SoC 和系統(tǒng)設(shè)計(jì)人員希望為他們的產(chǎn)品創(chuàng)建一個堅(jiān)實(shí)的安全基礎(chǔ)。通常，對安全系統(tǒng)的要求與提供設(shè)計(jì)人員的客戶可以在其上開發(fā)的靈活平臺的需要發(fā)生沖突。必須從首要原則開始，以提供一個強(qiáng)大、安全的平臺，同時讓用戶自由創(chuàng)建。

與安全相關(guān)的兩個基本概念在這里發(fā)揮作用。它們是防御深度和最小特權(quán)原則。第一個意味著您對某些攻擊具有多層防御。因此，攻擊者必須通過每一層才能獲得資產(chǎn)，而他們一開始就不應(yīng)該訪問這些資產(chǎn)。

例如，用戶應(yīng)用程序?qū)討?yīng)該可以訪問其資產(chǎn)，僅此而已。每一層都以相同的方式處理。用戶應(yīng)用層除了向其他層發(fā)出請求外，不允許做任何事情。這兩個概念強(qiáng)化了安全硅 IP 應(yīng)在其上運(yùn)行的剛性基礎(chǔ)——例如，來自Rambus的 CryptoManager 信任根 （RoT） 。

剛性基礎(chǔ)意味著在每個接口上都強(qiáng)制執(zhí)行最小權(quán)限原則。每個層只能執(zhí)行它允許執(zhí)行的行為。如果一個層想要在該邊界之外做任何事情，它必須請求另一個層來承擔(dān)任務(wù)。這適用于所有層，從用戶應(yīng)用程序一直到硬件本身。

各種各樣的軟件漏洞

在這個時代，系統(tǒng)和SoC設(shè)計(jì)人員面臨著各種各樣的軟件漏洞，為安全系統(tǒng)建立一個安全和剛性的基礎(chǔ)具有更大的意義。

在大多數(shù)情況下，您（作為系統(tǒng)設(shè)計(jì)者）為您的客戶或其他第三方提供編寫軟件的能力。該軟件在您的產(chǎn)品范圍內(nèi)執(zhí)行，但它引起了相當(dāng)大的關(guān)注。一方面，您對所編寫代碼的質(zhì)量一無所知。

您不知道開發(fā)人員對編寫安全軟件的了解程度。因此，正確地假設(shè)將有軟件漏洞寫入他們的應(yīng)用程序。因此，作為系統(tǒng)設(shè)計(jì)者，您必須保護(hù)系統(tǒng)的其余部分免受這些不可避免的漏洞的影響。

如前所述，根據(jù)最小特權(quán)原則，即使是受到損害的用戶應(yīng)用程序也應(yīng)限制它們可以執(zhí)行的操作或功能。盡管它們的使用方式由于它們的漏洞而永遠(yuǎn)不應(yīng)該被使用，但它們?nèi)匀粦?yīng)該無法逃脫堆棧中的特定層。

將其保留在沙盒中

根據(jù)此處討論的基本安全原則，安全硅 IP 必須是可編程的，并且設(shè)計(jì)用于專門的“沙盒”用戶應(yīng)用程序。（注意：術(shù)語“沙盒”是計(jì)算機(jī)安全術(shù)語，描述了一種安全結(jié)構(gòu)，在該結(jié)構(gòu)中創(chuàng)建了一個單獨(dú)的受限環(huán)境，并且禁止某些功能。）在本文的上下文中，術(shù)語“沙盒”特指限制關(guān)于軟件應(yīng)用程序的功能。應(yīng)用程序必須通過調(diào)用以更高權(quán)限執(zhí)行的系統(tǒng)來請求訪問資源。如果應(yīng)用程序試圖破壞其任何沙盒規(guī)則，一個或多個系統(tǒng)可能會做出反應(yīng)以阻止應(yīng)用程序執(zhí)行。

安全硅 IP 必須以沙盒方式對用戶應(yīng)用程序進(jìn)行沙箱處理，以防止他們造成傷害，特別是對在安全硅 IP 內(nèi)執(zhí)行的其他應(yīng)用程序。換句話說，不幸的是，應(yīng)用程序的漏洞可能會暴露它可以訪問的安全資產(chǎn)，但它不能暴露其他應(yīng)用程序的受保護(hù)資產(chǎn)。這就是安全硅 IP 對最小特權(quán)原則和深度防御的使用帶來巨大收益的地方。

這里的想法是使用安全監(jiān)視器在加載應(yīng)用程序時在硬件中對用戶應(yīng)用程序的權(quán)限進(jìn)行編程。這將用戶應(yīng)用程序?qū)Y源的訪問限制為僅允許它們訪問的資源。除了安全監(jiān)視器在硬件中編程的權(quán)限之外，用戶應(yīng)用程序還被限制與底層硬件進(jìn)行直接交互。用戶應(yīng)用程序必須通過微內(nèi)核請求訪問硬件資源。微內(nèi)核構(gòu)成了包含用戶應(yīng)用程序的第一個屏障。

但是，如果在用戶應(yīng)用程序和微內(nèi)核中發(fā)現(xiàn)漏洞，用戶應(yīng)用程序仍然可以安全地超出其自身的資源訪問邊界。因?yàn)橛脩魬?yīng)用程序的權(quán)限是在加載時在硬件中設(shè)置的，并且權(quán)限一直持續(xù)到應(yīng)用程序被卸載，所以攻擊者無法利用安全漏洞來訪問用戶應(yīng)用程序尚未訪問的資產(chǎn)。同樣，基于深度防御和最小特權(quán)原則，可以有多個不信任方在安全硅 IP 的范圍內(nèi)安全地執(zhí)行代碼，而不會冒彼此之間或彼此之間泄露其安全資產(chǎn)的風(fēng)險。

分層安全的意義

分層安全的目標(biāo)是確保每個層僅限于分配給它執(zhí)行的任務(wù)，而不是更多。如果在特定層中犯了錯誤，并且該層被授予了對不應(yīng)該擁有的資產(chǎn)的訪問權(quán)限，則攻擊者將利用該行為進(jìn)行攻擊。

正如我們在今天的系統(tǒng)中一再看到的那樣，如果系統(tǒng)行為在每個系統(tǒng)級別都沒有得到適當(dāng)?shù)谋Ｗo(hù)，那么它們就沒有適當(dāng)?shù)募s束來執(zhí)行設(shè)計(jì)的功能。因此，攻擊者極有可能利用不應(yīng)該執(zhí)行的功能來獲取有價值的資產(chǎn)。

一個典型的例子是當(dāng)今高度復(fù)雜的 CPU，它們針對高性能而不是安全資產(chǎn)的安全性和防御進(jìn)行了調(diào)整。正如廣泛報(bào)道的那樣，這些 CPU 最近成為 Meltdown、Spectre 和 Foreshadow 等漏洞的受害者。平心而論，這些 CPU 確實(shí)有最小特權(quán)原則的概念。

不幸的是，這些 CPU 沒有正確實(shí)施縱深防御的概念。系統(tǒng)和 SoC 設(shè)計(jì)人員的替代方案是將安全資產(chǎn)的使用從主 CPU 轉(zhuǎn)移到專用的安全硅 IP 上。但是，必須從硬件和軟件的角度來設(shè)計(jì)安全硅 IP，以保護(hù)安全資產(chǎn)不被泄露。

衡量每個級別的安全性

此時您可能會問自己：“我如何衡量設(shè)計(jì)中每個級別的安全性？” 首先要做的是定義特定層的能力。系統(tǒng)和 SoC 設(shè)計(jì)人員應(yīng)利用形式驗(yàn)證來確保設(shè)計(jì)和架構(gòu)的正確性。這對于確保層只做它應(yīng)該做的事情并且正確地做這件事是絕對重要的。

同樣的練習(xí)適用于各個層。例如，查看引導(dǎo)加載程序?qū)?。引?dǎo)加載程序被指定為安全地將系統(tǒng)引導(dǎo)到準(zhǔn)備好接受用戶應(yīng)用程序的狀態(tài)。你必須問這樣的問題：這種行為的流程是什么？錯誤條件是什么？如何管理這些錯誤情況？有沒有辦法讓格式錯誤的圖像導(dǎo)致引導(dǎo)加載程序以可能暴露安全資產(chǎn)的方式運(yùn)行？

設(shè)計(jì)人員必須逐層檢查系統(tǒng)，并確認(rèn)每一層的行為都符合規(guī)定，并且在給定無效刺激時，每一層都能優(yōu)雅地管理錯誤。例如，當(dāng)將不正確的值（或不可能的值）寫入硬件不支持的特定寄存器時，硬件會如何表現(xiàn)？會不會導(dǎo)致系統(tǒng)崩潰？它是否會導(dǎo)致系統(tǒng)表現(xiàn)得由于某種原因而變得不安全？

從軟件的角度來看，如果引導(dǎo)加載程序收到了格式錯誤的固件映像，那么引導(dǎo)加載程序是否會正常運(yùn)行并丟棄錯誤的映像？或者引導(dǎo)加載程序是否接受、加載和執(zhí)行映像？更糟糕的是，引導(dǎo)加載程序是否會變得不穩(wěn)定并進(jìn)入無效狀態(tài)，從而將安全資產(chǎn)暴露給攻擊者？

鑒于每個級別的安全性適當(dāng)，靈活性是系統(tǒng)和 SoC 設(shè)計(jì)人員期望的安全引擎的另一個方面。這里包括允許第三方應(yīng)用程序在其邊界內(nèi)執(zhí)行。這些應(yīng)用程序是用 C 語言編寫的，完全能夠執(zhí)行所需的任何任務(wù)。安全硅 IP 必須具有執(zhí)行任意應(yīng)用程序的靈活性。這些應(yīng)用程序僅限于可用的資源。除此之外，應(yīng)用的類型僅受系統(tǒng)和 SoC 設(shè)計(jì)者的想象力限制。

結(jié)論

在轉(zhuǎn)向高度安全的系統(tǒng)時，設(shè)計(jì)人員應(yīng)強(qiáng)烈考慮深度防御和最小特權(quán)原則這兩個安全概念作為指導(dǎo)方向。

這些將為正確架構(gòu)和設(shè)計(jì)的安全執(zhí)行環(huán)境提供路線圖。反過來，這些環(huán)境將把每一層的能力限制為只有該給定層所必需的那些能力。因此，即使第三方應(yīng)用程序引入了漏洞，這些應(yīng)用程序仍然僅限于最初授予它們的資產(chǎn)。

審核編輯：郭婷