嵌入式系统“多大程度的安全才算安全”.PDF

嵌入式系统“多大程度的 许多设计师都会犯同一个错误，在设计安全系统时没有首先明 确和了解可能遇到的真正威胁，以及这些威胁会给他们的终端 产品带来的重大风险。相反，他们教条地把各类安全技术堆在 安全才算安全” 一起，并希望能获得很高的安全性。这样做代价高昂，没有系 统能防御所有的安全威胁，在设计中囊括那些没有必要的技术 作者：Philip Giordano 和防御没有实际威胁的风险毫无意义。 当今的嵌入式系统常常处理应用代码(IP)和数据等敏感信息， 威胁建模——价值意味着风险 因此安全是其设计的一个主要关注因素。为了确立一个合理的 对于资源受限的设备，嵌入式系统必须在存储容量、功耗、 基础来判断建议的安全系统是否足以御敌或是防卫过当，就必 处理能力、上市时间及成本等参数和安全需求之间获取一种 须识别所察觉到的安全威胁。这意味着我们需要弄清对手有哪 平衡。尽管存在资源不足的挑战，通过仔细考虑威胁模型并设 些，他们有什么样的能力，他们的目标是什么？我们要保护什 计系统使其工作在能满足该模型的可用计算能力限制之内，仍 么，我们要防范谁的威胁或什么威胁？世界上并没有一个包打 有可能开发出使产品在开放环境中有效工作的系统。 天下的解决方案，也没有百分之百安全的安全系统。然而，安 全系统不必是完美无缺的解决方案，也不需要全然牢不可破以 对系统设计师来说，考虑“威胁建模”的原理非常有用。威胁建 至于失去应用价值。安全系统只要足够安全即可，也就是在它 模是基于一种假设，即每个系统都有值得保护的固有价值。然 所保护的数据的预期有效时间内，它能够抵御可能的敌人进攻 而，因为这些系统是有价值的，他们对内部或外部威胁也是开 即可。 放的，这些威胁能够且经常给终端产品带来损害。设计完成后 的安全漏洞常常是无法修正的，且危及投入的资金和开发资 若没有应用环境，安全就没有意义 源，因此需要在设计周期的初始阶段增强对安全评估的需求， 嵌入式系统设计师经常误解安全，认为诸如特定的加密算法和 并在整个设计周期进行监测和重复修正。 安全协议等安全措施只是系统的附加特性。安全是一个过程， 本质上，我们可以把威胁模型定义为：“识别一组可能的攻击， 而不是永远保持不变的一款产品或一种终极状态。而且，也不 以便考虑配合一套彻底的风险评估策略。”有了威胁模型，我 能在产品将永远保持安全的假设下，把安全措施简单地加入到 们就能评估攻击的概率、潜在危害和优先级。 一款产品中。当今设计师面临的最棘手难题之一就是明确嵌入 式系统的安全要求和目标。有助于解决这一难题的方法很多， 威胁建模很难，但是很有必要。威胁建模需要考虑系统是怎样 本文所讨论的方法涉及威胁建模和风险评估，目的是帮助设计 受到攻击的。若建模成功，它就能解决潜在的系统安全故障隐 师定义安全策略，然后设计对策来实施安全策略。 患，诸如怎样发生故障、以及故障时出现什么情况等问题。通