“警惕”嵌入式系统安全问题保护物联网(2)

首先要明确必须受到保护的交易和对象。在智能卡的应用中，这一点非常明显--此卡只做一件事，而且它必须安全。但在像平板电脑一样的移动平台上，事情变得更加复杂。设备可能进行许多不同类型的交易，观看电影、零售购物、网上银行和通过企业VPN的应用。每个案例中，内容拥有者--电影公司、零售商店、银行或是小公司--可能对足够安全的想法各不相同。因此通过设备将会有许多不同的具有各自认证和保护的安全路径，还可能需要单独安装一个硬件，Paul Kocher说。

在CPU内核的信用区域中，从认证到加密都采用了这个理念，这并不是反对当前整合所有核心安全密码的建筑实践。Paul Kocher表达了对此方法的几点担忧。如果共享区域，通过安全性最低的认证通道就能够进入所有的安全区域。“我们看到此事与安全套接层设计相关，采用了一个普遍的安全区域”，Paul Kocher说。你必须包含所有应该具有证书的实体。比如你会包含一个中国政府的证书吗？

另一个令人担忧是物理攻击的问题：操控电压或信号，光学探测、测量时间，或测量不同的电流，以便获得密码。CPU内核装置足够抵挡这些入侵吗？那是谁的责任？核心供应商是谁？该芯片的实施者？代工？如果内核在物理上不够安全的话，依赖于保护区域的一切都十分脆弱。

Paul Kocher推荐了一个替代方案，即把每个所有者的安全交易置入独立的硬件中、SOC中物理隔离的区域中或独立的芯片上。他为这些隔层设计制定了4项准则。保持每个分区的设计简单，让安全团队的每个人能够明白里面发生了什么。同样，能够全面准确了解在整个系统中分区的运作，特别是海关。而且确保没有一个组件会降低整个系统的安全性。“大部分的安全漏洞源于人为的错误。”Paul Kocher说，“剩下的问题就是你如何容忍人为错误。”

有趣的是，Paul Kocher强调设计过程是开放性的，而不是秘密进行的。“我们可以肯定理解分区内发生了什么在团队之间广泛传播，”他说。Paul Kocher声称，唯一真正能够打造安全工具的人是那些真正理解安全设计并掌握破坏系统知识的人们。

因此，嵌入式设计者发现自己身处一个艰难境地。他们在未经任何培训，也没有工具的情况下进行安全设计。整个产业在没有基本理论和完善的基础设施的情况下开始运作。而且，嵌入式系统面对不同层次的威胁正成倍增加，如运输系统、电网和个人移动设备等一些明确的攻击目标；或是看似无意义的目标，如自动启动的火车、机器控制器或家电应用。这项技术是时候发生转变了。