雖然遷移到IPv6提供了更高的安全級(jí)別，但如果技術(shù)落入壞人之手，逆向工程也是一種威脅。但是，預(yù)防措施可以防止敵人解開隱藏在固件、軟件或硬件中的國(guó)家機(jī)密。

世界各地的武裝部隊(duì)繼續(xù)關(guān)注他們的安全，因?yàn)樗麄冊(cè)絹?lái)越依賴在關(guān)鍵的戰(zhàn)爭(zhēng)領(lǐng)域使用高科技。網(wǎng)絡(luò)支持的戰(zhàn)場(chǎng)和全球信息網(wǎng)格（GIG）引入了對(duì)更加警惕的網(wǎng)絡(luò)安全的需求。這反過(guò)來(lái)又促使人們轉(zhuǎn)向IPv6，所有實(shí)現(xiàn)都需要支持身份驗(yàn)證標(biāo)頭（AH）和封裝安全有效負(fù)載（ESP）。然而，這只是拼圖的一部分。如果技術(shù)無(wú)意中落入壞人之手，從便攜式無(wú)線電到裝甲車或戰(zhàn)斗機(jī)，任何部署在前線的高科技設(shè)備都會(huì)帶來(lái)風(fēng)險(xiǎn)。技術(shù)可以進(jìn)行逆向工程以發(fā)現(xiàn)其操作或復(fù)制它。此外，解開其固件和軟件代碼以揭示其算法和性能數(shù)據(jù)也可能暴露潛在的危害信息，例如具有更廣泛意義的訂單、代碼和密鑰。

保護(hù)關(guān)鍵技術(shù)現(xiàn)在被認(rèn)為是新設(shè)備整個(gè)系統(tǒng)設(shè)計(jì)和采購(gòu)過(guò)程中的一個(gè)基本要素。關(guān)鍵程序信息（CPI）的識(shí)別，無(wú)論是基于數(shù)據(jù)還是基于技術(shù)，都始于系統(tǒng)級(jí)別。然后，它被分解為應(yīng)用軟件、操作系統(tǒng)、固件、通信、子系統(tǒng)、機(jī)箱、模塊、部署、操作和維護(hù)，直至最低級(jí)別。新計(jì)劃必須確定 CPI 并制定全面的保護(hù)計(jì)劃，以減輕如果對(duì)其進(jìn)行逆向工程或披露其性能或操作細(xì)節(jié)可能損害其技術(shù)優(yōu)勢(shì)的各個(gè)方面。

分層方法是最好的

典型的良好做法意味著采用分層方法來(lái)提供保護(hù)。在嵌入式系統(tǒng)的上下文中，這將從具有卷保護(hù)的機(jī)箱或機(jī)箱級(jí)別開始。體積保護(hù)旨在防止物理入侵，或者如果無(wú)法預(yù)防，則檢測(cè)入侵必須觸發(fā)不可逆的指示。設(shè)備通常會(huì)在以后恢復(fù)或歸還，因此了解入侵深度至關(guān)重要。這種檢測(cè)形式的最簡(jiǎn)單示例是保修封條，以指示外殼已打開。然而，這顯然還不夠，必須采取進(jìn)一步的積極和被動(dòng)措施，以獲得更大的保證。還必須考慮外部 I/O 連接，例如調(diào)試端口、網(wǎng)絡(luò)連接或特殊到 Type I/O。這些可能會(huì)揭示關(guān)鍵性能參數(shù)或通過(guò)潛在易受攻擊的信息提供訪問。

為了保護(hù)FPGA或非易失性存儲(chǔ)器內(nèi)容，可能需要額外的硬件保護(hù)階段。通常，在維護(hù)或維修的運(yùn)輸途中或在緊急情況下，電子組件的非易失性存儲(chǔ)器將被擦除。許多COTS供應(yīng)商已將這一基本功能納入其為軍事應(yīng)用提供的產(chǎn)品中。然而，對(duì)于FPGA或其他類型的可編程器件，擦除并不總是可行的。因此，可能需要考慮其他技術(shù)，例如加密或混淆內(nèi)容。同樣，軟件和固件需要通過(guò) I/O、通信和應(yīng)用層從最低級(jí)別的代碼存儲(chǔ)、檢索和執(zhí)行中得到保護(hù)。

軍隊(duì)中的自定義與 COTS

軍方保護(hù)其關(guān)鍵技術(shù)領(lǐng)先地位的傳統(tǒng)方法是采用定制的硬件和軟件設(shè)計(jì)。每個(gè)項(xiàng)目都有其特定的安全要求;因此，現(xiàn)成的嵌入式計(jì)算設(shè)備被認(rèn)為不太可能完全整合。但是，隨著技術(shù)在戰(zhàn)場(chǎng)上得到更廣泛的傳播，甚至包括卡車車隊(duì)或單個(gè)士兵的手持設(shè)備，這種純粹定制方法的成本正在上升。通過(guò)對(duì)問題的更深入理解，以及與最終用戶和集成商的對(duì)話，COTS 供應(yīng)商能夠彌合完全定制和現(xiàn)成產(chǎn)品之間的成本/能力差距。當(dāng) COTS 供應(yīng)商在其產(chǎn)品中引入關(guān)鍵保護(hù)功能以滿足許多關(guān)鍵計(jì)劃要求時(shí)，這一差距就會(huì)縮小。主動(dòng)邊界防御、安全計(jì)算環(huán)境以及基于標(biāo)準(zhǔn)的、經(jīng) NIST 批準(zhǔn)的加密引擎等功能是 Curtiss-Wright 控制嵌入式計(jì)算 （CWCEC） 等 COTS 供應(yīng)商如何滿足這些安全需求的示例。

在系統(tǒng)工程和開發(fā)的早期加入安全功能將降低部署后實(shí)施和最終改造的總體成本。在更高的層次上，這些要求的要求和解決方案將因項(xiàng)目而異。然而，對(duì)于嵌入式計(jì)算硬件，可以采用更通用的方法，提供一套全面的安全使能技術(shù)，可以智能地用于創(chuàng)建更安全的環(huán)境來(lái)支持那些非常具體的外層。

審核編輯：郭婷