嵌入式是一種專用的計算機系統,作為裝置或設備的一部分。通常,嵌入式系統是一個控制程序存儲在ROM中的嵌入式處理器控制板。事實上,所有帶有數字接口的設備,如手表、微波爐、錄像機、汽車等,都使用嵌入式系統,有些嵌入式系統還包含操作系統,但大多數嵌入式系統都是是由單個程序實現整個控制邏輯。如果能在系統設計之初考慮廣泛使用的嵌入式系統的安全問題,可減少系統的安全維護工作。
1 綜合實例
嵌入式系統在醫療儀器中的應用普及率極高。在設計過程中,根據需要對嵌入式系統重新編程,可避免前端流片(NRE)成本,減少和ASIC相關的訂量,降低芯片多次試制的巨大風險。此外,隨著標準的發展或者當需求出現變化時,還可以在現場更新,而且設計人員能夠反復使用公共硬件平臺,在一個基本設計基礎上,建立不同的系統,支持各種功能,從而大大降低生產成本。使產品具有較長的生命周期,可以保護醫療儀器不會太快過時,醫療行業的產品生命周期比較長,因此這一特性非常重要。現代數字醫療儀器設備不但包括診療設備,而且還有數據存儲服務器和接口軟件。嵌入式系統可為醫療儀器設備設計、生產和使用提供先進的技術支持。
2 原因分析
(1)價格因素。結構簡單好用,價格便宜也是嵌入式設計追求目標。公司在選擇芯片時,滿足好用夠用就可以了。如果從軟硬件上增加過多的安全措施,成本則會提高。而簡約的嵌入式系統上大量使用的4位和8位機,也不能運行過多的安全任務。
(2)面廣量大。嵌入式系統在生活、工作、娛樂、教育、軍事等方面大量使用。如果系統設計有缺陷,則影響面非常大。若有的嵌入式系統被入侵者利用,將會成為多點攻擊的武器。
(3)電源的限制。許多嵌入式系統都是用電池供電,如果尋找方法將其電力提前耗盡而又沒有得到及時的更換, 則該系統將處于癱瘓狀態,很容易造成安全漏洞,從而為入侵者開了方便之門。
(4)開發隊伍和環境的制約。許多嵌入式系統都是小團隊做的。由于缺少安全方面的專家及經費短缺,設計中對安全問題考慮不足。而用戶往往也只追求嵌入式產品的小巧精致,方便好用即可。
3 安全分析方法
有二種安全性分析技術:故障模型及后果分析(Failure Mode and Effect Analysis,FMEA)和故障樹分析(Failure Tree Analysis,FTA)。安全性分析是對因果關系的探討,“因”即引起安全問題的原因,而“果”就是潛在的危害。
3.1 FMEA和嵌入式應用實例
FMEA是一種可靠性設計的重要方法。它實際上是FMA(故障模式分析)和FEA(故障影響分析)的組合。它對各種可能的風險進行評價、分析,以便在現有技術的基礎上消除這些風險或將這些風險減小到可接受的水平。
圖1為一個較為典型的FMEA分析技術。
3.2 FTA及其嵌入式應用實例
FTA也是一種用來分析安全性和可靠性問題的技術。FTA與FMEA分析方法不同。FTA從所有可能的事件開始,并圍繞事件的結果做工作。FTA是用圖示的方法直接從已確定安全事件(處于樹的頂層)開始,反向找出問題發生的原因。設計FMEA(也記為d-FMEA)應在一個設計概念形成之時或之前開始,并且在產品開發各階段中,當設計有變化或得到其他信息時及時不斷地修改,并在圖樣加工完成之前結束。其評價與分析的對象是最終的產品以及每個與之相關的系統、子系統和零部件,圖2是應用FTA分析嵌入式產品安全問題的一個簡單示例。
4 嵌入式系統安全問題解法方案
網絡安全是使網絡系統的硬件、軟件及數據受到保護,避免因意外或惡意的操作而遭到破壞、更改、泄露,從而保證系統連續、可靠、正常地運行,網絡服務不中斷。三個基本的網絡安全服務是:數據加密、內容完整性和授權。
4.1 嵌入式系統安全的三個層次
嵌入式系統安全要綜合考慮物理層、平臺層以及應用層三個方面。
(1)物理層。嵌入式系統物理層的安全問題比較容易解決。就系統本身而言,根據系統的工作環境,在設計目標和設計要求時選擇符合相關標準的器件,進行規范化設計和施工就可以了。但從整個行業規范來看,由于網絡系統的脆弱性,致使電子通信的可靠性下降,而市場對安全信任的需求又越來越迫切,促使一些大型IT公司決定共同解決這個課題。為了建立工業規范并實現值得信任的計算方案,在1999年建立了“值得信任的計算平臺聯盟”(Trusted Computer Platform Association,TCPA)。其目標就是使信息和通信制造符合標準,在系統、子系統和部件中實現值得信任的計算規范。目前,TCPA有160多個成員,其中就有很多的生產硬件的企業。
(2)平臺層。據統計,現有嵌入式產品中,4位機沒有使用操作系統的實例,8位機約有30%使用了操作系統,而16位機以上的嵌入式產品帶有操作系統的占了70%以上。嵌入式操作系統的規模一般都比較小,不少產品開放了源碼,使得操作系統本身幾乎是透明的,不會存在“后門”的情況。但由于嵌入式操作系統受到系統規模的限制,不可能像Windows XP SP2那樣使用過多的安全措施。其主要作用還是隔離硬件層,便于產品開發和維護。
(3)應用層。傳統的保證數據安全的方法是對數據進行加密傳輸。不少嵌入式處理器處理數據的能力不高,浮點運算能力不強,若要提供實時的數據加解密運算,處理器的速度往往不能勝任。根據系統要求,優先選擇開銷小的安全協議和算法,或者由硬件來實施加解密算法。
4.2 安全防御技術
網絡安全防御技術可分為主動防御技術和被動防御技木。網絡安全技術指致力于解決諸如如何有效進行介入控制,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
(1)主動防御技術
主動防御技術一般有數據加密、身份驗證、存取控制、授權和虛擬網絡等技木。下面介紹二種能在嵌入式系統中實施的、較新的安全技術。
①虛擬網絡技術(Virtual Private Network,VPN)
虛擬專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
②蜜罐技術(Honeypot)和蜜網技術(Honeynet)
蜜罐是一個包含漏洞的誘騙系統,它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個易受攻擊的主機,給攻擊者提供一個容易受攻擊的目標。經過多年的研究發展,蜜罐技術已經發展成為誘騙攻擊者的一種非常有效而實用的方法,其應用集中在對外部威脅的識別。蜜罐技術與防火墻技術、入侵檢測技術、病毒防護技術、數據加密和認證技術有很大不同,后者是在攻擊者對網絡進行攻擊時對系統進行被動的防護,而蜜罐技術可以采取主動的方式。
蜜網(其自由組織網址是http://www.honeynet.org)可以說是更安全、更強大的蜜罐,它由很多網絡上“蜜罐”的“陷阱”構成,它以更合理的方式記錄下黑客的行動,同時盡量減少可能對其他系統造成的危害。成功的案例表明,蜜網誘使許多黑客白白浪費了大量精力。
(2)被動防御技術
目前,被動防御技術有防火墻技術、安全掃描器、密碼檢查器、記賬服務、路由過濾等。
①防火墻(Firewall)技術
防火墻是內部網與外網之間實施安全防范的系統,可被認為是一種訪問控制機制,用于確定哪些內部服務允許外部訪問,以及哪些外部服務允許內部訪問。根據不同的配置,防火墻可以分為:數據包過濾防火墻、代理服務型防火墻、監測型防火墻、網絡地址轉換型防火墻。防火墻技術是目前用得較多的安全技術。防火墻大多放在網關上,因此在上網的嵌入式設備上使用非常方便,效果也較好。
②安全檢測(Security Detection)
安全檢測功能可自動檢測遠程或本地主機安全性,用于觀察網絡是否在正常工作,收集主機的信息,并提出安全建議。大型操作系統一般都有此功能,當然也可在應用級設計安全掃描程序。另外當系統遭受攻擊時,系統還可以對攻擊進行檢測,識別出網絡攻擊行為,并讓系統采取相應的對策。安全任務既可以由嵌入式設備自身實施,也可以由上位機實現。
③服務登記(Service Log)
在系統中保留一個日志文件,與安全相關的事件可以記錄在日志文件中備查和分析,用以追查有關責任者,發現系統安全的弱點和可入侵點。嵌入式系統可以將工作日志記錄在其服務器。顯然這項功能會加重處理器和數據傳輸的負擔,所以記錄的項目不宜太多太細。
④數據備份(Data Backup)
將系統的重要數據和過程實時記錄下來,以便系統遭受損壞后盡快恢復。嵌入式系統由于資源受限,往往不可能對其數據進行本機備份,可通過網絡進行異地備份。
綜合以上的安全因素和防御方法可以看出,各種方法各有其特點,使用時要根據風險級別、系統設計目標和系統造價進行綜合考慮。對大量使用的、性能一般的嵌入式微處理系統,防火墻和IPSec技術具有配置靈活、性價比較高等特點,是容易采用且較為成熟的技術。
5 結束語
由于嵌入系統安全問題的復雜性,決定了必須采用軟件工程方法來分析。對系統防御也必須綜合實施,沒有一個萬全之策。目前嵌入式方面的安全研究工作國內還做得不多,因此還需要投入大量的研究。