0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

实现可信根的两种方式和优缺点比较(How)

电子工程师 来源:未知 作者:李倩 2018-11-16 15:31 次阅读

第一部分讲述了服务器固件的安全风险和传统保护方法的不足(What);在接下来的文章中您还将看到实现可信根的两种方式和优缺点比较(How)。让我们一探究竟吧!

概述

典型的企业服务器包含多个处理组件,每个组件使用各自的非易失性SPI Flash缓存来保存其固件(即上电后处理组件立即启动所需的软件)。尽管使用闪存很方便现场升级和修复问题,但同时也容易遭受恶意攻击。黑客可以未经授权就访问固件,在组件的闪存中植入恶意代码。这些代码能够轻易躲过标准的系统检测手段,即便是进行更新或更换硬盘也无法解决,从而对系统造成永久性破坏。

为解决这一问题,一些处理组件采用集成在芯片上的硬件电路来检测未经授权的固件修改。然而,电路板上其他未采用此种方案的处理组件还是缺乏有效保护,整个服务器仍然易受攻击。美国国家标准与技术研究所(NIST)最近发布了2018年NIST SP 800 193标准,定义了一种标准的安全机制,称为平台固件保护恢复(PFR)。PFR主要基于以下三个指导原则:

PFR功能主要依赖外部的硬件(芯片)带有“可信根”(RoT)的器件。使用基于FPGA的RoT器件实现PFR解决方案比使用基于MCU的可信根器件更安全、扩展性更好、系统可靠性更高。莱迪思推出的全新PFR开发套件能让服务器的原始设备制造商快速为其现有设计增加PFR功能,并充分利用这一强大的安全技术带来的优势。系统架构师和系统集成商如今可以更为方便地设计、实现和维护符合PFR标准的FPGA RoT器件,而无需拥有专门的安全专业知识。

易受网络攻击的服务器固件

预计到2021年,网络攻击犯罪造成的损失将达到6万亿美元。网络黑客不断寻找规避安全措施的新方法,旨在:

• 偷看或窃取存储在服务器上的专有数据(信用卡号、公司知识产权等)

• 绕过服务器偷看或窃取数据

• 劫持服务器,对其他目标进行DDoS攻击

• 通过让服务器的一个或多个硬件组件无法运行,从而对其造成破坏(称之为“变砖头”)

由于操作系统和应用会定期更新,以便加入新功能或修复漏洞,它们很容易成为黑客入侵服务器的最大目标。于是,组织的安防资源和战略一般会倾向于保护操作系统和应用软件。然而,入侵服务器还有另外一个较少为人所知的攻击载体:固件。

固件是指服务器组件(即CPU、网络控制器,片上RAID解决方案等)率先上电后立即执行的第一个启动代码。组件的处理器假定固件为一个有效可靠的起点,从中启动并根据服务器的配置使用它来分阶段验证和加载更高级别的功能。在某些情况下,处理组件在其整个运行周期内使用固件执行所需的功能。

国际信息系统审计协会(ISACA)2016年的一份调查显示,在那些声称将硬件安全视作组织头等大事的受访者中,超过半数“报告了至少一起受恶意软件影响的固件被引入公司系统的事件”,并且17%的受访者表示“这些事件造成了实质性影响。”

固件安全状态

服务器固件可能在供应链的各个不同阶段遭到入侵,包括:

•在原始设备制造商处:在生产过程中操作人员恶意植入受感染的固件

•在系统集成商处:在根据客户要求配置服务器时安装未经授权的固件

•转运到客户的过程中:黑客可以打开服务器包装,通过线缆下载未经授权的固件,将恶意代码植入组件的SPI存储器中

•现场运行过程中:黑客可以利用固件的自动更新,将可绕过任何现有保护机制的伪造固件替代正常的更新

典型的服务器主板目前都使用至少两种标准的固件实例:统一可扩展固件接口(UEFI)和基板管理控制器(BMC)。尽管这些接口能对固件起到一定的保护作用,但也非常有限。

标统一可扩展固件接口(UEFI)

UEFI(之前称为BIOS)是负责将服务器固件载入操作系统的软件程序。UEFI在生产过程中就已经安装就绪,用于检查服务器有哪些硬件组件、唤醒这些组件并将其交给操作系统。这一标准通过一种称之为安全启动的过程检测未经授权的固件,如果检测到未经授权的固件,该安全机制就会阻止硬件组件启动。然而,安全启动的实现和支持因组件和供应商而异,这会导致组件安全性能出现漏洞,从而被黑客利用。此外,如果非法固件设法绕过了安全启动,UEFI就无法将组件的固件恢复到上一个经授权的版本并继续运行。

基板管理控制器

基板管理控制器是母板上的一种专用微控制器(MCU),通过独立的连接与系统管理员通信以及使用传感器来监控“计算机、网络服务器或其他硬件设备”。许多BMC会筛查各自的固件安装情况以确保固件的合法性,但是对于其他的服务器固件则无能为力。BMC无法阻止恶意代码攻击电路板上的其他固件。例如,如果恶意代码被植入组件的SPI存储器未使用的分区,那么BMC则无法阻止代码进入服务器的整个代码流。

图 1:统一可扩展固件接口和基板管理控制器接口只能提供有限的固件保护

平台固件保护恢复(NIST SP 800 193标准)

为解决当前固件标准的安全问题,美国国家标准技术研究所(NIST)于2018年5月发布了一项新标准,为包括UEFI和BMC在内的所有固件提供全面保护。这一被称为PFR的NIST SP 800新标准旨在“提供技术指导和建议,支持平台固件和数据的恢复,预防潜在的破坏性入侵。”它提供了一种保护系统中所有固件的统一方法,并且可以配置为对正常系统操作不具有侵入性。一旦确定未经授权的固件正在尝试安装,它则会停止任何相关组件。并且PFR还相对于各个组件可能支持的任何安全功能独立运行。

该标准概括了保护固件的三大关键原则:

•保护——通过阻止对组件SPI存储器的保护区域实施未经授权的写入或者清除全部或部分固件的恶意行为,从而确保组件的固件处于稳定状态。在有些情况下,甚至对保护区的读取的操作也是禁止的。

•检测——在组件的处理器从固件启动之前,可以先验证来自原始设备制造商的固件更新包。若检测到固件有破坏或未经授权,则启动恢复过程

•恢复——若检测到固件被篡改或被破坏,处理器将从上一个可信固件版本(即“黄金镜像”)启动,或者通过可信进程获得新的固件,启动全系统的恢复。

PFR需要基于硬件的可信根

根据NIST的这一标准,实现安全的PFR功能需要可信根(RoT)器件对服务器的固件执行保护、检测和恢复操作。符合NIST标准的RoT器件必须在启动之前、且不借助任何其他外部组件的情况下对其固件进行以上操作。

硬件RoT解决方案必须拥有以下特点:

可扩展——RoT器件必须通过外部SPI镜像实现保护、检测和恢复功能,同时具备毫微秒级响应速度。这需要专用处理和I/O接口,保证服务器的性能不受影响。的位置

不可绕过——未经授权的固件不能绕过RoT器件,从而无法从受损的固件启动服务器。

自我保护­——RoT器件必须动态地应对不断变化的攻击面(设备或系统中未经授权的用户可以访问的所有节点),保护自身免受外部攻击

自我检测——RoT器件必须能够使用不可绕过的加密硬件模块检测未授权的固件

自我恢复——当设备发现未经授权的固件时,RoT器件必须能够自动切换到上一个黄金固件映像,确保服务器继续运行

图 3:NIST SP 800-193标准:平台固件保护恢复

如图3所示,RoT器件首先上电,并通过加密方式检查所有组件的固件,以及是否有未经授权的修改。若RoT器件检测到任何破坏,则启动可信固件恢复过程。在极端情况下,若电路板上的所有固件全部受损,RoT器件还可以利用存储在该器件中的可信固件进行全系统恢复(通过BMC)。BMC从可信固件启动后,从系统外部取得已知可信的固件替代被破坏的固件版本。RoT器件随后再次验证所有固件,然后启动电路板的上电程序,在此过程中板上所有组件都将上电,并强制从已知的完好固件镜像中启动,最后开始正常工作。

为保证SPI存储器不再遭受入侵,RoT将主动监测SPI存储器和对应处理器之间的所有活动,发现恶意更新固件的行为后,阻止安装更新。

... ...

To be contunued...

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9165

    浏览量

    85432
  • 硬件电路
    +关注

    关注

    39

    文章

    243

    浏览量

    29230
  • 网络控制器
    +关注

    关注

    0

    文章

    24

    浏览量

    10669

原文标题:您的服务器安全可能面临威胁!!(Part 1)

文章出处:【微信号:FPGAer_Club,微信公众号:FPGAer俱乐部】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    请问C6748下的两种DSP开发方式有什么区别

    各位开发者: 大家好。我使用的DSP开发板为TMDXLCDK6748,看了TI公司提供的资料,在开发板上开发程序主要有两种方式:一是裸机开发,需要安装StarterWare,另一
    发表于 01-14 14:12

    请问小车转向两种方式有什么优缺点

    我知道的小车转向常见的有两种方式,一是通过舵机控制转向,另一是通过控制个轮子的转速,通过转速差实现
    发表于 05-21 02:37

    串口通信的两种方式

    串口通信由两种方式,第一就是用微机原理课上学过的TX和RX个接口进行通信。不过根据去年的经验,这个板子直接用TX和RX个接口进行通信容
    发表于 08-24 06:59

    DC-DC和LDO两种供电模式有什么优缺点

    给单片机供电的电路经常见到DC-DC 和 LDO 两种供电方式,这个选型上有什么规律吗,各有什么样的优缺点
    发表于 11-01 06:43

    电力操作电源两种控制方式比较

    电力操作电源两种控制方式比较   1引言 开关电源是一个闭环的自动控制系统,开关电源的控制环节的设计是其设计
    发表于 07-10 08:43 1395次阅读
    电力操作电源<b class='flag-5'>两种</b>控制<b class='flag-5'>方式</b>的<b class='flag-5'>比较</b>

    两种左右手传输线实现方式的研究现状进行了深入分析以及优缺点对比

    左右手传输线的理论和应用研究已在微波技术领域深入展开,特别是在天馈线系统中的应用研究已成为热点。本文根据左右手传输线的宽带移相特性,总结了近年来国内外关于基于左右手传输线的微波移相器的最新研究成果,对两种实现方式的研究现状进行了
    的头像 发表于 02-01 16:37 5675次阅读
    对<b class='flag-5'>两种</b>左右手传输线<b class='flag-5'>实现</b><b class='flag-5'>方式</b>的研究现状进行了深入分析以及<b class='flag-5'>优缺点</b>对比

    补偿式交流稳压器电压补偿的两种设计方式详细说明

    介绍了补偿式交流稳压器电压补偿的两种方式,以输出功率为5kV·A的单相稳压器为例,提出了两种方式各自不同的设计方法,并对设计的结果进行比较
    发表于 02-02 11:59 15次下载
    补偿式交流稳压器电压补偿的<b class='flag-5'>两种</b>设计<b class='flag-5'>方式</b>详细说明

    在MATLAB/simulink中建模时的两种不同实现方式

    导读:本期文章主要介绍在MATLAB/simulink中建模时的两种不同实现方式,一是直接用现成的文件库中的模块进行搭建,一是用Sfun
    的头像 发表于 09-15 10:07 1890次阅读

    MATLAB/simulink中两种实现建模方式的优势

    导读:本期文章主要介绍在MATLAB/simulink中建模时的两种不同实现方式,一是直接用现成的文件库中的模块进行搭建,一是用Sfun
    的头像 发表于 09-15 10:10 5055次阅读

    数字电源和开关电源的优缺点

    数字电源和开关电源的优缺点 数字电源和开关电源是现代电子设备中最常用的两种电源。这两种电源在设计和工作原理上有很大的不同,因此也有不同的优缺点。本文将详细介绍数字电源和开关电源的
    的头像 发表于 08-18 15:01 2669次阅读

    CML型比较器和StrongArm型比较器的优缺点是什么?

    Regeneration型比较器,CML型比较器和StrongArm型比较器的优缺点是什么?  比较器是数字电路中广泛使用的关键组件,用于
    的头像 发表于 09-17 17:11 2834次阅读

    两种用于汽车PCB组件的连接器端子组件的优缺点

    摘 要:本文介绍两种用于汽车PCB组件的可塑性端子即针眼(EON)形可塑性端子和独木舟形可塑性端子(CCT)设计式样,并简单地介绍这两种连接器端子组件的优缺点
    的头像 发表于 11-05 11:39 1069次阅读
    <b class='flag-5'>两种</b>用于汽车PCB组件的连接器端子组件的<b class='flag-5'>优缺点</b>

    电动机调速方式优缺点

    电动机调速方式优缺点  电动机调速是指根据负载的要求调整电动机转速的过程,可分为机械调速和电子调速两种方式。机械调速主要使用机械装置来调整电动机的速度,而电子调速则利用电子器件对电动
    的头像 发表于 01-04 11:26 1369次阅读

    控制器有哪两种实现方式?各有何优缺点?

    介绍这两种实现方式优缺点。 硬件控制器 硬件控制器是一使用专用硬件电路来实现控制功能的控制器
    的头像 发表于 06-30 10:33 1260次阅读

    FPGA与ASIC的优缺点比较

    FPGA(现场可编程门阵列)与ASIC(专用集成电路)是两种不同的硬件实现方式,各自具有独特的优缺点。以下是对
    的头像 发表于 10-25 09:24 441次阅读