帝皇彩票开奖

  • IIANews微官网
    扫描二维码 进入微官网
    IIANews微信
    扫描二维码 关注微信
    移动客户端
  • English
2020OEM机械设计技术研讨会云会议
嵌入式系统

Cyber Security | 浅谈嵌入式系统信息安全

  2020年06月11日  

  之前关注了许多功能安全内容,这次我们来聊聊信息安全(Cyber Security)。

  信息安全也叫网络安全,国际标准化组织(ISO)的定义是“为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露”。

  它与功能安全(Function Safety)有什么区别和关联呢?

  信息安全与功能安全

  下图直观的展示了两者的区别,功能安全问题侧重系统本身发生故障导致对环境(包括人身)产生的危害;信息安全问题侧重系统存在漏洞导致对外界攻击的防御能力下降。对于高完整性系统而言,功能安全往往会首要考虑,再依据与外界交互的特点引入信息安全考量。

  信息安全中所谓的漏洞具体是怎么样的?让我们通过回顾著名的心血漏洞(HeartBleed)事件来加以说明。

心血漏洞事件还原

  心血漏洞于2014年4月首次向公众披露,号称本世纪最严重的安全漏洞事件,涉及全球三分之二的网站。事情的起因在于被各大网站广泛使用的开源网络通信加密协议 OpenSSL,
  其原理是当使用基于 OpenSSL 通信的双方建立安全连接后,客户端需要不断的发送心跳信息(如固定长度的字符串)到服务器,服务器接收后返回该固定长度的字符串, 从而确认服务器是可用的。

  客户端向服务器发送的心跳信息包含了数据长度和待传输数据信息,理论上服务器端 OpenSSL 应该回传与该数据长度一致的信息。然而由于 OpenSSL 代码的缺陷(漏洞),客户端可以从服务器获取远超其权限内容的数据信息,其中有可能就包含如信用卡账号和密码等敏感信息。

  我们用一段简化程序(注1)来模拟这个过程,在以下程序中代码 1 处构建了客户端发送的心跳信息,但是数据长度信息(100)大于实际有效数据(4,即‘data’),代码 2 处和 OpenSSL 协议类似使用 memcpy 函数将与数据长度信息一致的数据写入回传数据包中。

  程序运行结果如下,我们看到回传的数据包含了心跳包数据之外的信息,成为安全漏洞的来源。

  类似信息安全问题如何预防呢?我们可以用代码验证工具 Polyspace 对源代码事先进行一下分析,结果如下:

  Polyspace 指出了 memcpy 函数使用的问题,即源数据段长度与指定数据长度不一致,并在帮助文档中列出了其与信息安全漏洞库 CWE(Common Weakness Enumeration)对应的 ID。程序中的另一个缺陷,动态内存未被释放造成内存泄露问题也在程序末尾指出。

  修复这个漏洞很简单,在 memcpy 之前加上对有效数据长度(payload)的检测即可。

  发现问题即解决了问题的大部分,好的流程和工具是应对信息安全的有力保证。心血漏洞事件主要波及互联网领域,嵌入式系统是否也有信息安全的隐忧呢?

嵌入式系统与信息安全

  以汽车行业为例,传统的汽车电子电器架构相对封闭,与外界的通信主要是 OBD 诊断接口,随着智能网联技术的发展,汽车逐渐成为万物互联的节点,信息安全的重要性不断提升。

  2015 年某车型的信息安全漏洞召回事件使该年被称为成为汽车信息安全元年。两名白帽黑客通过无线通讯连入该车的车联网系统,继而破解了与车联网系统相连的 CAN 总线网络,获取了向其发送指令的权限得以对发动机、变速箱、制动、转向等系统进行控制。该入侵因没有通过 OBD 等物理接口连入而使得汽车信息安全受到广泛关注。

结语

  面对越来越开放互联的世界,助力高可靠安全的嵌入式系统开发始终是我们的目标,不知道您否已经把信息安全的考量提上了日程?更多关于嵌入式信息安全和代码静态分析的内容可以点击“阅读原文”参见 Polyspace 产品主页。

标签:MathWorks MATLAB我要反馈
最新视频
全球抗疫,机器人都做了些什么?(Ⅱ)   
ABB Smart Connection数字化仓库-无线扫码出入库   
魏德米勒
专题报道
2020年4月16日,由智能网联合国际工业自动化、造车网共同打造的“线上云展”——2020第二届中国智能展览会正式上线。本季展会为期10天,继续围绕“智能领跑,无限未来”的主题打造七大虚拟展厅,以强大的科技核心本源为参展商、投资商与展会观众之间筑建持续畅通的信息桥梁,助力中国制造业新的增长。
企业通讯
罗克韦尔自动化智能运维
罗克韦尔自动化智能运维

当前,刚刚经受过疫情洗礼的广大制造型企业,即将面临“后疫情时代”复工复产的安全和效率压力,以及生产运维的诸多痛点和挑战。

西门子专栏《自有工论》
西门子专栏《自有工论》

“工业5G”将会是5G未来发展最为茁壮的分支之一,其与云技术、边缘计算和人工智能等先进制造技术的融合共振,将为智能制造和

在线会议

社区

状元彩票计划 桔子彩票网址 福建快3走势 贵州快3走势 河北快3 吉利彩票计划 状元彩票开奖 迪士尼彩乐园 大象彩票计划 迪士尼彩乐园