《嵌入式系統(tǒng)安全》PPT課件.ppt

1、2020/10/17,1,第九章 嵌入式系統(tǒng)安全,嵌入式系統(tǒng)安全,2020/10/17,2,本章內(nèi)容介紹,本章介紹嵌入式系統(tǒng)面臨的攻擊狀況、系統(tǒng)弱點(diǎn) ，并討論對(duì)其的防衛(wèi)策略；從硬件、軟件及軟硬件混合的角度分析系統(tǒng)的強(qiáng)化，如安全引導(dǎo)、系統(tǒng)管理員對(duì)存儲(chǔ)器的控制等。,2020/10/17,3,攻擊狀況可劃分為如下幾類： 一個(gè)聰明的外部人員：這個(gè)人很聰明但對(duì)系統(tǒng)的了解卻很有限。他已經(jīng)可以使用先進(jìn)程度中等的設(shè)備，并可以利用已知的弱點(diǎn)而不是制造新的弱點(diǎn)。 一個(gè)充分了解系統(tǒng)的內(nèi)部人員：這個(gè)人受過專業(yè)技術(shù)教育并擁有技術(shù)方面的經(jīng)驗(yàn)。他對(duì)系統(tǒng)各個(gè)部件的了解程度不同，但是，由于其位置處于“防火墻之后”，他將會(huì)獲得具

2、有高度損壞性的詳細(xì)資料。這種人可以利用高度專業(yè)化的工具和手段進(jìn)行分析。,嵌入式系統(tǒng)安全,攻擊狀況分析,2020/10/17,4,攻擊狀況可合乎情理地劃分為如下幾類： 一個(gè)有資金支持的組織：一個(gè)組織將能夠組建具有技術(shù)互補(bǔ)性的專家隊(duì)伍。他們有機(jī)會(huì)使用先進(jìn)的分析工具和精密的儀器來更改組件。 聚焦離子束（Focused Ion Beam，F(xiàn)IB）是一種復(fù)雜且昂貴設(shè)備的技術(shù)，可以用來修改集成電路。這種設(shè)備遠(yuǎn)遠(yuǎn)超過大多數(shù)個(gè)人的使用需要，但是，那些破解有著重要價(jià)值對(duì)象的安全防護(hù)措施的組織卻會(huì)利用該技術(shù)。,嵌入式系統(tǒng)安全,攻擊狀況分析,2020/10/17,5,軟件攻擊 ： 依賴于攻擊者在執(zhí)行環(huán)境中獲得足夠的

3、特權(quán)，以便能控制和獲取敏感的裝置及數(shù)據(jù)。 例：由Charlie Miller等人在2007年夏天公布于眾，通過將一個(gè)惡意的HTML文件指向電話的Safari網(wǎng)絡(luò)瀏覽器，可以控制對(duì)包含敏感信息的存儲(chǔ)區(qū)的訪問。這會(huì)使電話的Safari網(wǎng)絡(luò)瀏覽器崩潰。 在實(shí)際應(yīng)用中，這種攻擊可以通過發(fā)含有鏈接的郵件，郵件中鏈接所指的是一個(gè)具有惡意HTML的服務(wù)器。如果接收者點(diǎn)擊那個(gè)鏈接，使用那個(gè)攻擊所轉(zhuǎn)化的安裝程序，接收者就很可能受到攻擊。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,6,緩存器溢出攻擊 ： 攻擊普遍利用用來存儲(chǔ)用戶數(shù)據(jù)的堆棧，比如：姓名、住址、電話號(hào)碼和其他的典型表格性數(shù)據(jù)。在正常操作條件下，

4、數(shù)據(jù)按照操作者的輸入順序，與返回存儲(chǔ)地址一起，存儲(chǔ)在堆棧里。 然而，在一些情況下，應(yīng)用軟件并不進(jìn)行適當(dāng)?shù)臋z查，來確定接受到的數(shù)據(jù)是否超出了所分配的緩沖存儲(chǔ)區(qū)域。向緩存中傳送尺寸過大的數(shù)據(jù)，并伴以一段惡意的執(zhí)行代碼及一個(gè)用來覆蓋調(diào)用程序的返回地址的地址數(shù)據(jù)，造成緩存溢出。同時(shí)，由于地址數(shù)據(jù)過多的返回地址指向攻擊者的惡意代碼，當(dāng)功能嘗試返回時(shí)，就開始執(zhí)行黑客在錯(cuò)誤返回地址所寫的代碼。這種危害一旦達(dá)成，侵入者就掌握了控制權(quán)。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,7,惡意程序攻擊 ： 在一些情況下，侵入者可以在存儲(chǔ)裝置上寫入代碼，比如導(dǎo)入代碼。這就允許侵入者可以更改代碼，使驅(qū)動(dòng)程序在下次導(dǎo)

5、入時(shí)按照攻擊者所希望的方式而不是它原來的設(shè)計(jì)所期望的方式工作。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,8,拒絕服務(wù)攻擊 ： 是試圖通過讓某個(gè)嵌入式系統(tǒng)的通信通道飽和或者公然強(qiáng)制發(fā)生復(fù)位來阻止系統(tǒng)資源為其合法用戶所用。 在這個(gè)分類中，攻擊者可以利用很多途徑，如“Smurf攻擊”。這個(gè)攻擊利用配置不好的網(wǎng)絡(luò)，對(duì)查詢IP廣播地址的“Ping”要求作出回應(yīng)。這種情況下的“Ping”操作，可以誘騙受害人返回其地址。這些網(wǎng)絡(luò)就變成了“Smurf 放大器”，產(chǎn)生大量針對(duì)受害者的通信流量。,嵌入式系統(tǒng)安全,攻擊方法,2020/10/17,9,在需要DMA控制器的系統(tǒng)中，保護(hù)程序免受攻擊的策略包括：將

6、DMA控制器置于防火墻之后，并確保所有接口都內(nèi)置于SOC內(nèi)部。如果除了將存儲(chǔ)器置于SOC外部別無選擇，那么就應(yīng)該考慮對(duì)與存儲(chǔ)器間的數(shù)據(jù)傳輸使用加密方案。這會(huì)使系統(tǒng)免受較低級(jí)別的攻擊。 使用一個(gè)分立的安全處理器來控制系統(tǒng)內(nèi)的其他處理器對(duì)系統(tǒng)資源的訪問，可以在多處理器SOC中廣泛應(yīng)用；在這些應(yīng)用中，被保護(hù)的資源的屬性決定了額外的花費(fèi)和復(fù)雜度是合理的，比如機(jī)頂盒。,嵌入式系統(tǒng)安全,從體系架構(gòu)的角度解決安全性問題,2020/10/17,10,將集成電路的包裝去除，使它運(yùn)行并用探針進(jìn)行探查，可獲得某人的iTunes密碼。然而，對(duì)系統(tǒng)的成功破解如果真正造成了巨大的經(jīng)濟(jì)損失（如攻擊一個(gè)銷售點(diǎn)終端或敏感軍事政

7、府設(shè)備），這個(gè)攻擊必然是高度復(fù)雜的，而且其攻擊必須得到大量的資金支持 。 為了避免這種情況，可以在敏感電子器件外覆蓋極其精細(xì)的、能檢測(cè)侵入的網(wǎng)格。當(dāng)一個(gè)芯片電路確定被侵入時(shí)，敏感數(shù)據(jù)（如秘鑰、安全引導(dǎo)映像、根管理程序等）就會(huì)自動(dòng)被銷毀，器件將無法工作 。,嵌入式系統(tǒng)安全,從體系架構(gòu)的角度解決安全性問題,2020/10/17,11,是一種將軟件和硬件相結(jié)合為消費(fèi)者產(chǎn)品提供安全保護(hù)的技術(shù)。在硬件方面，特殊的具有“安全意識(shí)”的存儲(chǔ)器包裹層(wrapper)、系統(tǒng)總線、調(diào)試端口、中斷控制器都被集成到了SOC中。另外，TrustZone為CPU結(jié)構(gòu)和核心增加了一個(gè)新的安全監(jiān)控模式。,嵌入式系統(tǒng)安全,AR

8、M的TrustZone技術(shù),2020/10/17,12,在軟件方面，一個(gè)從受信任的邏輯提供的安全監(jiān)控器，在新的安全監(jiān)控模式下運(yùn)行，并擔(dān)當(dāng)安全與不安全狀態(tài)之間的監(jiān)控任務(wù)。當(dāng)操作系統(tǒng)調(diào)用TrustZone指令時(shí)，安全監(jiān)控器受到了控制，與此同時(shí)，處理器獲得了額外層次的特權(quán)以運(yùn)行可信任的代碼，并通過嵌入已知有安全意識(shí)的外設(shè)的安全審核位，來控制可信任資源的訪問。對(duì)安全存儲(chǔ)器的訪問是通過使用MMU（Memory Management Unit，內(nèi)存管理單元）和TLB（Translation Lookaside Buffers，轉(zhuǎn)換快表）中的安全位標(biāo)記符來控制的。這些標(biāo)志被用來將存儲(chǔ)器劃分為安全區(qū)和不安全區(qū)

9、。安全監(jiān)控器通過將中斷分為安全和不安全兩類，來進(jìn)一步增強(qiáng)安全性，并實(shí)現(xiàn)斷開/連接調(diào)試端口的能力。,嵌入式系統(tǒng)安全,ARM的TrustZone技術(shù),2020/10/17,13,TrustZone技術(shù)，已被用來保護(hù)在芯片上或不在芯片上的存儲(chǔ)器和外圍設(shè)備免受軟件攻擊。 通過對(duì)系統(tǒng)的精心設(shè)計(jì)，TrustZone可以額外地提供安全措施以抵抗一些硬件攻擊。例如，將可信的代碼放入SOC內(nèi)部存儲(chǔ)器，并保證置于外部存儲(chǔ)器的硬件表 walker列表不能指向內(nèi)部存儲(chǔ)器或敏感程序(TLB的再次寫入會(huì)失敗)。因此，有進(jìn)入外部存儲(chǔ)器的許可并不能提供進(jìn)入敏感資源的許可。,嵌入式系統(tǒng)安全,ARM的TrustZone技術(shù),20

10、20/10/17,14,TrustZone為操作系統(tǒng)在無安全狀態(tài)下的運(yùn)行提供了二進(jìn)制兼容性。如果操作系統(tǒng)需要與安全區(qū)域的應(yīng)用程序進(jìn)行交流，就必須寫擴(kuò)展名。 同樣的，在無TrustZone的平臺(tái)上處于特權(quán)模式的一些可以被訪問的寄存器， 一旦在TrustZone內(nèi)運(yùn)行時(shí)，可以被強(qiáng)迫處于特權(quán)/不可信模式。,嵌入式系統(tǒng)安全,ARM的TrustZone技術(shù),2020/10/17,15,真正強(qiáng)健的系統(tǒng)安全不能單靠軟件來保證的。加密僅能減緩黑客的進(jìn)攻。即使是高度防篡改的系統(tǒng)，也會(huì)受到軟件硬件聯(lián)合進(jìn)攻的威脅，而且，對(duì)于任何攻擊者可以在物理上接觸的器件，它都至少需要安全的引導(dǎo)。 另一方面，全硬件的解決方式很昂貴且不具有彈性，如果它們過于冗瑣