《《嵌入式系统安全》PPT课件》由会员分享,可在线阅读,更多相关《《嵌入式系统安全》PPT课件(15页珍藏版)》请在金锄头文库上搜索。
1、第七章 嵌入式系统安全 第九章第九章 嵌入式系统安全嵌入式系统安全 嵌入式系统安全嵌入式系统安全 Date * 第七章 嵌入式系统安全 本章内容介绍本章内容介绍 本章介绍嵌入式系统面临的攻击状况、系统 弱点 ,并讨论对其的防卫策略;从硬件、软件 及软硬件混合的角度分析系统的强化,如安全 引导、系统管理员对存储器的控制等。 Date * 第七章 嵌入式系统安全 攻击状况可划分为如下几类: 一个聪明的外部人员:这个人很聪明但对系统的了解却 很有限。他已经可以使用先进程度中等的设备,并可以利 用已知的弱点而不是制造新的弱点。 一个充分了解系统的内部人员:这个人受过专业技术教 育并拥有技术方面的经验。
2、他对系统各个部件的了解程度 不同,但是,由于其位置处于“防火墙之后”,他将会获得 具有高度损坏性的详细资料。这种人可以利用高度专业化 的工具和手段进行分析。 嵌入式系统安全嵌入式系统安全 攻击状况分析 Date * 第七章 嵌入式系统安全 攻击状况可合乎情理地划分为如下几类: 一个有资金支持的组织:一个组织将能够组建具有技术 互补性的专家队伍。他们有机会使用先进的分析工具和精 密的仪器来更改组件。 聚焦离子束(Focused Ion Beam,FIB)是一种复杂且昂 贵设备的技术,可以用来修改集成电路。这种设备远远超 过大多数个人的使用需要,但是,那些破解有着重要价值 对象的安全防护措施的组织
3、却会利用该技术。 嵌入式系统安全嵌入式系统安全 攻击状况分析 Date * 第七章 嵌入式系统安全 软件攻击 : 依赖于攻击者在执行环境中获得足够的特权,以便能控 制和获取敏感的装置及数据。 例:由Charlie Miller等人在2007年夏天公布于众,通过将一个恶意 的HTML文件指向电话的Safari网络浏览器,可以控制对包含敏感信息 的存储区的访问。这会使电话的Safari网络浏览器崩溃。 在实际应用中,这种攻击可以通过发含有链接的邮件,邮件中链接 所指的是一个具有恶意HTML的服务器。如果接收者点击那个链接, 使用那个攻击所转化的安装程序,接收者就很可能受到攻击。 嵌入式系统安全嵌入
4、式系统安全 攻击方法 Date * 第七章 嵌入式系统安全 缓存器溢出攻击 : 攻击普遍利用用来存储用户数据的堆栈,比如:姓名、 住址、电话号码和其他的典型表格性数据。在正常操作条 件下,数据按照操作者的输入顺序,与返回存储地址一起 ,存储在堆栈里。 然而,在一些情况下,应用软件并不进行适当的检查,来确定接受 到的数据是否超出了所分配的缓冲存储区域。向缓存中传送尺寸过大 的数据,并伴以一段恶意的执行代码及一个用来覆盖调用程序的返回 地址的地址数据,造成缓存溢出。同时,由于地址数据过多的返回地 址指向攻击者的恶意代码,当功能尝试返回时,就开始执行黑客在错 误返回地址所写的代码。这种危害一旦达成,
5、侵入者就掌握了控制权 。 嵌入式系统安全嵌入式系统安全 攻击方法 Date * 第七章 嵌入式系统安全 恶意程序攻击 : 在一些情况下,侵入者可以在存储装置上写入代码,比 如导入代码。这就允许侵入者可以更改代码,使驱动程序 在下次导入时按照攻击者所希望的方式而不是它原来的设 计所期望的方式工作。 嵌入式系统安全嵌入式系统安全 攻击方法 Date * 第七章 嵌入式系统安全 拒绝服务攻击 : 是试图通过让某个嵌入式系统的通信通道饱和或者公然 强制发生复位来阻止系统资源为其合法用户所用。 在这个分类中,攻击者可以利用很多途径,如“Smurf攻 击”。这个攻击利用配置不好的网络,对查询IP广播地址的
6、 “Ping”要求作出回应。这种情况下的“Ping”操作,可以诱骗 受害人返回其地址。这些网络就变成了“Smurf 放大器”,产 生大量针对受害者的通信流量。 嵌入式系统安全嵌入式系统安全 攻击方法 Date * 第七章 嵌入式系统安全 n 在需要DMA控制器的系统中,保护程序免受攻击的策 略包括:将DMA控制器置于防火墙之后,并确保所有接 口都内置于SOC内部。如果除了将存储器置于SOC外部别 无选择,那么就应该考虑对与存储器间的数据传输使用加 密方案。这会使系统免受较低级别的攻击。 n 使用一个分立的安全处理器来控制系统内的其他处理器 对系统资源的访问,可以在多处理器SOC中广泛应用;在
7、这些应用中,被保护的资源的属性决定了额外的花费和复 杂度是合理的,比如机顶盒。 嵌入式系统安全嵌入式系统安全 从体系架构的角度解决安全性问题 Date * 第七章 嵌入式系统安全 n 将集成电路的包装去除,使它运行并用探针进行探查, 可获得某人的iTunes密码。然而,对系统的成功破解如果 真正造成了巨大的经济损失(如攻击一个销售点终端或敏 感军事政府设备),这个攻击必然是高度复杂的,而且其 攻击必须得到大量的资金支持 。 为了避免这种情况,可以在敏感电子器件外覆盖极其精 细的、能检测侵入的网格。当一个芯片电路确定被侵入时 ,敏感数据(如秘钥、安全引导映像、根管理程序等)就 会自动被销毁,器件
8、将无法工作 。 嵌入式系统安全嵌入式系统安全 从体系架构的角度解决安全性问题 Date * 第七章 嵌入式系统安全 是一种将软件和硬件相结合为消费者产品提供安全保护 的技术。在硬件方面,特殊的具有“安全意识”的存储器包 裹层(wrapper)、系统总线、调试端口、中断控制器都被集 成到了SOC中。另外,TrustZone为CPU结构和核心增加了 一个新的安全监控模式。 嵌入式系统安全嵌入式系统安全 ARM的TrustZone技术 Date * 第七章 嵌入式系统安全 在软件方面,一个从受信任的逻辑提供的安全监控器,在新 的安全监控模式下运行,并担当安全与不安全状态之间的监控 任务。当操作系统调
9、用TrustZone指令时,安全监控器受到了控 制,与此同时,处理器获得了额外层次的特权以运行可信任的 代码,并通过嵌入已知有安全意识的外设的安全审核位,来控 制可信任资源的访问。对安全存储器的访问是通过使用MMU( Memory Management Unit,内存管理单元)和TLB(Translation Lookaside Buffers,转换快表)中的安全位标记符来控制的。这 些标志被用来将存储器划分为安全区和不安全区。安全监控器 通过将中断分为安全和不安全两类,来进一步增强安全性,并 实现断开/连接调试端口的能力。 嵌入式系统安全嵌入式系统安全 ARM的TrustZone技术 Dat
10、e * 第七章 嵌入式系统安全 TrustZone技术,已被用来保护在芯片上或不在芯片上的 存储器和外围设备免受软件攻击。 通过对系统的精心设计,TrustZone可以额外地提供安全 措施以抵抗一些硬件攻击。例如,将可信的代码放入SOC 内部存储器,并保证置于外部存储器的硬件表 walker列表 不能指向内部存储器或敏感程序(TLB的再次写入会失败) 。因此,有进入外部存储器的许可并不能提供进入敏感资 源的许可。 嵌入式系统安全嵌入式系统安全 ARM的TrustZone技术 Date * 第七章 嵌入式系统安全 TrustZone为操作系统在无安全状态下的运行提供了二进 制兼容性。如果操作系统
11、需要与安全区域的应用程序进行 交流,就必须写扩展名。 同样的,在无TrustZone的平台上处于特权模式的一些可 以被访问的寄存器, 一旦在TrustZone内运行时,可以被 强迫处于特权/不可信模式。 嵌入式系统安全嵌入式系统安全 ARM的TrustZone技术 Date * 第七章 嵌入式系统安全 真正强健的系统安全不能单靠软件来保证的。加密仅能减缓 黑客的进攻。即使是高度防篡改的系统,也会受到软件硬件联 合进攻的威胁,而且,对于任何攻击者可以在物理上接触的器 件,它都至少需要安全的引导。 另一方面,全硬件的解决方式很昂贵且不具有弹性,如果它 们过于冗琐,就会迫使设计者和最终使用者转而采用节省时间 的、规避性的方法,而这些方法是器件的安全防护架构所无法 预料到的。 因此,最好的安全解决方案是基于以硬件为中心(如 TrustZone)、软件(如安全操作系统)和虚拟技术相结合的平衡结 合方式,以保护存储区域、DMA控制器、或其他潜在的易受攻 击的因素。 嵌入式系统安全嵌入式系统安全 结 语 Date *
