在受控環(huán)境中，防止意外錯(cuò)誤和硬件故障足以實(shí)現(xiàn)安全行為。如果檢測(cè)到不可恢復(fù)的情況，系統(tǒng)可以切換到功能有限或沒(méi)有功能的狀態(tài)，但仍然是安全的。

在不受控制的環(huán)境中，各種形式的破壞都可能危及系統(tǒng)的安全。只有在生命周期的每個(gè)步驟都考慮安全性，才能防止這種情況發(fā)生，這些步驟包括：

1 威脅建模-在設(shè)計(jì)階段，必須識(shí)別安全需求。

2 安全的組件-軟件開發(fā)人員必須正確地實(shí)現(xiàn)安全需求。此外，他們必須以不向系統(tǒng)添加任何漏洞的方式實(shí)現(xiàn)所有其他需求。

3 安全的部署-軟件交付時(shí)（如從供應(yīng)移到制造商），供應(yīng)商必須提供軟件完整性和真實(shí)性的檢查機(jī)制。

4 主動(dòng)維護(hù)-在產(chǎn)品的生命周期內(nèi)，制造商必須糾正組件使用中發(fā)現(xiàn)的漏洞。

5 安全更新和啟動(dòng)-在更新系統(tǒng)時(shí)，產(chǎn)品制造商必須確保更新軟件的完整性和真實(shí)性。

1. 威脅建模

創(chuàng)建安全系統(tǒng)的第一步是識(shí)別系統(tǒng)資產(chǎn)。產(chǎn)品制造商使用威脅建模來(lái)分析攻擊者如何威脅這些資產(chǎn)。

威脅建模必須集成到設(shè)計(jì)過(guò)程中，并在所有抽象級(jí)別上執(zhí)行。因此，在定義高級(jí)需求時(shí)，軟件架構(gòu)師識(shí)別進(jìn)一步的抽象威脅。這些威脅會(huì)導(dǎo)致額外的安全需求，以減輕這些威脅。該分析將集成到隨后的每個(gè)開發(fā)步驟中。

嵌入式系統(tǒng)必須保護(hù)：

?系統(tǒng)安全：大多數(shù)類型的攻擊都會(huì)影響系統(tǒng)的安全性。

?系統(tǒng)可用性：如果攻擊者可以關(guān)閉系統(tǒng)，則客戶將無(wú)法使用設(shè)備。

?商業(yè)秘密：如果攻擊者可以訪問(wèn)固件，他們就可以獲取其包含的商業(yè)秘密。

?法律遵從性：如果攻擊者可以導(dǎo)致系統(tǒng)違反法律（發(fā)送垃圾郵件，監(jiān)視別人），這將對(duì)產(chǎn)品制造商造成法律影響。

?公司聲譽(yù)：系統(tǒng)故障可能會(huì)給制造商帶來(lái)不好的影響。

一旦確定了系統(tǒng)資產(chǎn)，產(chǎn)品制造商就必須估計(jì)攻擊者為攻擊這些資產(chǎn)而愿意投入的成本和資源?；谶@些信息，開發(fā)團(tuán)隊(duì)就可以定義產(chǎn)品必須達(dá)到的安全級(jí)別?；诙x的安全級(jí)別，開發(fā)人員可以導(dǎo)出安全需求以最小化風(fēng)險(xiǎn)。

IEC 62443安全等級(jí)

IEC62443定義了5個(gè)安全級(jí)別（SL）對(duì)組件達(dá)到的安全級(jí)別進(jìn)行分類：

?安全級(jí)別0：不需要特殊要求或保護(hù)。

?安全級(jí)別1：防止無(wú)意或意外的誤用。

?安全級(jí)別2：使用很少的資源、一般技能和簡(jiǎn)單活動(dòng)防止故意濫用。

?安全級(jí)別3：利用適度的資源、系統(tǒng)特定知識(shí)和適度的活動(dòng)，防止復(fù)雜手段的故意濫用。

?安全級(jí)別4：通過(guò)大量的資源、系統(tǒng)特定知識(shí)和高度活動(dòng)，防止使用復(fù)雜手段進(jìn)行故意濫用。

按照功能安全標(biāo)準(zhǔn)開發(fā)系統(tǒng)時(shí)，安全級(jí)別SL-1不需要進(jìn)一步的活動(dòng)。術(shù)語(yǔ)“很少（few）”、“中等(moderate)”和“高(high)”并不能很好地定義更高的安全級(jí)別。對(duì)于安全級(jí)別的一般理解是：

?SL-2可以防止業(yè)余愛好者或憤怒的前雇員查閱有關(guān)安全和想攻擊的系統(tǒng)的公開信息。

?SL-3可以防止專業(yè)黑客通過(guò)勒索、出售漏洞或提取的信息來(lái)賺錢。

?SL-4可防范從公司或政府獲得大量資金支持的專業(yè)黑客組織。

IEC62443安全要求

IEC62443列出了為滿足安全級(jí)別組件必須實(shí)現(xiàn)的功能需求。例如，“與系統(tǒng)交互的人……”：

?SL-1:…須被識(shí)別和驗(yàn)證。

?SL-2:…須唯一標(biāo)識(shí)和身份驗(yàn)證（沒(méi)有共享的管理帳戶）。

?SL-3:…果從不受信任的網(wǎng)絡(luò)訪問(wèn)，必須通過(guò)多因素身份驗(yàn)證進(jìn)行唯一標(biāo)識(shí)和身份驗(yàn)證。

?SL-4:…須在所有網(wǎng)絡(luò)上通過(guò)多因素身份驗(yàn)證進(jìn)行唯一標(biāo)識(shí)和身份驗(yàn)證。

安全區(qū)域

提高安全性的屏障（墻、門、保安、防火墻、虛擬化技術(shù)等）將系統(tǒng)劃分為區(qū)域，每個(gè)區(qū)域達(dá)到其組件的最低安全級(jí)別。雖然IEC62443主要解決自動(dòng)化和控制系統(tǒng)中的操作技術(shù)安全問(wèn)題，但定義的安全級(jí)別對(duì)于任何有關(guān)安全的討論都是有價(jià)值的。

2. 安全的組件

實(shí)現(xiàn)安全系統(tǒng)的第二步是確保每個(gè)組件的設(shè)計(jì)和實(shí)現(xiàn)都是安全的，并為其他組件提供安全的接口。組件開發(fā)人員必須遵循“設(shè)計(jì)安全”的原則，考慮適用的安全標(biāo)準(zhǔn)，并將威脅建模的結(jié)果納入設(shè)計(jì)過(guò)程的每個(gè)步驟。

接口約定

除了正確實(shí)現(xiàn)組件的功能需求外，安全性還依賴于對(duì)所使用的其他組件的約定的嚴(yán)格遵守。在這種情況下，約定意味著組件對(duì)其調(diào)用者的需求。

例如:

?從內(nèi)存池中取出的每個(gè)內(nèi)存塊都將返回到相同的內(nèi)存池中。

?函數(shù)的參數(shù)不能為零。

?需在臨界區(qū)內(nèi)調(diào)用函數(shù)。

對(duì)調(diào)用者施加這樣的限制有很多原因（性能、靈活性、可移植性等），系統(tǒng)的安全性要求滿足這些約定。

執(zhí)行期望

在實(shí)現(xiàn)新組件時(shí)，開發(fā)人員應(yīng)該通過(guò)盡可能多地驗(yàn)證約定的遵從性來(lái)提高安全性。由于軟件無(wú)法在運(yùn)行時(shí)驗(yàn)證所有約定，組件開發(fā)者必須在相應(yīng)的文檔中清楚地描述剩余的未檢查的期望。組件用戶可以遵循這些約定，并使用各種軟件開發(fā)技術(shù)（如評(píng)審、靜態(tài)分析、測(cè)試等）來(lái)證明對(duì)約定的遵從性。

通信協(xié)議驗(yàn)證

實(shí)現(xiàn)通信端點(diǎn)的組件必須確保所有通信消息符合商定并記錄的協(xié)議。

具體來(lái)說(shuō)，這意味著要驗(yàn)證每條消息字段的類型、值范圍、大小和編碼，還要驗(yàn)證元數(shù)據(jù)，如每次消息的數(shù)量、發(fā)送方地址和消息的預(yù)期順序。軟件必須根據(jù)安全列表檢查枚舉，而不是從拒絕列表中排除項(xiàng)目。對(duì)違反協(xié)議的反應(yīng)必須設(shè)計(jì)成不可濫用。

隔離組件

有時(shí)，開發(fā)團(tuán)隊(duì)希望使用與產(chǎn)品的目標(biāo)安全級(jí)別不匹配的組件。在這種情況下，可以在具有受限的隔離環(huán)境中運(yùn)行該組件。一種方法是使用內(nèi)存保護(hù)單元限制內(nèi)存訪問(wèn)，并使用搶占式調(diào)度器保證運(yùn)行時(shí)間。組件中漏洞造成的損害將被限制在孤立的環(huán)境中，不會(huì)影響系統(tǒng)的其余部分。

安全檢查表

使組件安全的第一步是確保它具有相對(duì)簡(jiǎn)單的API，該API指導(dǎo)用戶如何正確使用它。這樣的組件需要詳細(xì)的、最新的文檔，包括安全手冊(cè)：checklist是用戶必須采取的確保安全使用組件的所有步驟的清單（例如“運(yùn)行此驗(yàn)證”，“使用這些選項(xiàng)進(jìn)行編譯”或“在此常量中插入公鑰”）。

加密算法

系統(tǒng)的安全性很可能基于某些加密操作，用于加解密或簽名和校驗(yàn)和的生成和驗(yàn)證。這些加密操作僅在以下情況下提供安全性：使用了最先進(jìn)的算法，可以熟練地實(shí)施，將來(lái)可以被更安全的東西取代。

很少有人具有相應(yīng)知識(shí)和思維來(lái)設(shè)計(jì)好的加密算法。在密碼分析專家花了數(shù)年時(shí)間仍未破解成功之后，新的算法被認(rèn)為是安全的（至少暫時(shí)如此）并公布。

安全地實(shí)現(xiàn)算法幾乎同樣棘手。有無(wú)數(shù)的障礙需要克服，從選擇適當(dāng)?shù)奶畛浞桨傅椒乐苟〞r(shí)攻擊或在正確的模式下使用加密原語(yǔ)。

依賴信譽(yù)良好的第三方的解決方案是一種被廣泛接受的最佳實(shí)踐。

系統(tǒng)配置

如果嵌入式設(shè)備具有影響其安全性的配置參數(shù)，則其應(yīng)該具有默認(rèn)的安全值。例如，密碼保護(hù)接口應(yīng)該具有唯一的強(qiáng)密碼，或者在設(shè)備運(yùn)行之前強(qiáng)制用戶修改密碼。

使用默認(rèn)密碼并要求用戶更改密碼是遠(yuǎn)遠(yuǎn)不夠的。類似地，系統(tǒng)設(shè)計(jì)必須默認(rèn)啟用加密，而非建議用戶稍后啟用。

系統(tǒng)日志記錄

記錄與安全相關(guān)的事件對(duì)于安全漏洞審計(jì)和分析至關(guān)重要，但很難實(shí)現(xiàn)。日志的完整性和機(jī)密性是產(chǎn)品制造商在威脅建模中必須分析的安全資產(chǎn)。

對(duì)于安全漏洞分析，希望在日志中包含盡可能多的信息和細(xì)節(jié)。然而，嵌入式設(shè)備中的系統(tǒng)資源限制了這個(gè)決策。如果不能保證協(xié)議的機(jī)密性，很多有價(jià)值的信息會(huì)泄漏。此外，一些法律也會(huì)限制記錄個(gè)人數(shù)據(jù)或要求在短時(shí)間內(nèi)刪除這些數(shù)據(jù)。

開發(fā)團(tuán)隊(duì)必須考慮的另一個(gè)方面是日志泛濫。如果攻擊者做了一些生成大量日志記錄的操作，那么不相關(guān)的信息可能會(huì)覆蓋關(guān)鍵信息。

在設(shè)計(jì)安全日志記錄方案時(shí)，要考慮到日志通常是設(shè)備制造商和設(shè)備所有者之間的責(zé)任案件中的證據(jù)，設(shè)備所有者可能對(duì)操縱日志感興趣。

3. 安全的部署

實(shí)現(xiàn)安全系統(tǒng)的第三步是確保編譯過(guò)的代碼和源代碼以及所有文檔存儲(chǔ)在安全介質(zhì)上，并通過(guò)安全通道傳輸。在文件傳輸?shù)角度胧较到y(tǒng)之前，攻擊者可以通過(guò)修改部分設(shè)計(jì)、代碼或二進(jìn)制文件攻擊系統(tǒng)。

IT環(huán)境

攻擊者可以通過(guò)訪問(wèn)或操縱開發(fā)人員的機(jī)器、帶有源代碼管理系統(tǒng)的服務(wù)器或在傳輸過(guò)程中操縱軟件來(lái)實(shí)現(xiàn)攻擊。防止開發(fā)者機(jī)器和服務(wù)器被操縱的措施：

?適當(dāng)?shù)腎T權(quán)限管理

?定期更新所有使用的軟件

?限制物理訪問(wèn)

?安全策略（例如，員工不在電腦前時(shí)必須鎖上電腦）

軟件傳輸

防止軟件在傳輸過(guò)程中被操縱的措施包括：

?使用PGP或X.509證書建立一個(gè)安全的通信通道，對(duì)所有通信進(jìn)行簽名（和加密）。

?在通過(guò)電子郵件發(fā)送信息的同時(shí)，通過(guò)不同的通道（電話、信件、加密聊天等）傳遞加密安全的指紋。

?使用通過(guò)TLS、X.509證書、身份驗(yàn)證和授權(quán)保護(hù)的數(shù)據(jù)傳輸門戶。

4. 主動(dòng)維護(hù)

實(shí)現(xiàn)安全系統(tǒng)的第四步是確保所有組件在運(yùn)行期間保持安全。

在對(duì)協(xié)議、密碼學(xué)和庫(kù)的研究中，隨時(shí)可能發(fā)現(xiàn)重大漏洞，產(chǎn)品的最終用戶必須更新其安全系統(tǒng)。軟件組件供應(yīng)商必須建立一個(gè)系統(tǒng)，將發(fā)現(xiàn)的漏洞通知所有客戶。庫(kù)用戶必須能夠接收這些信息，以便在他們的系統(tǒng)中創(chuàng)建和部署軟件更新。

5. 安全更新和安全啟動(dòng)

實(shí)現(xiàn)安全系統(tǒng)的第五步是確保在系統(tǒng)上執(zhí)行的所有軟件的完整性和真實(shí)性，原則上可以通過(guò)下列方式：只有制造商可以安裝軟件，更新過(guò)程是安全的，啟動(dòng)過(guò)程是安全的。

如果最終用戶無(wú)法更新軟件，則必須禁用具有已知漏洞的系統(tǒng)，并用改進(jìn)的設(shè)備替換。在某些情況下，這可能是一個(gè)可行的解決方案，但通常的嵌入式系統(tǒng)需要一種方法來(lái)安裝新的固件。

如果攻擊者獲得對(duì)嵌入式系統(tǒng)的物理訪問(wèn)權(quán)限，就有可能操縱其固件。在這種情況下，引導(dǎo)過(guò)程必須是安全的。安全更新過(guò)程對(duì)啟動(dòng)時(shí)間沒(méi)有影響，適用于大多數(shù)嵌入式系統(tǒng)。這兩種機(jī)制都必須確保應(yīng)用程序：

?固件真實(shí)性：可信方創(chuàng)建了固件。

?固件完整性：沒(méi)有其他人修改固件。

?固件版本：更新必須提供比已安裝的固件更新的版本（防止回滾到易受攻擊的舊版本）。

產(chǎn)品制造商應(yīng)使用數(shù)字簽名方案來(lái)驗(yàn)證固件的真實(shí)性。消息驗(yàn)證碼（MAC）提供相同級(jí)別的安全性，但需要軟件提供商和嵌入式設(shè)備之間共享密鑰。多個(gè)設(shè)備不應(yīng)使用相同的共享密鑰。

該產(chǎn)品需要認(rèn)證方案的信任根。這個(gè)信任根是一個(gè)證書或公鑰，嵌入式系統(tǒng)可以用它來(lái)驗(yàn)證固件的簽名。

身份驗(yàn)證方案通常還驗(yàn)證固件的完整性。

最后，引導(dǎo)代碼必須檢查軟件的版本。引導(dǎo)代碼將固件版本號(hào)存儲(chǔ)在無(wú)法篡改的安全位置。引導(dǎo)代碼不會(huì)安裝或引導(dǎo)版本號(hào)較低的固件。

安全更新

在安全更新方案中，固件在接收到軟件后對(duì)其進(jìn)行驗(yàn)證，并將其存儲(chǔ)在可信存儲(chǔ)區(qū)域（內(nèi)部flash）中。設(shè)備在后續(xù)引導(dǎo)中使用更新和驗(yàn)證過(guò)的軟件。更新過(guò)程的挑戰(zhàn)包括完整的固件通常不適合臨時(shí)通信內(nèi)存，攻擊者可能會(huì)斷開電源并阻止安全檢查的執(zhí)行。

安全啟動(dòng)

在安全引導(dǎo)方案中，引導(dǎo)代碼在每次重新引導(dǎo)時(shí)加載并驗(yàn)證軟件，這允許我們將軟件存儲(chǔ)在不安全的介質(zhì)上（外部閃存，SD卡，網(wǎng)絡(luò)服務(wù)器等），簡(jiǎn)化了更新過(guò)程并降低了硬件制造成本。但需要更多的內(nèi)存，并且每次重新啟動(dòng)需要更長(zhǎng)的時(shí)間。

引導(dǎo)代碼仍然需要可信內(nèi)存存儲(chǔ)固件加載程序的和信任根（用于驗(yàn)證固件的加密密鑰）。

復(fù)位后，引導(dǎo)代碼將固件加載到RAM中，驗(yàn)證其真實(shí)性、完整性和版本，對(duì)其進(jìn)行解密，并在RAM中執(zhí)行。

如果應(yīng)用程序存在允許攻擊者修改引導(dǎo)代碼的安全漏洞，那么攻擊者就可以完全控制設(shè)備。有幾種硬件方式可以防止這種攻擊：

?一次性可編程（OTP）引導(dǎo)記錄鎖定引導(dǎo)代碼或信任錨的校驗(yàn)和。

?硬件安全模塊（HSMs）是專用的協(xié)處理器，具有更高的權(quán)限和防篡改存儲(chǔ)。

?帶密鑰存儲(chǔ)的加密協(xié)處理器允許使用密鑰（用于解密或驗(yàn)證），同時(shí)防止任何系統(tǒng)部分讀取或更改密鑰。

為了使用這種硬件支持，引導(dǎo)代碼通常配備了一個(gè)三階段的引導(dǎo)過(guò)程：

?硬件驗(yàn)證引導(dǎo)管理器和信任根。

?引導(dǎo)管理器驗(yàn)證并執(zhí)行引導(dǎo)加載程序。

?引導(dǎo)加載程序加載、驗(yàn)證、解密并執(zhí)行應(yīng)用程序。

引導(dǎo)加載程序和引導(dǎo)管理器是分開的，引導(dǎo)管理器盡可能簡(jiǎn)單，不太可能包含錯(cuò)誤，只有在極少數(shù)情況下才需要更新。引導(dǎo)加載程序包含所有復(fù)雜的設(shè)備驅(qū)動(dòng)程序和網(wǎng)絡(luò)協(xié)議，因此它更有可能包含錯(cuò)誤。由于不涉及硬件，所以更新引導(dǎo)加載程序更容易。

結(jié)論

在不斷變化的威脅環(huán)境中，在設(shè)計(jì)階段考慮產(chǎn)品的安全性至關(guān)重要。本文提供了對(duì)軟件開發(fā)挑戰(zhàn)的概述和見解。這些知識(shí)將幫助你從產(chǎn)品的規(guī)劃階段開始，在快速發(fā)展的威脅環(huán)境中確保產(chǎn)品的安全性和完整性。