账号:
密码:
 
CTIMES / 文章 /   
MSP MCU实现系统级篡改防护
提升远端存取安全性

【作者: Bhargavi Nisarga等】2017年02月09日 星期四

浏览人次:【6261】
  


随着嵌入式系统与产品于我们日常生活中的普及,其安全性正逐渐成为不可忽视的议题。对嵌入式系统开发人员和使用者而言,安全上的顾虑来自于入侵者得以透过系统远端及实体的方式进行存取。


提升远端存取安全性的做法,包括在系统中结合安全资料通讯、安全软体及韧体更新等功能,例如运用业界接受的加密演算法及安全通讯协定。本文将着重探讨入侵者对系统或产品进行实体存取的安全顾虑、了解系统级篡改防护的必要性,以及如何利用系统级篡改侦测与回应功能来减轻安全冲击。



图一
图一

系统级篡改侦测功能的实作,包括识别出系统中的安全性资产,并定义相关的信任界线;而任何入侵信任界线(例如电表盒)的举动皆视为必须被侦测到的篡改企图。


侦测后也必须采取适当的因应措施,来提高资产安全性。防篡改机制必须谨慎实施,避免大幅影响整体系统解决方案的成本与效能。本文将说明超低功耗MSP微控制器(MCUs)支援的功能,以及其可达成上述目的的系统级篡改防护功能。


「篡改」是指意图更改或操控系统,借此窃取系统中的机密或于未经授权之下操作系统。通常不可能设计出完全防止篡改的系统,因为实作反制措施来防止各种已知或潜在的未知攻击都会提高成本(例如随着技术持续提升,入侵者的攻击能力逐渐增强,其成功篡改系统所需的时间与成本也逐渐降低)。


系统设计师采用下列技术来实作某种程度的篡改防护功能,以解决或因应系统面临的实体攻击:


‧篡改侦测(Tamper Detection):意指监控系统的篡改感测器或输入功能,以及识别/鉴定任何异常以指出系统中可能的篡改事件。


‧篡改回应(Tamper Response):意指系统在发现篡改事件时所采取的动作。篡改回应机制通常会采取行动来防止系统中的安全资产受到危害(例如系统中重要资讯的读取功能或是操控),以免系统遭滥用或修改。


‧防弊功能(Tamper Evidence):意指标记或记录系统中的篡改事件。通常在系统发生可观测的不可逆变更时,防弊系统才会启动进一步的调查。防弊功能可保留产品层级的实体证据(例如密封遭破坏)、含篡改时间及篡改动作来源等细节的篡改纪录及其它可供采取进一步行动的详细资讯。


‧防篡改功能(Tamper Resistance):意指系统主动侦测并防御威胁,来保护系统及其处理的资料免受危害的能力,其可衡量威胁(攻击者)成功执行篡改攻击所需的时间、技能、工具及知识。


嵌入式系统可能有不同层级的篡改防护要求,必须依据系统所需达成的目标予以设计。例如有些系统仅需防弊功能,而无需篡改回应或抗篡改机制。


入侵者存取系统的手法类型

就系统存取的观点而言,骇客威胁主要分为三类:网路(远端)、基板(邻近区域)及晶片威胁(图二)。



图二 : 嵌入式系统的威胁类型
图二 : 嵌入式系统的威胁类型

网路威胁泛指允许骇客不在现场或于装置附近即可发动攻击的通讯(例如骇客可能位于地球另一端的房间)。


基板威胁泛指对于PCB(印刷电路板)的存取行为以及晶片介面的使用。通常是除错介面(例如JTAG)、电源供应器(例如功率分析攻击或突波攻击)以及任何序列介面(例如UART允许读取记忆体)。


晶片威胁泛指需要拆解装置以存取内部层与元件的攻击(例如反向工程、以电子显微术读取记忆体、以发散显微术来进行门海(Sea of​​ Gate)分析法,或利用聚焦离子束(FIB)来修改或避开安全感测器)。针对最后一种威胁的反制通常较为不易且昂贵,但骇客的攻击成本也较高 (例如需要特殊设备及训练)。


实体攻击意指基板与晶片威胁。本文的焦点为基板威胁。


实体攻击的安全顾虑(基板与晶片威胁)

篡改防护是一种于系统中实作的措施,目的是减轻实体篡改的安全风险。系统或晶片级实体攻击的目的包括:


‧破坏系统机密性(例如存取程式码IP与资料或金钥)。


‧破坏系统完整性(例如修改装置中或外部记忆体内存的程式码、资料或金钥,借此进一步控制系统)。


‧破坏系统可用性(例如使系统无法使用来中断正常运作),也称为阻断服务攻击。


‧找出系统弱点以供骇客自远端入侵现场部署设备(此即连结实体与远端两种攻击型态)。


涉及产品实体存取的各种攻击大致分类如下:


‧非侵入性攻击:这类攻击不包括实体入侵、损坏产品外壳或装置封装(分别为系统层与晶片级)。


典型的非侵入性攻击包括:


‧跨频道攻击(Side-channel attacks):这类攻击藉由观察系统执行加密或安全作业的行为(例如执行时间、功耗或出现故障时的行为),以取得系统所使用之金钥或密码。


典型的跨频道分析型攻击包括:


‧时间分析攻击


‧EMA(电磁分析)


‧功率分析,包括简易功率分析(SPA)或差分功率分析(DPA)


‧故障注入攻击(Fault injection attacks):这类攻击会改变环境与操作条件,导致装置或系统发生影响安全性的故障(例如跳过关键的CPU指令,或抹除位元以破坏装置除错锁定或其它装置编程安全功能)。


常见的方法包括变更下列条件:


‧电压(例如将干扰导入电源供应器、提高或降低供电压,使其超过运作限值)。


‧温度(例如加热或冷却装置,使其超过运作限值)


‧时钟或时间(例如外部晶体攻击、传送过短的时钟脉冲clock pulse)


‧软体攻击:透过装置的任何通讯介面所发起的攻击。


常受攻击的装置通讯介面为:


‧装置除错介面,例如锁定JTAG/SBW对于存有安全资产的嵌入式记忆体装置的存取


‧其他装置编程介面(例如开机载入程式、厂商专属介面或通讯协定)


‧任何资料通讯介面(例如外部记忆体介面、序列介面(I2C、UART、SPI)、(EMIF、Quad SPI)无线介面)


‧侵入式攻击:涉及入侵实体系统或晶片级的攻击。


‧在系统级方面,这意味着入侵实体系统的产品机壳或防篡改机壳(信任边界)内部(例如PCB篡改网格)。


‧在晶片级方面,这意味着入侵实体装置的封装。晶片级的实体入侵不在本文范围内,因此不做进一步讨论。


保障系统实体存取的必要性

系统层级的篡改防护最常用于支付卡产业(PCI)的产品(例如信用卡读卡机),在这些应用中,篡改防护必须符合特定的PCI标准。但是,篡改防护的概念不应局限于上述应用,其它面临实体存取层级攻击风险的应用领域也必须考虑采用。


由于许多应用皆已连接网际网路,保护远端连线安全性变得至关重要;然而系统设计师亦应考量,在实体存取层级所搜集的任何资讯,皆有利于骇客从远端入侵,因此,保护​​产品的实体存取安全也非常重要。并非所有安全措施皆可套用至系统,且须考量若有安全漏洞遭到入侵,在声誉、财务、营运、安全或健康等方面会有何冲击及其损害程度。


晶片级与系统级篡改防护的差异


图三
图三

以内嵌记忆体的MCU而言,系统的机密资料通常位于晶片(例如程式码、资料及金钥)。但是,具有晶片级篡改防护的MCU设计成本很高(例如MCU裸片的屏蔽可能需要在晶圆加工制程中增加额外遮罩),而安全MCU类型的MCU产品通常支援这项功能。


若要降低晶片级篡改防护的成本,又要实作足够的安全措施以因应实体存取的威胁,则应考虑采用系统级篡改防护。它可在系统级提供篡改防护,并可涵盖MCU以外受系统层级篡改防护措施的适用元件。其它元件包括感测控制器、备用电池、外部晶体及外部记忆体。系统级篡改防护亦可依据产品所部署的环境或周遭情况,提供篡改条件与阈值的设定弹性。


(本文作者Bhargavi Nisarga、Eric Peeters皆任职于德州仪器)


相关文章
车头灯新兴技术
CTIMES「智慧制造电子元件技术论坛」会後报导
主动式车门开启防撞系统
马达控制技术趋势
端到端安全虚拟化 为工业控制和电信应用护航
comments powered by Disqus
相关讨论
  相关新品
OMAP 4处理器
原厂/品牌:TI
供应商:TI
產品類別:CPU/MPU
MOSFET驱动器
原厂/品牌:TI
供应商:TI
產品類別:Power
CT49 Memory SiP NAND + DDR3
原厂/品牌:鉅景
供应商:鉅景
產品類別:Memory
  相关新闻
» 提升电源系统功率密度 TI推新款LLC控制器
» 意法半导体收购软体开发商Draupner Graphics
» 从美中贸易冲突看全球电子产业形貌之重塑
» 马达控制的发展趋势 低功耗、低噪音以及安全
» TI最新嵌入式系列解决方案 建立工业自动化系统的第一站
  相关产品
» 世平推出以TI AWR1642为基础的ADAS 77GHz毫米波雷达解决方案
» Dialog晶片技术让Plantronics弹性满足客户需求
» 世平推出TI采用智慧蓝牙低功耗的运动检测器叁考设计
» TI车头灯新技术 照亮前方道路同时带来更多功能
» TI DLP技术具备微米至次毫米工业精密度、处理速度
  相关资源
» Power Management Solutions for Altera FPGAs

AD