您有多少層安全保障

SoC 和系統(tǒng)設(shè)計(jì)人員希望為他們的產(chǎn)品創(chuàng)建一個(gè)堅(jiān)實(shí)的安全基礎(chǔ)。通常，對(duì)安全系統(tǒng)的要求與提供設(shè)計(jì)人員的客戶可以在其上開(kāi)發(fā)的靈活平臺(tái)的需要發(fā)生沖突。必須從首要原則開(kāi)始，以提供一個(gè)強(qiáng)大、安全的平臺(tái)，同時(shí)讓用戶自由創(chuàng)建。

與安全相關(guān)的兩個(gè)基本概念在這里發(fā)揮作用。它們是防御深度和最小特權(quán)原則。第一個(gè)意味著您對(duì)某些攻擊具有多層防御。因此，攻擊者必須通過(guò)每一層才能獲得資產(chǎn)，而他們一開(kāi)始就不應(yīng)該訪問(wèn)這些資產(chǎn)。

例如，用戶應(yīng)用程序?qū)討?yīng)該可以訪問(wèn)其資產(chǎn)，僅此而已。每一層都以相同的方式處理。用戶應(yīng)用層除了向其他層發(fā)出請(qǐng)求外，不允許做任何事情。這兩個(gè)概念強(qiáng)化了安全硅 IP 應(yīng)在其上運(yùn)行的剛性基礎(chǔ)——例如，來(lái)自Rambus的 CryptoManager 信任根 （RoT） 。

剛性基礎(chǔ)意味著在每個(gè)接口上都強(qiáng)制執(zhí)行最小權(quán)限原則。每個(gè)層只能執(zhí)行它允許執(zhí)行的行為。如果一個(gè)層想要在該邊界之外做任何事情，它必須請(qǐng)求另一個(gè)層來(lái)承擔(dān)任務(wù)。這適用于所有層，從用戶應(yīng)用程序一直到硬件本身。

各種各樣的軟件漏洞

在這個(gè)時(shí)代，系統(tǒng)和SoC設(shè)計(jì)人員面臨著各種各樣的軟件漏洞，為安全系統(tǒng)建立一個(gè)安全和剛性的基礎(chǔ)具有更大的意義。

在大多數(shù)情況下，您（作為系統(tǒng)設(shè)計(jì)者）為您的客戶或其他第三方提供編寫(xiě)軟件的能力。該軟件在您的產(chǎn)品范圍內(nèi)執(zhí)行，但它引起了相當(dāng)大的關(guān)注。一方面，您對(duì)所編寫(xiě)代碼的質(zhì)量一無(wú)所知。

您不知道開(kāi)發(fā)人員對(duì)編寫(xiě)安全軟件的了解程度。因此，正確地假設(shè)將有軟件漏洞寫(xiě)入他們的應(yīng)用程序。因此，作為系統(tǒng)設(shè)計(jì)者，您必須保護(hù)系統(tǒng)的其余部分免受這些不可避免的漏洞的影響。

如前所述，根據(jù)最小特權(quán)原則，即使是受到損害的用戶應(yīng)用程序也應(yīng)限制它們可以執(zhí)行的操作或功能。盡管它們的使用方式由于它們的漏洞而永遠(yuǎn)不應(yīng)該被使用，但它們?nèi)匀粦?yīng)該無(wú)法逃脫堆棧中的特定層。

將其保留在沙盒中

根據(jù)此處討論的基本安全原則，安全硅 IP 必須是可編程的，并且設(shè)計(jì)用于專門(mén)的“沙盒”用戶應(yīng)用程序。（注意：術(shù)語(yǔ)“沙盒”是計(jì)算機(jī)安全術(shù)語(yǔ)，描述了一種安全結(jié)構(gòu)，在該結(jié)構(gòu)中創(chuàng)建了一個(gè)單獨(dú)的受限環(huán)境，并且禁止某些功能。）在本文的上下文中，術(shù)語(yǔ)“沙盒”特指限制關(guān)于軟件應(yīng)用程序的功能。應(yīng)用程序必須通過(guò)調(diào)用以更高權(quán)限執(zhí)行的系統(tǒng)來(lái)請(qǐng)求訪問(wèn)資源。如果應(yīng)用程序試圖破壞其任何沙盒規(guī)則，一個(gè)或多個(gè)系統(tǒng)可能會(huì)做出反應(yīng)以阻止應(yīng)用程序執(zhí)行。

安全硅 IP 必須以沙盒方式對(duì)用戶應(yīng)用程序進(jìn)行沙箱處理，以防止他們?cè)斐蓚?，特別是對(duì)在安全硅 IP 內(nèi)執(zhí)行的其他應(yīng)用程序。換句話說(shuō)，不幸的是，應(yīng)用程序的漏洞可能會(huì)暴露它可以訪問(wèn)的安全資產(chǎn)，但它不能暴露其他應(yīng)用程序的受保護(hù)資產(chǎn)。這就是安全硅 IP 對(duì)最小特權(quán)原則和深度防御的使用帶來(lái)巨大收益的地方。

這里的想法是使用安全監(jiān)視器在加載應(yīng)用程序時(shí)在硬件中對(duì)用戶應(yīng)用程序的權(quán)限進(jìn)行編程。這將用戶應(yīng)用程序?qū)Y源的訪問(wèn)限制為僅允許它們?cè)L問(wèn)的資源。除了安全監(jiān)視器在硬件中編程的權(quán)限之外，用戶應(yīng)用程序還被限制與底層硬件進(jìn)行直接交互。用戶應(yīng)用程序必須通過(guò)微內(nèi)核請(qǐng)求訪問(wèn)硬件資源。微內(nèi)核構(gòu)成了包含用戶應(yīng)用程序的第一個(gè)屏障。

但是，如果在用戶應(yīng)用程序和微內(nèi)核中發(fā)現(xiàn)漏洞，用戶應(yīng)用程序仍然可以安全地超出其自身的資源訪問(wèn)邊界。因?yàn)橛脩魬?yīng)用程序的權(quán)限是在加載時(shí)在硬件中設(shè)置的，并且權(quán)限一直持續(xù)到應(yīng)用程序被卸載，所以攻擊者無(wú)法利用安全漏洞來(lái)訪問(wèn)用戶應(yīng)用程序尚未訪問(wèn)的資產(chǎn)。同樣，基于深度防御和最小特權(quán)原則，可以有多個(gè)不信任方在安全硅 IP 的范圍內(nèi)安全地執(zhí)行代碼，而不會(huì)冒彼此之間或彼此之間泄露其安全資產(chǎn)的風(fēng)險(xiǎn)。

分層安全的意義

分層安全的目標(biāo)是確保每個(gè)層僅限于分配給它執(zhí)行的任務(wù)，而不是更多。如果在特定層中犯了錯(cuò)誤，并且該層被授予了對(duì)不應(yīng)該擁有的資產(chǎn)的訪問(wèn)權(quán)限，則攻擊者將利用該行為進(jìn)行攻擊。

正如我們?cè)诮裉斓南到y(tǒng)中一再看到的那樣，如果系統(tǒng)行為在每個(gè)系統(tǒng)級(jí)別都沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，那么它們就沒(méi)有適當(dāng)?shù)募s束來(lái)執(zhí)行設(shè)計(jì)的功能。因此，攻擊者極有可能利用不應(yīng)該執(zhí)行的功能來(lái)獲取有價(jià)值的資產(chǎn)。

一個(gè)典型的例子是當(dāng)今高度復(fù)雜的 CPU，它們針對(duì)高性能而不是安全資產(chǎn)的安全性和防御進(jìn)行了調(diào)整。正如廣泛報(bào)道的那樣，這些 CPU 最近成為 Meltdown、Spectre 和 Foreshadow 等漏洞的受害者。平心而論，這些 CPU 確實(shí)有最小特權(quán)原則的概念。

不幸的是，這些 CPU 沒(méi)有正確實(shí)施縱深防御的概念。系統(tǒng)和 SoC 設(shè)計(jì)人員的替代方案是將安全資產(chǎn)的使用從主 CPU 轉(zhuǎn)移到專用的安全硅 IP 上。但是，必須從硬件和軟件的角度來(lái)設(shè)計(jì)安全硅 IP，以保護(hù)安全資產(chǎn)不被泄露。

衡量每個(gè)級(jí)別的安全性

此時(shí)您可能會(huì)問(wèn)自己：“我如何衡量設(shè)計(jì)中每個(gè)級(jí)別的安全性？” 首先要做的是定義特定層的能力。系統(tǒng)和 SoC 設(shè)計(jì)人員應(yīng)利用形式驗(yàn)證來(lái)確保設(shè)計(jì)和架構(gòu)的正確性。這對(duì)于確保層只做它應(yīng)該做的事情并且正確地做這件事是絕對(duì)重要的。

同樣的練習(xí)適用于各個(gè)層。例如，查看引導(dǎo)加載程序?qū)印Ｒ龑?dǎo)加載程序被指定為安全地將系統(tǒng)引導(dǎo)到準(zhǔn)備好接受用戶應(yīng)用程序的狀態(tài)。你必須問(wèn)這樣的問(wèn)題：這種行為的流程是什么？錯(cuò)誤條件是什么？如何管理這些錯(cuò)誤情況？有沒(méi)有辦法讓格式錯(cuò)誤的圖像導(dǎo)致引導(dǎo)加載程序以可能暴露安全資產(chǎn)的方式運(yùn)行？

設(shè)計(jì)人員必須逐層檢查系統(tǒng)，并確認(rèn)每一層的行為都符合規(guī)定，并且在給定無(wú)效刺激時(shí)，每一層都能優(yōu)雅地管理錯(cuò)誤。例如，當(dāng)將不正確的值（或不可能的值）寫(xiě)入硬件不支持的特定寄存器時(shí)，硬件會(huì)如何表現(xiàn)？會(huì)不會(huì)導(dǎo)致系統(tǒng)崩潰？它是否會(huì)導(dǎo)致系統(tǒng)表現(xiàn)得由于某種原因而變得不安全？

從軟件的角度來(lái)看，如果引導(dǎo)加載程序收到了格式錯(cuò)誤的固件映像，那么引導(dǎo)加載程序是否會(huì)正常運(yùn)行并丟棄錯(cuò)誤的映像？或者引導(dǎo)加載程序是否接受、加載和執(zhí)行映像？更糟糕的是，引導(dǎo)加載程序是否會(huì)變得不穩(wěn)定并進(jìn)入無(wú)效狀態(tài)，從而將安全資產(chǎn)暴露給攻擊者？

鑒于每個(gè)級(jí)別的安全性適當(dāng)，靈活性是系統(tǒng)和 SoC 設(shè)計(jì)人員期望的安全引擎的另一個(gè)方面。這里包括允許第三方應(yīng)用程序在其邊界內(nèi)執(zhí)行。這些應(yīng)用程序是用 C 語(yǔ)言編寫(xiě)的，完全能夠執(zhí)行所需的任何任務(wù)。安全硅 IP 必須具有執(zhí)行任意應(yīng)用程序的靈活性。這些應(yīng)用程序僅限于可用的資源。除此之外，應(yīng)用的類(lèi)型僅受系統(tǒng)和 SoC 設(shè)計(jì)者的想象力限制。

結(jié)論

在轉(zhuǎn)向高度安全的系統(tǒng)時(shí)，設(shè)計(jì)人員應(yīng)強(qiáng)烈考慮深度防御和最小特權(quán)原則這兩個(gè)安全概念作為指導(dǎo)方向。

這些將為正確架構(gòu)和設(shè)計(jì)的安全執(zhí)行環(huán)境提供路線圖。反過(guò)來(lái)，這些環(huán)境將把每一層的能力限制為只有該給定層所必需的那些能力。因此，即使第三方應(yīng)用程序引入了漏洞，這些應(yīng)用程序仍然僅限于最初授予它們的資產(chǎn)。

審核編輯：郭婷