《嵌入式系统安全》PPT课件.ppt

1、2021/1/7,1,第九章 嵌入式系统安全,嵌入式系统安全,2021/1/7,2,本章内容介绍,本章介绍嵌入式系统面临的攻击状况、系统弱点 ，并讨论对其的防卫策略；从硬件、软件及软硬件混合的角度分析系统的强化，如安全引导、系统管理员对存储器的控制等,2021/1/7,3,攻击状况可划分为如下几类： 一个聪明的外部人员：这个人很聪明但对系统的了解却很有限。他已经可以使用先进程度中等的设备，并可以利用已知的弱点而不是制造新的弱点。 一个充分了解系统的内部人员：这个人受过专业技术教育并拥有技术方面的经验。他对系统各个部件的了解程度不同，但是，由于其位置处于“防火墙之后”，他将会获得具有高度损坏性的

2、详细资料。这种人可以利用高度专业化的工具和手段进行分析,嵌入式系统安全,攻击状况分析,2021/1/7,4,攻击状况可合乎情理地划分为如下几类： 一个有资金支持的组织：一个组织将能够组建具有技术互补性的专家队伍。他们有机会使用先进的分析工具和精密的仪器来更改组件。 聚焦离子束（Focused Ion Beam，FIB）是一种复杂且昂贵设备的技术，可以用来修改集成电路。这种设备远远超过大多数个人的使用需要，但是，那些破解有着重要价值对象的安全防护措施的组织却会利用该技术,嵌入式系统安全,攻击状况分析,2021/1/7,5,软件攻击 ： 依赖于攻击者在执行环境中获得足够的特权，以便能控制和获取敏感

3、的装置及数据。 例：由Charlie Miller等人在2007年夏天公布于众，通过将一个恶意的HTML文件指向电话的Safari网络浏览器，可以控制对包含敏感信息的存储区的访问。这会使电话的Safari网络浏览器崩溃。 在实际应用中，这种攻击可以通过发含有链接的邮件，邮件中链接所指的是一个具有恶意HTML的服务器。如果接收者点击那个链接，使用那个攻击所转化的安装程序，接收者就很可能受到攻击,嵌入式系统安全,攻击方法,2021/1/7,6,缓存器溢出攻击 ： 攻击普遍利用用来存储用户数据的堆栈，比如：姓名、住址、电话号码和其他的典型表格性数据。在正常操作条件下，数据按照操作者的输入顺序，与返回

4、存储地址一起，存储在堆栈里。 然而，在一些情况下，应用软件并不进行适当的检查，来确定接受到的数据是否超出了所分配的缓冲存储区域。向缓存中传送尺寸过大的数据，并伴以一段恶意的执行代码及一个用来覆盖调用程序的返回地址的地址数据，造成缓存溢出。同时，由于地址数据过多的返回地址指向攻击者的恶意代码，当功能尝试返回时，就开始执行黑客在错误返回地址所写的代码。这种危害一旦达成，侵入者就掌握了控制权,嵌入式系统安全,攻击方法,2021/1/7,7,恶意程序攻击 ： 在一些情况下，侵入者可以在存储装置上写入代码，比如导入代码。这就允许侵入者可以更改代码，使驱动程序在下次导入时按照攻击者所希望的方式而不是它原来

5、的设计所期望的方式工作,嵌入式系统安全,攻击方法,2021/1/7,8,拒绝服务攻击 ： 是试图通过让某个嵌入式系统的通信通道饱和或者公然强制发生复位来阻止系统资源为其合法用户所用。 在这个分类中，攻击者可以利用很多途径，如“Smurf攻击”。这个攻击利用配置不好的网络，对查询IP广播地址的“Ping”要求作出回应。这种情况下的“Ping”操作，可以诱骗受害人返回其地址。这些网络就变成了“Smurf 放大器”，产生大量针对受害者的通信流量,嵌入式系统安全,攻击方法,2021/1/7,9,在需要DMA控制器的系统中，保护程序免受攻击的策略包括：将DMA控制器置于防火墙之后，并确保所有接口都内置于

6、SOC内部。如果除了将存储器置于SOC外部别无选择，那么就应该考虑对与存储器间的数据传输使用加密方案。这会使系统免受较低级别的攻击。 使用一个分立的安全处理器来控制系统内的其他处理器对系统资源的访问，可以在多处理器SOC中广泛应用；在这些应用中，被保护的资源的属性决定了额外的花费和复杂度是合理的，比如机顶盒,嵌入式系统安全,从体系架构的角度解决安全性问题,2021/1/7,10,将集成电路的包装去除，使它运行并用探针进行探查，可获得某人的iTunes密码。然而，对系统的成功破解如果真正造成了巨大的经济损失（如攻击一个销售点终端或敏感军事政府设备），这个攻击必然是高度复杂的，而且其攻击必须得到大

7、量的资金支持 。 为了避免这种情况，可以在敏感电子器件外覆盖极其精细的、能检测侵入的网格。当一个芯片电路确定被侵入时，敏感数据（如秘钥、安全引导映像、根管理程序等）就会自动被销毁，器件将无法工作,嵌入式系统安全,从体系架构的角度解决安全性问题,2021/1/7,11,是一种将软件和硬件相结合为消费者产品提供安全保护的技术。在硬件方面，特殊的具有“安全意识”的存储器包裹层(wrapper)、系统总线、调试端口、中断控制器都被集成到了SOC中。另外，TrustZone为CPU结构和核心增加了一个新的安全监控模式,嵌入式系统安全,ARM的TrustZone技术,2021/1/7,12,在软件方面，一

8、个从受信任的逻辑提供的安全监控器，在新的安全监控模式下运行，并担当安全与不安全状态之间的监控任务。当操作系统调用TrustZone指令时，安全监控器受到了控制，与此同时，处理器获得了额外层次的特权以运行可信任的代码，并通过嵌入已知有安全意识的外设的安全审核位，来控制可信任资源的访问。对安全存储器的访问是通过使用MMU（Memory Management Unit，内存管理单元）和TLB（Translation Lookaside Buffers，转换快表）中的安全位标记符来控制的。这些标志被用来将存储器划分为安全区和不安全区。安全监控器通过将中断分为安全和不安全两类，来进一步增强安全性，并实现

9、断开/连接调试端口的能力,嵌入式系统安全,ARM的TrustZone技术,2021/1/7,13,TrustZone技术，已被用来保护在芯片上或不在芯片上的存储器和外围设备免受软件攻击。 通过对系统的精心设计，TrustZone可以额外地提供安全措施以抵抗一些硬件攻击。例如，将可信的代码放入SOC内部存储器，并保证置于外部存储器的硬件表 walker列表不能指向内部存储器或敏感程序(TLB的再次写入会失败)。因此，有进入外部存储器的许可并不能提供进入敏感资源的许可,嵌入式系统安全,ARM的TrustZone技术,2021/1/7,14,TrustZone为操作系统在无安全状态下的运行提供了二进制兼容性。如果操作系统需要与安全区域的应用程序进行交流，就必须写扩展名。 同样的，在无TrustZone的平台上处于特权模式的一些可以被访问的寄存器， 一旦在TrustZone内运行时，可以被强迫处于特权/不可信模式,嵌入式系统安全,ARM的TrustZone技术,2021/1/7,15,真正强健的系统安全不能单靠软件来保证的。加密仅能减缓黑客的进攻。即使是高度防篡改的系统，也会受到软件硬件联合进攻的威胁，而且，对于任何攻击者可以在物理上接触的器件，它都至少需要安全的引导。 另一方面，全硬件的解决方式很昂贵且不具有弹性，如果它们过于冗琐