為嵌入式安全關(guān)鍵型應(yīng)用創(chuàng)建可信平臺

作者：Richard Jaenicke，Steve Edwards

安全關(guān)鍵型應(yīng)用程序（如跨域解決方案 （CDS））需要一個安全、可信的平臺來執(zhí)行，涵蓋軟件、固件和硬件。應(yīng)用程序直接與之交互的最低層是受信任的操作系統(tǒng) （OS）。對操作系統(tǒng)的信任取決于兩個因素：從安全角度來看，操作系統(tǒng)的穩(wěn)健性，以及確保操作系統(tǒng)已正確加載和配置且永遠(yuǎn)不會被篡改。操作系統(tǒng)信任還部分取決于受信任的預(yù)操作系統(tǒng)功能，例如在操作系統(tǒng)之前執(zhí)行的安全啟動固件。

計(jì)算機(jī)硬件和軟件平臺的安全魯棒性通常通過評估來指定“信息技術(shù)安全評估通用標(biāo)準(zhǔn)”（ISO/IEC 15408）1.通常，通用準(zhǔn)則評估目標(biāo) （TOE） 是根據(jù)政府定義的保護(hù)配置文件進(jìn)行評估的，其中包括功能和保證要求。評估可以針對不同的深度和嚴(yán)格性級別進(jìn)行，稱為評估保證級別 （EAL），EAL1 是最不嚴(yán)格的，EAL7 是最嚴(yán)格的?；蛘?，可以通過安全認(rèn)證實(shí)現(xiàn)一定程度的信任。盡管安全認(rèn)證為完整性和可用性提供了一定程度的保證，但它們通常不直接涉及機(jī)密性或其他信任機(jī)制。

要信任已加載正確的操作系統(tǒng) （OS） 代碼，需要建立信任鏈，一直追溯到開機(jī)時建立的信任根 （RoT）。信任鏈中的每個環(huán)節(jié)都必須具有足夠的安全保證功能，并且必須在執(zhí)行信任鏈中的下一件軟件之前對其進(jìn)行身份驗(yàn)證。RoT 的穩(wěn)健性是任何可信平臺的關(guān)鍵起點(diǎn)。健壯性級別范圍很廣，從軟件 RoT 到基于硬件中嵌入的物理不可克隆功能 （PUF） 的健壯性級別。

安全穩(wěn)健性

在美國政府定義的保護(hù)配置文件中，穩(wěn)健性是衡量 TOE 保護(hù)自身、數(shù)據(jù)和資源能力的指標(biāo)。穩(wěn)健性級別分為基本、中等或高2.TOE 所需的穩(wěn)健性級別的特征是它所保護(hù)的數(shù)據(jù)的價值以及為其部署環(huán)境識別的威脅的函數(shù)。

基本健壯性環(huán)境定義為遇到由無意錯誤或隨意淘氣的用戶引入的威脅的環(huán)境。通常，“最佳商業(yè)做法”足以在基本的健壯環(huán)境中保護(hù)信息3.中等健壯性環(huán)境就足夠了，攻擊者的動機(jī)被認(rèn)為是“中等”的，并且攻擊者至少具有中等水平的資源或?qū)I(yè)知識2.一般來說，中等健壯性“適用于假定的非敵對和管理良好的用戶社區(qū)，這些用戶社區(qū)需要防止無意或隨意嘗試破壞系統(tǒng)安全的威脅。4

對于同時存在復(fù)雜威脅代理和高價值資源的環(huán)境，需要高穩(wěn)健性 TOE，從而導(dǎo)致嘗試安全入侵的可能性很高5.高魯棒性需要 EAL6 或更高，適用于保護(hù)系統(tǒng)免受極其復(fù)雜和資金充足的威脅，例如來自民族國家和國家實(shí)驗(yàn)室的攻擊。對于中高穩(wěn)健性環(huán)境，通常需要要求將產(chǎn)品的某些硬件組件作為TOE的一部分進(jìn)行評估。此要求使產(chǎn)品不太可能受到損害以及始終調(diào)用安全策略的置信度更高2.

信任鏈

為跨域解決方案 （CDS） 應(yīng)用程序提供安全的計(jì)算環(huán)境部分取決于建立信任鏈，從硬件 RoT 開始，一直延伸到軟件的每一層。鏈中每個環(huán)節(jié)的信任有兩個組成部分：安全解決方案的穩(wěn)健性和組件的真實(shí)性。真實(shí)性由加密簽名確保，通常采用安全哈希算法的形式。身份驗(yàn)證可以保證加載的軟件是預(yù)期的軟件，而不是其他軟件，但身份驗(yàn)證不解決安全功能，包括沒有漏洞。

信任鏈的起點(diǎn)，RoT，可以基于軟件，但硬件RoT更安全。硬件 RoT 的主要選擇包括單獨(dú)的可信平臺模塊 （TPM） 芯片、片上引導(dǎo) ROM 代碼和基于物理不可克隆功能 （PUF） 的片上安全性。

在基于英特爾處理器的系統(tǒng)上，英特爾可信執(zhí)行技術(shù) （TXT） 使用 TPM 為 BIOS 和虛擬機(jī)管理程序或操作系統(tǒng)內(nèi)核的哈希存儲已知良好的值。打開電源時，BIOS 的哈希值將與 TPM 中存儲的值進(jìn)行比較。如果匹配，則加載 BIOS，并計(jì)算和比較虛擬機(jī)管理程序或操作系統(tǒng)內(nèi)核的哈希。請注意，CPU 的某些部分已經(jīng)在運(yùn)行以計(jì)算哈希，并且引導(dǎo)微碼（這是 CPU 執(zhí)行的第一個軟件）已經(jīng)由處理器本身進(jìn)行了加密身份驗(yàn)證。

基于 FPGA 的 RoT

使用內(nèi)置于自身芯片中的 RoT 的設(shè)備可以實(shí)現(xiàn)更高級別的安全性。此類器件的典型示例包括Microsemi PolarFire或SmartFusion2 SoC FPGA［現(xiàn)場可編程門陣列］，Intel Stratix 10 FPGA和Xilinx Zynq UltraScale+ MPSoC ［多處理器片上系統(tǒng)］。對于 Zynq MPSoC，金屬屏蔽引導(dǎo) ROM 代碼與存儲在硬件 eFUSE 中的 RSA 密鑰哈希一起提供硬件 RoT。器件的配置安全單元 （CSU） 從片上金屬屏蔽 ROM 啟動并強(qiáng)制執(zhí)行 RoT。它通過使用 SHA-3/384 引擎計(jì)算用戶公鑰的加密校驗(yàn)和來驗(yàn)證從外部存儲器讀取的用戶公鑰的完整性，然后將其與存儲在 eFUSE 中的值進(jìn)行比較。如果匹配，CSU 將加載并驗(yàn)證第一階段引導(dǎo)加載程序 （FSBL）7.

引導(dǎo)過程的某些部分，例如加載FPGA比特流，除了真實(shí)性之外，可能還需要機(jī)密性。片上 PUF 可用于創(chuàng)建密鑰加密密鑰 （KEK），該密鑰用于加密用于解密比特流的用戶對稱密鑰。KEK 永遠(yuǎn)不會存儲，而是在每次通電時基于 PUF 創(chuàng)建，PUF 在物理上是唯一的，無法復(fù)制。在某些設(shè)備上，可以采用相同的技術(shù)來生成用于驗(yàn)證引導(dǎo) ROM 的初始密鑰，而不是存儲密鑰 eFUSE，從而進(jìn)一步增強(qiáng)安全性。

一旦 SoC 或 FPGA 安全啟動，它就可以充當(dāng)主處理器的 RoT。它可用于提供啟動過程的硬件身份驗(yàn)證，并確保處理器僅執(zhí)行受信任的代碼8.

信任鏈中的漏洞

如上所述，盡管對信任鏈中的每個環(huán)節(jié)進(jìn)行身份驗(yàn)證可確保只加載預(yù)期的軟件，但身份驗(yàn)證并不能解決安全功能問題，包括免于漏洞。因此，應(yīng)設(shè)計(jì)、測試和驗(yàn)證代碼的每個部分，使其沒有漏洞。此規(guī)則特別適用于金屬屏蔽的引導(dǎo) ROM 代碼，如果以后發(fā)現(xiàn)漏洞，則無法輕松更新。

例如，最近發(fā)現(xiàn)的英特爾融合安全和管理引擎（CSME）啟動ROM中存在一個在過去五年中未被發(fā)現(xiàn)的缺陷，該漏洞可以控制芯片組密鑰的讀取和所有其他加密密鑰的生成。9.一旦攻擊者獲得此芯片組密鑰，他們就可以解密使用英特爾平臺信任技術(shù) （PTT） 加密的任何數(shù)據(jù)，并偽造設(shè)備的增強(qiáng)型隱私 ID （EPID），用于遠(yuǎn)程證明受信任的系統(tǒng)。更重要的是，由于該漏洞位于金屬掩蔽的引導(dǎo)ROM中，因此無法使用固件更新對其進(jìn)行修補(bǔ)10.

米爾斯架構(gòu)

一旦建立了可信的硬件平臺，下一步就是軟件架構(gòu)的設(shè)計(jì)。為 CDS 應(yīng)用程序構(gòu)建可信軟件環(huán)境最容易接受的途徑是實(shí)現(xiàn)高健壯性的多獨(dú)立安全級別 （MILS） 操作環(huán)境。MILS 將軟件架構(gòu)分為三層：分離內(nèi)核、中間件和應(yīng)用程序。每一層強(qiáng)制實(shí)施安全策略集的單獨(dú)部分。分離內(nèi)核是唯一以特權(quán)模式執(zhí)行的層。應(yīng)用程序可以實(shí)施自己的安全策略，啟用特定于應(yīng)用程序的策略，而不是依賴于整體內(nèi)核中的廣泛安全策略。每一層和每個應(yīng)用程序都可以單獨(dú)評估，而不會影響其他層/應(yīng)用程序的評估，使CDS系統(tǒng)更易于實(shí)施、認(rèn)證、維護(hù)和重新配置11.

分離內(nèi)核12使用基于硬件的內(nèi)存管理單元 （MMU） 將內(nèi)存劃分為多個分區(qū)，并且只允許在非內(nèi)核分區(qū)之間仔細(xì)控制通信。此外，操作系統(tǒng)服務(wù)（如網(wǎng)絡(luò)堆棧、文件系統(tǒng)和大多數(shù)設(shè)備驅(qū)動程序）在分區(qū)中執(zhí)行，而不是在特權(quán)模式下的內(nèi)核中執(zhí)行（圖 2）。由于分離內(nèi)核依賴于硬件功能（如 MMU）來強(qiáng)制實(shí)施某些分離要求，因此必須信任硬件平臺。

［圖2 |使用分離內(nèi)核，應(yīng)用程序在隔離分區(qū)中運(yùn)行，并通過多個單級安全性 （MSLS） 文件服務(wù)器或網(wǎng)絡(luò)堆棧訪問外部數(shù)據(jù)。

整潔的安全屬性

分離內(nèi)核強(qiáng)制實(shí)施數(shù)據(jù)隔離并控制分區(qū)之間的通信。這使得不同分類級別的不受信任的應(yīng)用程序和數(shù)據(jù)對象駐留在單個處理器上。分離內(nèi)核還使受信任的應(yīng)用程序能夠與受信任程度較低的應(yīng)用程序在同一處理器上執(zhí)行，同時確保受信任的應(yīng)用程序不會受到受信任程度較低的應(yīng)用程序以任何方式的損害或干擾。分離內(nèi)核實(shí)施的安全策略是不可繞過的、始終被調(diào)用和防篡改的，因?yàn)樗俏ㄒ辉谔幚砥魃弦蕴貦?quán)模式運(yùn)行的軟件13.此外，分離內(nèi)核的小尺寸使其“可評估”。這四個屬性 - 不可繞過，可評估，始終調(diào)用和防篡改 - 由首字母縮略詞“NEAT”表示。

MILS操作環(huán)境中NEAT特性的保證使多級安全（MLS）系統(tǒng)能夠設(shè)計(jì)為一組獨(dú)立的系統(tǒng)級分區(qū)，具有跨域解決方案，可在這些分區(qū)之間以及與外部系統(tǒng)之間實(shí)現(xiàn)安全通信。利用在經(jīng)過高健壯評估的分離內(nèi)核中提供的 NEAT 安全策略實(shí)施，可以生成小型且緊密集中的跨域服務(wù)器、降級程序和防護(hù)裝置。反過來，這一步使對這些跨域解決方案的高確定性評估變得實(shí)用、可實(shí)現(xiàn)且經(jīng)濟(jì)實(shí)惠。

隱蔽通道

實(shí)現(xiàn)高穩(wěn)健性最具挑戰(zhàn)性的要求之一是緩解隱蔽通道，這是一種意外或未經(jīng)授權(quán)的通信路徑，可用于以違反安全策略的方式傳輸信息15.隱蔽通道可以分為基于存儲或基于定時，或者兩者的混合。隱蔽存儲通道通過一個應(yīng)用程序在另一個應(yīng)用程序可讀的位置設(shè)置位來傳輸信息。隱蔽定時通道通過一段時間內(nèi)調(diào)節(jié)系統(tǒng)行為的某些方面來傳達(dá)信息，其方式可以被另一個應(yīng)用程序觀察到。

許多隱蔽渠道的識別和緩解極具挑戰(zhàn)性。高魯棒性分離內(nèi)核必須證明已采用系統(tǒng)方法來識別和緩解各種可能的通信機(jī)制中的隱蔽信道。緩解技術(shù)包括關(guān)閉或阻止隱蔽信道，限制潛在隱蔽信道的帶寬，使保證大于風(fēng)險，并確保只有高度受信任的應(yīng)用程序才能訪問隱蔽信道。

擴(kuò)展的安全功能

根據(jù)所需的安全健壯性級別，安全系統(tǒng)體系結(jié)構(gòu)可能需要的其他功能包括審核日志記錄、完整性測試和抽象計(jì)算機(jī)測試 （AMT）。審核日志記錄記錄分離內(nèi)核執(zhí)行期間的特定事件，以檢測潛在的惡意代碼行為。完整性測試可確保存儲在易失性和非易失性 RAM 中的分離內(nèi)核的可執(zhí)行映像的完整性。完整性測試包括對分離內(nèi)核在RAM中的活動可執(zhí)行映像的連續(xù)測試以及一組上電測試。AMT 是確保實(shí)施硬件保護(hù)機(jī)制的持續(xù)測試;例如，那些嘗試內(nèi)存沖突和特權(quán)指令執(zhí)行的測試，以確保在虛擬地址空間之間強(qiáng)制分離的硬件仍在運(yùn)行。審核日志記錄、完整性測試和 AMT 都需要滿足高可靠性。

受信任的硬件和軟件解決方案示例

Curtiss-Wright 的 CHAMP-XD1S 3U VPX 數(shù)字信號處理 （DSP） 模塊采用英特爾至強(qiáng) D 處理器、Xilinx Zynq UltraScale+ MPSoC FPGA 和基于閃存的美高森美 SmartFusion2 FPGA，可提供專為高性能嵌入式計(jì)算 （HPEC） 設(shè)計(jì)的安全處理器板。該模塊的 FPGA 和軟件安全功能具有 TrustedCOTS 增強(qiáng)型可信啟動功能，包括基于 FPGA 的安全根，可防止惡意網(wǎng)絡(luò)攻擊、探測和逆向工程。CHAMP-XD1S 使用 TPM 2.0 安全芯片來支持英特爾 TXT 安全啟動技術(shù)。該開發(fā)板還使用 Zynq UltraScale+ MPSoC 中的 PUF 來生成用于驗(yàn)證啟動代碼的加密密鑰。該身份驗(yàn)證可用作 RoT，以將信任擴(kuò)展到系統(tǒng)的其他部分。SmartFusion 2 FPGA 提供健康和管理功能，并可集成其他安全功能。

在軟件領(lǐng)域，Green Hills Software的INTEGRITY-178 tuMP實(shí)時操作系統(tǒng)（RTOS）提供了一個基于分離微內(nèi)核的MILS操作環(huán)境，該微內(nèi)核能夠托管MLS應(yīng)用程序，包括跨域解決方案。RTOS 提供高魯棒性分離內(nèi)核所需的高級別數(shù)據(jù)隔離、信息流控制、資源清理和故障隔離。這些基礎(chǔ)安全策略是不可繞過的、可評估的、始終調(diào)用的和防篡改的（再次，NEAT 首字母縮略詞），提供了將 MLS 系統(tǒng)設(shè)計(jì)為一組獨(dú)立的安全分區(qū)所需的高保證級別，具有跨域解決方案，可實(shí)現(xiàn)這些分區(qū)之間的安全通信。

2008年，INTEGRITY-178 RTOS成為第一個也是唯一一個通過美國國家安全局（NSA）信息保障局發(fā)布的“美國政府在需要高魯棒性的環(huán)境中分離內(nèi)核保護(hù)概況”（SKPP）認(rèn)證的操作系統(tǒng)。SKPP的認(rèn)證是高魯棒性和EAL6+。

作為SKPP認(rèn)證的一部分，RTOS經(jīng)過了NSA的獨(dú)立漏洞分析和滲透測試，以證明它能夠抵抗具有高攻擊潛力的攻擊者，并且不允許具有高攻擊潛力的攻擊者違反安全策略。此外，它還接受了 NSA 的隱蔽信道分析，以證明它滿足所有隱蔽信道緩解指標(biāo)。

除了被批準(zhǔn)為 MILS 分離內(nèi)核之外，INTEGRITY-178 還提供了一套完整的 API，這些 API 也經(jīng)過 NSA 評估，供安全分區(qū)內(nèi)的 MLS 應(yīng)用程序使用 – MLS 防護(hù)，這是跨域系統(tǒng)的基本要求。這些安全 API 包括對多線程的支持、多核上的并發(fā)執(zhí)行以及配置文件級別的靈活核心分配，所有這些都在安全的 MILS 環(huán)境中進(jìn)行。

審核編輯：郭婷