使用ARM Trustzone從非安全代碼執(zhí)行安全功能

時(shí)間：2025-03-11 14:42:12

關(guān)鍵字： ARM Trustzone

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]傳統(tǒng)的嵌入式軟件應(yīng)用程序存在于單個(gè)連續(xù)的空間中，具有唯一的ID，內(nèi)存和代碼均坐在一起且易于訪問。當(dāng)然，這使得黑客一旦踏入門，就可以很容易地訪問整個(gè)系統(tǒng)。嵌入式系統(tǒng)安全的關(guān)鍵是隔離。開發(fā)人員可以改善隔離的一種新方法是利用ARM?M23/33微控制器中的新Trustzone?功能。在這篇文章中，我將介紹讀者如何使用Trustzone保護(hù)安全功能，但仍能從非安全內(nèi)存區(qū)域訪問它們。

傳統(tǒng)的嵌入式軟件應(yīng)用程序存在于單個(gè)連續(xù)的空間中，具有唯一的ID，內(nèi)存和代碼均坐在一起且易于訪問。當(dāng)然，這使得黑客一旦踏入門，就可以很容易地訪問整個(gè)系統(tǒng)。嵌入式系統(tǒng)安全的關(guān)鍵是隔離。開發(fā)人員可以改善隔離的一種新方法是利用ARM®M23/33微控制器中的新Trustzone®功能。在這篇文章中，我將介紹讀者如何使用Trustzone保護(hù)安全功能，但仍能從非安全內(nèi)存區(qū)域訪問它們。

在介紹細(xì)節(jié)之前，討論有關(guān)Trustzone的一些信息將很有用。 TrustZone是ARMV-8體系結(jié)構(gòu)的安全硬件擴(kuò)展，可提供硬件隔離，從而創(chuàng)建一個(gè)可以從中執(zhí)行軟件的安全和非安全區(qū)域。這兩個(gè)區(qū)域都有自己的MSP，PSP，MPU和安全區(qū)域，甚至有一些非銀行寄存器在非安全區(qū)域中無法訪問。從安全到非安全的過渡，反之亦然，在三個(gè)時(shí)鐘周期內(nèi)的硬件中都完成了，因此開發(fā)人員無需擔(dān)心添加任何額外的代碼來處理過渡;但是，開發(fā)人員確實(shí)需要關(guān)注自己可以正確控制哪些安全功能可以從非安全區(qū)域訪問。

Trustzone允許開發(fā)人員除了指定在安全區(qū)域中應(yīng)執(zhí)行哪些內(nèi)存區(qū)域，中斷和外圍設(shè)備，還可以安全啟動(dòng)其微控制器。

默認(rèn)情況下，在非安全區(qū)域中執(zhí)行的代碼無法訪問安全區(qū)域。在安全區(qū)域中放置內(nèi)存位置的任何嘗試都將導(dǎo)致異常。問題在于，開發(fā)人員可能需要調(diào)用安全功能，例如加密庫(kù)函數(shù)，或者可能被認(rèn)為是安全的外圍驅(qū)動(dòng)程序。為此，開發(fā)人員需要在其安全的應(yīng)用程序項(xiàng)目中創(chuàng)建一個(gè)接口，該項(xiàng)目成為非安全和安全代碼區(qū)域之間安全網(wǎng)關(guān)的一部分，并允許執(zhí)行安全函數(shù)。安全功能在安全或受信任的區(qū)域中執(zhí)行，使其與非安全代碼隔離。

在安全代碼和非安全代碼之間創(chuàng)建接口是使用ARM_CMSE庫(kù)完成的，該庫(kù)是C庫(kù)擴(kuò)展程序，以支持安全的可執(zhí)行文件。該庫(kù)包含用于創(chuàng)建功能指針的定義，以指向非安全內(nèi)存，例如cmse_nsfptr_create。編譯器本身(例如Keil MDK)還包括諸如CMSE_NONSECURE_ENTRY之類的新編譯器屬性，該屬性告訴編譯器，相關(guān)函數(shù)位于安全內(nèi)存中，但可以從非安全內(nèi)存中訪問。

創(chuàng)建可訪問的安全功能的過程很簡(jiǎn)單。首先，開發(fā)人員可以像其他任何功能一樣定義其安全功能，只是在其安全項(xiàng)目中定義了該功能?？梢栽谙旅婵吹揭粋€(gè)安全功能：

int mySecureFunction(funcptr_ns，int data){funcptr_ns callback_ns; callback_ns =(funcptr_ns)cmse_nsfptr_create(callback); data = callback_ns(data); Return data;}

有關(guān)此代碼有幾個(gè)有趣的觀點(diǎn)：

· 該代碼利用來自ARM_CMSE.H的funcptr_ns類型，該類型定義了用于訪問非安全內(nèi)存的功能指針的類型

· 從安全區(qū)域訪問非安全回調(diào)函數(shù)需要調(diào)用CMSE_NSFPTR_CREATE，這將允許在安全區(qū)域中訪問非安全函數(shù)

· Trustzone代碼通常使用NS表示非安全，并表示安全

· 如書面，非安全區(qū)域無法訪問此代碼

為了糾正此代碼是完全安全且不可訪問的事實(shí)，開發(fā)人員需要使用cmse_nonsecure_entry屬性。然后，安全功能定義將從以下方式變化：

int mysecurefunction(funcptr_ns，int data){…}

到

int mysecurefunction(funcptr_ns，int data)__attribute __(((cmse_nonsecure_call))){…}

添加屬性CMSE_NONSECURE_CALL告訴編譯器，可以從非安全內(nèi)存訪問此功能。這將允許使用安全的網(wǎng)關(guān)指令訪問該功能。此外，當(dāng)安全函數(shù)完成執(zhí)行并準(zhǔn)備好跳回非安全代碼時(shí)，將清除任何非銀行寄存器，即在安全區(qū)域和非安全區(qū)域之間共享的寄存器。清除寄存器可以防止可能存儲(chǔ)在非銀行寄存器中的任何安全數(shù)據(jù)暴露于非安全區(qū)域。

在這一點(diǎn)上，開發(fā)人員將能夠編譯安全庫(kù)，然后從其非安全項(xiàng)目中，包括其功能的標(biāo)頭文件，并撥打邁塞克雷功能。

在嘗試保護(hù)嵌入式系統(tǒng)時(shí)，將關(guān)鍵功能與應(yīng)用程序的其余部分隔離至關(guān)重要。應(yīng)仔細(xì)考慮，以決定應(yīng)隔離應(yīng)用程序中的哪些功能，甚至將使用哪些機(jī)制。 Trustzone是一種嵌入式軟件開發(fā)人員可以開始用于提高產(chǎn)品安全性的工具。