關(guān)于Arm全新處理器Cortex-M35P，你想知道的一切都在這兒了！

近日，Arm發(fā)布了一系列IP以保護(hù)芯片免受物理攻擊，該系列擴(kuò)展了Arm的安全I(xiàn)P產(chǎn)品組合，為所有物聯(lián)網(wǎng)產(chǎn)品提供物理安全性。這些的全新IP產(chǎn)品均標(biāo)有代表物理安全的字母“P”標(biāo)識(shí)，包括：Cortex-M35P處理器，以及一套全新的、可防側(cè)信道攻擊的安全I(xiàn)P（CryptoIsland-300P和CryptoCell-312P）。

本文將探討Cortex-M35P如何憑借其優(yōu)勢(shì)和特性，對(duì)支持廣泛、用戶友好的Cortex-M處理器提供防篡改保護(hù)并防范物理攻擊，從而為您的產(chǎn)品提供進(jìn)入新市場(chǎng)的機(jī)會(huì)。

Cortex-M35P的主要優(yōu)勢(shì)

Cortex-M35P是第一款提供防物理篡改功能的Armv8-M處理器，使處理器核心有能力更容易、更快速地取得支付級(jí)或電信級(jí)的安全認(rèn)證。Cortex-M35P還是一款包含了多層次安全結(jié)構(gòu)架構(gòu)的處理器，結(jié)合了使用Arm TrustZone技術(shù)實(shí)現(xiàn)的軟件保護(hù)與SecurCore系列處理器中的物理保護(hù)。Cortex-M35P是Arm安全產(chǎn)品組合的延伸，遵循Arm的PSA平臺(tái)安全架構(gòu)原則。

為什么要防范物理攻擊？

我們?cè)谌粘Ｉ钪袝?huì)遇到越來(lái)越多的設(shè)備——比如在家中、工作場(chǎng)所、醫(yī)院，工業(yè)場(chǎng)所以及城市空間等等——其中有些是連網(wǎng)的，有些則不是。在這其中，許多設(shè)備存儲(chǔ)了非常有價(jià)值的個(gè)人信息，使它們成為物理攻擊的目標(biāo)。從成本角度來(lái)看，由于簡(jiǎn)單數(shù)據(jù)采集工具的部署和存在，這些攻擊變得更具有可行性。我們?cè)絹?lái)越多地目睹到物理攻擊的發(fā)生，例如側(cè)信道攻擊已成為標(biāo)準(zhǔn)安全威脅模型的一部分。對(duì)物理攻擊的主要擔(dān)憂來(lái)自攻擊（產(chǎn)生危害）的可擴(kuò)展性因素，即通過(guò)攻擊一臺(tái)設(shè)備，攻擊者可以提取源代碼并發(fā)現(xiàn)漏洞，進(jìn)而進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊。

TechRepublic BGU高級(jí)講師Yossi Oren在他的物聯(lián)網(wǎng)安全博文中總結(jié)道：“你只需要進(jìn)行一次物理訪問(wèn)——一旦你購(gòu)買了某個(gè)設(shè)備的一個(gè)副本或某個(gè)攝像頭的一款型號(hào)，并在實(shí)驗(yàn)室中成功對(duì)其進(jìn)行攻擊，你就會(huì)獲得可以遠(yuǎn)程攻擊相同設(shè)備或型號(hào)所需的所有信息?！?/p>

我們用一個(gè)類比來(lái)解釋我們?yōu)槭裁磿?huì)開(kāi)發(fā)Cortex-M35P：這就像保護(hù)您的房子一樣。既然您屋中有貴重物品，那么至關(guān)重要的是確保所有入口都受到保護(hù)，同時(shí)也需考慮到小偷闖入特定入口的困難度。

圖1：保護(hù)設(shè)備安全就像保護(hù)房子一樣——安全強(qiáng)度僅取決于最薄弱的環(huán)節(jié)！

例如，如果小偷要通過(guò)頂層的一扇小窗戶入室行竊的話，他可能需要一把梯子和一些特殊的工具才能夠得逞。因?yàn)檫@頗費(fèi)周章且很難得手，所以您可能會(huì)認(rèn)為頂層的那扇小窗不會(huì)是小偷入室行竊的首選入口，從而認(rèn)為貴重物品是得到了保護(hù)的。但是，如果房子里有非常貴重的物品，或者不用那么費(fèi)勁就可以進(jìn)入頂層的這扇窗戶，那么小偷就有可能會(huì)設(shè)法進(jìn)入了。

這一概念也適用于物聯(lián)網(wǎng)。Arm擁有廣泛的安全組合，可以防御各種進(jìn)入點(diǎn)，現(xiàn)在Arm正在加強(qiáng)對(duì)物理攻擊的防范。Cortex-M35P的開(kāi)發(fā)旨滿足所有需要市場(chǎng)適應(yīng)性的嵌入式和物聯(lián)網(wǎng)市場(chǎng)的需求。現(xiàn)在，任何面對(duì)物理安全項(xiàng)目要求的Cortex-M開(kāi)發(fā)人員，都可以升級(jí)到這款最新的Cortex-M處理器，同時(shí)不會(huì)讓之前所有的開(kāi)發(fā)投入付之東流。

此外，該處理器可以與Arm IP產(chǎn)品組合中的其余組件相匹配，以構(gòu)成強(qiáng)大而全面的安全解決方案，從而加速上市時(shí)間。開(kāi)發(fā)人員可以從Arm廣泛的生態(tài)系統(tǒng)中受益，該生態(tài)系統(tǒng)提供了最為廣泛的開(kāi)發(fā)工具、編譯器、調(diào)試器、操作系統(tǒng)和軟件中間件，可有效節(jié)約時(shí)間及成本。

與其他攻擊類型相關(guān)的物理攻擊

隨著攻擊平面不斷增加以及物聯(lián)網(wǎng)（IoT）規(guī)模呈指數(shù)級(jí)增長(zhǎng)，在產(chǎn)品設(shè)計(jì)規(guī)劃過(guò)程中可能很難根據(jù)現(xiàn)在的情況來(lái)確定如何保護(hù)您的下一代設(shè)備。 為了理解并應(yīng)對(duì)這一狀況，Arm通過(guò)針對(duì)四種不同類型的攻擊目標(biāo)建模來(lái)描述安全性，它們分別是：通信、產(chǎn)品生命周期、軟件和物理攻擊，如圖2所示。設(shè)備面臨的風(fēng)險(xiǎn)取決于應(yīng)用程序和數(shù)據(jù)的價(jià)值。許多設(shè)備需要考慮更多針對(duì)系統(tǒng)底層的攻擊，例如針對(duì)底層軟件的攻擊，可以借助Arm TrustZone提供的隔離來(lái)獲得充分的保護(hù)。但是，還有一些其他類型的設(shè)備需要考慮更為復(fù)雜的攻擊，例如物理攻擊芯片的風(fēng)險(xiǎn)。

圖2：對(duì)四種不同類型安全攻擊的威脅系數(shù)進(jìn)行評(píng)估

需要防范哪些攻擊取決于您認(rèn)為哪些物理攻擊會(huì)對(duì)您的產(chǎn)品構(gòu)成足夠的威脅。 Arm PSA平臺(tái)安全架構(gòu)的建議是：安全始終始于分析，這里的分析指使用威脅建模程序進(jìn)行分析。通過(guò)威脅建模，您可以評(píng)估設(shè)備的安全性以及預(yù)測(cè)可能被黑客入侵或利用的方式。如果安全領(lǐng)域?qū)δ赃€比較陌生，那么威脅建模可能會(huì)是一個(gè)令您略感生畏的過(guò)程，因此Arm創(chuàng)建了三個(gè)完全免費(fèi)的威脅模型示例。

當(dāng)對(duì)設(shè)備及其所面臨的威脅進(jìn)行評(píng)估后，緊接著的一項(xiàng)重要的工作就是采取適當(dāng)?shù)拇胧﹣?lái)保護(hù)您的設(shè)備。Arm建議使用分層安全法，使用正確的反制組合對(duì)您的設(shè)備實(shí)施不同層次的保護(hù)。

Arm擴(kuò)展了一系列IP以應(yīng)對(duì)所有類型的安全威脅，當(dāng)物理攻擊被認(rèn)為具有足夠大的風(fēng)險(xiǎn)時(shí)，您可以選擇使用具有緩解物理攻擊效果的處理器。Cortex-M35P提供軟件隔離和物理安全相結(jié)合的解決方案，可幫助設(shè)計(jì)人員實(shí)現(xiàn)更高級(jí)別的系統(tǒng)安全性，從而防御物理和軟件攻擊。您可能會(huì)決定需要使用硬件加速的加密機(jī)制來(lái)抵側(cè)信道攻擊（SCA） ——而CryptoIsland-300P和CryptoCell-312P正好可以在這方面提供幫助。

Arm Cortex-M35P的

1. 物理保護(hù)

當(dāng)受保護(hù)的資產(chǎn)價(jià)值足夠高時(shí)，黑客就有足夠的動(dòng)機(jī)對(duì)設(shè)備采取物理攻擊。Cortex-M35P提供多個(gè)專門(mén)的組件以保護(hù)設(shè)備免受此類攻擊的侵?jǐn)_。

Cortex-M35P包含了多項(xiàng)防范物理攻擊的安全特性。其中“無(wú)差別時(shí)序”使得任何指令操作的周期數(shù)恒定，從而防止信息泄漏。用戶可以指定是否激活此項(xiàng)。

另一個(gè)例子是100%的奇偶校驗(yàn)覆蓋。處理器中的每個(gè)觸發(fā)器均使用可配置的奇偶校驗(yàn)進(jìn)行保護(hù)，從而可檢測(cè)到隨機(jī)錯(cuò)誤或有目的的錯(cuò)誤注入。

2. 指令cache

集成cache提高了從嵌入式Flash取指令時(shí)的性能。Flash通常無(wú)法提供RAM級(jí)別的訪問(wèn)時(shí)間，這也是常見(jiàn)的性能瓶頸。該問(wèn)題通過(guò)激活可選的內(nèi)部cache得到解決。存儲(chǔ)在cache中的信息也會(huì)得到保護(hù)從而免受物理攻擊。

3. TrustZone：全系統(tǒng)安全的基礎(chǔ)

TrustZone強(qiáng)化了系統(tǒng)中對(duì)信息安全敏感的功能的保護(hù)。它提供了對(duì)代碼、內(nèi)存和I/O的軟件隔離，同時(shí)滿足了嵌入式應(yīng)用的要求：實(shí)時(shí)、確定性的響應(yīng)，最小的切換開(kāi)銷以及易于軟件開(kāi)發(fā)。

搭載TrustZone的Cortex-M35P處理器具有兩種安全狀態(tài)，即安全和非安全狀態(tài)以及一些與兩種狀態(tài)息息相關(guān)的特性，如圖3所示：

圖3：Armv8-M額外的安全狀態(tài)

4. 用于任務(wù)隔離的內(nèi)存保護(hù)單元（MPU）

軟件可靠性和系統(tǒng)安全性的提高可藉由僅允許每個(gè)模塊訪問(wèn)操作所需的特定存儲(chǔ)器區(qū)域?qū)崿F(xiàn)。作為對(duì)TrustZone的補(bǔ)充，這種保護(hù)可防止意外訪問(wèn)覆蓋關(guān)鍵數(shù)據(jù)。每個(gè)安全區(qū)域都可分配專用的MPU，配置不同數(shù)量的域（Region）。對(duì)域進(jìn)行編程也更為簡(jiǎn)便，取消了對(duì)域必須對(duì)齊到2的整數(shù)次冪大小的約束。

這一選配的MPU是可編程的，最多可分別為安全和非安全狀態(tài)提供16個(gè)域（Region）。在多任務(wù)環(huán)境中，操作系統(tǒng)可以在任務(wù)上下文切換期間重新編程MPU，以定義每項(xiàng)任務(wù)的內(nèi)存訪問(wèn)權(quán)限。例如，應(yīng)用程序的任務(wù)可能被授予只能訪問(wèn)某些應(yīng)用程序數(shù)據(jù)和特定外圍設(shè)備的權(quán)限。通過(guò)這種方式，MPU可以保護(hù)所有其他存儲(chǔ)器和外設(shè)免受損壞或未經(jīng)授權(quán)的訪問(wèn)，從而顯著提高系統(tǒng)的可靠性。

存儲(chǔ)器區(qū)域設(shè)置更為簡(jiǎn)便

Cortex-M35P內(nèi)部保護(hù)架構(gòu)是建立在“受保護(hù)的內(nèi)存系統(tǒng)架構(gòu)(protected memory system architecture, PMSA) ”v8版本基礎(chǔ)之上的。該版本采用與基地址和終止地址比較的方式來(lái)定義作用范圍，而不是先前的必須對(duì)齊到2的整數(shù)次冪地址的方案。每個(gè)區(qū)域都有一個(gè)基本起始地址、結(jié)束地址、訪問(wèn)權(quán)限和內(nèi)存屬性的設(shè)置。其結(jié)果是可以僅使用一個(gè)域（Region）就完成對(duì)目標(biāo)范圍的覆蓋，而不必像過(guò)去一樣考慮對(duì)不同尺寸的域（Region）使用多個(gè)對(duì)齊連接在一起。這極大的簡(jiǎn)化了軟件開(kāi)發(fā)，鼓勵(lì)用戶更頻繁地使用MPU，縮減了編程步驟從而減少了上下文切換的次數(shù)。

5. 可擴(kuò)展性的協(xié)處理器接口

對(duì)于特定應(yīng)用程序，專用計(jì)算可大有作為。在實(shí)現(xiàn)這一擴(kuò)展計(jì)算能力的同時(shí)，保持世界領(lǐng)先生態(tài)系統(tǒng)的所有優(yōu)勢(shì)同樣至關(guān)重要——即開(kāi)發(fā)工具、編譯器、調(diào)試器、操作系統(tǒng)和中間件的最廣泛選擇。

Cortex-M35P處理器包含一個(gè)可選的專用總線接口，用于集成緊耦合加速器硬件。對(duì)于頻繁使用的計(jì)算密集型操作，此接口提供了一種機(jī)制，通過(guò)自定義處理硬件來(lái)增強(qiáng)通用計(jì)算能力。最重要的是，它不會(huì)破壞生態(tài)系統(tǒng)。該接口控制和數(shù)據(jù)信號(hào)，支持多達(dá)8個(gè)協(xié)處理器，還可提供處理器特權(quán)和安全狀態(tài)，以及指令類型、關(guān)聯(lián)的寄存器和操作字段的信息。

6. 數(shù)字信號(hào)處理（Digital Signal Processing, DSP）擴(kuò)展

為了加速軟件開(kāi)發(fā)，Arm還在CMSIS項(xiàng)目中提供免費(fèi)的DSP庫(kù)。該庫(kù)包含一系列數(shù)字濾波器、轉(zhuǎn)換和數(shù)學(xué)函數(shù)（如矩陣），并支持一系列數(shù)據(jù)類型。CMSIS目是開(kāi)源項(xiàng)目，開(kāi)發(fā)版本通過(guò)GitHub發(fā)布。

可供選擇的整數(shù)DSP擴(kuò)展增加了85條指令。在大多數(shù)情況下，DSP指令平均可將程序性能提高三倍，從而提升以數(shù)字信號(hào)控制為核心的所有應(yīng)用程序的性能。

7. 單精度浮點(diǎn)單元（Floating Point Unit, FPU）

可選配的FPv5單精度浮點(diǎn)擴(kuò)展包括額外的16個(gè)64位寄存器。該擴(kuò)展增加了45個(gè)與IEEE754-2008兼容的單精度浮點(diǎn)指令。使用浮點(diǎn)指令通常會(huì)使平均性能比同等軟件庫(kù)提高10倍。FPU被包含在獨(dú)立的電源域中，允許在未啟用或未使用時(shí)關(guān)斷電。

總之，物理攻擊是對(duì)嵌入式或物聯(lián)網(wǎng)設(shè)備的幾種潛在攻擊之一。 Arm的PSA平臺(tái)安全架構(gòu)為設(shè)計(jì)人員在威脅建模過(guò)程中所需通過(guò)的安全級(jí)別進(jìn)行評(píng)估，以便采用適當(dāng)?shù)姆粗平M合。物理攻擊正變得愈發(fā)簡(jiǎn)單和廉價(jià)，因此先進(jìn)的芯片保護(hù)技術(shù)至關(guān)重要。然而，物理安全設(shè)計(jì)則通常較為復(fù)雜。

如今，Arm全新的物理安全I(xiàn)P套件可為任何開(kāi)發(fā)人員提供市場(chǎng)適應(yīng)性。Arm Cortex-M35P處理器通過(guò)TrustZone技術(shù)和防篡改功能為軟件和物理攻擊提供了高效的安全解決方案。與Arm CryptoCell IP、Arm CryptoIsland IP或?qū)ｉT(mén)的定制加密解決方案相結(jié)合，并在Arm生態(tài)系統(tǒng)的支持下，任何嵌入式或物聯(lián)網(wǎng)解決方案的開(kāi)發(fā)人員都可以確保已擁有強(qiáng)大的可信基礎(chǔ)來(lái)進(jìn)行安全的物聯(lián)網(wǎng)實(shí)施部署——因?yàn)槭袌?chǎng)適應(yīng)性已成竹在胸。