楊東升，江 勇，潘 明，汪 鐳，吳啟迪

0 引言

隨著網(wǎng)絡和通信技術的不斷發(fā)展，安全已經(jīng)成為通用計算機系統(tǒng)、嵌入式系統(tǒng)、通信系統(tǒng)中廣泛研究的對象。

由于嵌入式系統(tǒng)具有體積小、性能強、功耗低等突出特征，目前在工業(yè)過程控制、國防軍事、電子設備及網(wǎng)絡通信設備、消費性數(shù)碼產(chǎn)品等領域發(fā)揮著舉足輕重的作用，擁有廣闊的市場需求和發(fā)展前景。同時，網(wǎng)絡的連接性大大改變了嵌入式系統(tǒng)的傳統(tǒng)定義，從手持設備到醫(yī)學監(jiān)控器、工業(yè)控制器再到大型電話系統(tǒng)，已經(jīng)很難找到未連接到網(wǎng)絡的嵌入式系統(tǒng)了。連接到網(wǎng)絡的嵌入式系統(tǒng)需要與其它計算機系統(tǒng)進行通信，這些嵌入式系統(tǒng)被要求處理機密信息或進行關鍵操作，這就使得嵌入式系統(tǒng)的安全性成為設計者和開發(fā)者主要的關注點之一。研究開發(fā)出性能良好且安全可靠的嵌入式產(chǎn)品，成為眾商家的共同追求。在這種情況下，嵌入式系統(tǒng)的安全性研究變得日益重要，如果沒有一個有效、低耗、低成本的解決方案，很多有創(chuàng)意的嵌入式系統(tǒng)及產(chǎn)品就無法被人們信任，因而也就無法投入使用。

1 嵌入式系統(tǒng)安全性需求分析

1.1 嵌入式系統(tǒng)的安全需求

嵌入式系統(tǒng)經(jīng)常提供可能被惡意實體從事破壞活動的重要功能。在討論嵌入式系統(tǒng)的一般安全需求之前，必須注意到，典型嵌入式系統(tǒng)從制造到使用的鏈條中會牽涉到許多實體。不同實體對象的安全需求也有所不同。

舉例說明，我們以一個具備無線聲音、多媒體和數(shù)據(jù)通信的最先進的移動電話為例，如圖1所示：

圖1 移動電話的安全需求

顯示出以移動電話內(nèi)部HW/SW 元件提供者（例如基帶處理器、操作系統(tǒng)）、移動電話制造商、服務運營商、應用服務商（例如移動銀行業(yè)務）、內(nèi)容供應商（例如音樂或視屏）和移動電話最終用戶的觀點分別出發(fā)的安全需求。終端用戶主要關心私人信息的安全存儲和通信，軟件提供商主要關心多媒體內(nèi)容能夠安全地發(fā)送到另一個移動電話，而移動電話制造商只關心電話專有固件的保密性。對于每一種情形，不可靠（具有潛在惡意）的實體組也是多樣的。例如從內(nèi)容供應商的觀點來看，移動電話用戶本身就可能是一個不可靠實體。這一部分概略地說明了典型嵌入式系統(tǒng)的主要安全需求，并將從制造到使用的鏈條中不同實體對象的安全需求加以區(qū)別和整合，給出一套嵌入式系統(tǒng)的完整安全模型。各類型嵌入式系統(tǒng)的典型安全需求，如圖2所示：

圖2 嵌入式系統(tǒng)的一般安全需求

（1）用戶使用系統(tǒng)之前首先對系統(tǒng)和設備進行確認和授權。

（2）只有設備被授權，安全網(wǎng)絡通道才能提供一個網(wǎng)絡連接或者服務通道。

（3）安全通信功能包括確認通信伙伴、確保通信數(shù)據(jù)的機密性和完整性、防止通信事務被擱置，并且保護通信實體的身份。

（4）安全存儲要求儲存在系統(tǒng)中的敏感信息具有機密性和完整性。

（5）內(nèi)容的安全執(zhí)行通過系統(tǒng)存取的數(shù)字內(nèi)容加以限制。

（6）可用性的意義：確保系統(tǒng)執(zhí)行的指令始終來自合法的使用者，不被非法指令所打亂。

1.2 可靠性分析

高可靠性和安全性是嵌入式系統(tǒng)的要求和特點。工業(yè)用嵌入式系統(tǒng)往往工作于工業(yè)企業(yè)的現(xiàn)場，一旦出現(xiàn)故障，有可能造成整個生產(chǎn)過程混亂，甚至產(chǎn)生更嚴重的后果。因此，可靠性是嵌入式系統(tǒng)最重要、最突出的基本要求?？梢赃@樣說，可靠性是嵌入式系統(tǒng)的生命線。

嵌入式系統(tǒng)設計師經(jīng)常需要在安全性、可靠性和產(chǎn)品上市時間之間進行艱難的平衡。三者之間，前兩者是需要優(yōu)先保證的。首先，良好的安全性是所有具有網(wǎng)絡連接性能設備的必備條件。其次，微處理器、操作系統(tǒng)和開發(fā)工具的不斷進步使得更高的可靠性設計成為可能，也為產(chǎn)品的安全性和更快上市打下了堅實的基礎。當然要實現(xiàn)這個目標的前提是選擇正確的架構，該架構包括處理器、操作系統(tǒng)和部分軟件在內(nèi)。在系統(tǒng)設計的一開始就必須把高可靠性作為設計目標之一。

一般有經(jīng)驗的工程師都會采用模塊化的設計方式，將應用系統(tǒng)劃分成多個軟件模塊，并通過定義完善的接口來控制這些模塊之間的互操作。但提供更高級別的可靠性還需要采取更多的措施，除了模塊化外，還要具有劃分、隔離和分離的能力。要想獲得最高等級的可靠性，需要首先將模塊放進相互隔離的存儲器區(qū)域，然后通過處理器來管理硬件并選擇合適的操作系統(tǒng)，合理控制主機資源的通信和使用，加強模塊的分離性。具體來說，需要做到以下幾點：

（1）模塊化

模塊化，然后分割設計，使每個模塊只執(zhí)行單一的功能且與所有其它模塊隔離開來，如圖3所示：

圖3 模塊化設計框圖

每個模塊均可以被看門狗進程重新啟動，如果該模塊發(fā)生故障，那么相應的看門狗就會重啟這個模塊。模塊化的系統(tǒng)相應來說會具有更高的可靠性。

（2）保持模塊的簡單化

模塊過于復雜會導致脆弱性，降低行為的可重復性。不同種類的芯片或多內(nèi)核的設計也將增加系統(tǒng)的復雜性。在保證處理能力能夠滿足的前提下，盡量采用單處理器，避免那些復雜設計。

（3）確保選用的處理器和操作系統(tǒng)具有較強的存儲器管理功能

沒有存儲器保護就想建立非凡、可靠和安全的產(chǎn)品是不可能的。存儲器保護幫助對系統(tǒng)進行分割，并實現(xiàn)“深度防御”，從而保證系統(tǒng)某部分的弱點不會級聯(lián)起來影響其它部分。

（4）置所有東西于內(nèi)核之外

內(nèi)核是唯一一個系統(tǒng)中的所有模塊都要依賴的部件，因此它必須異常穩(wěn)固。在內(nèi)核空間運行任何對象只會降低可靠性，并帶來安全性問題。

（5）選擇符合公認的安全和可靠性標準的內(nèi)核架構

任何人都可以聲稱擁有可靠安全的操作系統(tǒng)，但很少有人獨立地驗證過他們聲明的內(nèi)容。在安全領域，需要選擇那種基于由國家安全機構開發(fā)的獨立內(nèi)核保護機制的架構的芯片。

（6）使用強制執(zhí)行高安全編碼標準的工具

Misra C是汽車工業(yè)軟件可靠性協(xié)會(MISRA)為汽車工業(yè)開發(fā)的一個安全的C子集，其中許多代碼非?？煽亢桶踩?。因此可在內(nèi)部使用Misra標準，并選擇用來強制執(zhí)行這些標準的工具。

2 基于安全構架的嵌入式系統(tǒng)結構體系

2.1 系統(tǒng)結構設計空間

過去嵌入式系統(tǒng)往往只執(zhí)行一種或幾種固定功能?，F(xiàn)在的趨勢是嵌入式系統(tǒng)能夠執(zhí)行多種功能并具備下載新的軟件來執(zhí)行新功能的能力。越來越CPU化。雖然這大大增加了嵌入式系統(tǒng)的靈活性和使用壽命，但同時也給惡意組織的攻擊提供了更多途徑和可能。我們下面就來大致分析一下，在無處不在的網(wǎng)絡和普遍深入的計算環(huán)境中，資源有限的嵌入式系統(tǒng)所面臨的安全挑戰(zhàn)。

安全嵌入式過程系統(tǒng)的結構設計空間，如圖4所示：

圖4 信息處理安全的結構設計空間

第一行列出了不同的宏觀結構模型，并在下面作了進一步描述。包含了嵌入式通用處理器（EP）、專門應用程序指令集處理器（ASIP）及帶有連接處理器總線的常規(guī)硬件加速器的通用處理器三者之間的相互對比。第二行詳述了如何選擇指令集結構和宏觀結構使基本處理器調(diào)整至合適位置。第三行清楚地說明了必須選擇和設計的安全處理特征。第四行列出了在嵌入式處理器和嵌入式系統(tǒng)設計中抵抗攻擊特征的選擇。

2.2 安全處理結構

我們現(xiàn)在描述一個提供所需安全功能的宏觀結構模型的演化。像機密性、完整性和認證這類基本安全功能，均能夠以適當?shù)陌踩珔f(xié)議和加密算法來執(zhí)行。加密算法包括對稱性加密法、非對稱性加密法和安全混列算法。然而，這些加密算法相當密集并且能量貧瘠，對于資源有限的嵌入式系統(tǒng)來說是一個挑戰(zhàn)。

有一種僅用硬件的加密方法，即利用應用程序?qū)Ｓ眉呻娐罚ˋSICs）在硬件中執(zhí)行一個特定的加密算法。這種“硬件算法”在只需要一種或少量加密法時能夠提高成本利用率，同時會產(chǎn)生很大數(shù)量的ASICs。然而，當需要大量算法來支持多種安全協(xié)議、新的標準以及多種裝置的互操作時，它在成本和靈活性方面的效率是非常低的。

下面分析只用軟件的加密方法。假設使用典型的嵌入式通用處理器（EP）作為履行安全協(xié)議和加密處理的核心。這種加密方法將同時面臨處理間隙和電池間隙的問題。處理間隙是指使用密碼的標準安全協(xié)議的最低計算需求，這個要求并不低，市場上大部分無線手持設備中的處理器是無法達到的。電池間隙是指由電池供電的無線手持設備的安全處理所需要的相當數(shù)量的額外能量消耗。例如，當設備加密傳輸數(shù)據(jù)時，相當一部分能量消耗在安全處理之中。

目前大部分嵌入式系統(tǒng)安全功能的實現(xiàn)，使用的是軟硬件結合的方法。這樣可以更有效地執(zhí)行安全功能并提高效率。例如，大多數(shù)執(zhí)行時間花費在如RSA這種公鑰算法中的模計算，而加速器芯片可以為模相乘提供硬件加速。還有一種情況是將加速硬件與處理器內(nèi)核自身緊密地整合，并以慣用指令調(diào)用它。有一種專業(yè)名稱來形容它，叫做“應用程序?qū)Ｓ弥噶钐幚砥鳎ˋSIP）法”。例如，嵌入式處理器Xtensa就允許設計者用一套專門的應用程序或慣用指令來擴展處理器的基本指令集。一個典型的例子是，在硬件中用對稱性密碼加密，并用慣用指令調(diào)用它。這樣可以以極少的能量消耗為DES提供非常有效的加速。對于某些嵌入式系統(tǒng)，這雖然不是最合適的，但通常卻是效率成本比最高的解決方案。

2.3 防護外部攻擊的結構體系

上述的安全處理結構只執(zhí)行像機密性、完整性和認證這些基本的安全功能，并不提供對來自惡意機構的軟件或硬件攻擊的保護。而且加速加密和安全協(xié)議的結構特征不保護DoS攻擊。然而，這些來自外部的攻擊顯然是嵌入式系統(tǒng)保證安全性的很大威脅。

設計者做了一些努力來提供對攻擊的防護，但是這個問題的涵蓋范圍很廣，目前仍然是一個開放的研究領域。對于其中一些專用的應用程序，目前已經(jīng)有了一些解決方案，例如處理軟件、音樂或電影盜版問題的數(shù)字權管理（DRM）方案，DVD播放器的數(shù)字權管理方案，抵御密碼盜竊專門攻擊的解決方案，等等。在不遠的將來，這些都很可能成為嵌入式系統(tǒng)中最普遍的配置。在數(shù)字權管理的問題當中，現(xiàn)今有價值的軟件或多媒體文件可以通過互聯(lián)網(wǎng)極為快速而廣泛的傳播，這對于大的確定容量的所有者和發(fā)行商的版權保護問題是巨大的挑戰(zhàn)。

在學術研究方面，對于計算機安全的結構特征研究在30年前就已開始。在最近的一二十年里，由于RISC處理器作為高性能處理器的結構比較通用，而且也被行業(yè)所普遍認可，所以在計算機結構方面的研究或教育相對比較少地專注于安全問題。近來這種狀況有所改變，一些學術文獻又開始對計算機安全結構問題，尤其是在結合網(wǎng)絡傳輸與加密的情形下進行一些探討和研究。提出了通過加密和散列技術提供存儲完整性，并通過在緩沖器溢出攻擊中，探測返回地址破壞的方法，來阻止機器劫持和惡意代碼插入。

3 提升嵌入式系統(tǒng)安全性的兩種技術

3.1 TrustZone技術

剛才已經(jīng)闡述過，在系統(tǒng)設計完成后才開始考慮安全問題是行不通的，增強系統(tǒng)安全的措施必須從一開始就集成到系統(tǒng)的整體設計中。這也就意味著需要從基礎上實現(xiàn)系統(tǒng)的安全特性，即從CPU內(nèi)核的標準制訂上就開始考慮這個問題。

通過在CPU內(nèi)核的設計中集成的系統(tǒng)安全性擴展，ARM為在嵌入式系統(tǒng)中實現(xiàn)安全特性提供了基礎。這種集成被稱為TrustZone，是ARMv6內(nèi)核構架下的重要擴展特性之一。TrustZone技術對CPU內(nèi)核的功耗、性能和硅片面積不產(chǎn)生大的影響，為設計具有高度安全性的嵌入式系統(tǒng)提供了堅實的基礎。

3.1.1 TrustZone技術原理及優(yōu)勢

ARM公司的解決辦法是通過在CPU內(nèi)核開辟一塊可信代碼區(qū)，來實現(xiàn)完整的系統(tǒng)安全性。這塊可信代碼區(qū)相對較小，運行在處理器的安全區(qū)域里面。其內(nèi)部的代碼為系統(tǒng)級的安全性奠定了基礎——從系統(tǒng)的引導啟動到各個不同級別的代碼可信執(zhí)行?？尚糯a可以被用來處理諸如信息解密、簽名驗證等任務。

通過開辟可信代碼空間，ARM處理器有效提升了系統(tǒng)的安全性。這種機制可以安全地保存用戶的私人密鑰，確保數(shù)據(jù)的私密性。它還可以防止對關鍵數(shù)據(jù)的篡改，這樣如果一個商務流程通過認證和授權之后，就可以保證其后的操作的完整性?？煽啃砸彩且粋€安全的系統(tǒng)的重要特征之一，通過在CPU內(nèi)核引入結構性的變化——開辟可信代碼空間——之后，就可以確保系統(tǒng)有一個安全的核心，并對軟件破解有很強的抵御能力。

和很多其他系統(tǒng)特性一樣，我們不可能不計代價地實現(xiàn)系統(tǒng)的安全性。盡管系統(tǒng)安全性正在逐漸成為一個必備的特性，在它可以正式應用之前還必須找到一個低成本的實現(xiàn)方案。TrustZone技術通過在CPU內(nèi)部增加安全性設計，具備了以下的優(yōu)勢：

（1）從系統(tǒng)引導啟動開始就保證了安全性，確保系統(tǒng)有一個安全的初始化過程。

（2）易于對軟件應用進行驗證。。

（3）能夠不受限制地靈活地實現(xiàn)整個系統(tǒng)的安全性。

（4）使OS對安全性的支持保持一致，有利于制訂一個針對安全性的工業(yè)標準。

（5）對使用TrustZone技術的不同ASICs，可以保證軟件兼容性。

（6）所增加的硬件成本很低。

（7）對系統(tǒng)性能影響很小。

TrustZone技術使安全性可以有一個靈活的、模塊化的實現(xiàn)方案。設計者和生產(chǎn)者可以在系統(tǒng)中按照自己的需求實現(xiàn)自己的安全性設計，并通過在CPU內(nèi)核中的安全技術來得到保證。

3.1.2 TrustZone技術實現(xiàn)方法

TrustZone技術的實現(xiàn)方法，如圖5所示：

圖5 利用TrustZone技術修正的安全體系

它通過對CPU構架和內(nèi)存子系統(tǒng)的硬件設計升級，引入了一個安全區(qū)域的概念。構架上的關鍵性改變之一是增加了一個S比特，以指明當前系統(tǒng)是否在安全狀態(tài)下。這個S比特不僅可以影響CPU內(nèi)核和內(nèi)存子系統(tǒng)，還可以影響片內(nèi)外設的工作。

S比特表明了當前內(nèi)核的運行狀態(tài)。設計中用一個獨立的處理器運行模式（監(jiān)視器模式）控制系統(tǒng)的安全狀態(tài)以及指令、數(shù)據(jù)的訪問權限。監(jiān)視器模式通過修改S比特來實現(xiàn)在安全狀態(tài)和普通狀態(tài)之間的切換。作為保衛(wèi)系統(tǒng)安全性的網(wǎng)關，監(jiān)視器模式還要負責保存當前的上下文狀態(tài)。如果需要，還要在安全狀態(tài)和普通狀態(tài)之間切換時清空寄存器。

在系統(tǒng)中S比特可以將安全狀態(tài)和普通狀態(tài)明確區(qū)分開。TrustZone 技術還包括了一個增強的內(nèi)存子系統(tǒng)——cache和MU。它們可以識別S比特并判斷出當前系統(tǒng)是否處于安全狀態(tài)下。S比特僅能在監(jiān)視器模式下被改變，而系統(tǒng)僅僅會定義數(shù)目有限的監(jiān)視器模式入口。通過控制對監(jiān)視器模式的訪問，在整個系統(tǒng)級別實現(xiàn)安全性就變得非常切實可行了。

TrustZone技術作為ARM結構的一個組成部分，同時也是處理器內(nèi)核的標準之一。ARM公司的長期發(fā)展計劃確保了TrustZone安全性擴展將作為未來ARM平臺的標準化部分提供給客戶，以支持高安全性產(chǎn)品的設計。ARM架構為所有ARM合作伙伴所共享的標準，具有從設計、開發(fā)工具、生產(chǎn)、服務到產(chǎn)品化的完整產(chǎn)業(yè)鏈。

3.2 微核技術

3.2.1 可信賴的計算基礎（TCB）

移動設備的安全標準明顯比我們常用的個人計算機高。隨著這些設備功能的急劇增加，嵌入式系統(tǒng)中的軟件驅(qū)動程序也會漸漸和個人計算機一樣復雜。

什么是可信賴的計算基礎（TCB）？舉例來說，在過去的幾年中，嵌入式系統(tǒng)行業(yè)朝著具有內(nèi)存保護和支持它的操作系統(tǒng)方向發(fā)展。在這種趨勢下，商業(yè)操作系統(tǒng)越來越流行，尤其是像Linux和Windows的嵌入式版本。這些系統(tǒng)均會為嵌入式系統(tǒng)的使用而進行裁剪，當把它們剝離到最低限度，可能只有一個內(nèi)核（定義為硬件特權模式的執(zhí)行代碼），也許包含20萬行代碼，這就是一個下界規(guī)模的TCB。而20萬行代碼如果要保證沒有一個漏洞，幾乎是不可能的。

3.2.2 微內(nèi)核

具有可信TCB的關鍵是擁有一個可以被檢測的內(nèi)核。一個非常小的內(nèi)核僅僅只包含具有優(yōu)先級的代碼。任何沒有優(yōu)先級的代碼，其功能仍然沒有優(yōu)先級（在內(nèi)核外），這就是所謂的微內(nèi)核。它包含有略多于結構要求的兩個部件間的接口，用來控制不同地址空間之間的通信，即跨進程通信。

一個嚴格意義上的微內(nèi)核至今仍未建立，但是具有良好的逼近，尤其是L4微核，其最成熟和廣泛的應用是L4Ka::Pistachio。它由Karlsruhe大學開發(fā)，大約有1萬行代碼（只計算代碼需要建立一個特殊的結構，例如ARM）。對一個期望沒有漏洞的系統(tǒng)來說，1萬行代碼仍然比較大，但是這個目標可以達到。在NICTA有兩個項目的目標達到了這個要求（在Dresden大學也有相似的科研活動）。其中一個項目稱為sel4，旨在生產(chǎn)一個新的l4版本，以更好的接近微核，并使API更好地與安全系統(tǒng)相匹配。sel4的期望是僅僅只有5000-7000行代碼。

當然建立一個正規(guī)的正確性證明需要一段時間，但是現(xiàn)存的微型內(nèi)核已經(jīng)為建立一個值得信賴的TCB提供了一個好的基礎。雖然測試和代碼檢驗不能完全保證內(nèi)核的正確性，但小型化無疑將減少它不少的缺陷。調(diào)試借助于事實，內(nèi)核只提供了非常少的基礎裝置，漏洞幾乎無處可藏。

3.2.3 最小TCB

L4內(nèi)核支持一個小的TCB結構。如今已經(jīng)研發(fā)出了最小操作系統(tǒng)，稱為Iguana,專門用在嵌入式系統(tǒng)中。Iguana提供了基本的服務，例如存儲管理、命名和支持設備驅(qū)動等，可以滿足很多嵌入式應用。一個完全的resident1 TCB系統(tǒng)由L4、Iguana和一些驅(qū)動構成，這個系統(tǒng)可以小至2萬行代碼。我們期待一個最小的基于sel4的TCB系統(tǒng)只有1萬或1萬5千行代碼。一個TCB以及它的規(guī)模主要依賴于一個系統(tǒng)提供的功能。具體的說，一個具有非平凡用戶界面的系統(tǒng)往往具有較大的TCB，因為需要包括一個可以信賴的窗口系統(tǒng)以保證用戶的輸入可以被正確地編譯。

3.2.4 細粒度訪問控制

為什么傳統(tǒng)的Linux和Windows操作系統(tǒng)不能達到嵌入式系統(tǒng)的要求？除了TCB的規(guī)模外還有其它的原因。它們都有一個訪問控制模型是根據(jù)時間共享主機，不同的系統(tǒng)用戶受到各自的保護，但無法完全地限制特定的用戶訪問自己的數(shù)據(jù)。而嵌入式系統(tǒng)是個典型的單用戶系統(tǒng)，它的保護不同于一般，運行不同程序的同一個用戶應該具有不同的訪問權限。訪問權限取決于程序功能而不是用戶身份。這是一個最小特權的安全準則實例。而傳統(tǒng)的系統(tǒng)違背了最小特權，給一個用戶全部的訪問權力（對文件和其它的目標）。這就是病毒和蠕蟲會經(jīng)常發(fā)生的原因。在一個基于微核的系統(tǒng)中，軟件封裝在具有硬件強制接口的部件中，所有的通信都必須用到內(nèi)核提供的跨進程通信裝置。這意味著部件間透明地介入安全監(jiān)控成為可能，可以用來執(zhí)行全系統(tǒng)的安全政策。這個政策使得輸入到系統(tǒng)中的程序僅僅被允許訪問被用戶明確定義任務的文件，從而防止了敏感信息的竊取。

微核技術的構思已有較長時間的歷史，最初大多是建立在Mach內(nèi)核之上的設想，系統(tǒng)性能相對較差。如今，ARM架構在嵌入式領域越來越凸顯出優(yōu)勢并廣泛地應用，為微核技術提供了新的平臺和研究的空間。工業(yè)界已經(jīng)看見了微核解決嵌入式系統(tǒng)安全問題的潛力，并打算大力開發(fā)并應用它。

4 結語

綜本文所述不難看出，嵌入式系統(tǒng)安全問題解決方案的主要挑戰(zhàn)在于以下3點：第一是系統(tǒng)的資源有限，第二則是單純的軟件安全或硬件安全都無法為嵌入式系統(tǒng)提供完整的保護，最后便是在實現(xiàn)安全特性的同時，還必須考慮系統(tǒng)的處理能力、存儲能力、功耗及實現(xiàn)成本等。

事實上，隨著網(wǎng)絡通信技術及嵌入式系統(tǒng)本身的不斷發(fā)展強大，各種安全攻擊技術和入侵方法也在不斷發(fā)展，各種安全協(xié)議、安全機制及安全標準也在隨之不斷變化。這些都會不斷地為安全性研究和設計提出更高要求。嵌入式系統(tǒng)安全問題解決方案的研究可以說只是剛剛起步，未來還有很長的路要走。

[1]Sigrid Gürgens,Carsten Rudolph,etc.Security engineering for embedded systems—the SecFutur vision [J],ACM,2010.

[2]Markose,S.A Systematic Framework for Structured Object-Oriented Security Requirements Analysis in Embedded Systems[J],Embedded and Ubiquitous Computing,2008.EUC '08.

[3]Sen,S.Cryptosystem designed for embedded system security [J],VLSI Design,2003.

[4]裴華艷.嵌入式系統(tǒng)安全性的分析與研究,[J]電子科技，2009

[5]趙國冬.安全嵌入式系統(tǒng)體系結構研究與設計[D],哈爾濱工業(yè)大學，2006

[6]朱飛.可配置的嵌入式系統(tǒng)安全模型研究與實現(xiàn)[D],合肥工業(yè)大學，2009