建外贸网站的,众希网站建设,开平网络推广,济南网站建设vashine1. 引言 术语“信息安全”涵盖多种不同的设计特性。一般而言#xff0c; 信息安全是指通过实践防止信息遭受未经授权的访问、使用、披露、中断、篡改、检查、记录或销毁。 信息安全的三大核心目标为 机密性#xff08;Confidentiality#xff09;、完整性#xff08;Integr…1. 引言
术语“信息安全”涵盖多种不同的设计特性。一般而言 信息安全是指通过实践防止信息遭受未经授权的访问、使用、披露、中断、篡改、检查、记录或销毁。 信息安全的三大核心目标为 机密性Confidentiality、完整性Integrity和可用性Availability 机密性确保本应保密的信息仅能被授权实体读取和理解。未经授权的个体无法访问或理解机密信息。完整性指确认信息受到保护防止未经授权的更改、修改或删除。信息的完整性涵盖其来源、完整性和正确性通常通过身份识别和认证等方法实现。可用性确保授权用户能够始终访问所需信息。 每个系统设计会根据其保护资产类型及价值以不同方式支持这些安全目标。单一安全解决方案可能仅能防御部分潜在攻击而结合多种方案更有可能实现完全安全的设计。例如 e.MMC写保护机制旨在保障数据可用性重放保护内存块RPMB方案专注于确保数据完整性Android全盘加密FDE则是一种针对数据隐私保护的安全方案旨在确保机密性。 2. eMMC安全特性的发展
eMMC设备集成多种数据保护与安全功能包括密码锁Password Lock、写保护Write Protect和重放保护内存块RPMB。这些特性随eMMC规范版本的迭代不断升级优化。 2.1 密码锁Password Lock 功能目标 防止对用户数据区User Area的 任何访问读、写、擦除用于防范数据窃取。 实现方式 通过CMD42指令启用密码锁定。锁定后主机仍可执行基础操作复位、初始化、状态查询等但禁止访问用户数据区。允许访问区域启动分区Boot Partitions、RPMB、通用分区General Partition。 局限性 完全阻断访问包括数据所有者在内的所有用户均无法操作受保护数据可能导致使用灵活性下降。 技术背景 密码锁功能最初源自传统SD卡后被整合至早期eMMC规范。 2.2 写保护Write Protect 功能目标 防止数据被篡改或擦除无论恶意或误操作同时 允许读取数据。 版本演进 eMMC4.3及更早仅支持用户区User Area写保护。eMMC4.4引入分区概念支持对分区内特定区域的写保护。eMMC5.1新增认证机制可通过身份验证动态管理写保护权限。 四种保护类型 类型 特点 永久写保护 一旦启用无法禁用防固件回滚或关键配置篡改。 上电写保护 启用后需断电重启或复位引脚触发才能解除防运行时恶意修改。 临时写保护 可动态启用/禁用适用于临时敏感操作保护。 安全写保护 仅授权用户通过RPMB认证可管理写保护状态高安全性场景。 保护范围扩展eMMC5.1 全局保护可对整个设备包括启动分区、RPMB、通用分区、用户数据区设置永久或临时写保护。分区级保护 启动分区支持永久、安全或上电写保护。用户数据区UDA与通用分区GPP支持按“写保护组”Write Protect Groups细分保护区域并灵活选择保护类型。用户数据区UDA与通用分区GPP的写保护可应用于特定区段规范中称为“写保护组”这些区段支持配置为以下模式 永久写保护不可逆锁定安全写保护需RPMB授权解除上电写保护重启后生效临时写保护动态启用/禁用 2.3 RPMB重放保护内存块
RPMBReplay Protected Memory Block功能首次于 eMMC4.4规范中引入。该特性允许设备将数据存储在一个 经过认证且防重放攻击的小型特定区域。 RPMB是一套 独立的安全协议拥有专属的命令操作码Command Opcodes和数据结构。其核心机制包含以下组件 共享密钥设备与主机预先协商或预置的加密密钥。HMAC哈希消息认证码用于对访问安全区域的所有读写操作进行数字签名确保操作合法性。 运行流程 写入数据时主机需使用共享密钥生成HMAC附加到操作请求中设备验证HMAC合法性后执行写入。读取数据时设备返回的数据会附带HMAC供主机验证完整性和来源真实性。防重放攻击通过递增计数器Counter值拒绝重复或过期指令例如恶意复制旧指令篡改数据。 3 RPMB用于身份验证和防止重放攻击的完整性保护。
RPMBReplay Protected Memory Block重放保护内存块使 e.MMC 设备能够在特定区域通常为 4MB存储数据并对其进行身份验证防止重放攻击。 3.1 What Is a Replay Attack?
重放攻击Replay Attack是指攻击者截获并记录合法交互中的数据然后在后续阶段重新发送相同的数据。由于原始信息包含正确的发送者和接收者标识符以及数据的真实性证明未经防范的重放数据将被接受就像第一次传输时一样。 此类攻击可能由首次合法交互的发起者实施或由“中间人”MITM在窃听原始数据后进行重发。 例如假设数字钱包服务提供商发送一条经过身份验证的消息将用户账户余额设置为 $2,000。当用户使用数字钱包支付 $1,600 的账单时可用余额降至 $400。如果一段恶意软件执行重放攻击拦截了初始消息将账户余额设置为 $2,000通过在 $1,600 购买后重新发送相同的消息它可以将账户余额重置为 $2,000。 3.2 RPMB Authentication
RPMB使用对称密钥身份验证即主机和设备使用相同的身份验证密钥也称为“共享密钥”。其工作方式如下 密钥编程 主机首先将身份验证密钥信息编程到 eMMC 设备中通常在安全环境下进行如生产线。 签名和验证 主机和设备使用该身份验证密钥对涉及 RPMB 区域的读写消息进行签名和验证。 消息签名 签名过程涉及消息认证码MAC该 MAC 使用 HMAC-SHA-256 算法计算。 3.3 RPMB Protection against Replay Attack
重放保护的基本思想是确保每条消息都是唯一的。在 RPMB 中设备管理一个只读计数器该计数器在每次写入消息后递增并且其新值将包含在下次要发送的认证码计算中。 RPMB 命令通过 HMAC-SHA-256 计算进行认证该计算的输入包括 共享/秘密密钥。包含写入命令或读取结果的消息。记录 RPMB 总写入次数的写计数器。读取命令对应的随机生成数Nonce。 生成的 MAC 是一个 256 位32 字节的加密数据它嵌入到 RPMB 数据帧中并随消息数据一起发送。 Writing to RPMB
当 eMMC 设备接收到写入 RPMB 的命令消息时它通过以下方式验证命令的有效性 检查计数器是否已增加。检查主机发送的 MAC 是否与设备使用其保存的密钥生成的 MAC 相同。 Reading from RPMB
eMMC 设备将在发送读取数据给主机的同时附带一个 MAC 签名。主机接收消息后使用共享密钥生成一个 MAC。只有当两个 MAC 完全相同时主机才会信任从 RPMB 读取的数据。 随机数生成和计数器寄存器的使用是防止重放攻击的关键 在写入 RPMB 时MAC 的值受 RPMB 写计数器的影响该计数器在每次成功写入 RPMB 后由主机和设备共同增加。在读取 RPMB 时MAC 的值受主机生成的随机数影响该随机数作为读取请求的一部分发送。 4 RPMB应用场景 各厂商对RPMB的应用场景各有侧重但其典型应用涵盖软件版本认证、指纹验证、安全密钥存储、网络运营商信息、数字版权管理DRM及安全支付等领域。 4.1 示例1——软件版本认证防范降级攻击
假设某制造商需向设备如手机、汽车等推送多次软件更新。首次更新时新软件镜像会被写入eMMC主存储区而软件版本信息则存入RPMB。 随后若制造商发现该版本存在安全漏洞或安全隐患将再次推送更新修复问题。新软件镜像仍写入eMMC主存储区更新后的版本信息同步刷新至RPMB。 然而黑客可能试图利用相同机制将用户设备软件降级至旧版本以利用先前版本的漏洞。他们可能模仿制造商的升级流程——实际却推送已被攻破的旧版应用或系统。 此时基于RPMB的防护机制会在升级过程中校验新版本号若新版本号低于RPMB中存储的当前版本号安装程序将直接拒绝此次更新。 关键防护原理RPMB存储的版本信息无法被篡改因其访问需持有加密密钥而该密钥仅由合法制造商掌控。 4.2 示例2——防范未授权解锁
本例中RPMB 可用于确保仅限授权用户解锁设备如手机、汽车或计算机。 操作流程 初始设置用户预先设定解锁凭证如PIN码、指纹或手势密码。解锁监控每次解锁尝试的时间均被记录至RPMB。防暴力破解若短时间内尝试次数超过阈值系统将暂停解锁功能一定时间。 对抗攻击场景 即使黑客使用自动化工具暴力穷举PIN码一旦触发RPMB记录的尝试次数限制攻击将立即终止。解锁尝试记录无法被篡改因存储于RPMB除非攻击者在前几次尝试中巧合命中正确PIN码否则设备几乎无法被破解。 4.3 示例3——安全启动与写保护机制
设备防御恶意代码运行的关键始于确保处理器从存储介质读取并执行的首段代码即引导程序绝对可信。该代码存放于eMMC启动分区且须启用写保护机制防止恶意篡改。 在eMMC5.1之前永久写保护机制是防护启动分区的唯一可靠方案然而该机制在防黑客篡改的同时也使得制造商无法在需要时更新该区域。这一矛盾催生了eMMC5.1的安全写保护功能。 安全写保护功能的实现逻辑任何对写保护配置的修改均需通过RPMB密钥认证。该机制专用于防护eMMC设备中的引导代码及其他敏感数据防止未授权应用进行篡改或删除。 5 结论
eMMC存储设备不仅是代码与数据的存储载体其内置安全特性更能化解设备制造商普遍关注的系统安全隐患。在产品设计阶段善用其功能特性可系统性提升产品在机密性、完整性与可用性维度的防护等级。
