实现嵌入式系统数据安全与保护的一个较理想的选择就是用嵌入式处理器芯片(即DALLAS Semicon-ductor的DS5250高速安全微处理器)构建一个网络安全设备。
设计思想
之所以选用嵌入式处理器芯片作为网络安全平台,核心就在于它能实现一种安全协处理器的独特功能。
使用它可将系统的处理功能分为安全功能和非安全功能。其安全功能包括那些使用和保护加密密钥、口令、个人身份识别码(PIN)和其它知识产权的功能。由此,不需要安全机制的系统功能要由非安全处理器完成。为非安全系统加入安全协处理器提高了系统的安全级别,而不用对系统结构重新设计。
简单地配置一个安全协处理器会提高包含其它主要部件的系统安全性。安全协处理器负责系统中与安全性相关的任务,允许非安全处理器去完成主要的系统功能。这种功能上的分离简化了设计流程,并且提高了系统性能。如表所示,其应用大致可以分为以下几方面的安全性和非安全性功能。
非安全处理器可能会是ARM、SHARC、POWER PC等,并可以使用非易失性存储器,如闪存或EPROM。在非安全处理器和安全处理器之间一般会有专用的串行通信信道来传送状态信息和数据。必须仔细地设计系统,以保证安全处理器不会被攻破的非安全处理器欺骗,而泄露受保护的信息。
安全协处理器的主要功能是为存储口令、PIN码和私有密钥提供空间。这样的器件必须是专用的,并整合强有力的加密功能,而且还要足够灵活,以支持各种系统级的安全功能。安全协处理器的重要特性如下:
为保密数据包括口令、PIN码和加密密钥提供安全保护。保存这些数据的存储器和外部存储器总线必须使用强大的加密技术进行加密,如DES或其它类似算法。这种存储器保护允许安全协处理器和应用作为一个整体来保证安全交易可信无误。
必须采用主动防入侵检测功能,来检测物理以及环境的(电压或温度变化)入侵,它还应该能够发现外围级别的入侵企图,例如毁坏外壳。
一旦发现入侵,必须使用主动防入侵响应。一旦检测到入侵事件,安全协处理器必须能够将重要数据迅速清零或擦除,从而消除被敌手恢复的机会。在如此短的时间内能实现擦除的存储器技术只有SRAM。
必须能够检测到代码替换,并阻止多种侧面攻击,一旦检测到,器件必须执行防入侵响应。
包括入侵检测和存储器清零的安全功能,即使在主系统电源切断的情况下,也必须能起作用。
可为应用软件提供加密硬件,以支持系统级的加密需求。如图所示,该图为一个由嵌入式系统所构建的网络安全设备方框图。
上图显示了连接系统外围设备的通用CPU,该CPU具有自己专用的程序和数据存储器,其中不包含机密信息。安全协处理器和安全通信信道相连,并且还为通用处理器提供加密功能。安全协处理器的加密保护构建了一个加密边界,以保护所有的重要数据不会被窃取。此外,任何为通用CPU进行的系统级加密计算都能够在加密边界内安全完成。在一个设计正确的系统中,机密或受保护的信息永远不会在加密边界之外,作为明码文本而被得到。
安全特性
应该说DS5250高速安全微控制器正是一种满足这些需求的安全协处理器。作为安全微控制器系列的一员,DS5250高速安全微控制器是一种高度安全的,每机器周期包含4个时钟周期并且与8051指令集兼容的微处理器。DS5250包含一组传感器,用来探测物理上攻击管芯的企图和操控环境条件高/低变化的行为。可选择通过一个块校验来检测强制执行随机指令的企图,从而保护程序存储器。当检测到这些攻击时,器件执行一个破坏性的存储器复位,使其擦除内部加密密钥、所有的内部MOVX SRAM以及在某些情况下甚至包括外部加密SRAM。一旦擦除掉内部加密密钥,外部加密存储器就无法破解。