当前位置：首页 > news >正文

eMMC安全简介

news 2025/8/23 20:25:40

1. 引言

术语“信息安全”涵盖多种不同的设计特性。一般而言， 信息安全是指通过实践防止信息遭受未经授权的访问、使用、披露、中断、篡改、检查、记录或销毁。

信息安全的三大核心目标为 机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）：

机密性：确保本应保密的信息仅能被授权实体读取和理解。未经授权的个体无法访问或理解机密信息。
完整性：指确认信息受到保护，防止未经授权的更改、修改或删除。信息的完整性涵盖其来源、完整性和正确性，通常通过身份识别和认证等方法实现。
可用性：确保授权用户能够始终访问所需信息。

每个系统设计会根据其保护资产类型及价值，以不同方式支持这些安全目标。单一安全解决方案可能仅能防御部分潜在攻击，而结合多种方案更有可能实现完全安全的设计。例如：

e.MMC写保护机制旨在保障数据可用性；
重放保护内存块（RPMB）方案专注于确保数据完整性；
Android全盘加密（FDE）则是一种针对数据隐私保护的安全方案，旨在确保机密性。

2. eMMC安全特性的发展

eMMC设备集成多种数据保护与安全功能，包括密码锁（Password Lock）、写保护（Write Protect）和重放保护内存块（RPMB）。这些特性随eMMC规范版本的迭代不断升级优化。

2.1 密码锁（Password Lock）

功能目标

防止对用户数据区（User Area）的 任何访问（读、写、擦除），用于防范数据窃取。

实现方式

通过CMD42指令启用密码锁定。
锁定后，主机仍可执行基础操作（复位、初始化、状态查询等），但禁止访问用户数据区。
允许访问区域：启动分区（Boot Partitions）、RPMB、通用分区（General Partition）。

局限性

完全阻断访问：包括数据所有者在内的所有用户均无法操作受保护数据，可能导致使用灵活性下降。

技术背景

密码锁功能最初源自传统SD卡，后被整合至早期eMMC规范。

2.2 写保护（Write Protect）

功能目标

防止数据被篡改或擦除（无论恶意或误操作），同时 允许读取数据。

版本演进

eMMC4.3及更早：仅支持用户区（User Area）写保护。
eMMC4.4：引入分区概念，支持对分区内特定区域的写保护。
eMMC5.1：新增认证机制，可通过身份验证动态管理写保护权限。

四种保护类型

类型	特点
永久写保护	一旦启用，无法禁用（防固件回滚或关键配置篡改）。
上电写保护	启用后，需断电重启或复位引脚触发才能解除（防运行时恶意修改）。
临时写保护	可动态启用/禁用（适用于临时敏感操作保护）。
安全写保护	仅授权用户（通过RPMB认证）可管理写保护状态（高安全性场景）。

保护范围扩展（eMMC5.1）

全局保护：可对整个设备（包括启动分区、RPMB、通用分区、用户数据区）设置永久或临时写保护。
分区级保护：
- 启动分区：支持永久、安全或上电写保护。
- 用户数据区（UDA）与通用分区（GPP）：支持按“写保护组”（Write Protect Groups）细分保护区域，并灵活选择保护类型。
- 用户数据区（UDA）与通用分区（GPP）的写保护可应用于特定区段（规范中称为“写保护组”），这些区段支持配置为以下模式：
  - 永久写保护（不可逆锁定）
  - 安全写保护（需RPMB授权解除）
  - 上电写保护（重启后生效）
  - 临时写保护（动态启用/禁用）

2.3 RPMB（重放保护内存块）

RPMB（Replay Protected Memory Block）功能首次于 eMMC4.4规范中引入。该特性允许设备将数据存储在一个 经过认证且防重放攻击的小型特定区域。

RPMB是一套 独立的安全协议，拥有专属的命令操作码（Command Opcodes）和数据结构。其核心机制包含以下组件：

共享密钥：设备与主机预先协商或预置的加密密钥。
HMAC（哈希消息认证码）：用于对访问安全区域的所有读写操作进行数字签名，确保操作合法性。

运行流程：

写入数据时，主机需使用共享密钥生成HMAC，附加到操作请求中；设备验证HMAC合法性后执行写入。
读取数据时，设备返回的数据会附带HMAC，供主机验证完整性和来源真实性。
防重放攻击：通过递增计数器（Counter）值，拒绝重复或过期指令（例如：恶意复制旧指令篡改数据）。

3 RPMB用于身份验证和防止重放攻击的完整性保护。

RPMB（Replay Protected Memory Block，重放保护内存块）使 e.MMC 设备能够在特定区域（通常为 4MB）存储数据，并对其进行身份验证，防止重放攻击。

3.1 What Is a Replay Attack?

重放攻击（Replay Attack）是指攻击者截获并记录合法交互中的数据，然后在后续阶段重新发送相同的数据。由于原始信息包含正确的发送者和接收者标识符，以及数据的真实性证明，未经防范的重放数据将被接受，就像第一次传输时一样。

此类攻击可能由首次合法交互的发起者实施，或由“中间人”（MITM）在窃听原始数据后进行重发。

例如，假设数字钱包服务提供商发送一条经过身份验证的消息，将用户账户余额设置为 $2,000。当用户使用数字钱包支付 $1,600 的账单时，可用余额降至 $400。如果一段恶意软件执行重放攻击，拦截了初始消息（将账户余额设置为 $2,000），通过在 $1,600 购买后重新发送相同的消息，它可以将账户余额重置为 $2,000。

3.2 RPMB Authentication

RPMB使用对称密钥身份验证，即主机和设备使用相同的身份验证密钥（也称为“共享密钥”）。其工作方式如下：

密钥编程：
- 主机首先将身份验证密钥信息编程到 eMMC 设备中（通常在安全环境下进行，如生产线）。
签名和验证：
- 主机和设备使用该身份验证密钥对涉及 RPMB 区域的读写消息进行签名和验证。
消息签名：
- 签名过程涉及消息认证码（MAC），该 MAC 使用 HMAC-SHA-256 算法计算。

3.3 RPMB Protection against Replay Attack

重放保护的基本思想是确保每条消息都是唯一的。在 RPMB 中，设备管理一个只读计数器，该计数器在每次写入消息后递增，并且其新值将包含在下次要发送的认证码计算中。

RPMB 命令通过 HMAC-SHA-256 计算进行认证，该计算的输入包括：

共享/秘密密钥。
包含写入命令或读取结果的消息。
记录 RPMB 总写入次数的写计数器。
读取命令对应的随机生成数（Nonce）。

生成的 MAC 是一个 256 位（32 字节）的加密数据，它嵌入到 RPMB 数据帧中，并随消息数据一起发送。

Writing to RPMB

当 eMMC 设备接收到写入 RPMB 的命令消息时，它通过以下方式验证命令的有效性：

检查计数器是否已增加。
检查主机发送的 MAC 是否与设备使用其保存的密钥生成的 MAC 相同。

Reading from RPMB

eMMC 设备将在发送读取数据给主机的同时附带一个 MAC 签名。主机接收消息后，使用共享密钥生成一个 MAC。只有当两个 MAC 完全相同时，主机才会信任从 RPMB 读取的数据。

随机数生成和计数器寄存器的使用是防止重放攻击的关键：

在写入 RPMB 时，MAC 的值受 RPMB 写计数器的影响，该计数器在每次成功写入 RPMB 后（由主机和设备共同）增加。
在读取 RPMB 时，MAC 的值受主机生成的随机数影响，该随机数作为读取请求的一部分发送。

4 RPMB应用场景

各厂商对RPMB的应用场景各有侧重，但其典型应用涵盖：软件版本认证、指纹验证、安全密钥存储、网络运营商信息、数字版权管理（DRM）及安全支付等领域。

4.1 示例1——软件版本认证防范降级攻击

假设某制造商需向设备（如手机、汽车等）推送多次软件更新。首次更新时，新软件镜像会被写入eMMC主存储区，而软件版本信息则存入RPMB。

随后，若制造商发现该版本存在安全漏洞或安全隐患，将再次推送更新修复问题。新软件镜像仍写入eMMC主存储区，更新后的版本信息同步刷新至RPMB。

然而，黑客可能试图利用相同机制，将用户设备软件降级至旧版本，以利用先前版本的漏洞。他们可能模仿制造商的升级流程——实际却推送已被攻破的旧版应用或系统。

此时，基于RPMB的防护机制会在升级过程中校验新版本号：若"新版本号"低于RPMB中存储的当前版本号，安装程序将直接拒绝此次"更新"。

关键防护原理：RPMB存储的版本信息无法被篡改，因其访问需持有加密密钥，而该密钥仅由合法制造商掌控。

4.2 示例2——防范未授权解锁

本例中，RPMB 可用于确保仅限授权用户解锁设备（如手机、汽车或计算机）。

操作流程：

初始设置：用户预先设定解锁凭证（如PIN码、指纹或手势密码）。
解锁监控：每次解锁尝试的时间均被记录至RPMB。
防暴力破解：若短时间内尝试次数超过阈值，系统将暂停解锁功能一定时间。

对抗攻击场景：

即使黑客使用自动化工具暴力穷举PIN码，一旦触发RPMB记录的尝试次数限制，攻击将立即终止。
解锁尝试记录无法被篡改（因存储于RPMB），除非攻击者在前几次尝试中巧合命中正确PIN码，否则设备几乎无法被破解。

4.3 示例3——安全启动与写保护机制

设备防御恶意代码运行的关键，始于确保处理器从存储介质读取并执行的首段代码（即引导程序）绝对可信。该代码存放于eMMC启动分区，且须启用写保护机制防止恶意篡改。

在eMMC5.1之前，永久写保护机制是防护启动分区的唯一可靠方案，然而该机制在防黑客篡改的同时，也使得制造商无法在需要时更新该区域。这一矛盾催生了eMMC5.1的安全写保护功能。

安全写保护功能的实现逻辑：任何对写保护配置的修改均需通过RPMB密钥认证。该机制专用于防护eMMC设备中的引导代码及其他敏感数据，防止未授权应用进行篡改或删除。

5 结论

eMMC存储设备不仅是代码与数据的存储载体，其内置安全特性更能化解设备制造商普遍关注的系统安全隐患。在产品设计阶段善用其功能特性，可系统性提升产品在机密性、完整性与可用性维度的防护等级。