嵌入式系統安全性(下)　對攻擊狀況和防衛策略的概述和分析

ARM的TrustZone技術(shù)

　　是一種將軟件和硬件相結合為消費者產(chǎn)品提供安全保護的技術(shù)9，10，11。在硬件方面，特殊的具有“安全意識”的存儲器包裹層(wrapper)，系統總線(xiàn)，調試端口，及中斷控制器都被集成到了SOC中。另外，TrustZone為CPU結構和核心增加了一個(gè)新的安全監控模式。

　　在軟件方面，一個(gè)從受信任的邏輯提供的安全監控器，在新的安全監控模式下運行，并擔當安全與不安全狀態(tài)之間的看門(mén)監控任務(wù)。當操作系統調用TrustZone指令(安全監控中斷或SMI)時(shí)，安全監控器受到了控制，與此同時(shí)，處理器獲得了額外層次的特權以運行受到信任的代碼，并通過(guò)嵌入已知有安全意識的外設的安全審核位或“S-位”，來(lái)控制對受到信任的資源的訪(fǎng)問(wèn)。對安全存儲器的訪(fǎng)問(wèn)是通過(guò)使用MMU和TLB中的安全位標記符和“S-位標記符”來(lái)控制的。這些標志被用來(lái)將存儲器劃分為安全區和不安全區。安全監控器通過(guò)將中斷分為安全和不安全兩類(lèi)，來(lái)進(jìn)一步增強安全性，并實(shí)現斷開(kāi)/連接調試端口的能力。

　　TrustZone技術(shù)，已被用來(lái)保護在芯片上或不在芯片上的存儲器和外圍設備免受軟件攻擊。通過(guò)對系統的精心設計，TrustZone可以額外地提供安全措施以抵抗一些硬件攻擊。例如，將可信的代碼放入SoC內部存儲器，并保證置于外部存儲器的硬件表 walker列表不能指向內部存儲器或敏感程序(TLB的再次寫(xiě)入會(huì )失敗)。因此，有進(jìn)入外部存儲器的許可并不能提供進(jìn)入敏感資源的許可。

　　TrustZone為操作系統在無(wú)安全狀態(tài)下的運行提供了二進(jìn)制兼容性。如果操作系統需要與安全區域的應用程序進(jìn)行交流，就必須寫(xiě)擴展名。同樣的，在無(wú)TrustZone的平臺上處于特權模式的一些可以被訪(fǎng)問(wèn)的寄存器， 一旦在TrustZone.內運行時(shí)，可以被強迫處于特權/不可信模式。

　　然而，這種方法一個(gè)潛在的缺點(diǎn)是TrustZone僅提供兩種環(huán)境。一般的應用程序需要三種或更多：一個(gè)操作系統核(如RTOS)、一個(gè)用于處理DRM或其它安全處理要求的安全內核，以及“豐富的操作系統”—用于控制用戶(hù)的界面(一般包括Windows Mobile、Symbian、Linux等)。如圖5所示的小型終端交互操作平臺(STIP)應用12是一類(lèi)安全付款的方式。正如圖中所示的那樣，它被保護起來(lái)，免受任何在壁壘的“正常”一側所發(fā)生的入侵行為影響，該壁壘是受控于安全監測器。

　　很多嵌入式方案的一個(gè)關(guān)鍵目標是減少材料單成本。許多OEM的發(fā)展動(dòng)力，則是確保了單獨的處理器有足夠的CPU馬力來(lái)容納大量功能。在理想情況下，一個(gè)CPU可以同時(shí)運行無(wú)線(xiàn)工作棧、應用操作系統，及安全應用軟件(DRM，還款應用)。將無(wú)線(xiàn)工作棧置于特權安全模式下，則產(chǎn)生容易遭受在外部存儲器上發(fā)生的硬件攻擊的弱點(diǎn)，并大大地增大了可信代碼基(TCB)的尺寸，其原因可以由如下的例子來(lái)說(shuō)明：一個(gè)3G GSM堆棧普遍有幾兆大小，比普通的SOC內部存儲器要大很多。這就使得設計只能在如下兩個(gè)方面進(jìn)行選擇：通過(guò)將GSM堆棧與應用操作系統集成到一起，使得它能夠在正常模式下運行，或是在第三種執行環(huán)境中運行它，這種特性是TrustZone所不具有的。

　　所以TrustZone能夠很好地保護硬件，但是卻不能為很多系統級的應用程序管理其安全區域。一個(gè)獨立的系統管理程序可以提供一定程度的、針對軟件攻擊的防護力，可以讓開(kāi)發(fā)者生成多種執行環(huán)境，但它在防范硬件攻擊方面只采取了很少的措施。不過(guò)，把這兩者組合起來(lái)，就可以產(chǎn)生一種對兩個(gè)領(lǐng)域來(lái)說(shuō)都是最佳的選擇。

　　正如圖6所示的那樣，一個(gè)以監控模式運行的系統管理程序，可以取代TrustZone安全監控器以及圖5所示的安全內核的位置。所有其他軟件組件都被推入用戶(hù)空間中，于是特權模式實(shí)際上并未被使用。

圖5  TrustZone架構概覽


圖6   帶有系統管理程序的TrustZone

　　這種方式的優(yōu)點(diǎn)是，具有運行大量虛擬機的能力，其中一些有安全區，另一些有不被保護的區域。所以，在這種方法中，GSM堆?？梢栽谒约旱挠蛑羞\行，但是當它在用戶(hù)態(tài)模式下運行時(shí)，如果堆棧被攻擊，對黑客公開(kāi)的資源僅限于那些在引導時(shí)就被賦予的資源。STIP應用程序在有墻壁保護且安全的區域是安全的。

　　系統管理程序精心地管理著(zhù)對SOC內部的硬件資源的訪(fǎng)問(wèn)，以保證所有可信的數據和應用程序仍存在于合適的安全區域。敏感資源受益于TrustZone所提供的硬件保護，而對安全性來(lái)說(shuō)不那么關(guān)鍵的虛擬機，例如容納GSM堆棧的虛擬機，可以在外部存儲器運行。

MIPS技術(shù)處理器

　　MIPS為具有安全保護的應用程序提供4KSd13內核。這個(gè)核心包括應用專(zhuān)用的擴展——以改進(jìn)加密算法的執行，隱藏處理器活動(dòng)、使之不至于受到能量信號特征分析和探測的手段，以及具有每頁(yè)讀/寫(xiě)/執行特權設置功能的安全MMU。

　　這個(gè)核心除了具有安全保護功能外，獲得使用許可的人還可以增加額外的工具，比如獨有的芯片級序列號、加密處理器、隨機數發(fā)生器、USB防火墻以及安全引導加載機制。
使用分層的方法以提高安全性，一個(gè)合理設計的系統管理程序可以利用內核內置的安全防護功能以及SOC設計者增加的特性，來(lái)增強整體系統的安全性。

　　處理器的旁路轉換緩沖器(TLB)的設計是一個(gè)關(guān)鍵問(wèn)題。MIPS處理器的TLB兼容了一個(gè)軟件替換策略。當采取措施來(lái)保護MMU和關(guān)聯(lián)的TLB時(shí)，執行TLB重填的代碼和被該代碼所操作的數據都處于內存之中，可能被流氓軟件所訪(fǎng)問(wèn)。一個(gè)系統管理程序可以用來(lái)在TLB重填時(shí)執行額外的檢查，以保護系統不受通過(guò)外部SDRAM進(jìn)行的硬件攻擊。

　　另外，一些MIPS處理器提供了一個(gè)中間“超級用戶(hù)”模式，以使系統管理程序可以用其來(lái)執行一個(gè)執行虛擬內核模式。這樣就減少了虛擬的開(kāi)銷(xiāo)。

Power/PowerPC處理器

　　32位和64位兩種體系的PowerPC已經(jīng)在很寬范圍的產(chǎn)品中被廣泛應用，包括通信處理器，通用設備，性能導向型游戲系統以及企業(yè)計算。

　　PowerPC的衍生體一般會(huì )應用于嵌入式產(chǎn)品中，比如32位PowerPC405和440，它們使用一種軟件重填策略來(lái)保持TLB實(shí)體不斷更新。另外，有一種區域保護寄存器(ZPR)，它允許TLB訪(fǎng)問(wèn)控制被撤銷(xiāo)。這些特征產(chǎn)生了一些弱點(diǎn)，這些薄弱環(huán)節可以通過(guò)組合操作系統的安全策略管理和虛擬技術(shù)來(lái)阻止流氓軟件的訪(fǎng)問(wèn)。

　　一些PowerPC的衍生體，比如索尼Playstation 3中所使用的多核單元寬帶引擎(BE)，具有先進(jìn)的安全機制，它包括經(jīng)過(guò)加密的、得到標記的安全引導機制和將執行敏感任務(wù)的處理器在物理上單獨隔離開(kāi)的功能。

系統加固：多少才夠用？

　　正如我們所述，有多少攻擊的方法，就有多少防御攻擊的技術(shù)。強勁的防御策略通常是依賴(lài)于一個(gè)“分層”防御，這個(gè)“分層”防御兼容了大量硬件和軟件技術(shù)。確定一個(gè)系統是否被充分地保護起來(lái)，是一件很復雜的事情。

　　對于確定給定產(chǎn)品是否可以滿(mǎn)足給定應用的安全需要的程度這一問(wèn)題，有著(zhù)正規的方法。對于安全分析來(lái)說(shuō)，一個(gè)被廣泛接受的標準是信息技術(shù)安全評估的通用標準(簡(jiǎn)稱(chēng)通用標注或CC14)。這是一個(gè)計算機安全方面的國際標準(國際標準化組織/國際電工委員會(huì )15408)，它為廠(chǎng)商和客戶(hù)創(chuàng )造了一套系統框架，供廠(chǎng)商和客戶(hù)在該框架中運行，該框架可以為用戶(hù)環(huán)境提供詳細的描述和隨之而來(lái)的威脅，以及分析和測試方法學(xué)，以便決定給定的產(chǎn)品滿(mǎn)足環(huán)境的特定要求的程度。

　　例如，德國B(niǎo)MI(Bundesamt für Sicherheit in der Informationstechnik)與歐洲智能卡協(xié)會(huì )(EUROSMART)合作，開(kāi)發(fā)了一種保護狀況(PP)，命名為智能卡IC平臺保護狀況(BSI-PP-0002)，包括及其詳細的、與他們行業(yè)特別相關(guān)的攻擊狀況描述。希望提供產(chǎn)品來(lái)響應這個(gè)特殊的保護狀況需要的公司，隨后選擇了一種評估保證級別(EAL)，此級別從1級(最低)到7級(最高)。這些保證級別不是對應于關(guān)于給定PP的保護程度，而是對應于實(shí)驗室所測結果與列舉的安全聲明的符合程度。測試實(shí)驗室會(huì )將一系列的保證要求與所選擇的水平進(jìn)行聯(lián)系，進(jìn)行分析、測試，得出合格/與不合格的結論。

　　我們提出一種更基本的度量方法，在開(kāi)發(fā)階段的初期給設計打分。每個(gè)保護的措施和結構的特征都會(huì )是一個(gè)得分點(diǎn)。那么，對不同種類(lèi)基本分的調整，就要根據其安全要素(如：最大覆蓋面和最小受攻擊面)。

網(wǎng)格(+80):可能調整±40
TrustZone可信區(+80):可能調整±40
安全導入(+80) :可能調整±40
虛擬化 (+80): 可能調整±40

安全操作系統

　　DMA控制器(-80): 可能調整±40
　　在分層的策略中，每一個(gè)組件對整個(gè)安全性的貢獻是可以相加的。一個(gè)組件，如操作系統，有一個(gè)固有的“虛擬化”以盜用一個(gè)加分條款，80就被加到另一個(gè)組件固有的分數上，比如安全導入機制的80分，加起來(lái)就是160分?，F在，如果操作系統由于大量附加特征，呈現出一個(gè)大的攻擊表面，那么，這個(gè)組分的分數就會(huì )降低一些，最多減少40分。

　　加權分數計算實(shí)例：挑選一個(gè)有MMU的SoC，MMU是系統管理程序對存儲器的控制所不能缺少的，和一個(gè)安全操作系統。選擇一個(gè)系統管理程序，它允許操作系統和應用程序在“用戶(hù)空間”運行，從而產(chǎn)生一個(gè)更安全的處理環(huán)境。系統管理程序(+80)呈現出一個(gè)小的攻擊表面，因此不會(huì )從它的安全分中減分。選擇一個(gè)安全操作系統，比如SE Linux (+80)，但是，在開(kāi)發(fā)者加入大量代碼的同時(shí)，也會(huì )生成一個(gè)大的攻擊表面(-40)。加權分數就是：
　　虛擬化：80
　　安全操作系統：80
　　代碼尺寸減分：-40
　　總安全分：160

　　一些設計的組成，由于其本身特點(diǎn)，在裝置的安全裝甲中形成了固有的裂痕，需要小心地處理。一個(gè)好的例子就是DMA控制器。有DMA控制器的系統，考慮到其存在這樣一個(gè)弱點(diǎn)，應該從總分中減去80分，那么在那個(gè)分數上，就明顯需要一個(gè)保護系統的機制。有DMA控制器的系統的調整范圍表明，這樣的系統可以被設計得更加安全，但是機制的性質(zhì)就是這樣，在成塊存取中以及從安全的觀(guān)點(diǎn)來(lái)說(shuō)，它永遠不可能達到100%的效率，這是不可避免的。

　　這種方法的正式、細致、凝練允許了度量的產(chǎn)生，它允許設計者使用安全措施來(lái)滿(mǎn)足他們特定的需要。由于基準提供了處理器在特定應用中可能性能的粗略評估，所以安全分數的產(chǎn)生也就提供了測量產(chǎn)品在抵御外來(lái)攻擊時(shí)可能性能的方式。

結語(yǔ)

　　現在應該清楚的是，真正強健的系統安全不能單靠軟件來(lái)保證的。加密和迷惑僅能減緩黑客的進(jìn)攻。即使是高度防篡改的系統，也會(huì )受到軟件硬件聯(lián)合的進(jìn)攻15的威脅，而且，對于任何攻擊者可以在物理上接觸的器件，都它至少需要安全的引導。

　　另一方面，全硬件的解決方式很昂貴且不具有彈性的，由于這個(gè)原因，如果它們過(guò)于冗瑣，就會(huì )迫使設計者和最終使用者轉而采用節省時(shí)間的、規避性的方法，而這些方法是器件的安全防護架構所無(wú)法預料到的。因此，最好的安全解決方案是基于以硬件為中心(如TrustZone)、軟件(如安全操作系統)和虛擬技術(shù)相結合的平衡結合方式，以保護存儲區域，DMA控制器，或其他潛在的易受攻擊的因素。

參考文獻：

9. Tom R. Halfhill. "ARM Dons Armor-TrustZone Security Extensions Strengthen ARMv6 Architecture" (MPR August 25, 2003). http://www.mdronline.com/mpr/p/2003/0825/173401.pdf
10. Tiago Alves, Don Felton. Trustzone: Integrated Hardware and Software Security, ARM White Paper, July 2004. http://www.arm.com/pdfs/TZ_Whitepaper.pdf
11. Designing with Trustzone—Hardware Requirements#&151;ARM.  http://www.arm.com/pdfs/TrustZone_Hardware_Requirements.pdf
12. STIP (Small Terminal Interoperability Platform).  http://www.globalplatform.org/
13. MIPS32 4KST Family. http://www.mips.com/products/cores/32-bit-cores/mips32-4ks/
14. Common Criteria Portal. http://www.commoncriteriaportal.org/
15. Sudhakar Govindavajhala and Andrew W. Appel. "Using Memory Errors to Attack a Virtual Machine," 2003 IEEE Symposium on Security and Privacy, May 2003. http://www.cs.princeton.edu/sip/pub/memerr.pdf