《電子技術應用》
您所在的位置:首頁 > 嵌入式技術 > 業(yè)界動態(tài) > ARMv8-M平臺開發(fā)安全軟件的建議

ARMv8-M平臺開發(fā)安全軟件的建議

2017-01-10

  ARM TrustZone 是針對片上系統(tǒng)(SoC)設計的系統(tǒng)級安全技術,它基于硬件,,內(nèi)置于CPU和系統(tǒng)內(nèi)核,,為半導體芯片設計師設計設備安全性能(如可信根)量身打造。TrustZone可用于任何基于ARM Cortex-A的系統(tǒng),,隨著全新Cortex-M23和Cortex-M33處理器的發(fā)布與升級,,Cortex-M也已經(jīng)支持該技術。從尺寸最小的微控制器(搭載針對Cortex-M處理器優(yōu)化的TrustZone技術),,到高性能處理器(搭載針對Cortex-A處理器優(yōu)化的TrustZone技術),,設計師們終于可以從設計初始就著手打造出色的安全性能了。

1.png

  TrustZone安全技術將非可信資源和可信資源隔離

  TrustZone技術的核心理念是將可信資源與非可信資源在硬件上實現(xiàn)隔離,。在處理器內(nèi)部,軟件只能安裝于安全或非安全域其中一處,;在兩個域間切換則必須經(jīng)過Cortex-A處理器的軟件(后文稱安全監(jiān)視器)和Cortex-M處理器的硬件(核心邏輯)處理才能執(zhí)行,。這種將安全(可信)域和非安全(非可信)域隔離理念的實現(xiàn)不僅涉及CPU,還涵蓋存儲,、片上總線系統(tǒng),、中斷、周邊設備接口和SoC上的軟件,。

  針對ARMv8-M處理器(Cortex-M)的TrustZone技術

  ARMv8-M架構將TrustZone技術拓展至Cortex-M級系統(tǒng),,實現(xiàn)了對所有成本點的安全防護。為Cortex-M度身設計的TrustZone技術可以保護固件和周邊設備,,并為安全啟動,、可信更新以及可信根執(zhí)行實現(xiàn)隔離。該架構具備嵌入式解決方案應有的確定性實時響應能力,。同時,,因為安全與非安全域間的上下文切換在硬件中完成,所以更快實現(xiàn)轉(zhuǎn)換及更高的電源效率,。該架構無需安裝任何安全監(jiān)視器軟件,,因為處理器本身就能完成切換任務,不僅可以減少存儲足跡,,還能降低代碼執(zhí)行的動態(tài)功率,。

  在繼續(xù)討論編程之前,我們先介紹以下幾個概念:

  1.地址定義安全

  2.新增執(zhí)行狀態(tài)

  3.跨域調(diào)用

  概念1:地址定義安全

  第一個需要了解的概念是:地址定義安全,,即每一個地址都與一個特定的安全狀態(tài)相關,。Cortex-M處理器采用全新引入的安全屬性單元來檢查地址的安全狀態(tài),。根據(jù)整體SoC設計,系統(tǒng)級接口可以重寫該屬性,。選擇此狀態(tài)后,,該地址還會通過一個存儲保護單元(視系統(tǒng)配置而定)。

2.png

  地址定義安全圖解

  概念2:新增執(zhí)行狀態(tài)

  第二個概念是“新增執(zhí)行狀態(tài)”,。ARMv7-M和ARMv6-M架構定義了兩種執(zhí)行模式:管理者模式(handler mode)和線程模式(thread mode),。管理者模式是特權模式,可以接入SoC的所有資源,;而線程模式則可以設定為特權或非特權兩種,。憑借TrustZone安全拓展技術,我們可以對處理器模式進行鏡像處理,,構造安全和非安全兩種狀態(tài),,每種狀態(tài)都各自包含管理者模式和線程模式。安全狀態(tài)和處理器模式是正交的,,因此可形成4種狀態(tài)和模式的組合,。在安全的存儲器中運行軟件時,處理器自動設定為安全狀態(tài),;反之,,在非安全存儲器中運行軟件時,處理器自動設定為非安全狀態(tài),。這種設計消除了本來用于管理狀態(tài)切換的安全監(jiān)控軟件的必要性,,從而實現(xiàn)減少存儲足跡和功耗的目的。

3.png

  新增正交態(tài)

  概念3:跨域調(diào)用

  ARMv8-M為實現(xiàn)Cortex-M的性能專門設計,,具備確定性實時運行功能,。換言之,只要遵守以預先設定的安全狀態(tài)接入點為基礎的特定規(guī)則,,任何狀態(tài)下的任何功能都可以直接調(diào)用其他狀態(tài)下的任何其他功能,。此外,每個狀態(tài)都有一個獨特的堆棧集和對應的堆棧指示器,,用來保護安全域資產(chǎn),。由于無需使用API層管理調(diào)度,成本大幅減少,?;陬A先設定的接入點,調(diào)度可以直接讀取被調(diào)函數(shù),。

4.png

  跨域調(diào)用

  應用案例簡述

  如下圖表介紹了一個使用案例簡述,。該環(huán)境下,用戶應用和I/O驅(qū)動都處于非安全狀態(tài),,而系統(tǒng)的啟動代碼和通訊堆棧則處于安全狀態(tài),。用戶應用調(diào)度并轉(zhuǎn)入通訊堆棧以傳輸,、接收數(shù)據(jù),而該堆棧將使用非安全狀態(tài)的I/O驅(qū)動來完成界面上的數(shù)據(jù)傳輸和接收,。

5.png

  所有相似系統(tǒng)環(huán)境下,,示例軟件配置都可以得益于TrustZone技術的安全狀態(tài)功能:

  非安全應用不能接入安全資源,除非通過事先定義好的安全服務功能接入點

  安全固件既可以接入安全存儲,,也可以進入非安全存儲

  安全和非安全代碼可以用不同的定時器制定獨立的時間進度

  每根中斷線都可以設置為安全或非安全,。安全軟件和非安全軟件的中斷向量表也可以分開。

  盡管處理器硬件可以為安全軟件提供核心保護,,但安全軟件依然需要謹慎的編寫,,才能確保整個系統(tǒng)的安全。以下是軟件開發(fā)商在設計安全軟件時必須牢記的三個內(nèi)容:

  使用最新的ARM C語言拓展(ACLE)技術

  驗證非可信指示

  為異步非安全存儲修改專門設計

  建議1:使用最新的ARM C語言拓展技術

  經(jīng)過優(yōu)化,,ARMv8-M的TrustZone技術引入了全新指令,,支持安全狀態(tài)轉(zhuǎn)換。軟件開發(fā)商再也無需創(chuàng)建封裝器來生成這些指令了,,他們現(xiàn)在可以使用ARM C語言拓展功能(ACLE)中定義的全新編譯器,,讓軟件工具理解上述功能的安全使用,并生成所需的最佳代碼,。ACLE功能由多家編譯器廠商實現(xiàn)并支持,,代碼非常便捷易用。

  比如說,,在創(chuàng)建可以從非安全狀態(tài)調(diào)度的安全API時,,應該使用一個名為“cmse_nonsecure_entry”的全新功能屬性來做函數(shù)聲明,。安全狀態(tài)調(diào)度功能使用結(jié)束時,,處理器中的寄存器仍可能保留一些秘密信息。憑借正確的功能屬性,,編譯器便可自動插入代碼,,清空R0-R3、R12和應用程序狀態(tài)寄存器(APSR)中仍保留秘密信息的寄存器,,但是寄存器將結(jié)果返還給非安全軟件的情況除外,。寄存器R4到R11有不同的處理方式,因為它們的內(nèi)容在函數(shù)邊界保持不變,。如果它們的值在函數(shù)執(zhí)行過程中改變,,那么就必須在返還非安全調(diào)度功能之前改回原值。

  建議2:驗證非可信指標

  有時候,,非安全代碼會提供錯誤的設計指示,,試圖接入安全存儲。為了徹底杜絕這一可能,,ARMv8-M引入了一個全新指令——測試目標(TT)指令,。TT指令可以將一個地址的安全屬性返還,,安全軟件即可由此判斷該指示指向安全還是非安全地址。

  為了提高指示檢查效率,,每個存儲區(qū)都有一個安全配置定義的區(qū)域號,。軟件可以用區(qū)域號判斷相鄰的存儲區(qū)是否具有類似的安全屬性。

  TT指令將來自地址值的安全屬性和區(qū)域號(還有MPU的區(qū)域號)返還原軟件,。如果在存儲段的起始和終止地址上使用TT指令,,并確定兩個地址都處于同一個區(qū)域號內(nèi)時,軟件便可迅速判斷存儲范圍(如數(shù)據(jù)陣列或數(shù)據(jù)結(jié)構)是否完全位于非安全空間,。

6.png

  檢查指示是否指向安全的區(qū)域邊界

  使用上述機制,,憑借API調(diào)度進安全側(cè)的安全代碼即可判斷,非安全軟件區(qū)域發(fā)起的指示請求是否具備符合該API的安全屬性,。通過這種方法,,我們可以阻止非安全軟件在安全軟件中使用API來讀取或破壞安全信息。

  建議3:為異步非安全存儲修改專門設計

  非安全中斷服務程序可以修改正在被安全軟件處理的非安全數(shù)據(jù),。因此,,已經(jīng)通過安全API驗證的輸入數(shù)據(jù)可以在經(jīng)過驗證之后被一個非安全的ISR更改。避免這種情況的一個方法就是在安全存儲中為那份輸入數(shù)據(jù)建立一個本地副本,,并用安全副本進行處理(包括輸入數(shù)據(jù)的驗證)以避免非安全存儲讀?。粺o法創(chuàng)建該副本時(如在特定存儲區(qū)域中處理大量數(shù)據(jù)),,則可以選擇另一種方法,,即對安全屬性單元進行編程,以確保該存儲區(qū)域的安全,。

  總結(jié)

  確保整個系統(tǒng)的安全性并阻止安全數(shù)據(jù)泄漏至非安全側(cè),,是安全軟件開發(fā)商的責任。為實現(xiàn)這一目標,,我們向安全軟件開發(fā)商介紹TrustZone 技術3大關鍵理念與3個重要使用建議——保護調(diào)度函數(shù)寄存器數(shù)據(jù)的ACLE技術,、驗證指示的TT指令;最后一點開發(fā)商也必須牢記,,非安全側(cè)可能會通過干擾安全側(cè)來修改數(shù)據(jù),。欲知更多詳情,請點此瀏覽,,為協(xié)助您在ARMv8-M處理器上開發(fā)安全固件,,我們精選了相關文件以供參考。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。