超越数据通信的安全：在嵌入式市场中实现系统信任的新途径

　　介绍

　　网络通信(和互联网)是不安全的。网络提供商和设备制造商已经意识到这一点，并且已经开发出相应技术来保障重要数据流量的安全。这其中包括我们目前使用的标准技术，比如企业网络中的IPsec/SSL VPN、浏览器上进行在线采购和捐赠的SSL/TLS流量、用于手机通话和数据的空中加密。不过在使用这些技术时，需要依赖密钥和其他敏感的安全参数。怎样能够保证密钥的安全呢?如果攻击者能够取得你的密钥，流量的安全何在?更严重的是，如果你不知道有人已经获得了你的密钥或者私人数据，情况会怎么样?攻击者可以在你不知道的情况下，自行获取你的重要信息。但是风险还不止于此，精通技术的攻击者实际上能够在你的系统上安装代码，采集敏感的安全参数或者其他数据，或者让你的系统进行异常操作。

　　移动宽带网络飞速发展，设备的数量不断增多，在整个移动网络内确保用户的安全具有极端重要的意义。另一项变革是无线回程正在向基于IP的共享回程转型，这使得设备更加容易使用，技术更容易被掌握和理解。共享IP网络的缺陷在于安全机制也是通用的且为人所熟知，也就更容易受到挑战。另外，移动宽带网络引入了更加丰富的基站种类，并且布置在非安全位置(尤其是毫微微蜂窝基站)。最后，由运营商共享设施、设备和/或回程的多租户模式正在变得更加流行。后两个因素使得网络更容易受到来自本地的物理攻击，也使得设备可以进行物理改变从而增加远程攻击的力度和可能性。

　　本文将讨论为了防范攻击、改善系统安全性而在嵌入式系统和处理器(尤其是针对无线基础设施和企业而设计的嵌入式系统和处理器)中所使用的几种不同技术。

　　威胁——我们需要防范的

　　很重要的一点是通过加密服务确保“传输中数据”和“静态数据”的安全。如前文所述，当今有大量协议可用于提供这些安全服务。“传输中数据”指在网络中移动的数据。传输协议中的标准数据存在于协议栈的几个不同层级中，比如L2层的以太网MACsec、L3层的IPsec和L4层及以上的SSL/TLS/DTLS、SRTP、SSH等等。“静态数据”指存储在硬盘驱动器或者其他静态介质上的数据。静态数据安全标准包括IEEE®标准1619和ANSIT光纤通道安全。传输中数据和静态数据协议中使用的加密技术都依赖于密钥和其他敏感安全参数(SSP)。SSP不仅包含密钥本身，也包含其他可用于理解所用安全机制的关键信息(比如在IPsec协议下：使用什么密码;防止重送窗口处于什么状态;或者这种安全关联的密钥超时状态是什么)。必须确保平台或者系统本身的安全，才能保护这些关键信息和其他关键信息。

　　对系统的攻击可以是本地的，也可以是远程的。本地攻击指攻击者通过物理方式连接系统，远程攻击指通过附属网络发起的攻击。一般来说，本地攻击更具侵入性和破坏性，因为攻击者是通过物理的方式连接到系统、板件、设备或者设备上的端口。但远程攻击，尤其是由内部人员发起的远程攻击(比如软件编程人员在安全漏洞中编码)也具有破坏性。没有哪个平台能够提供“万无一失”的安全性。

　　所能实现的安全水平取决于投入的时间和资金。我们的目标是创建足够的准入障碍，让攻击者不得不权衡侵入平台所花的时间和资金会不会超过成功攻击所带来的效益(见图1)。

　　另一个需要考虑的项目是“谁”可能攻击系统，如果攻击成功会造成什么样的破坏。潜在的攻击者包括短时黑客、客户、竞争对手、政府机构乃至集团犯罪。攻击的复杂程度以及为系统入侵所提供的资金量都会有很大差异。系统架构人员会在这个清单中的某个地方划一条线，并决定愿意花多少钱来保护这个特定的平台。例如，防范某个客户入侵自己的基站(毫微微蜂窝)所需的成本以及如果入侵成功所带来的风险可能都比较低。与此相反，如果一个资金雄厚的大型机构购买了你的平台(合法或者非法渠道)，然后系统地分解平台并逐一分析各个组成部分和缺陷，防范这种攻击所带来的成本可能会超过开发机构的承受上限。

　　就威胁而言，最后需要讨论的是攻击者最可能想获得什么样的信息以及如何保护这样的信息。如前文所述，首先需要保护的是SSP和密钥。这很关键。因为传输中数据和静态数据的安全协议依靠的就是这些密钥和SSP。重要的是使攻击者不能读取或者修改这类数据。系统可能还含有与其他安全方法有关或者无关的其他敏感数据，比如口令、使用信息和用户数据(当存储在系统中的时候)。

　　系统制造商必须防范其系统被置入流氓软件。根据攻击者意图的不同，这类软件可能会执行各种恶意任务，比如进行拒绝服务攻击;用代码替代制造商软件以达到清除功能和(或)安全机制的目的;在制造商软件中植入代码用来恶意收集信息;升级某个用户的授权水平;通过安全漏洞获取和(或)探查操作系统版本或者应用代码。

　　最后，系统制造商们花费大量资源开发出了新产品，他们希望投资成果不会被他人复制和克隆。为什么让你的辛苦工作落入竞争对手的手中呢?

　　图1：实例：选择投资，保护您的设计

　　这项技术看似复杂而且昂贵，你是否真的需要?

　　系统安全，或称为“平台信任”，正在嵌入式行业中日益普及。有几组标准在规格制定方面是完全或部分针对平台自身的安全而制定的。

　　第三代合作伙伴项目(3GPP)为世界大多数移动无线基础设施制定了标准。3GPP有多项标准要求使用受信的执行环境和SSP保护。这其中包括“TS 33.401 – 系统架构演进(SAE);安全架构”和“TS 33.320 – 家庭基站(HNB)安全/演进的家庭基站(HeNB)”。

　　美国国家标准和技术研究所(NIST)已经制定出FIPS 140标准，规定了加密模块的安全要求。该标准有多个版本，设定了四个层次的安全等级，逐级提高对SSP创建、存储和归零的要求。最新的“版本3”草案还加入了对软件和固件完整性检查的要求。

　　作为使用最广泛的TCG标准，受信任的平台模块(TPM)依照TCG标准被部署在几乎全部的企业级PC和许多服务器上。TPM是一种微控制器，用于存储密钥、口令和数字证书。虽然TPM对PC/企业市场有效，但并非针对嵌入式市场而开发。