频道栏目
读书频道 > 安全 > 嵌入式系统安全:安全与可信软件开发实战方法
2.8 远程管理
2015-12-09 14:32:22     我来说两句
收藏   我要投稿
从读者的角度出发,以通俗易懂的语言,结合丰富多彩的实例,详细介绍了嵌入式系统安全开发设计各方面的知识。通过行业标准和实际经验提出切实可行的嵌入式安全方法,这无论对于初学者还是资深开发者来说都具有一  立即去当当网订购

当某嵌入式系统在一现场出问题了,开发者(有时是政府取证小组)需要确定问题的原因所在。飞行记录仪是个有名的现场诊断系统:最终产品(飞机)就可以附带一个内在的诊断能力(黑匣子)。新兴的嵌入式设备也要求有现场诊断和管理的能力。不像黑匣子只是纯作为一个取证工具,许多嵌入式系统为了具有现场诊断和管理能力要求拥有有效的网络连接。这个连接使得技术人员可以检查系统以定位异常行为的根源,如功能丧失或性能退化,补丁安装或其他软件升级,完成自动审核,修改配置,或执行其他大量的管理职责。另外,随着嵌入式系统内存的网络服务日益普及,设备管理可以方便地通过因特网来实现。可能已有人的家用电缆或有网络连接的卫星接入盒已被用于执行远程诊断和固体升级。设备管理的方式已经转变,通过远程管理有助于延长产品的使用寿命、可靠性、服务能力和客户的满意度,并且将减少维护费用和产品整体的成本。

关于远程管理的最好例子就是火星探路器:远程管理成功挽救了1997年的一场灾难——当时故障被定位是一个软件的缺陷,接着由来自地球的无线电链路传输补丁到该火星探路器,并完成了该缺陷的修补。

安全性的含义

黑客的野心:通过许可的操作,定位到漏洞,对计算机系统进行访问以达到邪恶的目的。随着时间的推移,远程网络攻击变得越来越复杂。在2010年4月,IBM安全研究者Mark Dowd用25页的报告详细地介绍了如何利用一组令人叹为观止的步骤突破Web访问漏洞,之前该漏洞在无所不在的Flash程序中被认为是无害的[15]。

关键点 远程设备管理是解决这个黑客最疯狂梦想的办法:嵌入式系统不仅意味着因特网接入,还将提供远程修改和修补软件的方法。

不需要Byzantine攻击影响,只需要获得基本操作系统的控制,嵌入式设备就会变成网络罪恶的欢乐场。

在第1章中,我们简单描述了VxWorks的远程管理漏洞,在该漏洞中操作系统的诊断端口通常都打开着,使得一个新手黑客都可进行非法的访问。该漏洞分布是如此的广泛,以致因特网难以擦洗完带有该缺陷的设备。针对该VxWorks缺陷,远程诊断连接很容易就让黑客安装不良程序,甚至获取根用户权限或直接替换操作系统本身(参见图2.29)。为了保护该远程管理端口,基本的防御手段是要采取强身份认证,要求使用TLS/SSL或IKE/IPSec(将在第5章描述这2种协议)的标准网络安全协议。首先,远程嵌入式系统必须认证该计算机是被合法的远程管理员使用。这就确保只有经过认证的,可信的管控计算机才能用于访问该嵌入式系统并对之实施管理。其次,如果操作员要发出管理命令,那么在建立远程连接之前,该管理计算机应对该操作员进行强身份认证。一旦该操作员被认证,SSL或IPSec将用认证好的加密算法来保护远程管理命令和数据的完整性与保密性。


 

当然,通过攻击管理计算机可以使得上述的网络安全保护无效。例如,主计算机上操作系统中的不良程序可以依附加密连接来对嵌入式系统进行渗透。必须特别注意保护好管理计算机,确保该计算机与因特网不相连,或与黑客访问得到的开放网络不相连。理想情况下,管理工作站应是专有于管理,且与因特网完全不相连。使用不安全的操作工作站来管控远程嵌入式系统就好比将挂锁锁在纸壳板来保障安全一样。世界上一个最著名的远程管理系统是:Windows更新。Windows更新让个人电脑可以不大知晓情况下远程地更新最新有效的安全补丁。但黑客也利用这个便利进行未授权软件的上传。

SSL连接只是保障正确地开发嵌入式系统以确保远程管理安全的冰山上一角。内部的威胁和开发上的缺陷会导致嵌入式系统部署时出现各种漏洞,进而让远程管理通道变成一条黑客访问的强大途径。针对这些威胁的开发流程是第3章的关注点。若没有二进制等级、安全传输和其他控制方面的测试保证,开发者就可以使用大量已有技术安插后门。阻止不良代码插入的设备管理安全解决方案就是要采用高可信的认证和数字签名:未经授权的IT管理人员、技术人员、门卫和用户不能旁路系统要求的强制访问控制。

开发者可以对他们自己的软件采用高可信的开发流程,但他们如何去应对第三方操作系统中的漏洞?而这些第三方操作系统许多都是以二进制形式发布,而且缺少相关安全性的考虑、习惯或保障。由于前面我们已讲到操作系统常会提供网络安全性的保障,所以这个问题明显就是关键的问题。

关键点 系统虚拟化可以针对结合或改造远程管理到嵌入式系统的问题提供一个有效的解决方案,将传统的操作环境提升为虚拟机,该虚拟机与远程管理功能相隔离,诸如连接认证和配置管理都由可信的系统管理程序提供。

事实上,设备管理软件可以被用来监管、配置和修补传统操作系统内核本身(参见图2.30)。




在许多情况下,安全设备管理解决方案牵涉到相应的咨询服务,以确保合适的安全组件以较高鲁棒性和低廉的方式集成和部署到终端设备上。鉴于伴随着远程访问出现的越来越多财务支出、安全感需求和安全性风险,许多嵌入式和移动设备制造商正在重新思考它们的设备管理策略。系统虚拟化是解决该远程管理挑战的一个很有潜力的强大方法。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.7.6 微内核中的安全I/O虚拟化
下一篇:2.9.1 可信硬件和供应链
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站