若沒有應(yīng)用環(huán)境,安全就沒有意義
嵌入式系統(tǒng)設(shè)計師經(jīng)常誤解安全,認為諸如特定的加密算法和安全協(xié)議等安全措施只是系統(tǒng)的附加特性。安全是一個過程,而不是永遠保持不變的一款產(chǎn)品或一種狀態(tài)。而且,也不能在產(chǎn)品將永遠保持安全的假設(shè)下,把安全措施簡單地加入到一款產(chǎn)品中。當今設(shè)計師面臨的棘手難題之一就是明確嵌入式系統(tǒng)的安全要求和目標。有助于解決這一難題的方法很多,本文所討論的方法涉及威脅建模和風險評估,目的是幫助設(shè)計師定義安全策略,然后設(shè)計對策來實施安全策略。
嵌入式系統(tǒng)安全設(shè)計——在設(shè)計的初始階段檢測威脅
在設(shè)計安全解決方案的時候,首先必須做的就是定義一個威脅模型,然后再創(chuàng)建安全策略。一旦評估完成,就能安心地選擇具體的技術(shù)來實現(xiàn)安全對策。威脅決定應(yīng)對策略,策略決定設(shè)計。
許多設(shè)計師都會犯同一個錯誤,在設(shè)計安全系統(tǒng)時沒有首先明確和了解可能遇到的真正威脅,以及這些威脅會給他們的終端產(chǎn)品帶來的重大風險。相反,他們教條地把各類安全技術(shù)堆在一起,并希望能獲得很高的安全性。這樣做代價高昂,沒有系統(tǒng)能防御所有的安全威脅,在設(shè)計中囊括那些沒有必要的技術(shù)和防御沒有實際威脅的風險毫無意義。
嵌入式系統(tǒng)威脅建模——價值意味著風險
對資源受限的設(shè)備,嵌入式系統(tǒng)必須在存儲容量、功耗、處理能力、上市時間及成本等參數(shù)和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰(zhàn),通過仔細考慮威脅模型并設(shè)計系統(tǒng)使其工作在能滿足該模型的可用計算能力限制之內(nèi),仍有可能開發(fā)出使產(chǎn)品在開放環(huán)境中有效工作的系統(tǒng)。
對系統(tǒng)設(shè)計師來說,考慮“威脅建?!钡脑矸浅S杏谩M{建模是基于一種假設(shè),即每個系統(tǒng)都有值得保護的固有價值。然而,因為這些系統(tǒng)是有價值的,他們對內(nèi)部或外部威脅也是開放的,這些威脅能夠且經(jīng)常給終端產(chǎn)品帶來損害。設(shè)計完成后的安全漏洞常常是無法修正的,且危及投入的資金和開發(fā)資源,因此需要在設(shè)計周期的初始階段增強對安全評估的需求,并在整個設(shè)計周期進行監(jiān)測和重復(fù)修正。
當正確完成威脅建模時,真正的威脅就被確定下來了。然而,如果弄錯了可能存在的威脅的話,其代價將是高昂的。設(shè)計師弄錯威脅的一個案例是DVD的保護措施。盡管DVD碟片被加密,密鑰也放在播放機里,只要播放機里包含抗篡改硬件,這種保護方式是沒有問題的。但引入軟件播放器時,密鑰會曝露出來,通過逆向工程就能恢復(fù)密鑰,也使任何人都能隨便復(fù)制和散布任何DVD內(nèi)容。
嵌入式系統(tǒng)風險評估
僅僅列出一堆威脅是不夠的,由于不同威脅的風險不同,因此還需要知道每種威脅的風險。威脅建模的下一個步驟是風險評估,這是在任何安全系統(tǒng)設(shè)計中的一個至關(guān)重要的部分。風險評估的一些基礎(chǔ)問題,即“保護什么”、“為什么要保護”和“防范的對象是誰”,應(yīng)在設(shè)計周期的初階段厘清。
嵌入式系統(tǒng)安全策略
識別出威脅,并權(quán)衡風險后,接下來就該建立安全策略了。安全策略是解決方案背后的戰(zhàn)略,而技術(shù)僅僅是戰(zhàn)術(shù)手段。安全策略描述“為什么”,而不是“如何做”。
例如,基于FPGA設(shè)計的安全策略目標之一也許是“保持配置位流的機密性”,這是一個系統(tǒng)目標。“如何做”或?qū)Σ叩膶嵤┛赡苁遣捎弥T如AES等對稱密鑰加密的方式,對配置位流進行加密以便實現(xiàn)這個目標。
關(guān)于嵌入式的防御級別達內(nèi)科技的小編就說到這么多了,希望大家在學習嵌入式這么技術(shù)的時候可以認真的學習,因為這門技術(shù)是一個要求很高的行業(yè)的,所以說只有認真學習才可以真的掌握好嵌入式這門技術(shù)。達內(nèi)科技歡迎每位想要學習嵌入式技術(shù)的學員來我們公司進行實地考察,也可以點擊我們文章下面的獲取試聽資格按鈕來獲取我們嵌入式培訓的免費課程試聽資格,來和我們的講師進行面對面的交流和溝通,并更加深入的了解我們達內(nèi)科技。