联网应用需求日增 嵌入式产品设计应重视防骇安全 智能应用 影音
D Book
繁体版 简体版
评估申请
登入
231
台湾恩智浦
Event
热门关键字
#台积电
#安世
#AI
#DRAM
#半导体
#NVIDIA
#联发科
#NB
#服务器
#存储器

联网应用需求日增 嵌入式产品设计应重视防骇安全

  • 陈南宗

嵌入式系统使用越来越普及,若安全机制设计不良,将对系统维运影响甚钜。(Motorola)
嵌入式系统使用越来越普及,若安全机制设计不良,将对系统维运影响甚钜。(Motorola)

嵌入式系统是一种采取嵌入元件内部的设计方案,通常为针对特定应用环境与需求设计的专用电脑系统,往昔黑客、病毒较青睐攻击PC、Server或笔记本电脑这类相对较大型的应用系统,但随着嵌入式设备的联网设计越来越普遍,嵌入式产品在开发阶段也需将防骇设计纳入考量...

嵌入式系统(Embedded System),通常是为了特定用途设计的电脑专用系统,这种概念与现有的个人电脑、笔记本电脑、网络服务器...等通用型电脑系统相当不同,因为嵌入式系统通常运行的程序码目的,多以预先定义的应用任务为主,甚至多数嵌入式系统仅需针对少许特殊任务进行处理,因此嵌入式系统开发人员得以针对程序码、系统进行最佳化设计,甚至仅使用少许硬件资源、存储元件,即能建构应用系统。

嵌入式系统搭载联网功能已是基本应用,但系统建构之服务机制也容易出现网安漏洞。

嵌入式系统搭载联网功能已是基本应用,但系统建构之服务机制也容易出现网安漏洞。

嵌入式产品数量激增,相关网安问题也因此备受重视,图为 ALTERA嵌入式系统开发板。ALTERA

嵌入式产品数量激增,相关网安问题也因此备受重视,图为 ALTERA嵌入式系统开发板。ALTERA

能对系统进行最佳化、减少程序码长度、降低硬件资源,甚至降低制作成本,都是将应用目的导入嵌入式设计的优点,但这些优点也相对造成嵌入式系统可能在发展其余加值应用的限制。

嵌入式系统并非绝对安全

基本上,嵌入式系统的核心,是由1组或数个预先程序化的微处理器、控制器来处理指定之特殊任务,相较通用型的电脑系统,嵌入式系统并无法任意执行用户安装的软件,而嵌入式系统的软件通常也是以不变或少量变化的数据为主,接近韧体(firmware)的程度。

现今嵌入式系统的开发团队会针对嵌入式系统之性能、载板元件占位面积,来进行产品开发的最佳化设计,反而在通用型电脑开发领域较重视的防毒、防骇等网安问题,就相对容易被轻忽,也因为嵌入式系统大量采行微处理器、微控制器或SoC(System-on-a-chip)烧录在单一芯片的设计形式,相较通用型电脑系统,其网通界面相对开放,容易使设备成为网络攻击跳板或是网络攻击标的。

嵌入式系统整合网通服务 网安风险升高

嵌入式终端系统与网络云端服务的进阶整合应用日趋成形,若嵌入式系统遭遇的仅是阻断式攻击,顶多造成应用系统瘫痪,令整合服务网络失去效用;若是遭黑客侵入,进一步掌控应用系统,造成的危害便不只是服务被瘫痪这麽单纯,小则用户敏感数据外泄,大则让控制系统出现误动作而导致严重损失。

目前已有多起黑客以蠕虫软件造成嵌入式设备出现误动作事件发生,例如,蠕虫病毒侵入智能电网关键控制器造成设备误动作,影响电力网格服务的正常运作,或是攻击公共设备之嵌入式终端,令其运行超载,或阻断其信息传递网络,造成系统出现错误等问题,这些案例凸显嵌入式系统并非安全无虞,且因嵌入式系统多半用于执行关键任务,更需重视网通安全设计。

例如,开发过程必须针对应用程序界面设计安全防护机制,透过认证系统防治恶意的黑客刺探,避免黑客反向解析传输内容;或者,嵌入式系统加入防止恶意程序码运行之安全白名单(white-list)机制,同时强化关键数据的保安设计。例如,在传输智能电表撷取之数据数据前,嵌入式系统预先将数据加密,再透过加密管道进行数据传递,并于传送/接收端加上身份验证机制,避免重要信息遭到拦截。

利用程序执行安全名单 管控系统运行

利用安全程序白名单、身份认证机制、数据传输前的预先加密/接收端之解密处理...等设计手段,通常只是被动式地预防黑客问题,而要做到整体系统全盘检视、考量各个系统安全较脆弱的环节,不只搭配技术评估同时强化应用设计,需再从硬件底层、操作系统、中介软件、应用层...等方面通盘考量,才能筑高黑客入侵的门槛。

有趣的是,目前嵌入式产品的复杂度越来越高,也有逐渐往通用型系统平台演化的趋势,例如,堆叠的应用功能越来越多,终端衔接云端服务的复杂度大幅提升等等,让嵌入式产品的应用变得更加智能化。

但智能化的结果也代表容易出现更多网安漏洞,为了提供丰富的互动性,设备往往藉由繁复的网通数据传递,在要求实时反应、回馈需求的同时,网安的防护强度可能因此被降级,此时必须搭配数据传输同步监测,主动揪出潜在的异常存取行为。

严密掌控OTA更新管道 填补嵌入式系统网安缺口

另一个网安缺口,可能存在于嵌入式系统终端的更新机制,一般采取OTA(over the air)的在线更新方式,为嵌入式终端系统进行设备韧体更新,但若OTA未能充分考量更新档案来源的安全认证问题,让终端不小心更新了预载木马程序的韧体,则后患无穷。

预防上述问题的常见作法是,在经由OTA取得更新数据后,嵌入式系统并不直接装载更新、重新开机运行,而是预先进行终端自我测试,针对独立的测试模块进行缺省任务的输入与输出比对,以此分析韧体有否遭受病毒或黑客木马攻击,一经发现韧体受到感染随即删除OTA更新数据,并将嵌入式系统恢复更新前的状态,或直接将设备关闭同时发出安全警示,通知管理员进行设备维护,避免黑客藉由OTA机制长驱直入。

还有另一种作法,是将发布之韧体搭配硬件加密芯片进行安全认证,且所有相关数据均经由硬件加密芯片处理后才进行传送,透过繁复的网安防护机制,确保嵌入式终端设备远离黑客的攻击。

关键字
议题精选-嵌入式系统设计专辑