嵌入式系統(tǒng)安全防護(hù)方案比較與應(yīng)用案例分析*

陳祥國(guó)，尚 凡，宋君強(qiáng)

(國(guó)防科技大學(xué)氣象海洋學(xué)院，湖南 長(zhǎng)沙 410073)

1 引言

如果說上一個(gè)十年第二代互聯(lián)網(wǎng)技術(shù)解決了人類全天候的移動(dòng)互聯(lián)問題，那么，下一個(gè)十年以5G技術(shù)為首的第三代互聯(lián)網(wǎng)技術(shù)將大概率解決以人為核心的萬物互聯(lián)問題。據(jù)保守估計(jì)，至2030年，將有包含汽車、手表和臺(tái)燈等在內(nèi)的5 000億個(gè)物聯(lián)網(wǎng)IoT(Internet of Things)節(jié)點(diǎn)直接連接互聯(lián)網(wǎng)，可期市場(chǎng)規(guī)模將超4萬億美元[1]。嵌入式計(jì)算機(jī)設(shè)備將分布于智能家居、智能穿戴服飾、無人駕駛汽車、工業(yè)生產(chǎn)線和植入式醫(yī)療設(shè)備等領(lǐng)域[2-4]。

截至目前，IoT領(lǐng)域仍有大量亟需解決的關(guān)鍵核心問題，包含多接入點(diǎn)大帶寬的互聯(lián)網(wǎng)接入技術(shù)、高能效比嵌入式計(jì)算芯片技術(shù)、規(guī)范完備的IoT協(xié)議棧、高可靠嵌入式操作系統(tǒng)和低功耗小尺寸傳感器技術(shù)等。與此同時(shí)，存在巨大硬件差異的百億級(jí)別嵌入式計(jì)算設(shè)備安全問題已然成為當(dāng)前計(jì)算機(jī)系統(tǒng)研究、設(shè)計(jì)的熱點(diǎn)話題[5]。經(jīng)梳理總結(jié)，本文給出如下幾種主要的嵌入式設(shè)備安全問題及挑戰(zhàn)：(1)IoT節(jié)點(diǎn)數(shù)量幾乎無限制增多導(dǎo)致的網(wǎng)絡(luò)安全危機(jī)，如傳統(tǒng)的分布式拒絕服務(wù)攻擊已經(jīng)可以借助大量的IoT節(jié)點(diǎn)實(shí)現(xiàn)前所未有的攻擊規(guī)模[6]；(2)嵌入式設(shè)備內(nèi)置數(shù)據(jù)存在泄露風(fēng)險(xiǎn)，如存放至IoT節(jié)點(diǎn)中的用戶指紋、面部特征等敏感信息；(3)嵌入式系統(tǒng)控制權(quán)限暴露引發(fā)被控制對(duì)象的安全風(fēng)險(xiǎn)，如心臟起搏器被攻擊后，可獲取起搏器電脈沖信號(hào)控制權(quán)限[7]；(4)逆向工程嵌入式系統(tǒng)網(wǎng)絡(luò)協(xié)議，使用其他設(shè)備模擬IoT節(jié)點(diǎn)，非法上傳數(shù)據(jù)致使收集錯(cuò)誤數(shù)據(jù)；(5)逆向工程嵌入式系統(tǒng)產(chǎn)品導(dǎo)致軟件知識(shí)產(chǎn)權(quán)泄露等風(fēng)險(xiǎn)。

面向物聯(lián)網(wǎng)時(shí)代，以IoT智能節(jié)點(diǎn)為代表的嵌入式系統(tǒng)安全防護(hù)問題已經(jīng)成為當(dāng)前亟需考慮并嘗試解決的系統(tǒng)性難題。然而，由于嵌入式系統(tǒng)應(yīng)用場(chǎng)景不同，其硬件體系結(jié)構(gòu)品類繁多、硬件資源相對(duì)稀少、印制板面積及能源供給相對(duì)緊張，很難找到通用的安全防護(hù)方法。本文對(duì)現(xiàn)有嵌入式系統(tǒng)安全防護(hù)技術(shù)進(jìn)行總結(jié)梳理與方案比較，并重點(diǎn)介紹TrustZone安全防護(hù)技術(shù)的實(shí)現(xiàn)原理及應(yīng)用案例。

2 嵌入式系統(tǒng)相關(guān)安全防護(hù)技術(shù)

以應(yīng)用為中心，硬件/軟件可裁剪，適應(yīng)應(yīng)用系統(tǒng)對(duì)功能、可靠性、成本、體積和功耗嚴(yán)格要求的專用微型計(jì)算機(jī)系統(tǒng)均可稱為嵌入式計(jì)算機(jī)系統(tǒng)[8]。按照其服務(wù)對(duì)象以及功能的不同，可粗略分為2大類：(1)智能終端設(shè)備；(2)微控制設(shè)備。

智能終端設(shè)備與人直接完成交互操作，強(qiáng)調(diào)系統(tǒng)圖形、圖像處理能力與功能可擴(kuò)展特性。智能手機(jī)是這類嵌入式系統(tǒng)的主要代表。微控制設(shè)備一般指安裝、嵌入至待測(cè)或待控制系統(tǒng)內(nèi)部，完成原始信息采集、處理和控制的微型計(jì)算機(jī)系統(tǒng)，其一般需要滿足響應(yīng)延遲小、響應(yīng)行為可控、功耗低、可靠性高和硬件尺寸小等特點(diǎn)，如植入式醫(yī)療設(shè)備、智能門鎖和GPS接收機(jī)模塊等均可視為微控制設(shè)備。2類嵌入式系統(tǒng)應(yīng)用場(chǎng)景不同，可采取的安全防護(hù)手段也有一定差異。

2.1 嵌入式系統(tǒng)安全防護(hù)技術(shù)難點(diǎn)

相較于通用計(jì)算機(jī)系統(tǒng)，嵌入式系統(tǒng)安全防護(hù)需要面臨諸多技術(shù)難點(diǎn)，簡(jiǎn)要總結(jié)如下：(1)設(shè)備單價(jià)低廉、總量極大且所處位置分散不易集中統(tǒng)一管理，面臨物理攻擊的風(fēng)險(xiǎn)極高；(2)嵌入式系統(tǒng)硬件尺寸受安裝使用位置限制，可選取的物理級(jí)別安全防護(hù)方法較少；(3)能源供給能力不足，對(duì)嵌入式芯片功耗有嚴(yán)格限制，芯片處理能力遠(yuǎn)低于通用計(jì)算機(jī)的芯片處理能力；(4)應(yīng)用場(chǎng)景迥異、硬件結(jié)構(gòu)差異顯著，無法提供通用的安全防護(hù)方案；(5)嵌入式節(jié)點(diǎn)產(chǎn)品數(shù)特別是IoT節(jié)點(diǎn)數(shù)量龐大，對(duì)于硬件成本具有較高的敏感性。

同時(shí)，智能終端設(shè)備與微控制設(shè)備的防護(hù)技術(shù)需求和技術(shù)難點(diǎn)也有所不同。智能終端設(shè)備一般使用較高性能嵌入式處理器(如ARM Cortex-A處理器)，對(duì)音視頻處理能力有較高要求，內(nèi)置數(shù)據(jù)存儲(chǔ)空間大，對(duì)系統(tǒng)實(shí)時(shí)性要求較低。其采用的安全防護(hù)技術(shù)應(yīng)盡可能側(cè)重考慮敏感數(shù)據(jù)訪問、支付安全及數(shù)字信息版權(quán)管理等方面。微控制設(shè)備對(duì)系統(tǒng)響應(yīng)速度、實(shí)時(shí)性有較高要求，數(shù)據(jù)存儲(chǔ)空間有限，處理器性能較低(主頻約8～400 MHz，如ARM Cortex-M微控制器)、內(nèi)存空間較小(1 KB～2 MB)。其可采取的安全防護(hù)技術(shù)應(yīng)能夠在較小性能損失情況下，側(cè)重于提供輸入輸出接口(或其他硬件資源)控制權(quán)限管理、遠(yuǎn)程或硬件身份認(rèn)證、安全網(wǎng)絡(luò)通信、小規(guī)模敏感數(shù)據(jù)保護(hù)等功能。

2.2 嵌入式安全防護(hù)技術(shù)梳理

目前，可用于嵌入式系統(tǒng)的安全防護(hù)策略可分為如下5類。圖1所示為基于軟件操作系統(tǒng)內(nèi)核的安全防護(hù)技術(shù)，其主要應(yīng)用于早期智能手機(jī)的安全防護(hù)管理中。高性能應(yīng)用級(jí)嵌入式系統(tǒng)處理器設(shè)置多種處理器運(yùn)行模式，如ARM Cortex-A處理器提供USER用戶(USR)、IRQ中斷和SYSTEM系統(tǒng)等9種工作模式[9]。不同工作模式下，運(yùn)行不同類型的程序代碼。例如，在系統(tǒng)模式下運(yùn)行操作系統(tǒng)內(nèi)核代碼、用戶模式下運(yùn)行普通用戶級(jí)程序。用戶程序不能直接訪問敏感硬件資源(例如存儲(chǔ)在Flash存儲(chǔ)器中的敏感數(shù)據(jù))或敏感程序代碼(如數(shù)據(jù)加密程序)，只可以通過操作系統(tǒng)提供的API函數(shù)間接、受限地使用敏感資源。在這類安全防護(hù)技術(shù)中，操作系統(tǒng)內(nèi)核被假定認(rèn)為是安全可靠的。然而，隨著操作系統(tǒng)代碼復(fù)雜度不斷增高，操作系統(tǒng)內(nèi)核漏洞不斷被披露，系統(tǒng)被攻破的可能性也在不斷提高。應(yīng)用程序可利用系統(tǒng)漏洞完成越權(quán)攻擊[10]，非法訪問敏感資源。

Figure 1 Security protection technology based on software operating system kernel

隨著嵌入式系統(tǒng)行業(yè)越來越重視安全防護(hù)，各半導(dǎo)體芯片供應(yīng)商提出了一些簡(jiǎn)易安全防護(hù)技術(shù)，熔絲位技術(shù)[11]是其中比較典型的一類。圖2為用于微控制芯片的熔絲位安全防護(hù)技術(shù)原理示意圖。微控制芯片內(nèi)CPU核可使用片內(nèi)總線訪問主存RAM及其他外設(shè)，但訪問Flash存儲(chǔ)器需經(jīng)過熔絲位部件完成語義檢查。設(shè)置的熔絲位只允許讀、寫語義正確的Flash訪問通過。部分微控制采用一次可編程OTP(One Time Programmable)存儲(chǔ)器替代熔絲位，完成數(shù)據(jù)保護(hù)功能。熔絲位部件只允許單次設(shè)置，設(shè)置后無法修改。常見的熔絲位設(shè)置有：禁止修改、寫入Flash數(shù)據(jù)；禁止調(diào)試端口讀取Flash數(shù)據(jù)；禁止從RAM中引導(dǎo)CPU啟動(dòng)等。該技術(shù)靈活性較低，一般僅用于小容量敏感數(shù)據(jù)保護(hù)、軟件知識(shí)產(chǎn)權(quán)保護(hù)等場(chǎng)景。

Figure 2 Fuse bit security protection technology

由于簡(jiǎn)易防護(hù)技術(shù)靈活性、通用性較差，半導(dǎo)體供應(yīng)商提出了多種靈活度較強(qiáng)的可編程硬件級(jí)安全防護(hù)技術(shù)。圖3a為外部加密協(xié)處理器技術(shù)，該技術(shù)在片上系統(tǒng)SoC(System on Chip)外部的印制板上增設(shè)用于安全防護(hù)的加密協(xié)處理器，協(xié)處理器與SoC之間使用板上總線連接。加密協(xié)處理可實(shí)現(xiàn)可編程數(shù)據(jù)加/解密算法程序、保存敏感數(shù)據(jù)等功能。該技術(shù)SoC與協(xié)處理器互聯(lián)總線暴露在芯片封裝外部，留下了硬件攻擊的隱患。如圖3b所示的技術(shù)將加密協(xié)處理器移至SoC內(nèi)部，作為安全I(xiàn)P模塊供處理器訪問。該技術(shù)克服了部分互聯(lián)總線安全及性能缺陷，但增加了SoC硅片面積與生產(chǎn)設(shè)計(jì)成本。圖3a和圖3b 2種技術(shù)受協(xié)處理器性能及總線的制約，加/解密算法執(zhí)行速度較低，且SoC內(nèi)部外設(shè)訪問權(quán)限、外部硬件資源訪問權(quán)限依然暴露給了用戶或系統(tǒng)程序，存在一定的軟件攻擊風(fēng)險(xiǎn)[12]。

如圖3c所示的技術(shù)摒棄了加密協(xié)處理器組件，而是將包含CPU核、內(nèi)部總線、RAM、Flash ROM及其他敏感外設(shè)在內(nèi)的硬件資源劃分為安全區(qū)域/非安全區(qū)域或增設(shè)安全/非安全模式。安全資源只有在CPU處于安全狀態(tài)時(shí)才能被訪問，安全狀態(tài)與非安全狀態(tài)下的程序、內(nèi)存空間、存儲(chǔ)空間完全隔離。使用硬件的方式(增設(shè)總線信號(hào)等措施)確保2狀態(tài)相互間信息交互只能經(jīng)由特殊的模式切換方式完成。由于安全/非安全模式分時(shí)共享同一CPU物理核心，因此該技術(shù)在幾乎不增加硅片面積的條件下，使加/解密及敏感資源訪問程序的執(zhí)行性能不受協(xié)處理器性能的制約。正因如此，可認(rèn)為該技術(shù)為典型的硬件虛擬化技術(shù)，即在單個(gè)物理CPU上虛擬出2個(gè)完全獨(dú)立的邏輯CPU,分別用于運(yùn)行安全程序和非安全程序。Intel公司的SGX(Software Guard Extensions)[13]技術(shù)及ARM公司的TrustZone技術(shù)[14]均采用該種虛擬化安全防護(hù)技術(shù)。早在2003年，ARM公司推出應(yīng)用TrustZone技術(shù)的Cortex-A處理器，2016年ARM公司將TrustZone技術(shù)遷移至Cortex-M處理器[15,16]，同年推出尺寸最小的支持TrustZone技術(shù)的微控制器內(nèi)核Cortex-M22與Cortex-M23。

Figure 3 Three programmable hardware security protection technologies

2.3 安全防護(hù)技術(shù)的比較評(píng)估

從安全性、開發(fā)難易程度、計(jì)算效率、實(shí)現(xiàn)靈活性、通用性、硬件成本和能耗增加7個(gè)維度比較2.2節(jié)中的5種安全防護(hù)技術(shù)，具體如表1所示。表1中按照1～5級(jí)對(duì)各安全防護(hù)技術(shù)進(jìn)行打分，5為最優(yōu)，1為最差。由表1可知，以TrustZone為代表的基于硬件虛擬化技術(shù)的安全防護(hù)技術(shù)在多個(gè)方面都有著優(yōu)異表現(xiàn)。其采用基于硬件完成安全防護(hù)，硬件防護(hù)電路分散在SoC內(nèi)部各處，并經(jīng)簡(jiǎn)易的IP修改就能夠?qū)崿F(xiàn)所有外設(shè)的安全防護(hù)檢查，其安全性高于內(nèi)置加密協(xié)處理技術(shù)。同時(shí)，采用TrustZone技術(shù)，所有敏感數(shù)據(jù)存取和計(jì)算操作均使用原有物理處理器核心，其計(jì)算性能不會(huì)受加密協(xié)處理器限制。

Table 1 Comparison of various security protection technologies

截止2020年，基于ARM授權(quán)的芯片出貨量已達(dá)1 600億顆，占據(jù)90%以上智能終端設(shè)備市場(chǎng)份額及50%以上微控制設(shè)備市場(chǎng)份額。因此，基于ARM內(nèi)核的TrustZone安全防護(hù)技術(shù)有望成為首個(gè)事實(shí)上的嵌入式安全防護(hù)解決方案業(yè)界標(biāo)準(zhǔn)。

3 ARM TrustZone

TrustZone是ARM公司推出的一種專注于安全事務(wù)處理的硬件級(jí)別虛擬化技術(shù)。TrustZone技術(shù)在同一個(gè)物理CPU硬件內(nèi)核上增設(shè)安全和非安全2種模式(又稱為安全世界/非安全世界)：安全世界運(yùn)行高可信程序代碼、可信執(zhí)行環(huán)境TEE(Trusted Execution Environment)操作系統(tǒng)，存放敏感數(shù)據(jù)；非安全世界執(zhí)行用戶級(jí)應(yīng)用程序,運(yùn)行普通級(jí)別操作系統(tǒng)，存儲(chǔ)一般類型數(shù)據(jù)。安全世界/非安全世界運(yùn)行時(shí)保持物理級(jí)隔離，即同一時(shí)刻、同一硬件內(nèi)核只處于安全世界或非安全世界。2種世界的相互切換通過專用指令完成。針對(duì)智能終端設(shè)備與微控制設(shè)備，ARM公司分別于2003年和2016年推出了TrustZone-A和TrustZone-M安全虛擬化技術(shù)。

3.1 TrustZone-A工作原理

Cortex-A處理器架構(gòu)采用TrustZone-A技術(shù)，其主要瞄準(zhǔn)智能終端設(shè)備(如智能手機(jī))市場(chǎng),調(diào)強(qiáng)更高的處理器性能、更好的圖形處理能力及更靈活的軟件安裝擴(kuò)展能力。該類設(shè)備一般采用復(fù)雜度較高的操作系統(tǒng)內(nèi)核，如Linux、iOS，以實(shí)現(xiàn)較好的軟件擴(kuò)展能力。鑒于其安裝軟件的靈活性強(qiáng)、存儲(chǔ)敏感數(shù)據(jù)種類多，TrustZone-A硬件隔離程度也相對(duì)較高。

TrustZone-A技術(shù)分別在內(nèi)部總線、處理器核IP、中斷控制器和地址空間控制器部件進(jìn)行硬件級(jí)修改[17,18]，并在敏感外設(shè)上增加安全訪問識(shí)別電路或增設(shè)TrustZone保護(hù)控制器單元集中管理敏感硬件設(shè)備。圖4為應(yīng)用TrustZone-A技術(shù)后，處理器核安全世界/非安全世界切換原理框圖。原有ARMv6處理器模式可分為特權(quán)和用戶2大類：IRQ、SVC、SYS等屬于特權(quán)模式[19]，操作系統(tǒng)內(nèi)核使用此類模式完成硬件資源管理與中斷處理工作；USR為用戶模式，用于應(yīng)用程序執(zhí)行普通操作。在引入TrustZone-A技術(shù)的ARMv7和ARMv8處理器中，處理器模式增加安全世界和非安全2個(gè)世界，2個(gè)世界下各有特權(quán)、用戶2類模式。同時(shí)，安全世界下增設(shè)的監(jiān)控模式，為安全世界與非安全世界唯一的信息調(diào)用通道。

Figure 4 TrustZone-A processor secure/non-secure world switching principle

TrustZone-A技術(shù)不僅需要對(duì)CPU核心進(jìn)行相關(guān)的安全修改，還需要對(duì)相應(yīng)的內(nèi)部總線、地址空間控制器和外設(shè)總線轉(zhuǎn)接橋等部件進(jìn)行修改、完善。圖5為ARM TrustZone-A技術(shù)白皮書中給出的安全SRAM儲(chǔ)存空間訪問原理示意圖[19]。

Figure 5 Principle of TrustZone-A processor security protection implementation

支持TrustZone-A技術(shù)的ARM處理器核使用AXI總線與AXI-to-APB總線橋模塊連接。圖5中，APB總線上掛載了保護(hù)控制器TZPC(TrustZone Protection Controller)、實(shí)時(shí)時(shí)鐘RTC(Real-Time Clock)、鍵盤鼠標(biāo)接口KMI(Keyboard and Mouse Interface)、定時(shí)器Timer 4個(gè)外設(shè)。其中RTC和Timer為非安全設(shè)備，TZPC為全時(shí)安全設(shè)備(總是處于安全狀態(tài))，KMI為分時(shí)安全設(shè)備(可設(shè)置部分時(shí)間處于安全狀態(tài))。同時(shí)，處理器核還通過AXI總線與內(nèi)存適配器TZMA(TrustZone Memory Adapter)連接，TZMA管理內(nèi)部SRAM、外部DRAM等存儲(chǔ)器，其可根據(jù)CPU狀態(tài)、訪存地址和訪存地址保護(hù)設(shè)置處理CPU訪存事務(wù)。TZPC可在CPU處于安全世界時(shí)完成參數(shù)設(shè)置，TZPC被設(shè)置后，可向TZMA下達(dá)內(nèi)存安全區(qū)域設(shè)置信息。TZMA根據(jù)配置信息檢測(cè)CPU訪存指令語義，若CPU處于非安全世界并嘗試訪問安全區(qū)域地址單元或資源，則拒絕訪問。與此類似，當(dāng)KMI被設(shè)置為安全狀態(tài)時(shí)，僅有安全世界代碼可以讀取鍵盤數(shù)據(jù)，非安全世界應(yīng)用無法獲知鍵盤鍵入信息，以確保用戶密碼等信息不被監(jiān)聽或泄露。

非安全世界用戶模式用于執(zhí)行應(yīng)用級(jí)軟件，不能直接訪問系統(tǒng)敏感信息及資源。非安全世界特權(quán)模式用于執(zhí)行復(fù)雜操作系統(tǒng)。安全世界用戶模式用于執(zhí)行數(shù)據(jù)加解密、生物信息匹配和敏感信號(hào)處理等應(yīng)用，該類應(yīng)用統(tǒng)稱為可信應(yīng)用TA(Trusted Application)。安全世界特權(quán)模式用于運(yùn)行高可信執(zhí)行環(huán)境TEE，如OP-TEE[20]、Trusty[21]等。TEE系統(tǒng)完成可信應(yīng)用的維護(hù)管理、調(diào)度與硬件資源分配等功能。與此同時(shí)，TEE系統(tǒng)還肩負(fù)著監(jiān)控模式的管理任務(wù)，負(fù)責(zé)2個(gè)世界的切換操作。

致力于安全芯片基礎(chǔ)設(shè)施統(tǒng)一標(biāo)準(zhǔn)的制定組織GlobalPlatform[22]，在2010年發(fā)布了整套TEE系統(tǒng)實(shí)現(xiàn)接口標(biāo)準(zhǔn)，從接口、協(xié)議實(shí)現(xiàn)等層面對(duì)TEE系統(tǒng)進(jìn)行規(guī)范定義。各區(qū)域軟件布局如圖6所示。盡管GlobalPlatform完成了部分軟件接口的標(biāo)準(zhǔn)化，但基于安全方面的考慮，各嵌入式設(shè)備提供商均未開放各自可信執(zhí)行環(huán)境設(shè)計(jì)實(shí)現(xiàn)細(xì)節(jié)，也不開放可信應(yīng)用加載權(quán)限。智能設(shè)備提供商負(fù)責(zé)完成安全世界中，包含可信執(zhí)行環(huán)境及可信應(yīng)用的所有程序?qū)崿F(xiàn)。非安全應(yīng)用程序開發(fā)人員僅能通過設(shè)備提供商提供的非安全操作系統(tǒng)API函數(shù)完成敏感事務(wù)請(qǐng)求。對(duì)普通應(yīng)用程序而言，TEE及可信應(yīng)用為內(nèi)存不可見的、功能獨(dú)立的系統(tǒng)函數(shù)調(diào)用棧。在應(yīng)用TrustZone-A技術(shù)的嵌入式系統(tǒng)中，非安全世界的普通操作系統(tǒng)確保設(shè)備的軟件擴(kuò)展能力，安全世界的可信操作系統(tǒng)保證了設(shè)備處理敏感事務(wù)的軟件執(zhí)行環(huán)境安全。

Figure 6 TrustZone-A platform software types and processing status distribution

3.2 TrustZone-A監(jiān)控器設(shè)計(jì)

在TrustZone-A安全防護(hù)技術(shù)中，安全世界與非安全世界的切換必須經(jīng)由監(jiān)控處理器模式完成。運(yùn)行在監(jiān)控模式下的代碼像投遞員一樣負(fù)責(zé)完成2個(gè)世界之間的消息交互。在系統(tǒng)實(shí)施攻擊時(shí)，監(jiān)控模式下的代碼是重要的攻擊端面[14]，因此，監(jiān)控模式代碼(下稱監(jiān)控器)的設(shè)計(jì)是TrustZone-A安全防護(hù)技術(shù)的重點(diǎn)內(nèi)容。

監(jiān)控器一般需完成如下功能：(1)當(dāng)在2個(gè)世界之間切換時(shí)，監(jiān)控器程序必須在離開當(dāng)前世界前，把該世界的所有上下文狀態(tài)保存至當(dāng)前世界堆?？臻g，并恢復(fù)待進(jìn)入世界的上下文環(huán)境；(2)在2個(gè)世界之間完成安全的信息交互，實(shí)現(xiàn)受限的消息傳遞，最大程度減少公用資源中可能殘留的非法信息交互。

出于程序健壯性方面的考慮，監(jiān)控器執(zhí)行時(shí)，需禁止響應(yīng)中斷、禁止監(jiān)控器代碼可重進(jìn)入，盡量減小監(jiān)控器尺寸，以避免復(fù)雜情況導(dǎo)致的安全隱患。在ARMv7及以前的芯片中，監(jiān)控器一般被集成在可信執(zhí)行環(huán)境操作系統(tǒng)中(如OP-TEE)，由可信操作系統(tǒng)負(fù)責(zé)實(shí)現(xiàn)。而自ARMv8推出后，ARM公司發(fā)布的開源可信固件ATF(ARM Trusted Firmware)[23]涵蓋了監(jiān)控器代碼，進(jìn)一步規(guī)范了監(jiān)控器設(shè)計(jì)實(shí)現(xiàn)。

監(jiān)控器是安全世界與非安全世界之間的唯一信息通道，因此，從原理上講攻擊程序檢測(cè)及防護(hù)功能可以在監(jiān)控器中實(shí)現(xiàn)。監(jiān)控器在接收非安全世界應(yīng)用程序的敏感事務(wù)請(qǐng)求時(shí)，統(tǒng)計(jì)請(qǐng)求成功、失敗情況，分析請(qǐng)求失敗原因，隨即可推測(cè)其是否存在異常攻擊行為。若應(yīng)用試圖使用暴力手段掃描可信程序攻擊端面，導(dǎo)致多次敏感事務(wù)請(qǐng)求失敗，則可通知普通操作系統(tǒng)內(nèi)核守護(hù)進(jìn)程，殺死攻擊應(yīng)用程序或主動(dòng)清除敏感數(shù)據(jù)信息，其原理如圖7所示。

Figure 7 Monitor-based attack detection and protection

3.3 可信啟動(dòng)鏈

計(jì)算機(jī)系統(tǒng)啟動(dòng)過程是安全系統(tǒng)生命周期中最容易遭受攻擊的時(shí)段[14]。許多攻擊者試圖在設(shè)備斷電期間或系統(tǒng)未完全加載之前，通過替換、篡改存儲(chǔ)在SoC外部、Flash存儲(chǔ)器中的系統(tǒng)鏡像，完成系統(tǒng)攻擊。

為防止此類攻擊行為，在系統(tǒng)啟動(dòng)過程中需設(shè)計(jì)一條完整、安全的啟動(dòng)引導(dǎo)鏈路，驗(yàn)證系統(tǒng)鏡像是否被惡意篡改。該啟動(dòng)過程起始驗(yàn)證信息被稱為可信根RoT(Root of Trust)，常常被存放至難以被篡改的SoC芯片內(nèi)部。由可信根至所有操作系統(tǒng)可信加載完畢的啟動(dòng)鏈路，稱為可信啟動(dòng)鏈。TrustZone-A和TrustZone-M均支持可信啟動(dòng)鏈。圖8為基于TrustZone的可信啟動(dòng)流程圖。

Figure 8 Trusted boot process in TrustZone

圖8中灰色框?yàn)榘踩澜绮僮骰蛑豢稍诎踩澜缭L問的敏感數(shù)據(jù)信息。操作系統(tǒng)鏡像驗(yàn)證簽名可采用基于公鑰的簽名算法協(xié)議，如RSA-PSS(RSA-Probabilistic Signature Scheme)協(xié)議。在此類協(xié)議中，受信任的供應(yīng)商(設(shè)備硬件供應(yīng)商、TEE開發(fā)方、普通系統(tǒng)開發(fā)方)使用其私鑰生成需部署代碼的簽名，并將簽名與二進(jìn)制鏡像文件一并推送至設(shè)備。嵌入式設(shè)備中包含供應(yīng)商的公鑰，可用于驗(yàn)證二進(jìn)制文件是否由可信供應(yīng)商發(fā)布，或判斷其是否被惡意篡改。初級(jí)公鑰不需要保密，但必須以某種安全的方式存儲(chǔ)在設(shè)備中，該方式應(yīng)滿足不易被攻擊者修改或替換的要求。

系統(tǒng)上電時(shí)，CPU首先運(yùn)行在安全狀態(tài)，執(zhí)行SoC內(nèi)部引導(dǎo)程序。引導(dǎo)程序可使用OTP存儲(chǔ)器中的可信公鑰(此為可信根)，驗(yàn)證TEE系統(tǒng)引導(dǎo)程序鏡像簽名是否屬于設(shè)備提供商、鏡像是否被惡意篡改，若驗(yàn)證正確則可跳轉(zhuǎn)至TEE系統(tǒng)引導(dǎo)程序引導(dǎo)TEE系統(tǒng)。依此方法可順序引導(dǎo)運(yùn)行TEE系統(tǒng)、普通系統(tǒng)引導(dǎo)程序和普通系統(tǒng)鏡像。在驗(yàn)證普通系統(tǒng)簽名后，退出安全狀態(tài)，進(jìn)入非安全狀態(tài)，跳轉(zhuǎn)至普通系統(tǒng)引導(dǎo)啟動(dòng)流程。

可信公鑰應(yīng)由設(shè)備供應(yīng)商或設(shè)備TEE開發(fā)方提供并寫入OTP存儲(chǔ)器[17,18]。OTP封裝至SoC內(nèi)部，一般認(rèn)為OTP是系統(tǒng)中唯一無法被輕易修改的存儲(chǔ)組件，半導(dǎo)體制造商為了進(jìn)一步保護(hù)OTP存儲(chǔ)器遭受物理攻擊，還會(huì)在芯片設(shè)計(jì)時(shí)做相應(yīng)的混淆設(shè)計(jì)處理。

上述啟動(dòng)過程中，TEE系統(tǒng)驗(yàn)簽通過后，應(yīng)常駐SoC片內(nèi)存儲(chǔ)空間，并設(shè)置該地址空間區(qū)域?yàn)榘踩珔^(qū)域，以減小敏感代碼、數(shù)據(jù)被動(dòng)態(tài)窺探的風(fēng)險(xiǎn)。受限于SoC硅片面積，TEE系統(tǒng)及可信應(yīng)用應(yīng)盡可能小巧，才能實(shí)現(xiàn)完整片內(nèi)存儲(chǔ)的要求。

3.4 TrustZone-M基本原理

與智能終端設(shè)備相比，微控制設(shè)備在功耗、實(shí)時(shí)性、響應(yīng)可確定性、魯棒性和中斷延遲等方面，有著更為苛刻的要求，如電動(dòng)汽車電機(jī)調(diào)速系統(tǒng)需要在微秒級(jí)周期內(nèi)采集傳感器信息并實(shí)時(shí)輸出控制響應(yīng)信號(hào)。因此，ARM公司并沒有將多年成功應(yīng)用于Cortex-A處理器的TrustZone技術(shù)直接移植到Cortex-M處理器中，而是重新設(shè)計(jì)了針對(duì)低功耗、低延遲應(yīng)用的TrustZone-M技術(shù)。

在較高的抽象層面上，2種TrustZone技術(shù)保持了一定的相似性，即在同一個(gè)物理處理器核心中增設(shè)安全和非安全2個(gè)世界，非安全世界的軟件無法直接訪問安全世界的敏感代碼及數(shù)據(jù)。2種TrustZone的主要區(qū)別有：

(1)TrustZone-M支持設(shè)置多個(gè)安全世界進(jìn)入點(diǎn)，可實(shí)現(xiàn)更靈活的安全世界/非安全世界切換。安全世界代碼可任意調(diào)用非安全世界函數(shù)，非安全世界中代碼可通過“多進(jìn)入點(diǎn)”調(diào)用安全世界預(yù)留API函數(shù)。而在TrustZone-A中，監(jiān)控模式是唯一的切換點(diǎn)。

(2)TrustZone-M中，CPU處于安全世界時(shí)，非安全世界的中斷或者異?？梢該屨糃PU完成快速中斷服務(wù)響應(yīng)。中斷延遲并不會(huì)由于TrustZone-M的引入而顯著增大，以確保系統(tǒng)的低延遲中斷特性。

(3)為了滿足低功耗需求，TrustZone-M中2種世界共享絕大多數(shù)的寄存器組，但獨(dú)立設(shè)置堆棧等寄存器。在切換世界時(shí)，除參數(shù)傳遞外，多余的共享寄存器必須安全壓棧并清空，避免信息泄露。

(4)TrustZone-M具備多點(diǎn)的世界切換特性，切換開銷遠(yuǎn)小于TrustZone-A，TrustZone-M中的軟件編程也更加靈活。

為實(shí)現(xiàn)低切換開銷，TrustZone-M主要采用地址映射方式完成安全世界/非安全世界切換功能。這種方式取消了TrustZone-A中的監(jiān)控模式，通過增設(shè)SAU(Secure Attribution Unit)和IDAU(Implementation Defined Attribution Unit)[16]2個(gè)屬性驗(yàn)證部件，實(shí)時(shí)判斷數(shù)據(jù)或程序地址是否屬于安全地址空間。若地址屬于安全空間，則CPU處于安全世界；否則處于非安全世界。其原理如圖9所示。

Figure 9 TrustZone-M address security verification principle with SAU and IDAU

SAU是一個(gè)可編程的安全狀態(tài)控制器，其編程模型與內(nèi)存保護(hù)單元MPU(Memory Protection Unit)類似。安全世界下，可以通過SAU完成4 GB地址空間的安全地址和非安全地址區(qū)域設(shè)置。在所有支持TrustZone-M的處理器中，SAU都是存在的，但其可定義區(qū)域的個(gè)數(shù)由芯片供貨商確定。為了進(jìn)一步增加芯片安全特性，并提升設(shè)置靈活性，TrustZone-M為芯片供應(yīng)商預(yù)留了可選IDAU部件。芯片供應(yīng)商可使用IDAU定義固定的地址區(qū)域的安全屬性。最終，地址空間的安全屬性由SAU和IDAU 2個(gè)單元共同決定。

3.5 TrustZone-M安全狀態(tài)切換

通過SAU和IDAU部件，RAM、ROM及外設(shè)地址空間可被設(shè)置為3種安全屬性：非安全NS(Non-Secure)區(qū)域、安全S(Secure)區(qū)域和非安全可調(diào)用NSC(Non-Secure Collable)區(qū)域。

NS區(qū)域存儲(chǔ)非安全可執(zhí)行代碼,存儲(chǔ)非敏感數(shù)據(jù),分布非敏感外設(shè)訪問寄存器。NS區(qū)域代碼只能夠訪問非敏感地址，若需要使用敏感功能需經(jīng)由非安全可調(diào)用區(qū)域NSC間接調(diào)用。S區(qū)域存儲(chǔ)安全可執(zhí)行代碼，存儲(chǔ)敏感數(shù)據(jù)，分布敏感外設(shè)訪問寄存器。S區(qū)域代碼可以訪問安全世界資源，也可直接使用非安全區(qū)域函數(shù)或數(shù)據(jù)。NSC區(qū)域?qū)儆谔厥獾陌踩珔^(qū)域。NSC存儲(chǔ)空間是非安全世界唯一可調(diào)用的安全地址區(qū)域。NSC區(qū)域中保存了安全世界提供的所有可訪問API函數(shù)調(diào)用點(diǎn)，并通過SG(Secure Gateway)指令實(shí)現(xiàn)由非安全世界向安全世界的切換。SG指令僅在NSC區(qū)域中才被認(rèn)為是有效指令，在其他區(qū)域的SG指令不會(huì)被認(rèn)為是安全狀態(tài)切換指令，以此確保非法的安全狀態(tài)切換攻擊不會(huì)被有效執(zhí)行。

圖10中①、②、③箭頭展示了非安全世界代碼調(diào)用安全世界API函數(shù)流程。非安全代碼片段中使用BL指令調(diào)用NSC區(qū)域中安全世界Func_A函數(shù)對(duì)應(yīng)調(diào)用點(diǎn)SG指令，CPU進(jìn)入安全世界，而后分支轉(zhuǎn)向安全世界代碼Func_A入口；Func_A執(zhí)行完畢后，調(diào)用BXNS指令退出并轉(zhuǎn)入非安全世界。由于NSC的引入，安全世界Func_A函數(shù)的絕對(duì)地址被隱藏，確保了敏感函數(shù)的安全。

Figure 10 Code calling process of TrustZone-M secure/non-secure world

圖10中④、⑤、⑥、⑦箭頭展示了安全世界代碼調(diào)用非安全世界函數(shù)流程。安全世界代碼使用BLXNS指令，分支跳轉(zhuǎn)至R0寄存器保存的地址，該地址指向非安全世界函數(shù)Func_C；硬件自動(dòng)完成安全世界堆棧壓棧操作，并將特殊值FNC_RETURN存入寄存器LR中；隨后CPU切換至非安全世界，并跳轉(zhuǎn)到Func_C函數(shù)運(yùn)行，執(zhí)行完畢后Func_C調(diào)用BX退出函數(shù)；硬件觀察到LR中保存了FNC_RETURN，則將CPU切換至安全狀態(tài)，并自動(dòng)從安全堆棧中出棧，跳轉(zhuǎn)到原有安全程序片段執(zhí)行。

除函數(shù)調(diào)用外，中斷和異常處理也有可能導(dǎo)致CPU安全狀態(tài)切換。在支持TrustZone-M的Cortex-M處理器中，每個(gè)中斷可以被配置為安全中斷或非安全中斷，修改中斷安全配置需要在安全世界中完成。安全中斷由安全世界中的中斷服務(wù)程序處理，反之由非安全世界的中斷服務(wù)程序處理。無論CPU所處何種世界，2種中斷均可被響應(yīng)。若發(fā)生的中斷安全級(jí)別與當(dāng)前CPU安全狀態(tài)一致時(shí)，中斷延遲與普通Cortex-M處理器的一致。但是，當(dāng)CPU處于安全狀態(tài)，且發(fā)生非安全中斷時(shí)，CPU會(huì)將所有寄存器內(nèi)容壓入安全棧，并將所有寄存器清空后，才會(huì)進(jìn)入非安全中斷服務(wù)程序，避免了安全世界寄存器數(shù)據(jù)泄露至非安全世界。寄存器清空操作會(huì)導(dǎo)致約20個(gè)CPU周期的中斷延遲。

在不同廠商提供的微控制器中，TrustZone-M往往會(huì)和芯片供應(yīng)商提供的輔助安全防護(hù)措施配合使用。如意法半導(dǎo)體公司在STM32L5系列芯片中使用數(shù)據(jù)讀出保護(hù)技術(shù)RDP(ReaDout Protection,類似熔絲位機(jī)制)[18]和TrustZone技術(shù)相結(jié)合，為程序開發(fā)者提供產(chǎn)品不同研制階段的數(shù)據(jù)安全防護(hù)手段。通過提升RDP級(jí)別，可永久封閉微控制器調(diào)試通道，禁止一切外部手段直接獲取、修改敏感數(shù)據(jù)。

3.6 TrustZone-M應(yīng)用案例

圖11為使用TrustZone-M技術(shù)實(shí)現(xiàn)敏感控制信號(hào)保護(hù)的應(yīng)用案例原理框圖。方案中采用非對(duì)稱加密算法實(shí)現(xiàn)報(bào)文信息簽名及加密功能。嵌入式微控制器只會(huì)接受合法遠(yuǎn)程上位機(jī)指令，完成敏感控制信號(hào)輸出狀態(tài)切換。非安全世界實(shí)現(xiàn)系統(tǒng)主進(jìn)程循環(huán)、TCP協(xié)議棧和網(wǎng)卡硬件驅(qū)動(dòng)代碼。安全世界實(shí)現(xiàn)公鑰存儲(chǔ)、隨機(jī)數(shù)生成算法、加密/驗(yàn)簽算法、安全鏡像管理和敏感I/O口控制驅(qū)動(dòng)代碼。遠(yuǎn)程上位機(jī)實(shí)現(xiàn)顯控界面、網(wǎng)絡(luò)協(xié)議棧和私鑰存儲(chǔ)。由于TrustZone-M技術(shù)的引入，非安全世界漏洞，如TCP協(xié)議棧的漏洞，并不能用于獲取敏感I/O控制權(quán)限。系統(tǒng)安全通信流程如圖12所示。

系統(tǒng)安全通信流程包含如下步驟：(1)遠(yuǎn)程上位機(jī)使用私鑰生成“請(qǐng)求修改I/O權(quán)限”報(bào)文，發(fā)送至微控制器；(2)微控制器在非安全模式下收到該TCP報(bào)文后，將該報(bào)文轉(zhuǎn)發(fā)至安全世界；(3)安全世界代碼使用公鑰驗(yàn)證報(bào)文簽名，若遠(yuǎn)程上位機(jī)身份合法，則使用偽隨機(jī)數(shù)生成算法生成隨機(jī)數(shù)，而后使用公鑰對(duì)隨機(jī)數(shù)完成加密。該隨機(jī)數(shù)密文將作為本次通信權(quán)限驗(yàn)證試題，經(jīng)非安全世界轉(zhuǎn)發(fā)至遠(yuǎn)程上位機(jī)；(4)遠(yuǎn)程上位機(jī)收到驗(yàn)證試題后，使用私鑰完成解密，將測(cè)試結(jié)果及待修改I/O命令一起，經(jīng)私鑰簽名后發(fā)送至微控制器；(5)微控制器安全區(qū)域收到測(cè)試結(jié)果后，若測(cè)試通過，則根據(jù)I/O修改命令完成I/O口輸出狀態(tài)設(shè)置，并將狀態(tài)上報(bào)遠(yuǎn)程上位機(jī)。上述過程中，隨機(jī)數(shù)測(cè)試題與對(duì)稱加密技術(shù)中的單次有效密鑰分發(fā)技術(shù)類似。該操作可避免非法上位機(jī)通過監(jiān)聽二進(jìn)制控制報(bào)文，實(shí)施敏感I/O修改攻擊。

Figure 11 Principle of the sensitive control signal protection scheme

Figure 12 A case of communication flow of secure communication protocol

4 結(jié)束語

本文在列舉并比較多種嵌入式計(jì)算機(jī)系統(tǒng)安全防護(hù)手段后，深入剖析了基于硬件虛擬化的ARM TrustZone技術(shù)軟/硬件系統(tǒng)組成、工作原理及設(shè)計(jì)實(shí)現(xiàn)要點(diǎn)。分析了TrustZone-A和TrustZone-M 2種技術(shù)方案的區(qū)別，并給出了2種技術(shù)適用場(chǎng)景與實(shí)現(xiàn)特點(diǎn)。給出了可信啟動(dòng)流程實(shí)現(xiàn)原理，并簡(jiǎn)要討論了基于TrustZone-A監(jiān)控模式代碼的異常程序檢測(cè)及防護(hù)實(shí)現(xiàn)可行性。針對(duì)典型應(yīng)用場(chǎng)景，給出了基于TrustZone-M技術(shù)的安全防護(hù)方案及安全通信協(xié)議實(shí)現(xiàn)實(shí)例。

正如文獻(xiàn)[14]所述，面對(duì)未來的嵌入式系統(tǒng)應(yīng)用場(chǎng)景，“安全”已不再是可選項(xiàng)。作為當(dāng)今世界最大的嵌入式處理器知識(shí)產(chǎn)權(quán)供應(yīng)商的ARM公司，其提出的TrustZone技術(shù)無疑將成為首選的嵌入式系統(tǒng)安全防護(hù)方案之一?？梢灶A(yù)期，基于TrustZone技術(shù)的理論研究、攻防技術(shù)升級(jí)將成為未來5～10年該領(lǐng)域的熱點(diǎn)內(nèi)容。