入式系統(tǒng)的通信通道飽和或者公然強制發(fā)生復位來阻止系統(tǒng)資源為其合法用戶所用。 在這個分類中，攻擊者可以利用很多途徑，如“Smurf攻擊”。這個攻擊利用配置不好的網(wǎng)絡，對查詢IP廣播地址的“Ping”要求作出回應。這種情況下的“Ping”操作，可以誘騙受害人返回其地址。這些網(wǎng)絡就變成了“Smurf 放大器”，產生大量針對受害者的通信流量。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,9,在需要DMA控制器的系統(tǒng)中，保護程序免受攻擊的策略包括：將

6、DMA控制器置于防火墻之后，并確保所有接口都內置于SOC內部。如果除了將存儲器置于SOC外部別無選擇，那么就應該考慮對與存儲器間的數(shù)據(jù)傳輸使用加密方案。這會使系統(tǒng)免受較低級別的攻擊。 使用一個分立的安全處理器來控制系統(tǒng)內的其他處理器對系統(tǒng)資源的訪問，可以在多處理器SOC中廣泛應用；在這些應用中，被保護的資源的屬性決定了額外的花費和復雜度是合理的，比如機頂盒。,嵌入式系統(tǒng)安全,從體系架構的角度解決安全性問題,2020/10/17,10,將集成電路的包裝去除，使它運行并用探針進行探查，可獲得某人的iTunes密碼。然而，對系統(tǒng)的成功破解如果真正造成了巨大的經(jīng)濟損失（如攻擊一個銷售點終端或敏感軍事政

7、府設備），這個攻擊必然是高度復雜的，而且其攻擊必須得到大量的資金支持 。 為了避免這種情況，可以在敏感電子器件外覆蓋極其精細的、能檢測侵入的網(wǎng)格。當一個芯片電路確定被侵入時，敏感數(shù)據(jù)（如秘鑰、安全引導映像、根管理程序等）就會自動被銷毀，器件將無法工作 。,嵌入式系統(tǒng)安全,從體系架構的角度解決安全性問題,2020/10/17,11,是一種將軟件和硬件相結合為消費者產品提供安全保護的技術。在硬件方面，特殊的具有“安全意識”的存儲器包裹層(wrapper)、系統(tǒng)總線、調試端口、中斷控制器都被集成到了SOC中。另外，TrustZone為CPU結構和核心增加了一個新的安全監(jiān)控模式。,嵌入式系統(tǒng)安全,AR

8、M的TrustZone技術,2020/10/17,12,在軟件方面，一個從受信任的邏輯提供的安全監(jiān)控器，在新的安全監(jiān)控模式下運行，并擔當安全與不安全狀態(tài)之間的監(jiān)控任務。當操作系統(tǒng)調用TrustZone指令時，安全監(jiān)控器受到了控制，與此同時，處理器獲得了額外層次的特權以運行可信任的代碼，并通過嵌入已知有安全意識的外設的安全審核位，來控制可信任資源的訪問。對安全存儲器的訪問是通過使用MMU（Memory Management Unit，內存管理單元）和TLB（Translation Lookaside Buffers，轉換快表）中的安全位標記符來控制的。這些標志被用來將存儲器劃分為安全區(qū)和不安全區(qū)

9、。安全監(jiān)控器通過將中斷分為安全和不安全兩類，來進一步增強安全性，并實現(xiàn)斷開/連接調試端口的能力。,嵌入式系統(tǒng)安全,ARM的TrustZone技術,2020/10/17,13,TrustZone技術，已被用來保護在芯片上或不在芯片上的存儲器和外圍設備免受軟件攻擊。 通過對系統(tǒng)的精心設計，TrustZone可以額外地提供安全措施以抵抗一些硬件攻擊。例如，將可信的代碼放入SOC內部存儲器，并保證置于外部存儲器的硬件表 walker列表不能指向內部存儲器或敏感程序(TLB的再次寫入會失敗)。因此，有進入外部存儲器的許可并不能提供進入敏感資源的許可。,嵌入式系統(tǒng)安全,ARM的TrustZone技術,20

10、20/10/17,14,TrustZone為操作系統(tǒng)在無安全狀態(tài)下的運行提供了二進制兼容性。如果操作系統(tǒng)需要與安全區(qū)域的應用程序進行交流，就必須寫擴展名。 同樣的，在無TrustZone的平臺上處于特權模式的一些可以被訪問的寄存器， 一旦在TrustZone內運行時，可以被強迫處于特權/不可信模式。,嵌入式系統(tǒng)安全,ARM的TrustZone技術,2020/10/17,15,真正強健的系統(tǒng)安全不能單靠軟件來保證的。加密僅能減緩黑客的進攻。即使是高度防篡改的系統(tǒng)，也會受到軟件硬件聯(lián)合進攻的威脅，而且，對于任何攻擊者可以在物理上接觸的器件，它都至少需要安全的引導。 另一方面，全硬件的解決方式很昂貴且不具有彈性，如果它們過于冗瑣