1、嵌入式系統的安全性上網時間:2007年02月26日旦打印扳區勾推薦給冋仁國發送查詢嵌入式系統的安全性往往最后才會被考慮到。工程師們在設計產品時往往以迅速上市為目標，而將安全性問題留待將來的版本升級時再行解決。這也并非不合邏輯，因為高級別的安全性會增加產品的成本，并延遲上市時間。然而，許多系統一開始時就需要高級別的安全性。有些情況下，安全要求岀自政府或某些貿易組織。例如，Visa和MasterCard信用卡公司制訂的PCI要求，對于銷售點終端或PIN鍵盤的安全性要求提供了詳細說明。在其他一些情況下，安全性設計被用來保護企業營收。安全應用能夠阻止逆向工程設計，防止產品被仿制，或者提供真正的篡改偵測

2、功能。安全微控制器究竟做了些什么呢，為什么安全微控制器對于敏感應用如此之重要？只有密鑰安全，系統才會安全安全性不僅僅取決于加密環節。盡管加密算法和密鑰管理程序的選擇很關鍵，但它們常常并不是安全應用中的薄弱環節。設想這樣一種場景，Alice和Bob各有一部只能彼此通信的安全電話。電話的加密措施牢不可破，即使使用當今世界所有的計算能力，也需要一個世紀才能破解。那么，薄弱環節在哪兒呢？電話！如果攻擊者控制了其中的一個電話，他或她就可以佯裝Alice或Bob,立刻得到他們的秘密信息。攻擊者甚至用不著偷電話，只要趁Alice或Bob不覺，簡單地安裝一個竊聽裝置就可以了。在此場景中，加密措施并未被攻破，而

3、是執行加密的設備，或者“密鑰”，安全性被輕而易舉地攻破了。在嵌入式系統中，密鑰通常是一個很大的密碼，被加密程序用來加密信息或認證數據。所以，一個安全嵌入式系統最為重要的工作就是保護該密鑰。如果系統遭到攻擊，必須清除該密鑰，防止其落入攻擊者之手。密鑰的破壞使設備無法工作，避免攻擊者獲取敏感信息，例如銀行帳號和密碼。為保證密鑰的安全性，密鑰應永不離開嵌入式系統的邊界，否則就為攻擊者攻破設備的安全屏障提供了捷徑（見圖1）。設計專門的存儲器保存密鑰的做法不可取，因為微控制器和存儲器之間的通信是可見的。最安全的做法是使密鑰停留在處理器內部，并用它實現數據的加密和認證。這就是說，系統微控制器需要有內部的非

4、易失存儲器。圖1:密鑰數據不應離開設備，甚至不應在芯片間傳送引發線和塑料保護即使密鑰數據只保存在微控制器中，攻擊者還是有可能發現安全信息。例如，如果攻擊者可以訪問微控制器地址和數據總線，他就可以通過插入指令的辦法使密鑰數據暴露于外部I/O口。更高級的攻擊者還可以移除微控制器的塑料封裝，使用微探針讀取內部存儲器的內容。所以，安全系統需要采取措施阻止這種訪問，甚至在必要時令微控制器擦除其存儲器內容。應對這一安全挑戰的一個簡單方法是將整個“敏感區域”(例如微控制器、時鐘和存儲器)密封在某種足夠牢靠的材料內，可能需要將印制板上的一塊區域用塑料填充或用金屬罩覆蓋。感應線裝置可以用來感測高溫或外殼的移動。

5、然而，如果微控制器處于低功耗狀態而不能采取行動，這種感測就沒有作用。DS5250:真正安全的密鑰保護方案DS5250DallasSemiconductor精湛的安全微控制器技術的結晶，解決了這些問題，可協助設計者實現高度安全的系統，足以滿足政府和金融應用之需。其所有出發點都聚焦于存儲器。NVSRAMDS5250內部的非易失性SRAM(NVSRAM)為敏感信息和密鑰提供了理想的存儲手段。這種常規的、低泄漏的SRAM滿足兩個關鍵要求：數據必須是非易失的。利用一個很小的廉價電池，就可以保持關鍵數據長達數年。數據必須易于迅速擦除。一旦芯片的入侵偵測電路被觸發，DS5250的SRAM瞬間即被擦除。電池供

6、電的入侵偵測及其反應除了NVSRAM外卜，一個安全系統還應有一些傳感器來偵測攻擊行為。DS5250有多個電池供電的入侵傳感器。無需微控制器處于活動狀態即可對入侵事件作岀反應。利用其片上溫度和電壓傳感器，DS5250可以偵測故障注入攻擊手段。當工作電壓或溫度超岀微控制器工作范圍，DS5250立即清除其內部NVSRAM。這種機制消除了攻擊者獲取任何密鑰數據的機會。為阻止對NVSRAM單元的微探針探測，DS5250的硅片頂層設置了一層超細網格。如果網格線被短路，DS5250即觸發自毀，清除密鑰數據。DS5250還提供了允許卜電路觸發自毀的輸入。這樣系統可以實現多層保護。卜部自毀觸發電路沒有任何限制。

7、一些常見的卜部傳感器包括:卜殼上的侵入偵測開關。印制板上的連線當卜罩被移動時斷開。利用光傳感器檢測卜殼是否被打開或被窺視。加密的代碼空間最初裝載系統時，DS5250使用一個隨機生成的3DES密鑰將指令代碼加密后再存儲到卜部存儲器中(圖2)。這可避免攻擊者向DS5250加入惡意代碼并運行之，也可阻止對應用進行逆向工程。代碼里也可以加入完整性檢查，以便偵測攻擊者改變程序代碼的企圖。經過加密的代碼空間不僅阻止攻擊者對應用進行逆向工程，而且可以阻止設備被非法仿制。因為密鑰由每個DS5250隨機生成，所以任何兩個系統的卜部閃存里的數據都不同。只有在攻擊者知道密鑰后，卜部閃存數據才有用，而從上面的敘述中我們已經看到，從DS5250獲取密鑰并非易事。DS5250COREON-CHIPINSTRUCTIONCACHENVSRAMkeys3DESENGINE64-BITENCRYPTEDBUFFER111IIIllllillllllllIlliIIIEIIIIIIIENCRYPTEDPROGRAMMEMORY圖