將不需要的組件和惡意軟件排除在嵌入式系統(tǒng)之外需要監(jiān)控供應鏈和運行中的系統(tǒng)。安全錨點是此等式后半部分的解;它通過成為嵌入式系統(tǒng)中的信任根，提供了監(jiān)控運行中系統(tǒng)的能力。

高速、低成本嵌入式處理能力的集成對作戰(zhàn)裝備產(chǎn)生了革命性的影響。它也正在慢慢實現(xiàn)人們期待已久的凈中心戰(zhàn)愿景。然而，在沒有完整起源歷史的情況下整合商業(yè)技術會在潛在供應商之間產(chǎn)生一系列新的“信任”問題。信任是產(chǎn)品或制造商的質(zhì)量，其身份和意圖可以高度準確地假設。對供應鏈的信任度低會在軍事行動中造成重大問題;解決這個問題圍繞著提高供應鏈或嵌入式系統(tǒng)本身的信任水平。

解決電子領域信任問題的一種方法與在社交世界中處理信任問題的方式相同：依靠少數(shù)可信來源來保證他人的真實性，這可以稱為“安全錨點”。這些可以是社交世界中的官方文件、徽章和個人參考;數(shù)字電子系統(tǒng)中的安全錨點允許管理功能和系統(tǒng)監(jiān)視器驗證其網(wǎng)絡的運行完整性以及有權訪問其系統(tǒng)的任何人。在高度防篡改的安全處理器中實現(xiàn)安全錨點可提高整個系統(tǒng)的信任和安全級別。我們的討論探討了缺乏信任導致的問題，如何利用安全錨點，它在哪里適合軍方以網(wǎng)絡為中心的愿景，以及如何有效地部署安全錨點。

缺乏信任引起的問題

當網(wǎng)絡或嵌入式系統(tǒng)中無法識別或信任玩家（人類或電子）時，就會產(chǎn)生漏洞。當今最大的信任問題之一是商業(yè)企業(yè)、政府和軍用電子設備的電子供應鏈。已發(fā)現(xiàn)并報告多個假冒部件。這些組件的未知內(nèi)容可能導致特洛伊木馬插入、惡意電路或后門，從而允許對個人、公司、醫(yī)療、財務或政府數(shù)據(jù)和系統(tǒng)進行不必要和非法的訪問。

由美國海軍和商務部工業(yè)與安全局（BIS）贊助的一項調(diào)查發(fā)現(xiàn)，2008年發(fā)生了7，000多起假冒事件，比2007年增加了25%以上。假冒電子產(chǎn)品被定義為“重新標記為更高等級”、搶救或廉價副本。這些假冒產(chǎn)品的影響導致設計無法正常工作，比設計更早失敗，并且無法滿足環(huán)境條件。其中許多是在軍事裝備中，導致戰(zhàn)術飛機和車輛中的線路可更換單元的早期故障。

利用安全錨點

構(gòu)建更值得信賴的系統(tǒng)并不意味著從頭開始重新架構(gòu)它們或替換每個沒有已知來源的系統(tǒng)組件。對于幾乎所有軍事系統(tǒng)來說，這是一項艱巨的任務，而且不具有成本效益。相反，只需向系統(tǒng)添加多個信任根，并具有帶外身份驗證和監(jiān)視功能，即可改善系統(tǒng)完整性和可信操作。這些可以稱為安全錨點。

安全錨點是一個受信任的處理節(jié)點，可以作為對系統(tǒng)中的其他組件和通信節(jié)點進行身份驗證的出發(fā)點。使用專門為硬件開發(fā)的虛擬化技術和應用程序，可以在安全處理器上運行受信任且安全的應用程序。有幾個推薦的功能會導致此受信任狀態(tài)：

值得信賴的設計和制造

安全啟動代碼

抗篡改和逆向工程

加密消息傳遞和內(nèi)存接口

如圖 1 所示，安全處理器托管一組活動，這些活動收集系統(tǒng)總線信息、處理數(shù)據(jù)、將數(shù)據(jù)流相互關聯(lián)以查找異?；顒踊蚪M件身份，并生成適當?shù)捻憫蛄可矶ㄖ频脑儐?。這些數(shù)據(jù)通過各種嵌入式系統(tǒng)數(shù)據(jù)線收集，包括VME背板、PCIe和串行RapidIO跡線或?qū)Ｓ袛?shù)據(jù)格式。FPGA 或其他市售橋接器件用于將安全處理器連接到其數(shù)據(jù)源。首選FPGA有兩個原因：FPGA技術已經(jīng)發(fā)展到允許在單個設備中橋接大量數(shù)據(jù)格式;此外，可以執(zhí)行安全IP塊以支持數(shù)據(jù)加密，以進一步保護安全處理器的功能。

圖1：使用安全處理器的安全錨點框圖

安全錨點的主要目標之一是控制嵌入式系統(tǒng)的“漏洞點”。當攻擊者試圖對嵌入式系統(tǒng)進行逆向工程、克隆或破解時，第一步是識別單個通信節(jié)點，該節(jié)點將允許使用惡意軟件或插入的代碼進行秘密控制。安全錨點試圖成為單一的通信節(jié)點，通過多層防篡改、加密和混淆使黑客攻擊變得極其困難或不可能。這與國防部指令5200.39的基本原理類似，該指令要求軍事系統(tǒng)開發(fā)人員識別其關鍵計劃信息（CPI）并對其進行保護。

對其他網(wǎng)絡節(jié)點進行身份驗證

在以網(wǎng)絡為中心的軍隊中一步到位地實施分布式信任保證是一項艱巨的任務。因此，實現(xiàn)卡內(nèi)基梅隆大學的林恩·羅伯特·卡特（Lynn Robert Carter）所說的“非對稱安全性”［2］，即受信任代理向網(wǎng)絡參與者提供經(jīng)過身份驗證的數(shù)據(jù)和身份管理的能力非常重要。

安全錨點在非對稱安全性中的作用是充當系統(tǒng)中其他組件或處理器的“引用”。此轉(zhuǎn)介將基于有關威脅、預期操作代碼和已知系統(tǒng)元素的最佳可用知識。由于安全錨點是安全處理器，因此它可以隨著時間的推移適應新的威脅，而無需通過安全加密固件更新修改系統(tǒng)。驗證和行為監(jiān)控信息由用戶通過安全啟動編程提供。安全錨點詢問可對高度敏感或昂貴的 IP 元素進行嚴格的庫存控制和 IP 監(jiān)控。

安全錨點由系統(tǒng)設計人員和/或管理員控制，執(zhí)行唯一詢問、哈希、串行 ID 查詢、時序測量或其他方案等技術。然后，它定義對遇到的任何信任沖突的響應，從簡單的管理警告通知到系統(tǒng)關閉或內(nèi)存清零。

為了使安全的錨點應用程序在以網(wǎng)絡為中心的操作中具有可擴展性，提供一組通用的構(gòu)建塊和參考設計至關重要。通過這種方式，隨著企業(yè)的擴張，可以經(jīng)濟高效地添加新的錨點，但仍然可以對其進行修改和更新，以監(jiān)控最近的和局部的威脅、假冒設備和越界行為。

高效設置安全錨點

安全錨點的設計在硬件和軟件方面都極難進行逆向工程。像CPU Tech的Acalis這樣的安全處理器可以作為一個安全錨點，因為它被設計用于抵抗克隆和逆向工程，并包含獨特的芯片序列化（在IBM Trusted Foundry完成）。這些安全處理器還具有專有的“水印”特性，作為其制造的一部分，可用于供應鏈和操作中的身份驗證。將 Acalis 安全錨點添加到系統(tǒng)需要增加硬件設計、軟件設計和 IT 基礎設施方面的工時，但不需要對現(xiàn)有系統(tǒng)進行架構(gòu)更改或重新設計。

圖2：在嵌入式硬件系統(tǒng)上實現(xiàn)的安全錨點

圖 2 顯示了在 CPU Tech 建模的現(xiàn)有硬件上實現(xiàn)安全錨點的情況。 高保真硬件模型是識別安全錨點應監(jiān)控的信號和組件列表的好起點。將錨點構(gòu)建到模型中提供了識別威脅和漏洞的能力，然后實施具有全方位響應和系統(tǒng)警告功能的安全錨點。

審核編輯：郭婷