通過(guò)安全錨點(diǎn)為嵌入式系統(tǒng)添加信任

將不需要的組件和惡意軟件排除在嵌入式系統(tǒng)之外需要監(jiān)控供應(yīng)鏈和運(yùn)行中的系統(tǒng)。安全錨點(diǎn)是此等式后半部分的解;它通過(guò)成為嵌入式系統(tǒng)中的信任根，提供了監(jiān)控運(yùn)行中系統(tǒng)的能力。

高速、低成本嵌入式處理能力的集成對(duì)作戰(zhàn)裝備產(chǎn)生了革命性的影響。它也正在慢慢實(shí)現(xiàn)人們期待已久的凈中心戰(zhàn)愿景。然而，在沒(méi)有完整起源歷史的情況下整合商業(yè)技術(shù)會(huì)在潛在供應(yīng)商之間產(chǎn)生一系列新的“信任”問(wèn)題。信任是產(chǎn)品或制造商的質(zhì)量，其身份和意圖可以高度準(zhǔn)確地假設(shè)。對(duì)供應(yīng)鏈的信任度低會(huì)在軍事行動(dòng)中造成重大問(wèn)題;解決這個(gè)問(wèn)題圍繞著提高供應(yīng)鏈或嵌入式系統(tǒng)本身的信任水平。

解決電子領(lǐng)域信任問(wèn)題的一種方法與在社交世界中處理信任問(wèn)題的方式相同：依靠少數(shù)可信來(lái)源來(lái)保證他人的真實(shí)性，這可以稱為“安全錨點(diǎn)”。這些可以是社交世界中的官方文件、徽章和個(gè)人參考;數(shù)字電子系統(tǒng)中的安全錨點(diǎn)允許管理功能和系統(tǒng)監(jiān)視器驗(yàn)證其網(wǎng)絡(luò)的運(yùn)行完整性以及有權(quán)訪問(wèn)其系統(tǒng)的任何人。在高度防篡改的安全處理器中實(shí)現(xiàn)安全錨點(diǎn)可提高整個(gè)系統(tǒng)的信任和安全級(jí)別。我們的討論探討了缺乏信任導(dǎo)致的問(wèn)題，如何利用安全錨點(diǎn)，它在哪里適合軍方以網(wǎng)絡(luò)為中心的愿景，以及如何有效地部署安全錨點(diǎn)。

缺乏信任引起的問(wèn)題

當(dāng)網(wǎng)絡(luò)或嵌入式系統(tǒng)中無(wú)法識(shí)別或信任玩家（人類或電子）時(shí)，就會(huì)產(chǎn)生漏洞。當(dāng)今最大的信任問(wèn)題之一是商業(yè)企業(yè)、政府和軍用電子設(shè)備的電子供應(yīng)鏈。已發(fā)現(xiàn)并報(bào)告多個(gè)假冒部件。這些組件的未知內(nèi)容可能導(dǎo)致特洛伊木馬插入、惡意電路或后門，從而允許對(duì)個(gè)人、公司、醫(yī)療、財(cái)務(wù)或政府?dāng)?shù)據(jù)和系統(tǒng)進(jìn)行不必要和非法的訪問(wèn)。

由美國(guó)海軍和商務(wù)部工業(yè)與安全局（BIS）贊助的一項(xiàng)調(diào)查發(fā)現(xiàn)，2008年發(fā)生了7，000多起假冒事件，比2007年增加了25%以上。假冒電子產(chǎn)品被定義為“重新標(biāo)記為更高等級(jí)”、搶救或廉價(jià)副本。這些假冒產(chǎn)品的影響導(dǎo)致設(shè)計(jì)無(wú)法正常工作，比設(shè)計(jì)更早失敗，并且無(wú)法滿足環(huán)境條件。其中許多是在軍事裝備中，導(dǎo)致戰(zhàn)術(shù)飛機(jī)和車輛中的線路可更換單元的早期故障。

利用安全錨點(diǎn)

構(gòu)建更值得信賴的系統(tǒng)并不意味著從頭開(kāi)始重新架構(gòu)它們或替換每個(gè)沒(méi)有已知來(lái)源的系統(tǒng)組件。對(duì)于幾乎所有軍事系統(tǒng)來(lái)說(shuō)，這是一項(xiàng)艱巨的任務(wù)，而且不具有成本效益。相反，只需向系統(tǒng)添加多個(gè)信任根，并具有帶外身份驗(yàn)證和監(jiān)視功能，即可改善系統(tǒng)完整性和可信操作。這些可以稱為安全錨點(diǎn)。

安全錨點(diǎn)是一個(gè)受信任的處理節(jié)點(diǎn)，可以作為對(duì)系統(tǒng)中的其他組件和通信節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的出發(fā)點(diǎn)。使用專門為硬件開(kāi)發(fā)的虛擬化技術(shù)和應(yīng)用程序，可以在安全處理器上運(yùn)行受信任且安全的應(yīng)用程序。有幾個(gè)推薦的功能會(huì)導(dǎo)致此受信任狀態(tài)：

值得信賴的設(shè)計(jì)和制造

安全啟動(dòng)代碼

抗篡改和逆向工程

加密消息傳遞和內(nèi)存接口

如圖 1 所示，安全處理器托管一組活動(dòng)，這些活動(dòng)收集系統(tǒng)總線信息、處理數(shù)據(jù)、將數(shù)據(jù)流相互關(guān)聯(lián)以查找異?；顒?dòng)或組件身份，并生成適當(dāng)?shù)捻憫?yīng)或量身定制的詢問(wèn)。這些數(shù)據(jù)通過(guò)各種嵌入式系統(tǒng)數(shù)據(jù)線收集，包括VME背板、PCIe和串行RapidIO跡線或?qū)Ｓ袛?shù)據(jù)格式。FPGA 或其他市售橋接器件用于將安全處理器連接到其數(shù)據(jù)源。首選FPGA有兩個(gè)原因：FPGA技術(shù)已經(jīng)發(fā)展到允許在單個(gè)設(shè)備中橋接大量數(shù)據(jù)格式;此外，可以執(zhí)行安全I(xiàn)P塊以支持?jǐn)?shù)據(jù)加密，以進(jìn)一步保護(hù)安全處理器的功能。

圖1：使用安全處理器的安全錨點(diǎn)框圖

安全錨點(diǎn)的主要目標(biāo)之一是控制嵌入式系統(tǒng)的“漏洞點(diǎn)”。當(dāng)攻擊者試圖對(duì)嵌入式系統(tǒng)進(jìn)行逆向工程、克隆或破解時(shí)，第一步是識(shí)別單個(gè)通信節(jié)點(diǎn)，該節(jié)點(diǎn)將允許使用惡意軟件或插入的代碼進(jìn)行秘密控制。安全錨點(diǎn)試圖成為單一的通信節(jié)點(diǎn)，通過(guò)多層防篡改、加密和混淆使黑客攻擊變得極其困難或不可能。這與國(guó)防部指令5200.39的基本原理類似，該指令要求軍事系統(tǒng)開(kāi)發(fā)人員識(shí)別其關(guān)鍵計(jì)劃信息（CPI）并對(duì)其進(jìn)行保護(hù)。

對(duì)其他網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證

在以網(wǎng)絡(luò)為中心的軍隊(duì)中一步到位地實(shí)施分布式信任保證是一項(xiàng)艱巨的任務(wù)。因此，實(shí)現(xiàn)卡內(nèi)基梅隆大學(xué)的林恩·羅伯特·卡特（Lynn Robert Carter）所說(shuō)的“非對(duì)稱安全性”［2］，即受信任代理向網(wǎng)絡(luò)參與者提供經(jīng)過(guò)身份驗(yàn)證的數(shù)據(jù)和身份管理的能力非常重要。

安全錨點(diǎn)在非對(duì)稱安全性中的作用是充當(dāng)系統(tǒng)中其他組件或處理器的“引用”。此轉(zhuǎn)介將基于有關(guān)威脅、預(yù)期操作代碼和已知系統(tǒng)元素的最佳可用知識(shí)。由于安全錨點(diǎn)是安全處理器，因此它可以隨著時(shí)間的推移適應(yīng)新的威脅，而無(wú)需通過(guò)安全加密固件更新修改系統(tǒng)。驗(yàn)證和行為監(jiān)控信息由用戶通過(guò)安全啟動(dòng)編程提供。安全錨點(diǎn)詢問(wèn)可對(duì)高度敏感或昂貴的 IP 元素進(jìn)行嚴(yán)格的庫(kù)存控制和 IP 監(jiān)控。

安全錨點(diǎn)由系統(tǒng)設(shè)計(jì)人員和/或管理員控制，執(zhí)行唯一詢問(wèn)、哈希、串行 ID 查詢、時(shí)序測(cè)量或其他方案等技術(shù)。然后，它定義對(duì)遇到的任何信任沖突的響應(yīng)，從簡(jiǎn)單的管理警告通知到系統(tǒng)關(guān)閉或內(nèi)存清零。

為了使安全的錨點(diǎn)應(yīng)用程序在以網(wǎng)絡(luò)為中心的操作中具有可擴(kuò)展性，提供一組通用的構(gòu)建塊和參考設(shè)計(jì)至關(guān)重要。通過(guò)這種方式，隨著企業(yè)的擴(kuò)張，可以經(jīng)濟(jì)高效地添加新的錨點(diǎn)，但仍然可以對(duì)其進(jìn)行修改和更新，以監(jiān)控最近的和局部的威脅、假冒設(shè)備和越界行為。

高效設(shè)置安全錨點(diǎn)

安全錨點(diǎn)的設(shè)計(jì)在硬件和軟件方面都極難進(jìn)行逆向工程。像CPU Tech的Acalis這樣的安全處理器可以作為一個(gè)安全錨點(diǎn)，因?yàn)樗辉O(shè)計(jì)用于抵抗克隆和逆向工程，并包含獨(dú)特的芯片序列化（在IBM Trusted Foundry完成）。這些安全處理器還具有專有的“水印”特性，作為其制造的一部分，可用于供應(yīng)鏈和操作中的身份驗(yàn)證。將 Acalis 安全錨點(diǎn)添加到系統(tǒng)需要增加硬件設(shè)計(jì)、軟件設(shè)計(jì)和 IT 基礎(chǔ)設(shè)施方面的工時(shí)，但不需要對(duì)現(xiàn)有系統(tǒng)進(jìn)行架構(gòu)更改或重新設(shè)計(jì)。

圖2：在嵌入式硬件系統(tǒng)上實(shí)現(xiàn)的安全錨點(diǎn)

圖 2 顯示了在 CPU Tech 建模的現(xiàn)有硬件上實(shí)現(xiàn)安全錨點(diǎn)的情況。 高保真硬件模型是識(shí)別安全錨點(diǎn)應(yīng)監(jiān)控的信號(hào)和組件列表的好起點(diǎn)。將錨點(diǎn)構(gòu)建到模型中提供了識(shí)別威脅和漏洞的能力，然后實(shí)施具有全方位響應(yīng)和系統(tǒng)警告功能的安全錨點(diǎn)。

審核編輯：郭婷