应用嵌入式芯片构建网络安全设备的设计方案
扫描二维码
随时随地手机看文章
伴随着信息产业的快速发展,人们对网络安全的需求也与日俱增。网络安全需要依靠硬件平台与高质量软件相结合来实现,其中硬件平台是软件的物理载体和外在表现。如何选择与高质量软件相匹配的硬件平台,将会直接影响网络安全产品的可靠性和最终产品的市场定位。
嵌入式设备在很多应用场合正在和因特网相连接,比如金融终端、蜂窝电话、机顶盒、无线接入点、医疗设备和公共信息电话亭。当这些能够上网的设备与因特网连接时,若是没有足够的安全考虑和措施,它们将会很容易受到攻击,这些攻击包括无意的访问和恶意攻击。攻击可能会使设备的功能、操作以及包含的信息遭受破坏,所以应该通过制定安全配置来加固和保护系统,以及通过检测与响应的方法应对侵扰。
什么是对快速侵扰的检测呢?那就是:对侵扰做出响应,把损害减至最小。同时,提高系统的安全性,帮助应对将来可能发生的攻击。在很多嵌入式设计中,安全方面的设计都集中在如何强化和保护设备以及将损失降到最低方面。设备的功能可以包括标准的网络服务,例如网络服务器、E-mail客户端或FTP 接入,以及接收和处理用户信息并进行授权和访问控制的能力,在它们内部隐含着各种类型的数据存储和文件系统。其常用的方法有两种,即远程访问方法与密钥和解密算法。
之所以基于密钥和解密算法,是因为加密的网络信息保证了信息内容的机密性。其大多数加密方法也需要授权和数据完整*。而加密技术可以分成三个大类,即消息摘要、对称(密钥)密码系统和不对称(公开密钥)密码系统。
金融终端的网络安全问题
许多嵌入式系统都是由通用计算机构建的。这些计算机基于标准架构,具有经过验证的设计和代码继承性。虽然这些特性可能对设计者很有吸引力,但是这样的系统构建时并没有考虑到数据安全性。这使其并不适合很大一部分嵌入式系统市场份额,即处理敏感或保密信息的应用。一些嵌入式系统,如金融终端、身份授权以及任何存储口令和加密密钥的系统都需要有力措施来保护它们的数据。另外,像自动取款机(ATM)这种物理上暴露的应用都是有风险的。显然存在这样一种需求,即把数据安全和通用计算机的便利性结合起来。
为通用计算机加入安全机制的最常见办法,是使用昂贵的物理外壳保护系统。对于大多数应用来说,构建难以攻破的物理屏障是不切实际的,必须假定在给定时间内任何级别的物理安全机制都会被击溃。数据安全领域的专家们断言:“对私有数据的唯一有效保护措施就是用加密屏障将其包围。”此外,系统必须能够探测出物理入侵和密码入侵,并且作为一种入侵响应,能够迅速地擦除掉存储器内容。能对入侵做出反应的加密边界可以为密钥、程序和数据提供一个安全的保护层。[!--empirenews.page--]
实现嵌入式系统数据安全与保护的一个较理想的选择就是用嵌入式处理器芯片(即DALLAS Semicon-ductor的DS5250高速安全微处理器)构建一个网络安全设备。
设计思想
之所以选用嵌入式处理器芯片作为网络安全平台,核心就在于它能实现一种安全协处理器的独特功能。
使用它可将系统的处理功能分为安全功能和非安全功能。其安全功能包括那些使用和保护加密密钥、口令、个人身份识别码(PIN)和其它知识产权的功能。由此,不需要安全机制的系统功能要由非安全处理器完成。为非安全系统加入安全协处理器提高了系统的安全级别,而不用对系统结构重新设计。
简单地配置一个安全协处理器会提高包含其它主要部件的系统安全性。安全协处理器负责系统中与安全性相关的任务,允许非安全处理器去完成主要的系统功能。这种功能上的分离简化了设计流程,并且提高了系统性能。如表所示,其应用大致可以分为以下几方面的安全性和非安全性功能。
非安全处理器可能会是ARM、SHARC、POWER PC等,并可以使用非易失性存储器,如闪存或EPROM。在非安全处理器和安全处理器之间一般会有专用的串行通信信道来传送状态信息和数据。必须仔细地设计系统,以保证安全处理器不会被攻破的非安全处理器欺骗,而泄露受保护的信息。
安全协处理器的主要功能是为存储口令、PIN码和私有密钥提供空间。这样的器件必须是专用的,并整合强有力的加密功能,而且还要足够灵活,以支持各种系统级的安全功能。安全协处理器的重要特性如下:
为保密数据包括口令、PIN码和加密密钥提供安全保护。保存这些数据的存储器和外部存储器总线必须使用强大的加密技术进行加密,如DES或其它类似算法。这种存储器保护允许安全协处理器和应用作为一个整体来保证安全交易可信无误。
必须采用主动防入侵检测功能,来检测物理以及环境的(电压或温度变化)入侵,它还应该能够发现外围级别的入侵企图,例如毁坏外壳。
一旦发现入侵,必须使用主动防入侵响应。一旦检测到入侵事件,安全协处理器必须能够将重要数据迅速清零或擦除,从而消除被敌手恢复的机会。在如此短的时间内能实现擦除的存储器技术只有SRAM。
必须能够检测到代码替换,并阻止多种侧面攻击,一旦检测到,器件必须执行防入侵响应。
包括入侵检测和存储器清零的安全功能,即使在主系统电源切断的情况下,也必须能起作用。
可为应用软件提供加密硬件,以支持系统级的加密需求。如图所示,该图为一个由嵌入式系统所构建的网络安全设备方框图。
上图显示了连接系统外围设备的通用CPU,该CPU具有自己专用的程序和数据存储器,其中不包含机密信息。安全协处理器和安全通信信道相连,并且还为通用处理器提供加密功能。安全协处理器的加密保护构建了一个加密边界,以保护所有的重要数据不会被窃取。此外,任何为通用CPU进行的系统级加密计算都能够在加密边界内安全完成。在一个设计正确的系统中,机密或受保护的信息永远不会在加密边界之外,作为明码文本而被得到。
安全特性
应该说DS5250高速安全微控制器正是一种满足这些需求的安全协处理器。作为安全微控制器系列的一员,DS5250高速安全微控制器是一种高度安全的,每机器周期包含4个时钟周期并且与8051指令集兼容的微处理器。DS5250包含一组传感器,用来探测物理上攻击管芯的企图和操控环境条件高/低变化的行为。可选择通过一个块校验来检测强制执行随机指令的企图,从而保护程序存储器。当检测到这些攻击时,器件执行一个破坏性的存储器复位,使其擦除内部加密密钥、所有的内部MOVX SRAM以及在某些情况下甚至包括外部加密SRAM。一旦擦除掉内部加密密钥,外部加密存储器就无法破解。[!--empirenews.page--]
另外,除了直接的加密保护之外,DS5250能将其安全保护延伸到整个系统。DS5250具有一个自毁输入引脚,可以连到用户定义的外部入侵传感器上。激活后,这个引脚会导致擦除微控制器的内部加密密钥和存储器工作。这样一来,加入安全协处理器可以使DS5250的入侵检测能力扩展至通用处理器,从而当入侵或攻击者企图对通用处理器进行访问时,可保证系统会不起作用。这就是简单的自毁输入设计,使得系统在对付增加入侵防护方面变得非常灵敏易用。
与此同时,为了增加保护功能可以使用如下多种传感器:其一,光传感器,当外壳打开时,壳体内的简单光学传感器能检测到光,并触发防入侵响应。其二,接触传感器,到当外壳打开时会切断导电墨水引线的复杂设计。其三,运动/倾斜传感器,它可检测外壳运动是具有入侵或攻击企图。这就是说DS5250可支持多种外部入侵传感器,以检测所有穿透外壳并获取信息的企图。
金融终端网络安全设备方案
下面我们对如何使用安全高速微控制器作为安全协处理器构建一个金融终端网络安全设备构建做分析说明。
在一个中央操作系统的控制下,此应用驱动许多外围设备。应用必须在一个加密通信信道上使用公开密钥基础设施(Pki)进行机密信息通信。此应用要求保护终端的私有密钥、网络上其它设备的公开密钥,以及PIN码和口令。
通用微控制器的主要功能是执行高级别的操作系统。该处理器实现的系统功能包括:复杂的图形显示,与外围设备如扫描仪、打印机和键盘进行通信等。处理器和安全微控制器间使用通用的串行协议,如简单(RX/TX)异步UART、SPI或SCI通信,这就大大减少了微控制器结构间的兼容性问题。
在此应用中,系统采用了DS5250作为安全协处理器。该安全协处理器负责完成安全通信和保护重要信息,如加密密钥、PIN码和口令不被窃取。这是通过将重要信息存储在3DES加密,并由电池备份的SRAM中实现的。内部SRAM提供最强的数据安全性,因其受到最强有力的保护。加密和其它安全特性在微控制器和它的存储器周围构建了一个加密边界。
使其在遭到破坏时会立即破坏数据。
该存储器的加密密钥由DS5250自身存储,并通过一个复杂的电压/探针/温度传感器阵列对探测和其它物理攻击提供保护。由于外部程序和数据存储器是加密的,所以它和内部的SRAM都包含在加密边界以内。
系统与网络通过3DES加密通信进行接口,并由安全协处理器的用户访问DES引擎实现。这就为金融交易信息提供了一个安全通信信道,应用软件决定了通信格式,因此它可以和几乎任何的网络灵活地联接。
由上可以看出,从理论与实践上应用嵌入式芯片构建金融终端网络安全设备并基于密钥和解密算法的方案,解决了如何使用高速安全微处理器作为安全协处理器来保护口令、PIN码、加密密钥,以及其它重要数据的普遍问题,该高速安全微处理器采用了3DES总线加密算法、精巧的防入侵优传感器和电池备份 SRAM,对其外部程序存储器加密,使得窃贼无法破解处理器的操作和敏感数据,构建了一个金融终端安全系统及其保护宝贵知识产权的加密边界。而一个可由用户配置的外部防入侵传感器,还可以保护所有系统组件,允许系统设计者将安全范围延伸至应用外壳。
通过将嵌入式系统分割成非安全和安全功能模块,从中可以发现,向已有设计中增加安全协处理器,能够在不需要新设计基本结构的情况下提高系统的安全性。其安全协处理器为重要数据如加密密钥、PIN码和口令充当了一个几乎无法渗透的屏障。