基于ARM開發(fā)板平臺的嵌入式軟件保護方案
從軟件到軟硬件聯(lián)合攻擊給嵌入式系統(tǒng)造成嚴峻的安全威脅。安全性已成為嵌入式系統(tǒng)設(shè)計中必不可少的一部分,同時這又是一個折衷的過程,不能單靠軟件來保證,而全硬件的解決方式很昂貴且不具有彈性。很多產(chǎn)品開始從設(shè)計之初就從系統(tǒng)架構(gòu)上考慮了安全性,如ARM公司的TruSTZONe技術(shù)開辟了一片可信代碼區(qū),近年來。通過一個S比特來區(qū)分系統(tǒng)的安全狀態(tài),IBMPowerPC中使用了多核單元寬帶引擎(BE進行安全引導(dǎo)和物理隔離。
嵌入式軟件與嵌入式系統(tǒng)是密不可分的,嵌入式系統(tǒng)是“控制、監(jiān)視或者輔助設(shè)備、機器和車間運行的裝置”,就是以應(yīng)用為中心,以計算機技術(shù)為基礎(chǔ),并且軟硬件可裁剪,適用于應(yīng)用系統(tǒng)對功能、可靠性、成本、體積、功耗有嚴格要求的專用計算機系統(tǒng)。它一般由嵌入式微處理器、外圍硬件設(shè)備、嵌入式操作系統(tǒng)以及用戶的應(yīng)用程序等四個部分組成,用于實現(xiàn)對其他設(shè)備的控制、監(jiān)視或管理等功能。而嵌入式軟件就是基于嵌入式系統(tǒng)設(shè)計的軟件,它也是計算機軟件的一種,同樣由程序及其文檔組成,可細分成系統(tǒng)軟件、支撐軟件、應(yīng)用軟件三類,是嵌入式系統(tǒng)的重要組成部分。嵌入式軟件廣泛應(yīng)用于國防、工控、家用、商用、辦公、醫(yī)療等領(lǐng)域,如我們常見的移動電話、掌上電腦、數(shù)碼相機、機頂盒、MP3等都是用嵌入式軟件技術(shù)對傳統(tǒng)產(chǎn)品進行智能化改造的結(jié)果。
1 硬件結(jié)構(gòu)
ARM通過總線方式對NorFlash進行訪問,本方案的硬件處理器平臺采用三星公司的S3C2442內(nèi)核為ARM920T外置1塊2MBNorFlash用以存放密文數(shù)據(jù)。該硬件結(jié)構(gòu)中最重要的部分是添加了1塊安全協(xié)處理器:福華公司的嵌入式系統(tǒng)軟件保護芯片F(xiàn)S8826該芯片可通過I2C或SPI總線與SOC連接,這里使用I2C方式。PC機能夠?qū)τ布脚_中的每個芯片進行編程控制:通過JTA G端口、串口及網(wǎng)口與ARM進行通信,通過專門的燒錄器對FS8826硬件密鑰和安全存儲區(qū)進行寫入。
2 軟件實現(xiàn)
軟件設(shè)計從兩個主要方面考慮,一是代碼加密,二是版權(quán)認證。前者主要通過AES(Advanced Encryptiong Standard)加解密算法實現(xiàn),其算法密鑰的管理以及版權(quán)認證將依靠FS8826來實現(xiàn),最終達到安全啟動嵌入式操作系統(tǒng)以及保護運行時的版權(quán)目的。安全啟動方案基于Bootloader+Image的加載機制,也是ARM處理器通用的引導(dǎo)機制。首先采用AES加解密算法在PC機端將編譯完成Image加密,利用FS8826安全存儲區(qū)存放AES算法密鑰,密文存儲在片外存儲器中,ARM啟動時將密文加載入內(nèi)存。然后在Bootloader啟動過程時加入與FS8826的認證操作,認證通過則在該過程中使用AES解密算法解密Image,并用明文將原內(nèi)存中的密文覆蓋,系統(tǒng)正常運行中加入與FS8826的實時通信監(jiān)測,確保在授權(quán)目標機上運行程序。軟件實現(xiàn)流程如圖2所示,相應(yīng)的方案實現(xiàn)框圖如圖3所示。
2.1 AES算法
目前對稱加密領(lǐng)域內(nèi)的主流算法。其數(shù)據(jù)分組固定為128bit, AES美國國家標準和技術(shù)研究所(NIST選定的高級加密標準。密鑰分組可支持128bit/192bit/256bit核心過程為數(shù)據(jù)塊矩陣的Nr10/12/14次輪操作。每一次輪操作都由S盒代換(SubByt行移位(ShiftRow列混淆(MixColumn和輪密鑰加(AddRoundKei4個函數(shù)組成,第Nr次輪操作不包含MixColumn函數(shù)。密鑰擴展為每一輪變換提供輪密鑰[2]本方案中加密在PC機端離線完成,沒有時間和運行效率的特別要求,但是解密在ARM9處理器中完成,其運行時間將作為系統(tǒng)啟動的一部分,所以下面針對解密部分的算法程序結(jié)合其實現(xiàn)平臺進行優(yōu)化設(shè)計。
解密的輪變換中交換逆行移位和逆S盒代換,輪密鑰加和逆列混淆的順序,只需要調(diào)整密鑰的編排方案即可。實現(xiàn)中等價解密過程可以將解密輪變換中的前3個步驟綜合生成1張4KBT表用于查詢,即可快速準確地完成解密。直接的解密算法是將加密過程的每一步求逆并倒置次序得到,然而這樣并不利于優(yōu)化。算法的創(chuàng)始人提出了一種等價解密過程。
如果變量長度與ARM內(nèi)部寄存器長度不一致,1數(shù)據(jù)類型設(shè)置:ARM處理器內(nèi)部是32bit寄存器。將會使得變量的存取都需要附加其他指令[3]AES算法中密鑰及數(shù)據(jù)都是以字節(jié)為單位運算,優(yōu)化時調(diào)整為32bit僅在輸入輸出時進行位數(shù)變換,可以帶來很大的速度改進。
循環(huán)執(zhí)行Nr-1次。等價解密算法融合了3個子函數(shù)形成T表查詢,循環(huán)展開:ARM處理器中每一次循環(huán)最少有4個周期的循環(huán)開銷解密輪變換涉及4個子函數(shù)調(diào)用。于是可以把輪變換展開,不增加太多代碼量的基礎(chǔ)上,每一個數(shù)據(jù)分組解密減少4Nr-1個周期。當(dāng)密鑰位長、密文數(shù)據(jù)量大時節(jié)省的循環(huán)開銷就比較可觀。
應(yīng)盡量限制函數(shù)內(nèi)部循環(huán)所用局部變量的數(shù)目, 控制變量數(shù):為了高效執(zhí)行1個函數(shù)。最多不超過12個,確保最重要的和經(jīng)常用到變量都被分配在寄存器里。
2.2 FS8826功能實現(xiàn)
具有不可回讀、不可在總線上傳輸?shù)奶攸c,F(xiàn)S8826芯片自帶24B硬件密鑰。主要用于芯片內(nèi)部的認證模塊運算(HA SH&3DES和安全數(shù)據(jù)傳輸。芯片內(nèi)部開辟了1塊安全存儲區(qū)(96BEEPROM讀寫都受硬件密鑰的保護,且具有CRC校驗功能。本方案中該芯片主要實現(xiàn)兩方面功能:SoC版權(quán)確認和AES密鑰管理。前者通過認證實現(xiàn),具體流程如圖5所示??偩€上發(fā)送的數(shù)據(jù)為硬件密鑰與用戶設(shè)置的認證區(qū)數(shù)據(jù)通過HA SH運算得出的數(shù)組,并加入了8B隨機數(shù),能夠有效地防止重放攻擊(repliattack該項功能能夠提供代碼完整性驗證[4]一定程度上抵抗反匯編攻擊。后者通過將AES密鑰燒入FS8826安全存儲區(qū),由其硬件密鑰進行保護實現(xiàn),認證通過后發(fā)送加密的讀取命令,算法密鑰以密文形式在總線上傳遞。
2.3 Vxworks啟動、運行
并在其調(diào)用的初始化文件(bootConfig.c中加入與FS8826安全認證、密鑰傳輸以及解密運算。bootrom_uncmp由仿真器燒入到目標板的norflash中,VxWork操作系統(tǒng)的映像包括兩大類:VxWork類型和Boorom類型[5]本文對RA M中運行的VxWork映像在PC機端進行AES加密。選擇執(zhí)行格式的未壓縮Bootrom映像—bootrom_uncmp作為啟動映像。上電后,bootrom_uncmp把自身拷貝到RA M_HIGH_A DRS地址上運行引導(dǎo)程序。之后,把VxWork映像裝入到起始地址為RA M_LOW_ADRSRA M中,接著跳轉(zhuǎn)到VxWork映像裝入點運行[5]如果認證通過,引導(dǎo)程序?qū)腇S8826安全存儲區(qū)獲取AES算法密鑰,進行解密,否則在RA M_LOW_A DRS處的VxWork映像將仍然為密文,無法正常啟動。
加載的明文映像開始運行,同時, 系統(tǒng)安全啟動后。隱藏在映像中認證程序也將開始運行,并定時與FS8826通信,確保持有正確硬件密鑰的芯片運行正常,以防黑客移植代碼非法使用。
3 實現(xiàn)結(jié)果及分析
通過ADSDebuggInternal工具從速度和內(nèi)存占用量兩方面衡量實現(xiàn)效率[2]如表1所示為在ARM9處理器中2種算法所耗的匯編指令數(shù)和指令周期數(shù)。表 2為兩者占用的內(nèi)存資源對比。 按照ARM平臺下的優(yōu)化原則,A ES解密算法通過直接解密和等價解密2種形式進行實現(xiàn)。
等價解密算法中使用了T表,從表中結(jié)果可以看出。且將循環(huán)展開造成了代碼量的增加。所以在實際使用時,對內(nèi)存資源的要求高于速度要求時建議采用直接解密算法,反之則可采用等價解密算法。這里所用的ARM9有足夠的內(nèi)存空間,所以采用128bit密鑰的等價解密算法,以1MBVxwork密文映像為對象進行啟動測試。
然后通過NandFlash加載文件。實際測試中對1MB密文的讀取耗時1.4s可以對密文讀取方式進行優(yōu)化,正常啟動中先由NorFlash建立文件系統(tǒng)。將密文燒入片外NorFlash中,系統(tǒng)上電后,內(nèi)存從NorFlash中獲取密文的讀取方式,時間為0.03s這種差別的原因主要有2點:1文件系統(tǒng)訪問方式下用fopen和fread函數(shù)打開密文,解密后的數(shù)據(jù)還需寫回到文件中重新讀取,且會受時鐘頻率及總線速度的限制。而后者屬于內(nèi)存直接讀取,解密后直接從內(nèi)存啟動;2NorFlash讀取速度本身就比NandFlash要快。
保證主映像運行在授權(quán)目標機上。認證過程中的運算都在FS8826芯片內(nèi)進行,不會對主映像的運行速度造成影響,經(jīng)過測試每次認證耗時0.16s如果安全級別要求不是很高,也可以選擇采用復(fù)位芯片的方式進行監(jiān)測,每次僅耗時0.01s 系統(tǒng)啟動后進行的定時認證,可以監(jiān)測與FS8826正常通信。
ARM為客戶提供16/32位嵌入式RISC微控制器方案,將其RISC處理器授權(quán)給電子公司使用,在便攜式通訊,手持計算設(shè)備,消費類和數(shù)字化多媒體方案中,ARM正有一種成為標準的趨勢。ARM7、ARM9是ARM系列中的兩個分支系列,ARM9功能更強些,它還有其他分支系列。ARM公司是一個只做設(shè)計不生產(chǎn)的公司,它提供各種不同性能的ARM核,如果象Motorola這樣的公司就可以用它提供的ARM核,再加上相關(guān)的I/O資源、存儲器、可編程部件就形成自己的32位RISC嵌入式單片處理器。Motorola最近要在其龍珠處理器中采用ARM,Atmel公司的AT91系列也是采用ARM核的內(nèi)32位/外16位處理器。用來開發(fā)、調(diào)試基于ARM的各種應(yīng)用的工具就是arm開發(fā)平臺。