本书提供了一个关于安全法则、安全薄弱环节以及相关可用技术的概述。通过对真实的系统漏洞案例和出于安全需要的开发实例的讲解,给出了抵消安全风险的有效技术及建议。领域涉及数据保护协议、新兴的嵌入式系统、网络、密码系统、系统体系结构、操作系统和存储技术:
·本书提供给大家使嵌入式系统更可靠、更安全、更有保障的终极建议。
·本书展示了对安全法则、安全担忧及相关技术的深刻理解。
·本书介绍了高效开发安全可靠嵌入式软件的成熟技术。
·当设计安全可靠的嵌入式系统时,系统架构、操作系统、管理程序、网络、存储以及加密,这些都必须被作为研究课题。
·实用性的建议和众多案例研究贯穿全书。
·这是嵌入式系统和安全从业人员必读的一本书,无论是新手还是专家。
首本嵌入式系统安全领域的书籍,填补了国内此领域的研究空白。
从软件架构、加密、数据保护以及应用等方向进行全面而深入的剖析。
本书作者系NSA加密认证系统首席设计师,拥有丰富的嵌入式安全经验。
封底:
本书对于理解安全的嵌入式系统有着重要的帮助。两位作者是各自领域的专家。随着物联网成为现实,本书可以帮助业务和技术管理人员以及工程师理解“从头构建安全”的重要性。本书包含各种案例和要点,有助于带给市场更加安全、稳固的系统。
—— Joerg Borchert博士
北美英飞凌科技公司芯片卡与安全副总裁,可信计算组织总裁兼主席
本书提供了关于风险和攻击的实际示例。最重要的是,该书为构建安全的嵌入式系统给出了一种清晰的认识。
—— Adriel Desautels
美国Netragard公司总裁兼首席技术执行官
嵌入式系统的安全比以往任何时候都要重要。网络的快速增长是其中一个原因。然而,很多嵌入式系统开发人员缺乏实现他们设计的系统的安全知识。David Kleidermacher是该领域中名满天下的专家,在书中与其他工程师分享了他的知识和长期的经验。这本非常重要的书恰逢其时。
—— Matthias Sturm博士
莱比锡应用科学大学教授,嵌入式世界会议指导委员会主席
前:
对安全的原则、问题和技术的一种深刻理解
高效地开发安全、可靠的嵌入式软件的成熟技术
针对系统架构、操作系统和超级管理程序、网络、存储和加密问题的研究,这些是设计安全嵌入式系统所必须考虑的问题
通篇使用了实用的建议和大量的案例分析
本书由重要的权威人士编写,作者拥有丰富的嵌入式安全经验,是世界上通过通用标准EAL 6+安全认证的软件产品的最初开发人员之一,而且是NSA加密认证系统的首席设计师。
对于嵌入式系统和安全专业人员,无论是新手还是资深人士,本书都是必不可少的参考书籍。
周庆国 兰州大学教授,博士生导师。理学博士,IET 会士,教育部新世纪人才基金获得者,现为兰州大学开源软件与实时系统教育部工程研究中心副主任,兰州大学分布式与嵌入式系统实验室主任。2007年10月曾受聘担任Real Time Linux Foundation主任,2011年8月曾任《International Journal of Computational Science and Engineering》 (IJCSE)杂志副主编,2013年4月曾任《International Journal of Embedded System》(IJES)主编。目前主要从事安全关键系统、嵌入式系统、实时系统、虚拟化技术的研究。
姚琪 BEEcube FPGA系统工程师,有近5年的Xilinx FPGA开发和Linux驱动开发经验,曾参与过AES加密算法的FPGA实现、嵌入式操作系统移植、OpenFlow Switch开发等项目。对硬件和软件开源非常感兴趣,现专注于FPGA在SDN和SDR领域中的应用。
关于本书
本书的目的是希望帮助嵌入式开发人员,提高产品的安全性和可靠性。虽然有些图书涉及了嵌入式系统安全,但内容的主题相当狭窄,几乎完全专注于硬件相关问题,或网络安全协议及其底层加密。相比之下,本书旨在实现一种全面的、系统层面的安全:硬件、平台软件(例如操作系统和系统管理程序)、软件开发流程、数据保护协议(网络和存储)以及加密。虽然没有哪个标题能够实际涵盖嵌入式系统安全的每一个话题,但本书尝试解决构建当代嵌入式系统中主要与安全相关的组块。
读者会获得一种对关键系统软件和硬件问题的深刻理解,这些问题是设计安全嵌入式系统必须要考虑的。大多数嵌入式系统开发人员并不会去写他们自己的操作系统和网络协议,也不用设计他们自己的微处理器。因此,精通与这些平台组件安全相关的知识,对做出正确的嵌入式设计选择,特别是在某个特定操作环境下满足安全目标至关重要。
读者将学习一种有效地开发安全嵌入式软件的方法。除了合理地应用平台组件之外,嵌入式开发人员必须设计自己的软件,并且保证以最高可用安全级别的方式集成整个系统。因此,本书的一个重要目标是讨论用于开发安全软件行之有效的实用技术。我们也尝试拆穿这样的“神话”,即为了大大提升软件安全,不可能不投入与之相当的开发时间和成本。书中提出的方法源自行业标准和实际经验的结合。我们相信,嵌入式系统开发人员在这方面严重缺乏高质量的指导。我们的目标是填补这个空白。
读者对象
本书主要面向参与嵌入式系统开发的工程专业人员。硬件、软件和系统工程师,以及架构师多多少少都会涉及嵌入式系统安全。
计算机安全最重要的原则之一是,若系统的最初设计未考虑计算机安全,则改造系统的安全能力是困难且不明智的,而且常常在经济上或技术上都是不可行的。因此,为了提高嵌入式系统领域的安全性,唯一的希望是指导开发人员,必须学会像思考功能、内存占用和调试一样思考安全问题。
本书还为专业人士提供了一个重要的参考,即关于嵌入式系统的测试和质量保证。这些工程师必须学会测试安全强度,但这方面的挑战要比测试某个功能规范要困难得多。因为即使可能的话,完全列举潜在的安全威胁通常也是很困难的。安全测试需要巨大的创造力和决心。但是,质量控制工程师拥有很多工具可以解决这个问题,而且本书的一个重点是提供此工具箱相关的实用指导。
对于构建安全嵌入式系统的关注必须渗入到组织中。开发人员的培训必须包括阅读像本书一样的教材,参加有安全指导的技术会议,从项目的关键硬件和软件供应商得到的训练,以及经常性地接触相关的时事。因此,本书面向负责确保开发人员设计的安全性的管理团队。管理必须要了解嵌入式安全问题,而且必须成为这种培训的卖点。在汽车的示例中,本书提及的管理要负责单个组件,例如一个信息娱乐系统和这些组件的集成(例如,主要的一级供应商和汽车制造商),以及产品整体的集成。事实上,汽车、飞机、火车、工业控制系统,或任何其他类型的电子产品,都有着大量的嵌入式系统,负责制造这些产品的企业的副总裁、总经理和管理者将因阅读本书受益,并会放在书架上以供参考。
除了与安全相关的专业人士之外,本书也为对可靠性要求较高的嵌入式系统开发人员提供指导,这些系统包括生死攸关的医疗设备、航空电子设备和其他运输系统、通信系统,甚至像智能手机这样大容量、复杂的消费类设备。对于构建安全、可靠的嵌入式系统存在巨大的共性需求。
最后,本书中的很多安全概念,特别是软件开发实践,是与工程专业相关的,但是已经超出了嵌入式系统领域。例如,本书教导Web应用程序开发人员,不仅要关心脚本和数据库的漏洞,还要全面了解Web服务器可能对操作系统、其他应用程序以及底层的计算机硬件的安全的影响(反之亦然)。
相对资深的工程师和架构师阅读本书也有帮助。但对于入门级的程序员,以及大多数经验丰富却相对缺乏安全问题相关经验的开发人员,这本书对他们是相当有用的。甚至有大量安全背景和知识的工程师可能会发现,本书也有助于完善他们的“知识库”。
虽然本书并没有写成教科书的风格,但对于计算机科学或工程学科中教授或学习嵌入式系统的在校教师和学生也会有帮助。在全球技术学院中,嵌入式系统开发是一门极缺乏的学科,而且几乎没有嵌入式安全的指导。
本书内容安排
我们建议所有读者从头至尾按顺序阅读所有章节。对于那些时间紧迫的人,我们进行了以下梳理,根据工作职能对内容进行了主次之分。
第1章讨论了在嵌入式系统中提升安全性的发展趋势,接着介绍了威胁的基本定义以及对抗这些威胁所采取的保护策略。在本质上,我们采用了不同的安全和嵌入式系统观念,并且总结了它们在现代嵌入式系统中的交集。第1章还提供了在一些最激动人心、发展迅速而且重要的新型嵌入式系统技术领域中安全概念和指导的示例应用,包括智能手机、智能电网,并展望了嵌入式安全趋势。这一章强烈推荐给所有读者。
第2章全面地讨论了安全问题以及与平台软件相关的最佳推荐的应用,包括操作系统、超级管理程序和多重独立安全等级(MILS)架构。该章还讨论了与整个系统安全架构相关的关键安全问题和最佳推荐实践,以及对可用的硬件功能的影响,如MMU、IOMMU和虚拟化加速。该章对于工程师、架构师和技术经理最为重要。
第3章旨在最大限度地保证嵌入式软件的安全。关键性的原则和指导贯穿了整个章节,因此该章对于软件开发人员以及技术经理最为关键。
第4章概述了大多数重要的加密算法、密钥管理和美国政府面向嵌入式系统的相关指导。除了涵盖这些基本内容之外,我们还讨论了嵌入式系统环境下的加密概念以及特有的制约和要求。如果读者没有扎实的密码学基础,都应该阅读该章。即使当前项目没有用到加密功能,但是在将来的项目中也很有可能用到。加密和验证构成了所有数据保密与网络访问保护的基石。
第5章涵盖了最重要、最广泛的网络安全协议,例如IPSec和传输层安全(TLS)以及存储加密方法,并且强调了在资源有限的嵌入式系统中的实现问题。该章为专业人士在最新安全协议标准及其修订版本方面提供一种介绍或补充。该章核心目的之一是帮助开发人员为涉及安全的相关系统层(网络和存储)制定正确的决策。该章还包括了一些高级议题,例如网络时间信道,有兴趣的读者以此可以了解确保重要资源的机密性。
第6章提供了扩展案例的分析,这些都建立在前面章节内容的基础上并加以了应用。该章涵盖了少数新型应用和环境中的安全问题及示例性解决方案架构。第6章推荐给所有读者。
致谢
感谢Guy Broadfoot,感谢他为第3章的模型驱动开发部分所做的贡献。
感谢Jack Ganssle,感谢他为本书写的序言以及他给出的审阅和反馈意见。
感谢Michael Barr,感谢他的审阅和反馈,以及Netrino对《Embedded C Coding Standard》所做的贡献,第3章把该书当作一个案例分析进行了讨论。
感谢Thomas Cantrell、Jack Greenbaum、Dan Hettena和 Philippa Hopcroft ,感谢他们深思熟虑的审阅和反馈。
感谢Elsevier公司的编辑Tim Pitts 和 Charlotte Kent ,感谢他们对整个项目的支持。
感谢本书的插图设计者Tamara Kleidermacher,他煞费苦心地为这本书制作了各种插图。添加可视化手段以辅助技术讨论的能力相当关键,而且Tamara对于视觉风格和统一很有天分,大大改善了本书。
Mike要感谢他的儿子Dave,感谢他的邀请使其成为这项工作的合作者。
Mike要感谢Ellwood (Chip) McGrogan ,正是他“教会了我所知道的密码学知识”。
David要感谢他的家人——Tamara、Hannah和Aaron——在编写本书的很多夜晚和周末,感谢他们一如既往的支持和非凡的耐心。
David要感谢他的哥哥Paul,作为自己一生的榜样,感谢他坚定不移的鼓励、支持和真诚的忠告。
David要感谢Dan O’Dowd和Mike Kleidermacher ,感谢他们几十年来慷慨地分享和传递他们的知识与激情。
David要感谢美国格林希尔软件(Green Hill Software)公司曾经的和现在的员工,感谢他们多年来的支持。这个才华横溢的团队让整个世界变得更加美好,更加安全,与他们共事是我的荣耀。
嵌入式
本书主要内容:
关于安全原则、问题和技术的深刻理解
用于高效地开发安全、可信的嵌入式软件的成熟技术
针对系统架构、操作系统和超级管理程序、网络、存储和加密问题的研究,这些是设计安全嵌入式系统所必须考虑的问题
大量实用的建议和案例分析
本书由最拥有65年嵌入式安全经验的重要权威人士编写,他们是世界上唯一通过通用标准EAL 6+安全认证软件产品的最初开发人员之一,而且是NSA认证加密系统的首席设计师。
本书对于嵌入式系统和安全专业人员,无论是新手还是资深人士,都是必不可少的参考书籍。
对于理解安全的嵌入式系统有着重要的帮助。两位作者是各自领域的专家。随着物联网成为现实,本书可以帮助商业和技术管理人员以及工程师理解“从头构建安全”的重要性。本书通过各种案例和要点,有助于给市场带来更加安全、稳固的系统。
——Joerg Borchert博士,北美英飞凌科技公司芯片卡与安全副总裁;可信计算组织总裁兼主席
本书提供了风险和攻击的实际示例;最重要的是该书为用于应对漏洞以在技术中构建真正的、自身安全的各种方法给出了一种清晰的认识。
——Adriel Desautels,美国Netragard有限责任公司总裁和首席技术执行官
嵌入式系统的安全比以往任何时候都要重要。网络快速增长是其中一个原因。然而,很多嵌入式系统开发人员缺乏实现系统设计安全的知识。David Kleidermacher是该领域中名满天下的专家,他在书中分享了他的知识和经验。这是一本非常重要、恰逢其时的书。
——Matthias Sturm博士,莱比锡应用科学大学教授;嵌入式世界会议指导委员会主席
[美] 戴维·克勒德马赫(David Kleidermacher) 迈克·克勒德马赫(Mike Kleidermacher) 著:暂无简介
周庆国 姚琪 刘洋 严凤龙 等译:暂无简介
随着现代信息技术的不断进步,嵌入式系统的广泛应用及网络化发展已深入到各个行业。于是,系统的可靠性及其敏感数据的安全性也成为时下人们迫切关注的问题。我国政府充分认识到其重要作用,并在政策、资金等方面给予大力支持。早在2004年,国家颁布的《当前优先发展的高技术产业化重点领域指南》,就已经把嵌入式产业作为国家发展的一个重要领域。
近年来,我国嵌入式系统市场处于快速增长时期,由于嵌入式系统资源的有限性,其安全问题比一般的桌面系统更加复杂。对于安全嵌入式系统,要在整个设计过程中充分考虑安全因素,从而决定采用哪种安全技术。因此,构建一个安全的嵌入式系统的问题研究势在必行。
本书全面、系统地探讨了嵌入式系统安全方面的知识,有助于嵌入式安全领域的从业人员对平台组件安全有深入的了解。重点对关键系统的软件和硬件问题进行分析,帮助开发人员从整体上建立一个系统安全架构,从而提高产品的安全性和可靠性。本书有以下几个特点:
1)从读者的角度出发,以通俗易懂的语言,结合丰富多彩的实例,详细介绍了嵌入式系统安全开发设计各方面的知识。通过行业标准和实际经验提出切实可行的嵌入式安全方法,这无论对于初学者还是资深开发者来说都具有一定的借鉴和指导意义。
2)从系统层面对嵌入式系统安全进行分析说明,特别是对安全嵌入式软件开发和嵌入式加密等方向进行了细致分析,从安全的整体性出发,为构建嵌入式系统的安全提供依据,从而为开发者提供嵌入式系统安全方案的思路。并且进一步探讨了嵌入式系统数据保护协议及新兴技术,讨论开发安全软件行之有效的技术,实现缩短开发时间和降低成本的目的。
3)选取了大量开发实例及热点事件,如VxWorks 调试端口漏洞、Duqu病毒、Stuxnet病毒、沃克间谍案、网络交易、汽车安全和安卓系统安全等。以具体案例深入浅出地分析嵌入式系统安全的问题。
在此译者要非常感谢撰写本书的两位嵌入式系统安全专家,作者David Kleidermacher是格林希尔软件公司首席技术官,主要负责引导技术战略、平台规划及方案设计。自1991年起,他一直在格林希尔软件公司从事系统软件和安全领域的研究,参与并指导了多种高安全等级的产品。另一位作者Mike Kleidermacher是一位资深电子工程师,45年来他一直致力于安全嵌入式设备的设计、实现及战略演进。并且Mike曾担任过不同的职务,包括项目经理、技术总监、总工程师等,这也使得他能从系统上给读者以指导。
多年来两位专家积累了丰富的开发实践经验,而本书融合了这些宝贵的经验。因此,对于嵌入式安全设备开发人员来说,本书是一本不可多得的实战参考手册。
译者认为本书属于中等级别的嵌入式安全方法——相对全面和细致,但并没有过于深入地对每一个知识点进行介绍。书中所涉及的标准及方法有一定的侧重点,避免了泛泛的讨论,重点集中于可能影响系统安全方面的问题,更偏向于实际问题的解决。对于一些深入的问题,这本书给读者指明了方向并且给出了参考资料。如果读者有兴趣,可以根据资料做深入的研究。
翻译本书是一个团队合作的过程,感谢机械工业出版社张国强的信任和支持。本书由周庆国教授、姚琪、杨柳组织翻译,刘洋、严凤龙、孙晓娟、李飞、石强胜也参与了本书的翻译、审校工作。本书的出版是集体智慧的结晶,感谢各位同仁的不懈努力。
由于时间原因及译者水平有限,本书中不足之处在所难免,恳请读者批评指正。
周庆国
2015年5月于兰州
《嵌入式系统安全》这本书是我在两年前看到并推荐给机械工业出版社张国强先生的,很高兴这本书翻译完成并很快要印刷出版了。
从本书的英文书名《Embedded Systems Security: Practical Methods for Safe and Secure Software and Systems Development》不难看出本书的两个特点。第一,实践性强。作者David Kleidermacher是嵌入式安全领域中著名的专家,在书中他与读者分享了他的知识和长期的经验。Kleidermacher 于1991年加入Green Hills Software,这是美国加州的一家著名嵌入式软件公司,以开发高可靠性与安全性的操作系统与软件工具而闻名世界,他曾经是公司系统软件工程师和CTO。2015年2月, Kleidermacher 被BlackBerry (黑莓) 公司任命为CSO (首席安全官),负责公司安全相关的产品研发和组织。本书的实践性还体现在第6章,该章讲述了包括汽车电子和Android的安全性等热门主题。第二,范围广泛。书中反复提到的Safe和Security,翻译成中文可能都是安全一词,但二者的含义还是有区别的。前者更多意味着系统的可靠性(在第2章和第3章中),国外称为功能安全,后者是我们目前谈论更多的信息安全性(在第4章和第5章中)。其实二者之间不是孤立的,亦有紧密的联系,比如第2章中的系统管理程序(Hypervisor)和虚拟化技术既可以应用于嵌入式系统可靠性设计,也可以应用于嵌入式网络安全产品设计,这些内容在本书中都有详细讲述。
为什么要推荐本书?两年前我正在翻译《嵌入式软件精解》(英文书名是《Embedded Software, Second Edition: The Works》)一书,《嵌入式软件精解》与《嵌入式系统安全》同为Elseviser出版社的Newnes系列丛书,我对这个系列的图书印象很好,它们很专业和实用。今天嵌入式安全方面的图书依然非常少,本书是我看到的在系统和软件方面写得非常好的一本。
最近几年物联网(Internet of Things,IOT)风起云涌,联网后的嵌入式系统安全性问题更加严峻和急迫,面向物联网安全设计,本书翻译并出版的意义就更大了,也非常及时。物联网的安全性考虑归纳起来有下面几个方面。
第一,容易被攻击的对象更多了。比如家电联网变成智能家居了,汽车联网变成车联网,那么汽车和家电可以成为被攻击对象,这里汽车是指广义的运输工具,包括公共交通,甚至飞机(我最近乘坐过美联航(Bluejet航空),它们都已经提供机内Wi-Fi服务)。
第二,更多日常活动因为攻击而可能中断。除了汽车和家电之外,大量可穿戴的医疗健康设备,都通过智能手机接入互联网,攻击导致设备故障或将危机人们的健康甚至生命。
第三,互联网和大数据通过传感器收集到了关于物的大量信息,其内容更加广泛,如果信息泄露危害更多。比如我们驾驶的汽车的位置和我们的使用习惯,个人体征和疾病信息,以及智慧城市的建筑和交通等管理信息,它们都可能被泄露。
第四,若电网、交通运输和交通管理、核电站和环境监测等关键系统遇到黑客的攻击,就会具有毁灭性的危害。
第五,新的开放标准与传统的私有标准之间的转换带来的安全隐患。比如物联网设备中使用的ZigBee、Z-Wave、Thread 和ANT协议与互联网的IP 协议之间的转换,国际性标准组织IETF、ITU和民间企业联盟,比如OIC和AllJoyn(Allseen Alliance),正在架构层做工作期望降低安全风险,但是因为大量的设备已经存在,尚需时间方能完善。
物联网安全性已经引起了学术和工业领域的关注,哥伦比亚大学计算机专业今年春天讲授的网络安全课程已经加入了IoT 安全性方面的内容。我2015年6月在旧金山参加的一个嵌入式会议上遇到了一家网络软件公司,它们已经在提供面向工业物联网的嵌入式网络安全软件和架构技术。著名开源技术咨询公司Blackduck,在其白皮书《物联网与开源软件》中也详细讨论了物联网端点和边缘节点设备的安全问题。
希望本书能让在嵌入式系统和物联网第一线工作的工程师、老师和学生们学习到新的知识与技术;让IT和互联网领域的信息安全专家们了解到嵌入式物联网设备安全设计的特殊之处。感谢机械工业出版社再次为国内读者带来一本嵌入式系统专业力作。
何小庆
2015年6月
于美国硅谷和北京海淀中关村
推荐序
译者序
序
前言
第1章 嵌入式系统安全绪论 1
1.1 什么是安全 1
1.2 什么是嵌入式系统 1
1.3 嵌入式安全趋势 3
1.3.1 嵌入式系统的复杂度 4
1.3.2 网络连接 9
1.3.3 关键性基础架构对嵌入式系统的依赖 11
1.3.4 复杂的攻击者 12
1.3.5 处理器整合 13
1.4 安全策略 14
1.4.1 绝对安全 14
1.4.2 保密性、完整性和实用性 15
1.4.3 隔离 15
1.4.4 信息流控制 16
1.4.5 物理安全策略 16
1.4.6 特定应用软件的安全策略 16
1.5 安全威胁 17
1.6 总结 18
参考文献 18
第2章 系统软件的安全考量 19
2.1 操作系统角色 19
2.2 多重独立安全等级 19
2.2.1 信息流 20
2.2.2 数据隔离 20
2.2.3 损害控制 20
2.2.4 周期性处理 20
2.2.5 一直激活 21
2.2.6 防篡改 21
2.2.7 可评估 21
2.3 微内核与单内核 23
2.4 嵌入式操作系统核心安全要求 25
2.4.1 内存保护 25
2.4.2 虚拟内存 25
2.4.3 故障恢复 27
2.4.4 资源保护 27
2.4.5 虚拟设备驱动 30
2.4.6 确定性影响 30
2.4.7 安全调度 33
2.5 访问控制与访问能力 34
2.5.1 案例分析:安全Web浏览器 35
2.5.2 访问控制的粒度与简化 36
2.5.3 白名单与黑名单 38
2.5.4 职责混淆问题 39
2.5.5 能力与访问控制表 39
2.5.6 能力约束与收回 43
2.5.7 使用能力系统的安全设计 44
2.6 系统管理程序与系统虚拟化 46
2.6.1 系统虚拟化介绍 48
2.6.2 系统虚拟化应用 48
2.6.3 环境沙箱 49
2.6.4 虚拟安全设施 49
2.6.5 系统管理程序架构 49
2.6.6 半虚拟化 52
2.6.7 充分利用硬件辅助实现虚拟化 52
2.6.8 系统管理程序的安全性 54
2.7 I/O虚拟化 56
2.7.1 共享I/O的需求 56
2.7.2 仿真技术 56
2.7.3 直通技术 56
2.7.4 共享IOMMU 58
2.7.5 IOMMU与虚拟设备驱动 58
2.7.6 微内核中的安全I/O虚拟化 59
2.8 远程管理 60
2.9 确保TCB的完整性 62
2.9.1 可信硬件和供应链 62
2.9.2 安全引导 62
2.9.3 静态可信根与动态可信根 63
2.9.4 远程认证 64
参考文献 65
第3章 安全嵌入式软件开发 67
3.1 PHASE的介绍 67
3.2 最少实现 68
3.3 组件架构 68
3.3.1 运行时组件化 69
3.3.2 进程与线程 70
3.4 最小化权限 71
3.5 安全开发过程 71
3.5.1 变更管理 72
3.5.2 同行评审 72
3.5.3 开发工具的安全性 74
3.5.4 安全编码 76
3.5.5 软件测试与验证 107
3.5.6 开发过程效率 112
3.6 独立专家验证 113
3.6.1 通用标准 114
3.6.2 案例分析:操作系统保护准则 116
3.7 案例分析:HAWS 119
3.7.1 最少实现 120
3.7.2 组件架构 121
3.7.3 最小化权限 122
3.7.4 安全开发过程 122
3.7.5 独立专家验证 122
3.8 模型驱动设计 122
3.8.1 MDD概述 123
3.8.2 可执行模型 126
3.8.3 建模语言 128
3.8.4 MDD平台类型 132
3.8.5 案例分析:数字病理扫描仪 132
3.8.6 MDD平台选择 138
3.8.7 在安全关键系统中使用MDD 145
参考文献 146
第4章 嵌入式加密 150
4.1 简介 150
4.2 美国联邦政府加密指南 151
4.3 一次性密码本 152
4.4 加密模式 160
4.4.1 输出反馈 160
4.4.2 加密反馈 160
4.4.3 带有CFB保护的OFB 161
4.4.4 通信流安全 162
4.4.5 计数器模式 162
4.5 块加密 163
4.6 认证加密 165
4.6.1 CCM 166
4.6.2 伽罗瓦计数器模式 166
4.7 公钥加密 166
4.7.1 RSA 168
4.7.2 等效密钥强度 169
4.7.3 陷门构建 169
4.8 密钥协商 170
4.9 公钥认证 172
4.10 椭圆曲线加密 174
4.10.1 椭圆曲线数字签名 175
4.10.2 椭圆曲线匿名密钥协商 175
4.11 加密散列 175
4.11.1 安全散列算法 176
4.11.2 MMO 176
4.12 消息认证码 177
4.13 随机数生成 177
4.13.1 真随机数生成 178
4.13.2 伪随机数生成 181
4.14 嵌入式系统的密钥管理 183
4.14.1 密钥管理——通用模型 183
4.14.2 密钥管理案例分析 188
4.15 加密认证 197
4.15.1 FIPS 140-2认证 197
4.15.2 NSA认证 199
参考文献 202
第5章 嵌入式系统数据保护协议 205
5.1 简介 205
5.2 动态数据协议 205
5.2.1 广义模式 205
5.2.2 选择安全的网络层 209
5.2.3 以太网安全协议 210
5.2.4 网络层安全协议与安全套接层协议 213
5.2.5 网络层安全协议 214
5.2.6 安全套接层协议/传输层安全协议 219
5.2.7 嵌入式虚拟专用网络客户端 222
5.2.8 数据包安全传输协议 223
5.2.9 安全外壳协议 224
5.2.10 自定义网络安全协议 225
5.2.11 网络安全协议加密实现 227
5.2.12 安全多媒体协议 227
5.2.13 广播安全 231
5.3 静态数据协议 236
5.3.1 安全存储层的选择 237
5.3.2 对称加密算法的选择 238
5.3.3 存储加密密钥的管理 241
5.3.4 对数据加密解决方案的高端威胁 243
参考文献 245
第6章 新兴应用技术 249
6.1 嵌入式网络交易 249
6.1.1 剖析网络交易 250
6.1.2 不安全状态 250
6.1.3 网络交易的威胁 251
6.1.4 提高网络交易安全的前沿尝试 253
6.1.5 可信赖嵌入式交易体系结构 258
6.2 汽车安全 260
6.3 安卓系统安全 263
6.3.1 安卓系统安全回顾 263
6.3.2 安卓设备Rooting 264
6.3.3 手机数据保护:深度防护的一个实例研究 265
6.3.4 安卓沙箱处理方法 267
6.4 下一代软件定义无线电 271
6.4.1 红黑分离 271
6.4.2 软件定义无线电体系结构 271
6.4.3 进入Linux 272
6.4.4 多域无线电 273
参考文献 274
