使用Cortex-M內(nèi)存保護單元來提高MCU安全性的方法

這是由四部分組成的系列文章的第一部分，介紹了獨特的產(chǎn)品 MPU-Plus? 以及使用 Cortex-M 內(nèi)存保護單元 （MPU） 實現(xiàn)改進的微控制器單元 （MCU） 安全性的方法。

模壓傳感器與模壓單元

幾十年來，大型操作系統(tǒng)在具有MMU的微處理器上使用隔離過程來實現(xiàn)分離和系統(tǒng)安全性。我們最近增強的產(chǎn)品 MPU-Plus 使用帶有 MPU 的微控制器為 SMX 實時操作系統(tǒng)添加了類似的功能。這已經(jīng)為Cortex-M架構(gòu)完成了，并將在將來擴展到其他架構(gòu)。

內(nèi)存管理單元 （MMU） 與完整操作系統(tǒng) （OS） 一起使用，為進程提供隔離的虛擬內(nèi)存。進程是獨立編譯和鏈接的，然后由操作系統(tǒng)（如 Windows 和 Linux）單獨加載和運行。進程到進程的隔離已經(jīng)足夠好了，如果一個進程被惡意軟件感染或由于任何其他原因開始出現(xiàn)故障，操作系統(tǒng)通常可以將其關(guān)閉，而對其他進程幾乎沒有損害。因此，安全性很好。MMU的使用是經(jīng)過充分研究和充分理解的。MMU使用的缺點是它通常需要高性能處理器和非常大的內(nèi)存。

快速、耗電的處理器和巨大的內(nèi)存與大多數(shù)嵌入式系統(tǒng)的要求不兼容。此外，完整的操作系統(tǒng)沒有許多應(yīng)用程序所需的實時響應(yīng)時間。因此，大多數(shù)嵌入式系統(tǒng)使用低功耗、中等性能的微控制器單元 （MCU） 和實時操作系統(tǒng) （RETOS）。與完整的操作系統(tǒng)系統(tǒng)相比，這些系統(tǒng)通常具有較小的內(nèi)存。出于安全考慮，許多 MCU 提供內(nèi)存保護單元 （MPU），這些單元無法像 MMU 那樣創(chuàng)建虛擬地址空間。

在大多數(shù)嵌入式系統(tǒng)中，我們處理的是分區(qū)而不是進程。這個想法基本上是相同的 - 分區(qū)包括一個或多個任務(wù)，并為系統(tǒng)執(zhí)行特定功能。就像進程一樣，希望將分區(qū)彼此隔離，以便在一個分區(qū)被穿透或開始出現(xiàn)故障時，可以停止它，同時對系統(tǒng)其余部分的損害最小。不幸的是，這在使用 MPU 的嵌入式系統(tǒng)中并不像在使用 MMU 的完整操作系統(tǒng)系統(tǒng)中那樣容易實現(xiàn)。這里最大的挑戰(zhàn)是所有MCU軟件都被編譯并鏈接到一個可執(zhí)行文件中。此外，MPU 還施加了自己的限制。MPU的安全性使用沒有得到很好的研究，也沒有得到充分的了解，并且涉及許多復(fù)雜的權(quán)衡，特別是因為嵌入式系統(tǒng)通常具有較小的存儲器，中等性能的處理器，功率限制以及對確定性實時性能的需求。

對安全性的需求日益增加

如果它如此困難，為什么要打擾呢？這似乎是嵌入式系統(tǒng)行業(yè)在過去幾十年中采用的方法。不幸的是，這還不夠長，因為嵌入式系統(tǒng)正在快速連接到物聯(lián)網(wǎng)（IoT）中。因此，一旦被隔離，無防御的嵌入式系統(tǒng)就可以通過黑客高速公路（又名互聯(lián)網(wǎng)）進行訪問。這意味著麻煩。

保護目標(biāo)

保護的主要目標(biāo)是保護受信任的關(guān)鍵軟件和數(shù)據(jù)免受不太受信任的非關(guān)鍵軟件的侵害，這些軟件可能會感染惡意軟件或有缺陷。受信任軟件的示例包括 RTOS、異常處理程序、安全軟件（例如加密、身份驗證、安全啟動、安全更新等）和任務(wù)關(guān)鍵型軟件。不太受信任的軟件的示例是易受惡意軟件攻擊的代碼，例如協(xié)議堆棧、設(shè)備驅(qū)動程序、SOUP 和未充分測試的代碼。

第二個目標(biāo)是檢測入侵和錯誤并關(guān)閉它們，以便關(guān)鍵系統(tǒng)操作不會受到威脅，敏感數(shù)據(jù)也不會被盜。處理入侵和錯誤可以通過停止和重新啟動滲透的任務(wù)來處理，或者可能需要停止并重新啟動整個系統(tǒng)。

第三個目標(biāo)是最大限度地減少受信任的代碼量，因為仔細編寫少量代碼更容易。在非特權(quán)模式下運行更多代碼可增加分區(qū)隔離，從而提高可靠性。

必須實施的保護程度取決于特定系統(tǒng)的安全和安全要求及其面臨的威脅。MPU-Plus 提供一系列安全服務(wù)，可實現(xiàn)適合給定系統(tǒng)的保護級別。此外，隨著系統(tǒng)分布范圍越來越廣，因此更容易受到攻擊，在將來的版本中可以增加保護。MPU-Plus旨在促進逐步的保護改進。

超強快照

MPU-Plus的主要目的是增強基于SMX?實時操作系統(tǒng)的多任務(wù)系統(tǒng)的安全性。MPU-Plus 為幫助實現(xiàn)更好的安全性所做的主要工作是：

允許為每個任務(wù)定義不同的MPU模板;

在任務(wù)切換期間處理MPU切換;

提供 SVC API 以允許非特權(quán)代碼調(diào)用特權(quán)服務(wù);

限制哪些服務(wù)可以從非特權(quán)代碼調(diào)用以及它們可以做什么;

允許分配受保護的塊和消息;

在特權(quán)模式下運行SMX RTOS和系統(tǒng)代碼，在非特權(quán)模式下運行中間件和應(yīng)用程序代碼;

允許任務(wù)具有特權(quán)或非特權(quán)。

作為構(gòu)建安全性的平臺。

MPU-Plus 有兩個主要設(shè)計目標(biāo)：

更輕松地轉(zhuǎn)換舊代碼以使用 MPU 和 SVC API。

允許開發(fā)人員專注于保護策略，而不會被 MPU 特性和其他硬件細節(jié)所困擾。

實施良好的保護策略已經(jīng)夠困難的了。細節(jié)層面的過度復(fù)雜化不僅令人沮喪，還可能導(dǎo)致采用不太理想的系統(tǒng)保護。

Cortex-v7M

Cortex-v7M 處理器架構(gòu)于 2005 年推出，適用于中型嵌入式系統(tǒng)。從那時起，半導(dǎo)體行業(yè)開發(fā)了數(shù)千種不同的Cortex-v7M微控制器單元（MCU）。它們用于設(shè)備制造商開發(fā)的數(shù)以萬計的產(chǎn)品中;迄今為止，已經(jīng)出貨了數(shù)十億個芯片。它是迄今為止占主導(dǎo)地位的MCU架構(gòu)（70%的市場份額），因此也是我們支持的架構(gòu)。

Cortex-v7M體系結(jié)構(gòu)提供以下安全功能：

特權(quán)模式。

主管呼叫 （SVC） 指令。

內(nèi)存保護單元。

第一種是通過三種處理器操作模式實現(xiàn)的：

處理程序模式：ISR、錯誤處理程序、SVC 處理程序和 PendSV 處理程序的特權(quán)模式。只能通過中斷或異常進入此模式。

特權(quán)線程模式：特權(quán)任務(wù)在此模式下運行。它只能通過設(shè)置 CONTROL.nPRIV = 0 從處理程序模式輸入。

非特權(quán)線程模式：非特權(quán)任務(wù)在此模式下運行?？梢酝ㄟ^設(shè)置 CONTROL.nPRIV = 1 從上述兩種模式中的任何一種模式輸入它。

為了減少接下來討論中的冗長，我們使用以下縮寫術(shù)語：前兩種模式統(tǒng)稱為pmode，第三種模式稱為umode。p 前綴可以解釋為特權(quán)或受保護;u 前綴可以解釋為非特權(quán)或用戶。在 pmode 中運行的代碼和任務(wù)稱為 p 代碼和 ptask;在 umode 中運行的代碼和任務(wù)稱為 ucode 和 utasks

Cortex-M架構(gòu)的關(guān)鍵方面是，只能通過中斷或異常輸入 pmode。SVC N 指令會導(dǎo)致此類異常。它可以從帶有 8 位參數(shù) N 的 umode 執(zhí)行。這允許從 umode 進行系統(tǒng)調(diào)用，其中 N 指定要調(diào)用的函數(shù)。被調(diào)用的函數(shù)在 pmode 中執(zhí)行。SVC 也可以從模數(shù)執(zhí)行。

MPU 為 M 區(qū)域提供 M 插槽。每個區(qū)域都有起始地址、大小和訪問參數(shù)，例如只讀 （RO）、讀/寫 （RW）、從不讀取 （XN） 等。如果 MPU 中的至少一個區(qū)域不允許內(nèi)存訪問，則會生成內(nèi)存管理故障 （MMF）。MMF 是導(dǎo)致 MMF 處理程序運行的異常，該處理程序通常會停止有問題的任務(wù)并確定要執(zhí)行的操作以進行恢復(fù)。

圖 1 顯示了一個只有 4 個插槽的示例 MPU。（大多數(shù) MPU 有 8 個插槽，有些有 16 個插槽。存儲在 MPU［0］ 中的區(qū)域是任務(wù)代碼的 RO 區(qū)域。MPU［1］ 區(qū)域是代碼的 RO 區(qū)域，與其他任務(wù)通用。存儲在 MPU［2］ 中的區(qū)域是用于數(shù)據(jù)的 RW 和 XN 區(qū)域。最后一個區(qū)域是任務(wù)堆棧，也是 RW 和 XN。下面顯示了可選的任務(wù)本地存儲 （TLS），它可以是任務(wù)堆棧區(qū)域的一部分，可用于本地任務(wù)數(shù)據(jù)。由于僅提供了指向 TLS 的指針，因此數(shù)據(jù)必須是結(jié)構(gòu)或數(shù)組。它具有與任務(wù)堆棧相同的屬性。此任務(wù)無法訪問內(nèi)存的白色區(qū)域。

v7 MPU 的一個嚴重缺點是區(qū)域大小必須是 2 的冪，并且區(qū)域必須在其大小邊界上對齊。這一要求可能是v7 MPU使用率低的主要原因，但可以克服。實際上，MPU的最大缺點是插槽不足。幾乎所有的 Cortex-M 處理器都有帶有八個插槽的 MPU。當(dāng)一個人開始為實際分區(qū)創(chuàng)建區(qū)域時，八個是不夠的 - 12個可能剛剛好。一些處理器有16個插槽;強烈建議將這些用于新設(shè)計。我們同時支持 8 個和 16 個插槽 MPU，但我們的重點是前者，因為它們是迄今為止最常見的。

盡管 Cortex-v7M MPU 具有顯著的局限性，使其難以使用，但它是 Cortex-v7M 處理器可用的硬件內(nèi)存保護的唯一手段，硬件保護是唯一有效防止黑客攻擊的保護措施。因此，重要的是要找到有效使用它的方法，以實現(xiàn)現(xiàn)代嵌入式系統(tǒng)所需的可靠性，安全性和安全性。

Cortex-v8M

Cortex-v8M 架構(gòu)是在幾年前宣布的。迄今為止，使用它的處理器很少。v8 MPU 將區(qū)域大小和對齊要求大大降低到 32 字節(jié)的倍數(shù)。這對于內(nèi)存有限的嵌入式系統(tǒng)很有幫助。但是，MPU 插槽的數(shù)量在 v8 體系結(jié)構(gòu)中保持不變。希望半導(dǎo)體供應(yīng)商能夠選擇16個而不是8個插槽，至少在非安全狀態(tài)下是這樣。我們將很快支持 v8 MPU。

Cortex-v8M 體系結(jié)構(gòu)還提供了一個名為 TrustZone 的新功能，該功能允許安全和非安全狀態(tài)。信任區(qū)安全狀態(tài)適用于密鑰和其他私有數(shù)據(jù)的存儲。但是，在安全狀態(tài)下運行代碼可能不值得額外的代碼復(fù)雜性和調(diào)試難度。阿姆說不然，所以我們得看看。此外，我們預(yù)計大多數(shù)設(shè)備制造商都需要一個同時適用于 v7 和 v8 處理器的安全解決方案。

審核編輯：郭婷