嵌入式處理器的快響應(yīng)安全啟動(dòng)機(jī)制探究

賴冬寅

（四川工商職業(yè)技術(shù)學(xué)院，四川成都,611837）

嵌入式處理器的快響應(yīng)安全啟動(dòng)機(jī)制探究

賴冬寅

（四川工商職業(yè)技術(shù)學(xué)院，四川成都,611837）

基于多粒度儲(chǔ)存器運(yùn)算機(jī)制（MMH），提出了嵌入式系統(tǒng)的快響應(yīng)安全啟動(dòng)機(jī)制(FSBM)；根據(jù)不同的監(jiān)控對(duì)象，采用不同的策略對(duì)存儲(chǔ)的信息和外部設(shè)計(jì)進(jìn)行監(jiān)控和保護(hù)。利用Xilinx的ML510FPGA開(kāi)發(fā)板，對(duì)FSBM進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)。實(shí)驗(yàn)結(jié)果表明： FSBM安全響應(yīng)機(jī)制在安全啟動(dòng)系統(tǒng)的前提下，可以大幅度節(jié)約響應(yīng)時(shí)間，提高系統(tǒng)的性能。

嵌入式;多粒度儲(chǔ)存器;安全啟動(dòng);快響應(yīng)

0 引言

嵌入式處理器啟動(dòng)機(jī)制不僅決定著系統(tǒng)啟動(dòng)的方式與速度，也是系統(tǒng)安全、穩(wěn)定運(yùn)行的前提。嵌入式處理器啟動(dòng)機(jī)制的設(shè)計(jì)直接決定了處理器能否安全地加載外部設(shè)備、能否有效地識(shí)別非法接入的危險(xiǎn)設(shè)備。本文立足于完整性保護(hù)技術(shù)，將多粒度存儲(chǔ)器散列運(yùn)算機(jī)制(MMH)引入到嵌入式系統(tǒng)的安全啟動(dòng)過(guò)程中，對(duì)嵌入式處理器安全啟動(dòng)機(jī)制進(jìn)行研究。MMH不僅可以實(shí)時(shí)校驗(yàn)來(lái)自片外的程序、數(shù)據(jù)等信息，同時(shí)，MMH還具有初始化時(shí)間短的優(yōu)勢(shì)，可以幫助嵌入式處理器快速啟動(dòng)，降低嵌入式處理器切換程序時(shí)的性能開(kāi)銷。

1 現(xiàn)有安全啟動(dòng)機(jī)制存在的不足

目前已有的安全啟動(dòng)機(jī)制，存在著各種各樣的問(wèn)題，沒(méi)有形成一個(gè)完整的安全啟動(dòng)機(jī)制，特別是沒(méi)有與現(xiàn)有的處理器運(yùn)行時(shí)的完整性校驗(yàn)機(jī)制相結(jié)合，無(wú)法真正達(dá)到從芯片到系統(tǒng)安全性。實(shí)際上，嵌入式系統(tǒng)相對(duì)封閉、服務(wù)對(duì)象相對(duì)固定，通常不會(huì)有大量外部設(shè)備進(jìn)行接入。嵌入式系統(tǒng)真正需要地是一種輕量級(jí)的快速響應(yīng)的啟動(dòng)方式。針對(duì)嵌入式系統(tǒng)的需求，提出在嵌入式處理器內(nèi)部構(gòu)造一種快速響應(yīng)的安全啟動(dòng)方式。

2 嵌入式處理器的快響應(yīng)安全啟動(dòng)機(jī)制

圖1 嵌入式系統(tǒng)的多粒度校驗(yàn)機(jī)制

根據(jù)嵌入式系統(tǒng)啟動(dòng)的特點(diǎn)，若使用傳統(tǒng)的單一粒度的

Merkle樹(shù)進(jìn)行認(rèn)證必然會(huì)導(dǎo)致處理器在啟動(dòng)的過(guò)程中性能逐漸下降的情況。因?yàn)殡S著啟動(dòng)過(guò)程的結(jié)束，處理器需要加載的代碼量逐步增大，單一粒度的Merkle樹(shù)所需要認(rèn)證的數(shù)據(jù)也隨之增加，從而造成處理器訪存的性能下降。為了解決這個(gè)問(wèn)題，提出了一種針對(duì)嵌入式系統(tǒng)的快響應(yīng)安全啟動(dòng)策略(FSBM)。這種策略改變了過(guò)去采用單一粒度對(duì)系統(tǒng)啟動(dòng)過(guò)程進(jìn)行認(rèn)證的方法，而采取了不同粒度配置下的MMH對(duì)啟動(dòng)過(guò)程進(jìn)行完整性保護(hù)。圖1描述了我們所設(shè)計(jì)的快響應(yīng)安全啟動(dòng)策略。

將多粒度的機(jī)制應(yīng)用到嵌入式系統(tǒng)的啟動(dòng)過(guò)程中，并根據(jù)啟動(dòng)過(guò)程中代碼量的變化，采取不同的粒度對(duì)來(lái)自處理器片外的數(shù)據(jù)進(jìn)行散列運(yùn)算，以認(rèn)證信息的安全性，期望能提高嵌入式系統(tǒng)的啟動(dòng)相應(yīng)速度。在處理器處于復(fù)位狀態(tài)時(shí)，使用細(xì)粒度配置的MMH對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證；在處理器開(kāi)始加載并診斷外部設(shè)備時(shí)，提高散列算法的粒度；在處理器開(kāi)始加載映像文件時(shí),我們采用最粗粒度的MMH對(duì)映像文件進(jìn)行安全性認(rèn)證。通過(guò)這樣粒度的提高，可以使嵌入式處理器在啟動(dòng)的過(guò)程中獲得更快的響應(yīng)速度。

安全的啟動(dòng)方法不應(yīng)僅僅實(shí)現(xiàn)啟動(dòng)的安全，而是應(yīng)該保證系統(tǒng)由啟動(dòng)到運(yùn)行過(guò)程中的整體安全。因此，為了滿足這種安全性需求，在多粒度校驗(yàn)機(jī)制的基礎(chǔ)進(jìn)一步劃分了完整樹(shù)的功能。我們將根據(jù)認(rèn)證對(duì)象所屬性質(zhì)的不同，把構(gòu)建完成以后的完整樹(shù)劃分為熱區(qū)與冷區(qū)。將保存在外部存儲(chǔ)器中的數(shù)據(jù)、指令等與軟件相關(guān)的信息劃分到熱區(qū)部分進(jìn)行管理；將外部設(shè)備的ROM等與硬件相關(guān)的信息劃分到在冷區(qū)部分進(jìn)行管理。在系統(tǒng)啟動(dòng)以后，處理器將采用不同的方式對(duì)分屬于熱區(qū)和冷區(qū)的信息進(jìn)行安全認(rèn)證。熱區(qū)所覆蓋的程序以及數(shù)據(jù)信息，是需要經(jīng)常被處理器訪問(wèn)的，處理器將按照正常的完整樹(shù)散列節(jié)點(diǎn)的檢索與校驗(yàn)的方式處理屬于熱區(qū)的散列節(jié)點(diǎn)。而對(duì)于冷區(qū)所覆蓋的外部設(shè)備的信息，處理器將采取特殊的方式予以處理。

圖2 FSBM中完整樹(shù)的功能劃分示意圖

新的安全啟動(dòng)機(jī)制在啟動(dòng)階段，通過(guò)初始化外部設(shè)備建立冷區(qū)。在系統(tǒng)完成啟動(dòng)過(guò)程以后，安全啟動(dòng)機(jī)制僅僅保留葉節(jié)點(diǎn)的信息，其他的中間節(jié)點(diǎn)都將被替換。當(dāng)處理器需要對(duì)外部設(shè)備進(jìn)行訪問(wèn)時(shí)，安全機(jī)制需要重新對(duì)外部設(shè)備的標(biāo)示以及配置信息進(jìn)行安全性認(rèn)證。FSBM首先讀取出外部設(shè)備的信息，然后對(duì)這些信息進(jìn)行散列計(jì)算，并將計(jì)算出的信息直接與原先保留的葉節(jié)點(diǎn)相比較，從而快速完成對(duì)外部設(shè)備的認(rèn)證。

在另一方面，為了提高安全啟動(dòng)機(jī)制的完備性，避免攻擊者非法偽造為正常用戶，新設(shè)計(jì)的FSBM還增加了對(duì)用戶信息的認(rèn)證環(huán)節(jié)。在載入系統(tǒng)內(nèi)核之前，F(xiàn)SBM需要對(duì)用戶身份信息進(jìn)行驗(yàn)證，防止來(lái)自于嵌入式系統(tǒng)的非法用戶從嵌入式系統(tǒng)的內(nèi)部進(jìn)行破壞。FSBM對(duì)用戶的安全性驗(yàn)證工作如圖3所示。

圖3 在啟動(dòng)過(guò)程中的用戶認(rèn)證

引導(dǎo)加載程序首先加載認(rèn)證程序，要求用戶輸入認(rèn)證信息，然后在外部設(shè)備檢測(cè)階段，將已輸入的用戶信息與外部設(shè)備信息一同進(jìn)行散列計(jì)算，并把散列計(jì)算的結(jié)果與處理器中的可信存儲(chǔ)區(qū)中的安全信息比對(duì)，若兩者結(jié)果相一致則引導(dǎo)過(guò)程繼續(xù)，否則提示錯(cuò)誤，并中斷啟動(dòng)過(guò)程。這樣實(shí)現(xiàn)了安全啟動(dòng)過(guò)程對(duì)用戶的認(rèn)證功能。

3 嵌入式處理器快響應(yīng)安全啟動(dòng)機(jī)制的實(shí)現(xiàn)

在一塊Xilinx的ML510FPGA開(kāi)發(fā)板中實(shí)現(xiàn)FSBM。整個(gè)架構(gòu)包括了嵌入式處理器內(nèi)核、安全啟動(dòng)管理模塊(BM)、多粒度存儲(chǔ)器驗(yàn)證模塊(MMH)以及MPMC模塊等。

利用Synopsys公司的FPGA綜合工具Synplify評(píng)估了FSBM在FPGA器件XCSVFX130T中所消耗的硬件資源情況。使用200MHz的時(shí)鐘頻率約束，對(duì)硬件設(shè)計(jì)進(jìn)行了邏輯綜合。綜合結(jié)果如表1所示。FSBM中最主要的硬件開(kāi)銷來(lái)自于AES-GCM計(jì)算模塊，其次是L2Cache，然后是散列Cache、BM和HTM。

表1 快響應(yīng)安全啟動(dòng)機(jī)制（FSBM）硬件開(kāi)銷

利用Linux內(nèi)核中的啟動(dòng)統(tǒng)計(jì)信息，作為系統(tǒng)的啟動(dòng)時(shí)間。最后的實(shí)驗(yàn)結(jié)果如表2所示。同一般的安全啟動(dòng)方式相比，采用快響應(yīng)方式的Linux啟動(dòng)具有更短的啟動(dòng)時(shí)間。

Research on secure starting mechanism of quick response for embedded processor

Lai dongyin
（Sichuan Technology and Business College,Sichuan Chengdu,611837,China）

Based on multi granularity memory operation mechanism(MMH),a fast response to the secure boot mechanism of embedded system(FSBM)is proposed;According to different control targets,this paper uses information and external design of the storage of different strategies for control and protection.At last, this paper designs and implements FSBM using development board Xilinx of ML510FPGA.The experimental results show that:based on security startup system, FSBM can greatly save the response time,and improve the performance of the system.

embedded system;multi granularity memory;secure boot mechanism;FSBM