嵌入式系統(tǒng)安全可信運行環(huán)境研究

安徽芯紀元科技有限公司 中國電子科技集團公司第38研究所集成電路研發(fā)中心 陸俊峰

嵌入式系統(tǒng)在各個領(lǐng)域的應用范圍不斷擴大，其占據(jù)越來越多的重要性。與此同時，互聯(lián)網(wǎng)技術(shù)下使得信息的網(wǎng)絡的連接日漸便捷、高效，網(wǎng)絡攻防的重要發(fā)展方向朝著嵌入式系統(tǒng)轉(zhuǎn)換。在信息時代，黑客無疑將攻擊目標轉(zhuǎn)向嵌入式系統(tǒng)，嵌入式系統(tǒng)安全暴露出的問題日漸顯現(xiàn)。通過梳理和匯總不同應用領(lǐng)域中嵌入式系統(tǒng)的安全性研究，剖析當前可信運行環(huán)境在應用中存在著安全風險問題，通過深入分析問題原因，提出可信運行環(huán)境是提高嵌入式系統(tǒng)安全性比較有效的解決方案，進而提出了安全增強的可信運行環(huán)境架構(gòu)，以期嵌入式系統(tǒng)健康運行。

隨著互聯(lián)網(wǎng)技術(shù)在嵌入式系統(tǒng)運行中的廣泛應用，可信運行環(huán)境架構(gòu)受到了更多的社會關(guān)注與現(xiàn)實應用。在當今時代中，圍繞著可信操作系統(tǒng)設計以及相關(guān)安全性問題的探討是一大熱門，并逐漸成為各領(lǐng)域研究的重要方向。當前該問題研究的重要內(nèi)容之一便是基于嵌入式系統(tǒng)安全可信操作系統(tǒng)及其關(guān)鍵服務。

1 嵌入式系統(tǒng)的定義

嵌入式系統(tǒng)作為一種特殊的計算機系統(tǒng)，其嵌入于特定的控制機械或電子設備內(nèi)部，以此來執(zhí)行特定的功能。在執(zhí)行任務時，其需對系統(tǒng)的可靠性、經(jīng)濟性、實時性以及系統(tǒng)體積、功耗等做出嚴格要求。按照IEEE(Institute of Electrical and Electronics Engineers)國際相關(guān)組織中對嵌入式系統(tǒng)的概念界定，認為該系統(tǒng)主要是“管理、調(diào)節(jié)和幫助機器或設備的重要部分”，從而確保設備整體的正常運行。從技術(shù)維度來分析，嵌入式系統(tǒng)作為專用計算機系統(tǒng)，以應用為中心，最大限度配合整體設備運行；從系統(tǒng)維度來看，嵌入式系統(tǒng)作為一特殊綜合體，其兼具軟件與硬件于一身。從二十世紀六十年代嵌入式系統(tǒng)的雛形開始，以應用為中心就逐步成為嵌入式系統(tǒng)的最重要特點之一。

嵌入式系在通信、國防、消費電子、航空航天等多個領(lǐng)域得以廣泛應用和發(fā)展。需要注意的是，嵌入式系統(tǒng)不同于計算機系統(tǒng)，二者有著鮮明的特點。嵌入式系統(tǒng)研究中比較關(guān)注軟硬件功能間的和諧發(fā)展。嵌入式系統(tǒng)開發(fā)是一項涉及交叉性、專業(yè)領(lǐng)域知識，比如在機械控制、電路設計等系統(tǒng)開發(fā)中，都是交叉領(lǐng)域?qū)I(yè)知識交織在一起。為此，要全面、清晰、精準地把握好嵌入式系統(tǒng)技術(shù)的相關(guān)知識，深入掌握其軟硬件架構(gòu)以及應用內(nèi)容，以形成系統(tǒng)性體系，以免發(fā)生偏差性問題。

2 可信運行環(huán)境面臨的安全挑戰(zhàn)

2.1 信任根與信任鏈

UEFI組織針對嵌入式系統(tǒng)中所出現(xiàn)的信任根與信任鏈展開了較為詳細的概念界定。在最佳環(huán)境中，信任根要要以硬件機制為載體，在系統(tǒng)通電的條件下，僅僅可以在無法修正的存儲儀器中完成代碼提取，難以對此展開有目的的修改，其限制性要素較多。信任鏈以信任根為起點，啟動代碼的獲取要建立在可信認證的基礎上，需要完成完整性校驗。必須要有可信啟動代碼得到檢驗，其后續(xù)的啟動碼能夠完成檢驗過程，在系統(tǒng)真正啟動后，這一檢驗過程便會結(jié)束。在實際操作中，在TrustZone的硬件框架中要實現(xiàn)可以同時防御物理攻擊和軟件攻擊的信任根日益成為在嵌入式系統(tǒng)安全可信運行的關(guān)鍵問題之一，同樣是在可信運行環(huán)境架構(gòu)中所值得研究與討論的關(guān)鍵性存在。

2.2 隔離性

可信運行環(huán)境要借助軟硬件隔離機制要實現(xiàn)其功能與維護穩(wěn)定性。其一，要以硬件為基礎，實現(xiàn)對可信運行環(huán)境及其所涉及到的處理器、內(nèi)存等展開相應的隔離。TrustZone技術(shù)能夠為不同的處理器核上產(chǎn)生虛擬核和NMU來實現(xiàn)資源以及地址等內(nèi)容的分離與處理，并在AMBAAXI3系統(tǒng)總線和AXI-to-APB橋來達到對總線資源以及外設資源等的有效分離與間隔。值得注意的是，當前TrustZone技術(shù)無法對外存資源進行有效分離與管理，缺乏可支持的硬件設施。

2.3 操作系統(tǒng)安全缺陷

（1）通用操作系統(tǒng)

為實現(xiàn)應用系統(tǒng)的有效運行，要確保可信運行環(huán)境與通用操作系統(tǒng)二者能夠有效發(fā)揮其作用?；诖耍ㄓ貌僮飨到y(tǒng)如果出現(xiàn)安全性問題則會影響到可信運行環(huán)境的穩(wěn)定性。如果想要進入安全服務體系，則要借助通用操作系統(tǒng)的客戶端實現(xiàn)對TEE客戶端API的命令申請來完成可信應用操作。值得注意的是，可信應用無法判斷申請應用的客戶端是否符合要求，其安全性問題無法保證。在現(xiàn)實中，攻擊者借助所找到的系統(tǒng)漏洞來對突破客戶端限制而獲取相應資源和服務，也能夠借助服務請求來判斷系統(tǒng)所存在的漏洞情況。

（2）可信操作系統(tǒng)

隨著可信運行環(huán)境的應用領(lǐng)域不斷擴展，軟件系統(tǒng)構(gòu)建的要求與日俱增。當前可信操作系統(tǒng)早已發(fā)展成較為完善的體系，兼具可拓展性與可交互性兩種功能。由于應用環(huán)境的差異，可信操作系統(tǒng)的功能也產(chǎn)生了差異性變化，比如在網(wǎng)絡通信、生物識別等不同條件下的功能要求會有區(qū)別。針對這樣的問題，GP組織實現(xiàn)了對TEE系統(tǒng)的整合升級，在原本架構(gòu)上提高了服務接口的標準，以此實現(xiàn)對可信運行環(huán)境的差異性調(diào)控。目前來說，可信操作系統(tǒng)僅僅在TrustZone環(huán)境下運行，能夠?qū)崿F(xiàn)對GP TEE規(guī)范的管理與連接。但是在這一操作中，設計者并未根據(jù)系統(tǒng)安全性能的考慮以及安全操作標準來構(gòu)建可信系統(tǒng)，也難以為外部用戶提供可值得信賴的證明。

3 安全性設計與實現(xiàn)

按照常規(guī)情況，一些不希望被非法用戶獲取的信息會被關(guān)鍵領(lǐng)域的嵌入式計算機存儲設備中存儲。為了確保安全可信運行環(huán)境，確保數(shù)據(jù)不被外界非法竊取或者進行違規(guī)非法侵入操作。具體講，在系統(tǒng)中嵌入認證及自毀機制來實現(xiàn)系統(tǒng)高安全性。

3.1 系統(tǒng)認證機制

在系統(tǒng)安全管理中，需要禁止非法用戶的使用。在針對非法用戶非法入侵中，嵌入式控制系統(tǒng)需對用戶進行必須要的身份認證，采取嚴苛的認證手段，保證系統(tǒng)的安全性。比如常見的系統(tǒng)中普遍采取的單一的認證方式。在嵌入式系統(tǒng)的認證性能中，要確保應用在系統(tǒng)中存在多樣化的認證方式。比如較為成熟的SD卡認證、口令認證、指紋認證等。這三種技術(shù)認證一方面能保證方便集成到系統(tǒng)，另一方面也可以保證用戶實際操作。

（1）SD卡認證

SD卡（Secure Digital Memory Card）是一種基于信息加密技術(shù)存儲設備，其自身輕巧、可加密、傳輸速度高，被廣泛應用于手持設備。其具有記憶容量高、傳輸率快、移動靈活性大以及安全性好等優(yōu)勢。目前在很多嵌入式系統(tǒng)中第一級身份認證往往采用SD卡認證。采用SD卡，用戶可以輕松攜帶，使用方便，最大限度防止設備丟失。用戶使用SD卡簡單方便，使用時只需取出SD卡，并將它插入對應匹配的系統(tǒng)SD卡槽中，正常情況下系統(tǒng)會對SD卡數(shù)據(jù)進行讀取，并將SD卡內(nèi)存儲的信息進行存儲。最后，對計算得到的內(nèi)容與底板內(nèi)預存的用戶信息表進行解析，并形成有效比對，系統(tǒng)自

動識別查詢得出相應項完成認證。（2）口令認證

在系統(tǒng)使用前，其內(nèi)部已經(jīng)嵌入合法用戶的口令字，并存儲在系統(tǒng)內(nèi)。口令認證建立在SD卡認證基礎上，能夠通過進一步的安全設置來提升系統(tǒng)供電開機的安全性。用戶在第一級認證完成后，第二級進入口令認證，雙重認證啟動并成功后，系統(tǒng)才可以供電給系統(tǒng)計算單板，并完成系統(tǒng)啟動等待系統(tǒng)的其他操作。

（3）指紋認證

系統(tǒng)在指令執(zhí)行前對身份識別也是非常有必要的。系統(tǒng)性能的保證和維護，需要指令執(zhí)行得到快速響應。為此，需提供一種即快速又安全的認證手段。指紋認證的方式是在目標系統(tǒng)內(nèi)集成一個快捷的指紋模塊，作為指紋身份認證的接口，可以最大限度保證系統(tǒng)安全。

3.2 系統(tǒng)損毀機制

自毀技術(shù)的應用，實際上對于系統(tǒng)數(shù)據(jù)道德應用來說具有很強的安全性，能夠有效規(guī)避數(shù)據(jù)外泄風險，確保信息資料不受到外界的破壞與盜取。系統(tǒng)損毀機制能夠?qū)崿F(xiàn)自行毀壞，按照系統(tǒng)所遭受的攻擊程度與類別，會自主研判自毀程度與選取自毀行為。嵌入式系統(tǒng)控制計算機系統(tǒng)，最大限度確保系統(tǒng)整體的安全、可靠等特性。如若嵌入式控制系統(tǒng)被非法用進行非法控制操作，會對嵌入式控制系統(tǒng)安全可信運行環(huán)境形成巨大威脅。當遭遇突發(fā)風險事件時，系統(tǒng)有必要采取系統(tǒng)自行損毀，最大限度保證應用的安全性。為此，如果深入研究損毀模塊的內(nèi)容，則需要按照損毀形式、程度、模式等不同的角度切入，以獲得全面性數(shù)據(jù)。

借助可靠、科學的可信操作系統(tǒng)中嵌入式系統(tǒng)，可以盡可能提高安全性，對于系統(tǒng)中所產(chǎn)生的敏感性信息以及敏感性操作開展相應的保護與隱蔽，并在可信運行環(huán)境的基礎上實現(xiàn)對入侵系統(tǒng)的完善與調(diào)整，從而確保系統(tǒng)能夠在安全、穩(wěn)定的環(huán)境下運行。嵌入式系統(tǒng)可信運行環(huán)境在當前不用行業(yè)中均受到了足夠的重視，相信在未來時間內(nèi)，在技術(shù)革新、創(chuàng)新與升級下，這項技術(shù)必將能能夠產(chǎn)生更大的社會效益，以此實現(xiàn)技術(shù)領(lǐng)域的轉(zhuǎn)型升級。