本文還發(fā)表于Maxim工程期刊,第59期(PDF, 876kB)。
隨著安全性需求不斷滲透到電子系統(tǒng)設(shè)計(jì)的各個(gè)環(huán)節(jié),制造商和電路設(shè)計(jì)人員面臨著前所未有的挑戰(zhàn)。過去,只有少量的電子設(shè)備用戶才會考慮安全性問題,而且主要集中在金融行業(yè)、軍用產(chǎn)品、門禁控制市場等,大多采用相關(guān)的軟件技術(shù)或?qū)S?a href="http://www.1cnz.cn/v/tag/1751/" target="_blank">硬件實(shí)現(xiàn)。而這種狀況在最近幾年發(fā)生了巨大變化,工程師需要面對層出不窮的安全標(biāo)準(zhǔn)、需要獲得相關(guān)的產(chǎn)品認(rèn)證,即便是很有經(jīng)驗(yàn)的嵌入式系統(tǒng)設(shè)計(jì)人員,也要不斷學(xué)習(xí)掌握這項(xiàng)新技術(shù)。了解這一技術(shù)趨勢以及相關(guān)的設(shè)計(jì)、制造成本對于嵌入式系統(tǒng)制造商非常關(guān)鍵。
由于通過軟件/固件設(shè)計(jì)很難保證全面的系統(tǒng)安全性,這就需要借助硬件保證系統(tǒng)的安全性,降低設(shè)計(jì)的復(fù)雜度(見附錄1—等級分類)。新推出的標(biāo)準(zhǔn)體系,例如:Trusted Computing Group?及各種數(shù)字版權(quán)管理(DRM),涉及到消費(fèi)類電子、多媒體、工業(yè)、醫(yī)療、汽車、電信等各個(gè)領(lǐng)域。當(dāng)然,這一問題還涉及到政府、國家安全系統(tǒng)升級和不斷發(fā)展的電子銀行、電子商務(wù)系統(tǒng)。
為了獲得更有效的安全體系,系統(tǒng)必須具備防物理篡改功能。即便是最老道的安全微處理器、FPGA、智能卡或其它安全設(shè)施,都會存在一些易受攻擊的薄弱環(huán)節(jié)。這就需要系統(tǒng)有一個(gè)適當(dāng)?shù)挠性?a href="http://www.1cnz.cn/tags/保護(hù)電路/" target="_blank">保護(hù)電路,該電路即使在系統(tǒng)關(guān)斷的情況下也能處于有效工作狀態(tài),監(jiān)測可能發(fā)生的竊取敏感信息或知識產(chǎn)權(quán)的操作。為了完成這項(xiàng)任務(wù),器件必須具備極低的功耗,并將防篡改響應(yīng)電路與適合不同傳感器的接口電路相結(jié)合,為敏感數(shù)據(jù)提供一道有效的防護(hù)網(wǎng)。
應(yīng)該注意到,加密算法已不再是防范攻擊的重點(diǎn)。攻擊者會通過各種途徑竊取密鑰。因此,設(shè)計(jì)人員已經(jīng)不在加密算法上投入過多精力,而是將注意力轉(zhuǎn)向硬件保護(hù)方案的設(shè)計(jì)。
新的安全標(biāo)準(zhǔn)
新推出的安全標(biāo)準(zhǔn)大多參考了美國國家標(biāo)準(zhǔn)局(NIST)和英國通信電子安全組(CEG)建立的安全規(guī)范。這兩個(gè)組織提供的標(biāo)準(zhǔn)分別是FIPS 140-1和ITSEC。隨著對安全水平要求的提高,以及眾多新標(biāo)準(zhǔn)不斷涌現(xiàn),負(fù)責(zé)制定標(biāo)準(zhǔn)的跨國組織正采納一個(gè)新的、統(tǒng)一的標(biāo)準(zhǔn),稱為“公共標(biāo)準(zhǔn)”,它組合了這些標(biāo)準(zhǔn)的優(yōu)點(diǎn)(見附錄2—通用認(rèn)證/標(biāo)準(zhǔn))。例如,NIST最近將其FIPS規(guī)范更新為140-2版,并且很快會統(tǒng)一到公共標(biāo)準(zhǔn)。
此外,隨著金融領(lǐng)域?qū)Π踩O(shè)備需求量的增多,其它標(biāo)準(zhǔn)也開始變得活躍起來。公認(rèn)的有MasterCard?和Visa?制定的EMV(歐洲MasterCard Visa)和PCI PED(支付卡行業(yè),PIN輸入設(shè)備)。這些標(biāo)準(zhǔn)與DRM相融合,能夠使移動平臺具備處理金融交易的能力,并可保護(hù)用戶及系統(tǒng)的身份。政府也制定了新的法案,如FIPS 201身份驗(yàn)證(PIV)等。由此可見,安全認(rèn)證標(biāo)準(zhǔn)的要求會越來越嚴(yán)格。
上述標(biāo)準(zhǔn)都論述了對物理安全性的要求,以滿足不同終端產(chǎn)品范疇的規(guī)范。通常,這些安全性要求被劃分到多個(gè)層次,從處理器開始到最終封裝,包括處理器、涉及敏感數(shù)據(jù)或算法的存儲器及數(shù)據(jù)通道。終端產(chǎn)品要取得認(rèn)證,必須通過認(rèn)證機(jī)構(gòu)的全面測試,并提供一份安全文檔,說明產(chǎn)品如何防范各種物理威脅。要通過某些標(biāo)準(zhǔn)認(rèn)證(例如PCI),制造商必須說明新產(chǎn)品在安全方面比現(xiàn)有產(chǎn)品有哪些改進(jìn),以滿足新升級的標(biāo)準(zhǔn)。許多情況下,制造商和設(shè)計(jì)部門之前并沒有面臨類似要求,因此不清楚需要在產(chǎn)品中實(shí)現(xiàn)怎樣的安全性。
不同應(yīng)用對安全等級的要求千差萬別,但是,對物理篡改保護(hù)功能的要求越來越嚴(yán)格。隨著一些用于竊取數(shù)據(jù)的高端分析工具和專業(yè)技術(shù)的出現(xiàn),越來越多的應(yīng)用要求具有物理篡改保護(hù)功能。
DS3600系列安全控制器
為了幫助設(shè)計(jì)人員以小尺寸、低成本、低功耗滿足嚴(yán)格的物理保護(hù)功能的需求,Maxim推出了新一代安全控制器產(chǎn)品,用于保護(hù)硬件設(shè)備。DS3600系列產(chǎn)品能夠?yàn)榍度胧较到y(tǒng)提供可靠的安全保證,滿足現(xiàn)有標(biāo)準(zhǔn)和新標(biāo)準(zhǔn)的要求。這些器件具備精心設(shè)計(jì)的溫度監(jiān)視(利用具有超低漏電流的比較器)、低溫攻擊保護(hù)、計(jì)時(shí)和篡改記錄功能,以及密碼子系統(tǒng)(圖1)需要的眾多其它功能。這些功能的核心是獨(dú)特的存儲單元結(jié)構(gòu),可進(jìn)一步保護(hù)頂層密鑰和認(rèn)證信息。傳統(tǒng)的存儲單元都存在數(shù)據(jù)印跡現(xiàn)象,即存儲單元會殘留先前保存的信息。可以通過多種攻擊手段提取這些殘留信息。DS3600內(nèi)部的無印跡存儲器是第一款具備該功能的器件,可有效防范這種常見的攻擊方式。此外,使用一條硬件命令可迅速擦除整個(gè)存儲器陣列。這種組合多種功能的安全控制器可極大地降低功耗,并且密鑰存儲器保護(hù)無需主處理器介入。
圖1. DS3600防篡改控制器具有超高性能的比較器,可連續(xù)監(jiān)控低功耗系統(tǒng),符合最高級別的公共標(biāo)準(zhǔn)要求。
大多數(shù)情況下,該系列控制器的高集成度可替換40個(gè)以上的分離元器件。DS3600系列不僅具有小尺寸、低成本和低功耗的特點(diǎn),還可省掉其它價(jià)格昂貴的器件,如安全微處理器。因此,嵌入式系統(tǒng)制造商不必采用安全處理器架構(gòu)即可通過認(rèn)證,并獲得豐富的軟件資產(chǎn)。由于這些產(chǎn)品專為滿足認(rèn)證要求而設(shè)計(jì),當(dāng)設(shè)計(jì)人員必須提供必要文檔以取得產(chǎn)品認(rèn)證時(shí),它們可提供最有力的幫助。
附錄1—等級分類
為確定系統(tǒng)需要的安全等級,10多年前IBM?給出了一種等級分類方法,用來說明潛在的攻擊等級,并且沿用至今。等級I (聰明的外行)
- 通常很聰明
- 系統(tǒng)知識匱乏
- 可能使用過適度復(fù)雜的設(shè)備
- 通常會攻擊系統(tǒng)的薄弱環(huán)節(jié),而不會構(gòu)建一個(gè)新系統(tǒng)
- 具備扎實(shí)的專業(yè)技術(shù)教育背景和工作經(jīng)驗(yàn)
- 具備一些系統(tǒng)知識,可能接觸過系統(tǒng)的大部分模塊
- 經(jīng)常使用高端工具和分析儀器
- 擁有大量資金
- 能夠組建專家隊(duì)伍
- 能夠獲取或使用大部分高端分析工具
- 能夠深入分析并設(shè)計(jì)復(fù)雜的攻擊行為
- 可能招募等級II中知識豐富的行家,以擴(kuò)充其攻擊隊(duì)伍
物理攻擊
評論
查看更多