應(yīng)用嵌入式芯片構(gòu)建網(wǎng)絡(luò)安全設(shè)備的設(shè)計(jì)方案

應(yīng)用嵌入式芯片構(gòu)建網(wǎng)絡(luò)安全設(shè)備的設(shè)計(jì)方案

　伴隨著信息產(chǎn)業(yè)的快速發(fā)展，人們對網(wǎng)絡(luò)安全的需求也與日俱增。網(wǎng)絡(luò)安全需要依靠硬件平臺與高質(zhì)量軟件相結(jié)合來實(shí)現(xiàn)，其中硬件平臺是軟件的物理載體和外在表現(xiàn)。如何選擇與高質(zhì)量軟件相匹配的硬件平臺，將會直接影響網(wǎng)絡(luò)安全產(chǎn)品的可靠性和最終產(chǎn)品的市場定位。

　　嵌入式設(shè)備在很多應(yīng)用場合正在和因特網(wǎng)相連接，比如金融終端、蜂窩電話、機(jī)頂盒、無線接入點(diǎn)、醫(yī)療設(shè)備和公共信息電話亭。當(dāng)這些能夠上網(wǎng)的設(shè)備與因特網(wǎng)連接時(shí)，若是沒有足夠的安全考慮和措施，它們將會很容易受到攻擊，這些攻擊包括無意的訪問和惡意攻擊。攻擊可能會使設(shè)備的功能、操作以及包含的信息遭受破壞，所以應(yīng)該通過制定安全配置來加固和保護(hù)系統(tǒng)，以及通過檢測與響應(yīng)的方法應(yīng)對侵?jǐn)_。

　　什么是對快速侵?jǐn)_的檢測呢?那就是：對侵?jǐn)_做出響應(yīng)，把損害減至最小。同時(shí)，提高系統(tǒng)的安全性，幫助應(yīng)對將來可能發(fā)生的攻擊。在很多嵌入式設(shè)計(jì)中，安全方面的設(shè)計(jì)都集中在如何強(qiáng)化和保護(hù)設(shè)備以及將損失降到最低方面。設(shè)備的功能可以包括標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)，例如網(wǎng)絡(luò)服務(wù)器、E-mail客戶端或FTP 接入，以及接收和處理用戶信息并進(jìn)行授權(quán)和訪問控制的能力，在它們內(nèi)部隱含著各種類型的數(shù)據(jù)存儲和文件系統(tǒng)。其常用的方法有兩種，即遠(yuǎn)程訪問方法與密鑰和解密算法。

　　之所以基于密鑰和解密算法，是因?yàn)榧用艿木W(wǎng)絡(luò)信息保證了信息內(nèi)容的機(jī)密性。其大多數(shù)加密方法也需要授權(quán)和數(shù)據(jù)完整*。而加密技術(shù)可以分成三個(gè)大類，即消息摘要、對稱(密鑰)密碼系統(tǒng)和不對稱(公開密鑰)密碼系統(tǒng)。

　　金融終端的網(wǎng)絡(luò)安全問題

　　許多嵌入式系統(tǒng)都是由通用計(jì)算機(jī)構(gòu)建的。這些計(jì)算機(jī)基于標(biāo)準(zhǔn)架構(gòu)，具有經(jīng)過驗(yàn)證的設(shè)計(jì)和代碼繼承性。雖然這些特性可能對設(shè)計(jì)者很有吸引力，但是這樣的系統(tǒng)構(gòu)建時(shí)并沒有考慮到數(shù)據(jù)安全性。這使其并不適合很大一部分嵌入式系統(tǒng)市場份額，即處理敏感或保密信息的應(yīng)用。一些嵌入式系統(tǒng)，如金融終端、身份授權(quán)以及任何存儲口令和加密密鑰的系統(tǒng)都需要有力措施來保護(hù)它們的數(shù)據(jù)。另外，像自動(dòng)取款機(jī)(ATM)這種物理上暴露的應(yīng)用都是有風(fēng)險(xiǎn)的。顯然存在這樣一種需求，即把數(shù)據(jù)安全和通用計(jì)算機(jī)的便利性結(jié)合起來。

　　為通用計(jì)算機(jī)加入安全機(jī)制的最常見辦法，是使用昂貴的物理外殼保護(hù)系統(tǒng)。對于大多數(shù)應(yīng)用來說，構(gòu)建難以攻破的物理屏障是不切實(shí)際的，必須假定在給定時(shí)間內(nèi)任何級別的物理安全機(jī)制都會被擊潰。數(shù)據(jù)安全領(lǐng)域的專家們斷言：“對私有數(shù)據(jù)的唯一有效保護(hù)措施就是用加密屏障將其包圍?！贝送?，系統(tǒng)必須能夠探測出物理入侵和密碼入侵，并且作為一種入侵響應(yīng)，能夠迅速地擦除掉存儲器內(nèi)容。能對入侵做出反應(yīng)的加密邊界可以為密鑰、程序和數(shù)據(jù)提供一個(gè)安全的保護(hù)層。

　實(shí)現(xiàn)嵌入式系統(tǒng)數(shù)據(jù)安全與保護(hù)的一個(gè)較理想的選擇就是用嵌入式處理器芯片(即DALLAS Semicon-ductor的DS5250高速安全微處理器)構(gòu)建一個(gè)網(wǎng)絡(luò)安全設(shè)備。

　　設(shè)計(jì)思想

　　之所以選用嵌入式處理器芯片作為網(wǎng)絡(luò)安全平臺，核心就在于它能實(shí)現(xiàn)一種安全協(xié)處理器的獨(dú)特功能。

　　使用它可將系統(tǒng)的處理功能分為安全功能和非安全功能。其安全功能包括那些使用和保護(hù)加密密鑰、口令、個(gè)人身份識別碼(PIN)和其它知識產(chǎn)權(quán)的功能。由此，不需要安全機(jī)制的系統(tǒng)功能要由非安全處理器完成。為非安全系統(tǒng)加入安全協(xié)處理器提高了系統(tǒng)的安全級別，而不用對系統(tǒng)結(jié)構(gòu)重新設(shè)計(jì)。

　　簡單地配置一個(gè)安全協(xié)處理器會提高包含其它主要部件的系統(tǒng)安全性。安全協(xié)處理器負(fù)責(zé)系統(tǒng)中與安全性相關(guān)的任務(wù)，允許非安全處理器去完成主要的系統(tǒng)功能。這種功能上的分離簡化了設(shè)計(jì)流程，并且提高了系統(tǒng)性能。如表所示，其應(yīng)用大致可以分為以下幾方面的安全性和非安全性功能。

　　非安全處理器可能會是ARM、SHARC、POWER PC等，并可以使用非易失性存儲器，如閃存或EPROM。在非安全處理器和安全處理器之間一般會有專用的串行通信信道來傳送狀態(tài)信息和數(shù)據(jù)。必須仔細(xì)地設(shè)計(jì)系統(tǒng)，以保證安全處理器不會被攻破的非安全處理器欺騙，而泄露受保護(hù)的信息。

　　安全協(xié)處理器的主要功能是為存儲口令、PIN碼和私有密鑰提供空間。這樣的器件必須是專用的，并整合強(qiáng)有力的加密功能，而且還要足夠靈活，以支持各種系統(tǒng)級的安全功能。安全協(xié)處理器的重要特性如下：

　　為保密數(shù)據(jù)包括口令、PIN碼和加密密鑰提供安全保護(hù)。保存這些數(shù)據(jù)的存儲器和外部存儲器總線必須使用強(qiáng)大的加密技術(shù)進(jìn)行加密，如DES或其它類似算法。這種存儲器保護(hù)允許安全協(xié)處理器和應(yīng)用作為一個(gè)整體來保證安全交易可信無誤。

　　必須采用主動(dòng)防入侵檢測功能，來檢測物理以及環(huán)境的(電壓或溫度變化)入侵，它還應(yīng)該能夠發(fā)現(xiàn)外圍級別的入侵企圖，例如毀壞外殼。

　　一旦發(fā)現(xiàn)入侵，必須使用主動(dòng)防入侵響應(yīng)。一旦檢測到入侵事件，安全協(xié)處理器必須能夠?qū)⒅匾獢?shù)據(jù)迅速清零或擦除，從而消除被敵手恢復(fù)的機(jī)會。在如此短的時(shí)間內(nèi)能實(shí)現(xiàn)擦除的存儲器技術(shù)只有SRAM。

　　必須能夠檢測到代碼替換，并阻止多種側(cè)面攻擊，一旦檢測到，器件必須執(zhí)行防入侵響應(yīng)。

　　包括入侵檢測和存儲器清零的安全功能，即使在主系統(tǒng)電源切斷的情況下，也必須能起作用。

　　可為應(yīng)用軟件提供加密硬件，以支持系統(tǒng)級的加密需求。如圖所示，該圖為一個(gè)由嵌入式系統(tǒng)所構(gòu)建的網(wǎng)絡(luò)安全設(shè)備方框圖。

　　上圖顯示了連接系統(tǒng)外圍設(shè)備的通用CPU，該CPU具有自己專用的程序和數(shù)據(jù)存儲器，其中不包含機(jī)密信息。安全協(xié)處理器和安全通信信道相連，并且還為通用處理器提供加密功能。安全協(xié)處理器的加密保護(hù)構(gòu)建了一個(gè)加密邊界，以保護(hù)所有的重要數(shù)據(jù)不會被竊取。此外，任何為通用CPU進(jìn)行的系統(tǒng)級加密計(jì)算都能夠在加密邊界內(nèi)安全完成。在一個(gè)設(shè)計(jì)正確的系統(tǒng)中，機(jī)密或受保護(hù)的信息永遠(yuǎn)不會在加密邊界之外，作為明碼文本而被得到。

　　安全特性

　　應(yīng)該說DS5250高速安全微控制器正是一種滿足這些需求的安全協(xié)處理器。作為安全微控制器系列的一員，DS5250高速安全微控制器是一種高度安全的，每機(jī)器周期包含4個(gè)時(shí)鐘周期并且與8051指令集兼容的微處理器。DS5250包含一組傳感器，用來探測物理上攻擊管芯的企圖和操控環(huán)境條件高／低變化的行為?？蛇x擇通過一個(gè)塊校驗(yàn)來檢測強(qiáng)制執(zhí)行隨機(jī)指令的企圖，從而保護(hù)程序存儲器。當(dāng)檢測到這些攻擊時(shí)，器件執(zhí)行一個(gè)破壞性的存儲器復(fù)位，使其擦除內(nèi)部加密密鑰、所有的內(nèi)部MOVX SRAM以及在某些情況下甚至包括外部加密SRAM。一旦擦除掉內(nèi)部加密密鑰，外部加密存儲器就無法破解。

　另外，除了直接的加密保護(hù)之外，DS5250能將其安全保護(hù)延伸到整個(gè)系統(tǒng)。DS5250具有一個(gè)自毀輸入引腳，可以連到用戶定義的外部入侵傳感器上。激活后，這個(gè)引腳會導(dǎo)致擦除微控制器的內(nèi)部加密密鑰和存儲器工作。這樣一來，加入安全協(xié)處理器可以使DS5250的入侵檢測能力擴(kuò)展至通用處理器，從而當(dāng)入侵或攻擊者企圖對通用處理器進(jìn)行訪問時(shí)，可保證系統(tǒng)會不起作用。這就是簡單的自毀輸入設(shè)計(jì)，使得系統(tǒng)在對付增加入侵防護(hù)方面變得非常靈敏易用。

　　與此同時(shí)，為了增加保護(hù)功能可以使用如下多種傳感器：其一，光傳感器，當(dāng)外殼打開時(shí)，殼體內(nèi)的簡單光學(xué)傳感器能檢測到光，并觸發(fā)防入侵響應(yīng)。其二，接觸傳感器，到當(dāng)外殼打開時(shí)會切斷導(dǎo)電墨水引線的復(fù)雜設(shè)計(jì)。其三，運(yùn)動(dòng)／傾斜傳感器，它可檢測外殼運(yùn)動(dòng)是具有入侵或攻擊企圖。這就是說DS5250可支持多種外部入侵傳感器，以檢測所有穿透外殼并獲取信息的企圖。

　　金融終端網(wǎng)絡(luò)安全設(shè)備方案

　　下面我們對如何使用安全高速微控制器作為安全協(xié)處理器構(gòu)建一個(gè)金融終端網(wǎng)絡(luò)安全設(shè)備構(gòu)建做分析說明。

　　在一個(gè)中央操作系統(tǒng)的控制下，此應(yīng)用驅(qū)動(dòng)許多外圍設(shè)備。應(yīng)用必須在一個(gè)加密通信信道上使用公開密鑰基礎(chǔ)設(shè)施(Pki)進(jìn)行機(jī)密信息通信。此應(yīng)用要求保護(hù)終端的私有密鑰、網(wǎng)絡(luò)上其它設(shè)備的公開密鑰，以及PIN碼和口令。

　　通用微控制器的主要功能是執(zhí)行高級別的操作系統(tǒng)。該處理器實(shí)現(xiàn)的系統(tǒng)功能包括：復(fù)雜的圖形顯示，與外圍設(shè)備如掃描儀、打印機(jī)和鍵盤進(jìn)行通信等。處理器和安全微控制器間使用通用的串行協(xié)議，如簡單(RX／TX)異步UART、SPI或SCI通信，這就大大減少了微控制器結(jié)構(gòu)間的兼容性問題。

　　在此應(yīng)用中，系統(tǒng)采用了DS5250作為安全協(xié)處理器。該安全協(xié)處理器負(fù)責(zé)完成安全通信和保護(hù)重要信息，如加密密鑰、PIN碼和口令不被竊取。這是通過將重要信息存儲在3DES加密，并由電池備份的SRAM中實(shí)現(xiàn)的。內(nèi)部SRAM提供最強(qiáng)的數(shù)據(jù)安全性，因其受到最強(qiáng)有力的保護(hù)。加密和其它安全特性在微控制器和它的存儲器周圍構(gòu)建了一個(gè)加密邊界。

　　使其在遭到破壞時(shí)會立即破壞數(shù)據(jù)。

　　該存儲器的加密密鑰由DS5250自身存儲，并通過一個(gè)復(fù)雜的電壓／探針／溫度傳感器陣列對探測和其它物理攻擊提供保護(hù)。由于外部程序和數(shù)據(jù)存儲器是加密的，所以它和內(nèi)部的SRAM都包含在加密邊界以內(nèi)。

　　系統(tǒng)與網(wǎng)絡(luò)通過3DES加密通信進(jìn)行接口，并由安全協(xié)處理器的用戶訪問DES引擎實(shí)現(xiàn)。這就為金融交易信息提供了一個(gè)安全通信信道，應(yīng)用軟件決定了通信格式，因此它可以和幾乎任何的網(wǎng)絡(luò)靈活地聯(lián)接。

　　由上可以看出，從理論與實(shí)踐上應(yīng)用嵌入式芯片構(gòu)建金融終端網(wǎng)絡(luò)安全設(shè)備并基于密鑰和解密算法的方案，解決了如何使用高速安全微處理器作為安全協(xié)處理器來保護(hù)口令、PIN碼、加密密鑰，以及其它重要數(shù)據(jù)的普遍問題，該高速安全微處理器采用了3DES總線加密算法、精巧的防入侵優(yōu)傳感器和電池備份 SRAM，對其外部程序存儲器加密，使得竊賊無法破解處理器的操作和敏感數(shù)據(jù)，構(gòu)建了一個(gè)金融終端安全系統(tǒng)及其保護(hù)寶貴知識產(chǎn)權(quán)的加密邊界。而一個(gè)可由用戶配置的外部防入侵傳感器，還可以保護(hù)所有系統(tǒng)組件，允許系統(tǒng)設(shè)計(jì)者將安全范圍延伸至應(yīng)用外殼。

　　通過將嵌入式系統(tǒng)分割成非安全和安全功能模塊，從中可以發(fā)現(xiàn)，向已有設(shè)計(jì)中增加安全協(xié)處理器，能夠在不需要新設(shè)計(jì)基本結(jié)構(gòu)的情況下提高系統(tǒng)的安全性。其安全協(xié)處理器為重要數(shù)據(jù)如加密密鑰、PIN碼和口令充當(dāng)了一個(gè)幾乎無法滲透的屏障。