|
與嵌入式產(chǎn)品的傳統(tǒng)要求相比,邊緣物聯(lián)網(wǎng)設(shè)備需要更多安全措施。對于擁有電氣工程背景,卻不具備密碼學(xué)或系統(tǒng)安全方面專業(yè)知識的團(tuán)隊(duì)和開發(fā)人員來說,理解和著手處理安全問題通常比較困難。 在現(xiàn)代開發(fā)周期中,開發(fā)人員幾乎沒有時間和預(yù)算從零開始學(xué)習(xí)或成長為安全專家。不過,開發(fā)人員可以利用現(xiàn)有的安全解決方案,根據(jù)自己的特定需求靈活調(diào)整。 本文將介紹 Arm® 的 TrustZone,這是一種有趣的解決方案,在基于微控制器的系統(tǒng)的設(shè)計師群體中越來越受歡迎。本文將通過列舉實(shí)例的方法來介紹支持 TrustZone 的 STMicroelectronics STM32L5 系列微控制器,并展示如何使用相關(guān)開發(fā)套件來初步應(yīng)用 TrustZone。 通過隔離保障安全性 安全嵌入式系統(tǒng)的核心基本元素是通過隔離保障安全性。其概念是,重要的數(shù)據(jù)資產(chǎn)(如私鑰、用戶數(shù)據(jù)、安全功能等)應(yīng)與通用數(shù)據(jù)和功能(如圖形用戶界面元素或?qū)崟r操作系統(tǒng) (RTOS))隔離開來。雖然有些方法可以創(chuàng)建軟件隔離,但安全專家認(rèn)為嵌入式系統(tǒng)需要通過基于硬件的隔離來實(shí)現(xiàn)安全性。 有多種方法可以用硬件創(chuàng)建隔離,比如使用微控制器和安全處理器,或者使用多核處理器,將其中一個核專門用于安全處理。較新的 Arm Cortex®-M23、Cortex-M33 和 Cortex-M55 處理器均支持基于硬件的可選隔離功能 TrustZone。 什么是 Arm TrustZone? TrustZone 是一種在單核微控制器中實(shí)現(xiàn)的硬件機(jī)制,將執(zhí)行環(huán)境劃分為安全和非安全的內(nèi)存、外設(shè)和功能。此外,每個執(zhí)行環(huán)境中都包含一個內(nèi)存保護(hù)單元 (MPU),用來進(jìn)一步隔離內(nèi)存區(qū)域,提供類似洋蔥的多層屏障,威懾和阻礙試圖訪問數(shù)據(jù)資產(chǎn)的潛在攻擊者。 通常來說,嵌入式開發(fā)人員會將他們的系統(tǒng)劃分為至少兩個項(xiàng)目:一個是非安全的執(zhí)行項(xiàng)目,通常稱為用戶項(xiàng)目;另一個是安全的執(zhí)行項(xiàng)目,通常稱為固件項(xiàng)目。啟用 TrustZone 的微控制器將啟動進(jìn)入安全狀態(tài),并在跳到非安全狀態(tài)以執(zhí)行用戶應(yīng)用程序之前啟動系統(tǒng)(圖 1)。 
圖 1:TrustZone 項(xiàng)目通過一種將嵌入式軟件分隔為用戶項(xiàng)目(非安全)和固件項(xiàng)目(安全)的硬件機(jī)制實(shí)現(xiàn)隔離。(圖片來源:Arm) 用戶項(xiàng)目只能通過在固件項(xiàng)目和用戶項(xiàng)目之間創(chuàng)建的安全網(wǎng)關(guān)訪問安全功能,若不觸發(fā)異常則無法訪問安全內(nèi)存位置。 選擇支持 TrustZone 的開發(fā)板 要開始理解 TrustZone,最簡單的方法就是直接開始使用。為此,開發(fā)人員必須先選擇開發(fā)板。通過不同的微控制器供應(yīng)商可以選擇不同的開發(fā)板,但要注意一點(diǎn):各種開發(fā)板實(shí)現(xiàn) TrustZone 的方式并不相同,這可能會讓情況變得有點(diǎn)棘手。 TrustZone 入門應(yīng)用可以搭配的理想開發(fā)板示例是 STMicroelectronics 的 STM32L562E Discovery 套件(圖 2)。
圖 2:STM32L562E Discovery 套件包含許多板載傳感器、藍(lán)牙和 I/O 擴(kuò)展板,因而可以輕松地開始使用 TrustZone 應(yīng)用程序。(圖片來源:STMicroelectronics) 這個套件提供的許多支持特性,在初次使用 TrustZone 時非常有用。例如,該開發(fā)套件中包括一個 1.54 英寸 240 x 240 像素的 TFT LCD 模塊(附觸摸式控制面板)、藍(lán)牙 v4.1 低能耗模塊、iNEMO 3D 加速計和陀螺儀、板載 STLINK-V3E,以及其他用于 I/O 和外設(shè)擴(kuò)展的功能。 另一種可用于 TrustZone 入門應(yīng)用的開發(fā)板是 STMicroelectronics NUCLEO-L552ZE-Q Nucleo 板(圖 3)。
圖 3:STM32L552ZE-Q NUCLEO 開發(fā)板提供支持 TrustZone 的處理器、ST-LinkV3 和擴(kuò)展排針,適合定制開發(fā)活動。(圖片來源:STMicroelectronics) 與 STM32L562E Discovery 套件不同的是,NUCLEO-L552ZE-Q 屬于基本開發(fā)板,包含 ST-LinkV3、STM32L552VET6 微控制器、擴(kuò)展端口和 LED 燈。對于想要使用 TrustZone 并盡可能快地開始集成自己的硬件組件的開發(fā)人員來說,此開發(fā)板是非常棒的選擇。 盡管 NUCLEO-L552ZE-Q 的附加功能并不全面,但 STM32L552VET6 的表現(xiàn)確實(shí)令人印象深刻。這是一個 Arm Cortex-M33 處理器,帶有一個浮點(diǎn)單元 (FPU),閃存容量為 512KB,靜態(tài)隨機(jī)存取存儲器 (SRAM) 容量為 256KB。除 TrustZone 之外,它還包括多個其他安全特性,例如具有唯一啟動項(xiàng)目的信任根、安全固件安裝和針對 Cortex-M 可信固件 (TF-M) 的安全固件升級支持。 這兩種開發(fā)板的處理器都包含 TrustZone 安全仲裁單元 (SAU),用于設(shè)置將由 TrustZone 提供保護(hù)的內(nèi)存和外設(shè)。某些微控制器供應(yīng)商的 TrustZone 實(shí)現(xiàn)中缺少 SAU。雖然不一定會導(dǎo)致問題,但需要用不同的程序來設(shè)置 TrustZone。 啟動第一個基于 TrustZone 的應(yīng)用程序 啟動并運(yùn)行 STMicroelectronics 開發(fā)板需要執(zhí)行幾個步驟和軟件包。首先,開發(fā)人員需要下載 STM32CubeIDE。STM32CubeIDE 提供用于應(yīng)用程序開發(fā)的編譯器、微控制器包和 IDE,以及包括 STM AN5394 在內(nèi)的任何相關(guān)應(yīng)用程序說明。 使用現(xiàn)有的 TrustZone 示例項(xiàng)目是啟動和運(yùn)行應(yīng)用程序的最快方法。STM32Cube_FW_L5 軟件包中包含多個項(xiàng)目。該軟件作為 STM32CubeL5 軟件的一部分下載。下載后,開發(fā)者可以從相應(yīng)的目錄路徑導(dǎo)入 TrustZoneEnabled 項(xiàng)目,比如: STM32Cube_FW_L5_V1.2.0\STM32Cube_FW_L5_V1.2.0\Projects\STM32L552E-EV\Templates\TrustZoneEnabled\ 導(dǎo)入項(xiàng)目后,開發(fā)人員可以看到該項(xiàng)目具有層級項(xiàng)目結(jié)構(gòu),將應(yīng)用程序分為了安全應(yīng)用和非安全應(yīng)用(圖 4)。
圖 4:TrustZone 項(xiàng)目在由安全和非安全項(xiàng)目構(gòu)成的分層項(xiàng)目結(jié)構(gòu)中實(shí)現(xiàn)。(圖片來源:Beningo Embedded Group) 這些項(xiàng)目中有很多細(xì)節(jié)可以探索。AN5394 可以補(bǔ)充很多細(xì)節(jié),而每個項(xiàng)目的 Doc 文件夾中的 readme.txt 文件則可以解釋關(guān)于安全和非安全項(xiàng)目的細(xì)節(jié)。在本文中,我們將研究與 TrustZone 相關(guān)的最重要概念。具體來說,就是如何配置 TrustZone。配置可以在以下路徑的 partition_stm32L562xx.h 文件中找到: C:\STM32Cube_FW_L5_V1.2.0\Projects\STM32L562E-DK\Templates\TrustZoneEnabled\Secure\Inc 此文件中包含 SAU 的設(shè)置。例如,圖 5 顯示了 SAU 區(qū)域 0 的設(shè)置。此區(qū)域當(dāng)前配置為安全執(zhí)行。另一方面,圖 6 顯示了被配置為非安全的 SAU 區(qū)域 1。 為安全執(zhí)行配置的 SAU 區(qū)域 0 的代碼 圖 5:SAU 用于配置安全和非安全的內(nèi)存區(qū)域。上面的代碼演示了如何為安全執(zhí)行配置 SAU 區(qū)域 0。(圖片來源:Beningo Embedded Group) 為非安全執(zhí)行配置的 SAU 區(qū)域 1 的圖片 圖 6:SAU 用于配置安全和非安全的內(nèi)存區(qū)域。上面的代碼演示了如何為非安全執(zhí)行配置 SAU 區(qū)域 1。(圖片來源:Beningo Embedded Group) 開發(fā)人員將決定需要安全或非安全執(zhí)行的區(qū)域,并使用分區(qū)文件配置 SAU。創(chuàng)建這些設(shè)置并不能保證 TrustZone 將被啟用!將基于 TrustZone 的應(yīng)用程序編程到目標(biāo)上時,開發(fā)人員需要將 TZ 選項(xiàng)字節(jié)設(shè)置為 1 才能啟用 TrustZone。然后目標(biāo)會在啟動期間啟用 TrustZone,并讀取和使用 SAU 配置。 TrustZone 的使用技巧與訣竅 TrustZone 上手并不難,但需要開發(fā)人員以略微不同的方式考慮自己的應(yīng)用程序設(shè)計。下面是幾個啟動設(shè)計的“技巧與訣竅”: · 并非所有數(shù)據(jù)都需要保護(hù)。預(yù)先確定需要保護(hù)的關(guān)鍵數(shù)據(jù)資產(chǎn)。 · 利用現(xiàn)有的安全框架,如 CMSIS-Zone 和針對 Cortex-M 的可信固件 (TF-M) 來加速開發(fā)。 · 仔細(xì)檢查對設(shè)備的潛在威脅,并選擇支持硬件和軟件解決方案的微控制器來預(yù)防這些威脅。 · TrustZone 提供單層隔離。利用 MPU 和其他硬件機(jī)制創(chuàng)建多個基于硬件的隔離層。 · 在架構(gòu)階段(而非實(shí)現(xiàn)階段)識別安全和非安全代碼元素。 開發(fā)人員遵循這些“技巧與訣竅”后,便會發(fā)現(xiàn)他們可以在保護(hù)物聯(lián)網(wǎng)設(shè)備安全的過程中節(jié)省不少時間并省去很多麻煩。 結(jié)語 TrustZone 是面向物聯(lián)網(wǎng)開發(fā)人員提供的一件重要工具,用以幫助他們保護(hù)自己的設(shè)備和數(shù)據(jù)資產(chǎn)。安全解決方案可以通過幾種不同的方式實(shí)現(xiàn),但正如我們所看到的,TrustZone 為開發(fā)人員提供了單一核心解決方案,其中包含傳統(tǒng)的軟件開發(fā)模型。唯一的區(qū)別在于,開發(fā)人員需要開始考慮安全和非安全的組件、數(shù)據(jù)和線程。 來源:Digi-Key 作者:Jacob Beningo |
