劉根賢，王海霞，劉振宇，汪東升

1.清華大學(xué)計算機(jī)科學(xué)與技術(shù)系，北京 100084

2.清華大學(xué)信息科學(xué)技術(shù)國家實驗室（籌），北京 100084

嵌入式處理器片外訪存加密機(jī)制設(shè)計與實現(xiàn)

劉根賢1，2，王海霞2，劉振宇2，汪東升2

1.清華大學(xué)計算機(jī)科學(xué)與技術(shù)系，北京 100084

2.清華大學(xué)信息科學(xué)技術(shù)國家實驗室（籌），北京 100084

1 引言

應(yīng)用在電子商務(wù)、軍事通訊等高安全敏感領(lǐng)域的嵌入式系統(tǒng)往往面臨各種惡意攻擊。這些攻擊給嵌入式系統(tǒng)的安全帶來巨大威脅，一旦得逞將給用戶造成重大的損失。嵌入式系統(tǒng)由以微處理器為核心的硬件及其配套的固件構(gòu)成。硬件系統(tǒng)可以劃分為電路系統(tǒng)和芯片兩個層次。惡意攻擊者可以從一個或多個層次對嵌入式系統(tǒng)進(jìn)行攻擊，從而達(dá)到竊取或篡改高價值信息等非法目的。

在嵌入式系統(tǒng)的硬件設(shè)計中，設(shè)計者以微處理器為核心，根據(jù)功能需要設(shè)計數(shù)據(jù)采集處理，通訊等外設(shè)電路，往往需要設(shè)計SRAM或DRAM存儲器以滿足數(shù)據(jù)處理的需要，而后將相應(yīng)的程序代碼寫入處理器集成的或電路板上的非易失性存儲器中，從而構(gòu)成整個系統(tǒng)。惡意攻擊者在破解嵌入式系統(tǒng)時，可以在電路系統(tǒng)層次上進(jìn)行多種方式攻擊。這些攻擊都是通過在系統(tǒng)的電路板上增加少量的硬件改動，并配合適當(dāng)?shù)牡讓邮止ごa，來達(dá)到監(jiān)聽總線、竊取機(jī)密信息的目的[1]。在這類攻擊中，具有代表性的有：總線監(jiān)聽、數(shù)據(jù)篡改以及存儲器復(fù)制等攻擊方式。

對以總線監(jiān)聽以及數(shù)據(jù)篡改攻擊為代表的外部攻擊方式，根據(jù)目前嵌入式系統(tǒng)的實際狀態(tài)，可以假設(shè)系統(tǒng)中僅微處理器本身是安全可信的，攻擊者無法獲取處理器內(nèi)部的寄存器以及片內(nèi)集成的SRAM或DRAM數(shù)據(jù)，而所有外部器件都是不可信任的，系統(tǒng)設(shè)計者無法確保來自這些器件的數(shù)據(jù)是否被監(jiān)聽或篡改。在這種前提下，嵌入式系統(tǒng)的攻擊主要來自板載總線和板載存儲器[2]。圖1為嵌入式系統(tǒng)的硬件攻擊模型。目前大部分微處理器都可以集成SRAM或FLASH甚至DRAM存儲器，因此部分或整個軟件系統(tǒng)可以固話在處理器內(nèi)部的FLASH存儲器中（即為固件）。因此可以假設(shè)攻擊者無法獲取嵌入式系統(tǒng)軟件進(jìn)行分析。

圖1 常規(guī)嵌入式系統(tǒng)攻擊

2 嵌入式系統(tǒng)片外訪存加密機(jī)制設(shè)計

為了對抗這類外部攻擊，嵌入式系統(tǒng)在設(shè)計時必須對此予以考慮。在已知攻擊方式的情況下，若在設(shè)計時就有相關(guān)的安全機(jī)制，則可以有效地提高嵌入式系統(tǒng)的安全性。

2.1 嵌入式系統(tǒng)安全設(shè)計

根據(jù)已有的攻擊行為特征，為嵌入式系統(tǒng)總結(jié)出了兩項基本安全設(shè)計準(zhǔn)則：

（1）敏感信息的機(jī)密性設(shè)計。嵌入式系統(tǒng)的安全機(jī)制應(yīng)當(dāng)能確保片外存儲器中保存的敏感數(shù)據(jù)信息的機(jī)密性。即所有片外存儲的數(shù)據(jù)都是經(jīng)過加密操作的，難以分析的密文[3]。攻擊者可以通過外部硬件工具完全讀取片外存儲器中的內(nèi)容，或者捕獲片外訪存時處理器外部總線的所有信號，在沒有密鑰的情況下攻擊者仍然無法即時獲取其中的信息。這樣才能保證攻擊者不能通過這種攻擊手段破解系統(tǒng)[4]。

（2）敏感信息的完整性。對于惡意攻擊者的總線篡改行為，僅僅加密數(shù)據(jù)還是不夠。攻擊者可以通過控制處理器外部總線信號，篡改數(shù)據(jù)，分析微處理器的響應(yīng)行為，了解處理器的內(nèi)部運行機(jī)制，通過重復(fù)嘗試探測敏感數(shù)據(jù)。因此，為了能夠?qū)箍偩€篡改偽造的外部存儲器數(shù)據(jù)，嵌入式系統(tǒng)在使用外部存儲器中數(shù)據(jù)之前需要先通過認(rèn)證操作確保外部存儲器中數(shù)據(jù)信息的完整性[5-6]。完整的具有外部訪存加密認(rèn)證的嵌入式系統(tǒng)如圖2所示。

圖2 嵌入式系統(tǒng)片外內(nèi)存加密

此外嵌入式系統(tǒng)設(shè)計時還需要確保敏感信息的時效性[7]。諸如密鑰等敏感信息保存的時間越長，被分析出的可能性就越高。根據(jù)程序流程或者運行周期，定期更換密鑰，則嵌入式系統(tǒng)中保存的敏感信息具有時效性，就可以有效地防止攻擊者對系統(tǒng)的暴力攻擊，確保整體系統(tǒng)的安全性。

器件選型和軟件設(shè)計時盡可能選擇使用片內(nèi)集成RAM和片內(nèi)集成程序存儲器，減少片外敏感數(shù)據(jù)的傳輸[8]。如果微處理器的讀指令和數(shù)據(jù)操作都可以在微處理器片內(nèi)進(jìn)行，則意味著更少的敏感信息暴露在電路板的外部總線上，從而減小總線監(jiān)聽的信息泄露風(fēng)險；此外減少片外數(shù)據(jù)傳輸可以避免攻擊者篡改總線信號，增加攻擊者通過總線監(jiān)聽分析敏感數(shù)據(jù)的難度。相反如果程序存儲器和內(nèi)存都需要集成在在電路板上，則無法保證程序不被直接逆向工程分析，更無法保證敏感數(shù)據(jù)的安全性。

通過以上的安全機(jī)制，嵌入式系統(tǒng)可以對系統(tǒng)中敏感信息的機(jī)密性、完整性提供完善的保護(hù)，從而有效地避免攻擊者通過總線監(jiān)聽、篡改等攻擊方式，分析系統(tǒng)響應(yīng)，探測系統(tǒng)的設(shè)計漏洞，獲取敏感信息。

2.2 數(shù)據(jù)加密和完整性認(rèn)證算法

要實現(xiàn)外部敏感信息的機(jī)密性和完整性設(shè)計，就需要采用加密和認(rèn)證算法。常用的加密算法有DES、3DES、AES等，常用于數(shù)據(jù)完整性認(rèn)證的HASH算法有MD5、SHA-1等?？梢愿鶕?jù)系統(tǒng)加密強(qiáng)度需要選擇相應(yīng)的算法，以軟件實現(xiàn)算法運算，此外也有不少微處理器已經(jīng)集成了密碼算法加速引擎和真實隨機(jī)數(shù)發(fā)生器，以提高算法性能。

根據(jù)高安全敏感領(lǐng)域的嵌入式系統(tǒng)的強(qiáng)安全性要求，選擇高級加密標(biāo)準(zhǔn)的Galois/計數(shù)器模式（AES-GCM）作為加密算法和數(shù)據(jù)完整性算法[9-10]。AES-GCM是一種使用分組密碼進(jìn)行加密并在伽羅華域（GF（2128））上計算認(rèn)證碼的加密認(rèn)證算法。此伽羅華域由多項式x128+x7+x2+x+1定義。

AES-GCM算法分兩個部分：一個用于數(shù)據(jù)加解密的AES，另一個用于計算認(rèn)證碼的伽羅華域乘法器。AES-GCM一次運算即可以加密并產(chǎn)生HASH認(rèn)證碼，或者解密并認(rèn)證數(shù)據(jù)完整性。

AES-GCM算法數(shù)學(xué)描述如下：

最后一組數(shù)據(jù)長度為u，其他分組長度均為128位，其中||表示串連接，len表述數(shù)據(jù)位長度，E(K,Y)表示用密鑰K對Y做AES加密。上面描述中所用的GHASH函數(shù)定義如下：AES-GCM通過分組加密算法AES以計數(shù)器模式將輸入的數(shù)據(jù)幀以128位長度為單位進(jìn)行分組，當(dāng)最后一個分組不是128位時，將會添加0使分組達(dá)到128位。每個分組通過AES讀數(shù)器模式加密為密文，密文與散列密鑰進(jìn)行循環(huán)相乘，當(dāng)最后一個分組與散列密鑰相乘完畢后，附加認(rèn)證數(shù)據(jù)與密文的長度信息與相乘的結(jié)果進(jìn)行異或，最終得到128位的認(rèn)證碼，如圖3所示。

圖3 AES-GCM算法加密流程

AES-GCM解密認(rèn)證時，由密文與附加認(rèn)證數(shù)據(jù)生成一個新的認(rèn)證碼，將它與加密時產(chǎn)生的認(rèn)證碼進(jìn)行比較，如果兩個認(rèn)證碼不一致，說明數(shù)據(jù)完整性被破壞，數(shù)據(jù)已經(jīng)被篡改。嵌入式系統(tǒng)軟件可以對這種攻擊行為進(jìn)行相應(yīng)處理。

2.3 嵌入式系統(tǒng)的片外訪存安全機(jī)制

采用AES-GCM算法設(shè)計嵌入式系統(tǒng)的片外訪存加密認(rèn)證機(jī)制。綜合考慮微處理器的訪存局部性以及片外存儲器的組織結(jié)構(gòu)，選擇AES-GCM的加密數(shù)據(jù)幀長度為1 024字節(jié)，產(chǎn)生的認(rèn)證碼長度為16字節(jié)。這種條件下，片外存儲器被劃分為一組1 KB大小頁面，存儲加密的敏感數(shù)據(jù)，而每個頁面產(chǎn)生的16字節(jié)認(rèn)證碼，以及加解密所需密鑰需要存放到可信存儲空間[11-12]。

圖4 多級認(rèn)證碼存儲結(jié)構(gòu)

當(dāng)片外存儲器的容量比較適中，可以將所有頁面的認(rèn)證碼存儲到微處理器片內(nèi)SRAM，典型的嵌入式系統(tǒng)片外存儲器往往不超過1 MB，以片外存儲器1 MB為例，片外存儲器劃分為1 024頁面，需要16 KB的片內(nèi)存儲器存放認(rèn)證碼，16字節(jié)用于密鑰。

而當(dāng)片外存儲器遠(yuǎn)大于1 MB時，片內(nèi)SRAM已經(jīng)無法滿足存儲認(rèn)證碼的需求，可以采用多級頁表模式，將認(rèn)證碼也作為敏感數(shù)據(jù)加密后保存到片外存儲器。而片內(nèi)SRAM存儲保存末級認(rèn)證碼的片外存儲器頁面的認(rèn)證碼[13]。

此外雖然每個頁面都可以使用不同的密鑰，但這樣將需要花費較大的可信存儲空間代價。因此方案設(shè)計中，采用二次密鑰進(jìn)行加解密。

其中Addr為頁地址，S為置亂操作，原始密碼和頁地址進(jìn)行一次置亂運算，這樣雖然原始密鑰相同，而每個頁面的實際密鑰完全不同，在沒有增加存儲代價的情況下，提高了系統(tǒng)的整體安全性。

3 基于STM32微處理器的實現(xiàn)及評估

為了驗證片外訪存加密機(jī)制的可行性，以及評估加密機(jī)制帶來的性能影響，選擇較為典型的STM32系列嵌入式處理器系統(tǒng)實現(xiàn)片外訪存加密機(jī)制。STM32微處理器是ST公司基于ARM公司授權(quán)的CORTEX-M系列內(nèi)核開發(fā)的面向嵌入式實時系統(tǒng)應(yīng)用處理器。

STM32系列處理器通過FSMC擴(kuò)展外部SRAM存儲器，容量不超過1 MB，采用1級TAG表方式，外部SRAM存儲器頁面的TAG直接存放到STM32處理器片內(nèi)，如圖5所示。

圖5 STM32嵌入式系統(tǒng)片外訪存加密

STM32訪問外部SRAM存儲器時，頁面大小為1 KB，而STM32F40x的Cache line為16字節(jié)，由于處理器硬件目前并不支持片外加密訪存，因此當(dāng)處理器需要訪問片外存儲器中存儲的數(shù)據(jù)時，必須先解密到片內(nèi)SRAM，再進(jìn)行操作，為了提高明文利用率，軟件設(shè)計Cache進(jìn)行緩存管理。

軟件Cache用來提高加密片外存儲器的訪存效率。Cache替換算法常見的有FIFO（first in first out）和LRU（least recently used），F(xiàn)IFO算法對CPU的指令序列非常有效，但對于Memory或者磁盤文件的這種數(shù)據(jù)，LRU算法更有效。因此選擇LRU算法設(shè)計緩存管理[14]。

從微處理器片內(nèi)SRAM存儲空間劃分一塊用于軟件LRU cache，占用16 KB，分成16個緩存頁面，每一塊對應(yīng)片外存儲器的一個頁面，只是存放的是對應(yīng)的明文數(shù)據(jù)，形成這種映射關(guān)系。當(dāng)Cache中的存儲塊被用完，而需要把新的頁面解密緩存進(jìn)Cache的時候，就需要LRU算法來完成緩存塊的替換，選擇再次訪問概率最小的緩存塊，如果該緩存已被修改則加密寫出到對應(yīng)的片外存儲器頁面，如果沒有修改則無需操作。LRU算法是基于最近用到的數(shù)據(jù)被重用的概率比較早用到的數(shù)據(jù)被重用的概率大得多的規(guī)律來實現(xiàn)的[15]。

Cache中的所有緩存塊位置都用雙向鏈表鏈接起來，數(shù)據(jù)結(jié)構(gòu)如圖6，Ex_Page_Addr為片外存儲器頁面索引，In_Page_Addr為片內(nèi)緩存頁面索引，refs用于性能統(tǒng)計的命中次數(shù)計數(shù)，next指向下一個緩存節(jié)點，prev指向前一個緩存節(jié)點。當(dāng)一個緩存被命中后，就將通過調(diào)整鏈表的指向?qū)⒃摼彺婀?jié)點調(diào)整到鏈表的頭位置。新緩存的頁面直接放在鏈表的頭上。在系統(tǒng)軟件運行中，最近被命中過的緩存節(jié)點就向鏈表的頭移動，而沒有被命中的緩存節(jié)點就向鏈表的后面移動。當(dāng)需要緩存新頁面時，鏈表最后的節(jié)點指向的頁面就是最近最少被命中的頁面，只需要淘汰鏈表最后的節(jié)點指向的緩存，將新的內(nèi)容放在鏈表前面節(jié)點就可以。

圖6 軟件LRU cache數(shù)據(jù)結(jié)構(gòu)

使用雙向鏈表軟件實現(xiàn)LRU cache是因為Cache中塊的命中可能是隨機(jī)的，和系統(tǒng)軟件訪存局部性有關(guān)，和解密緩存進(jìn)來的順序無關(guān)，而采用雙向鏈表這種結(jié)構(gòu)來保存位置隊列，使得其可以靈活地調(diào)整相互間的次序。此外雙向鏈表可以快速訪問前后節(jié)點，時間復(fù)雜度為O(1)。

為了評估加密機(jī)制性能，基于STM32系列微處理器硬件平臺對比試驗，軟件實現(xiàn)DES和TDES的ECM和CBC模式加密算法，MD5、SHA-1、SHA-224和SHA-256四種HASH算法，AES算法的ECB，CBC，CTR，CCM和GCM五種模式加密算法。AES-CCM和AES-GCM是加密和認(rèn)證一體的算法，對于其他則是單純的加解密算法和HASH算法，可以根據(jù)加密強(qiáng)度需要選擇響應(yīng)的加密算法和HASH算法組合實現(xiàn)片外訪存的加密和認(rèn)證。算法均可以通過軟件實現(xiàn)，而硬件加速則依賴特定型號器件。

表1 STM32微處理器平臺片外訪存加密認(rèn)證

為了評估加密機(jī)制性能，通過FSMC接口擴(kuò)展1 MB SRAM存儲器，軟件存儲器按1 KB劃分頁面，內(nèi)存壓力測試隨機(jī)選擇頁面，頁面中隨機(jī)寫入、隨機(jī)讀出256字節(jié)數(shù)據(jù)。測試中AES算法選擇AES-128位，可選AES-196或AES-256滿足更高加密強(qiáng)度需要。

4 結(jié)論

本文以嵌入式系統(tǒng)安全機(jī)制為研究目標(biāo)，從片外訪存的機(jī)密性、數(shù)據(jù)完整性出發(fā)，構(gòu)建安全機(jī)制，探索嵌入式系統(tǒng)面臨的外部攻擊的對抗方法，并對典型硬件平臺的實現(xiàn)展開可行性評估。在假設(shè)嵌入式處理器本身是安全可信的條件下，采用AES-GCM算法對片外存儲器加密認(rèn)證，可以有效地保證嵌入式系統(tǒng)的安全性，在STM32F103微處理器平臺以軟件實現(xiàn)了該加密機(jī)制，在內(nèi)存壓力測試中其片外訪存平均性能降低了40%，驗證其可行性。通過一次密鑰和頁面地址置亂，使得不同頁面具有完全不同的密鑰，確保了加密強(qiáng)度。通過軟件設(shè)計LRUcache緩存明文，較好地優(yōu)化了系統(tǒng)性能，降低采用加密和認(rèn)證帶來的性能損失，片外訪存性能僅下降了9%。

[1]Huang A.Hacking the Xbox：an introduction to reverse engineering[M].San Francisco，CA：No Starch Press，2003.

[2]Yan C，Rogers B，Englender D，et al.Improving cost，performance，and security of memory encryption and authentication[C]//Proc of the International Symposium on Computer Architecture，2006：1-12.

[3]Gassend B，Suh G，Clarke D，et al.Caches and hash trees for efficient memory integrity verification[C]//Proc of the 9th International Symposium on High Performance Computer Architecture（HPCA-9），2003：1-14.

[4]Suh G E，Clarke D，Gassend B，et al.Hardware mechanisms for memory integrity checking，Technical Report MIT-LCSTR-872[R].2002：1-17.

[5]Durahim A O，Savas E，Sunar B，et al.Transparent code authenticationattheprocessorlevel[J].IETComputers and Digital Techniques，2009，3（4）：354-372.

[6]Hu Yin，Hammouri G，Sunar B.A fast real-time memory authentication protocol[C]//Proceedings of the 3rd ACM WorkshoponScalableTrustedComputing，NewYork，NY，USA，2008：1-10.

[7]Clarke S D，Gassend B，van Dijk M，et al.Efficient memory integrity verification and encryption for secure processors[C]//The 36th International Symposium on Microarchitecture，2003：339-350.

[8]Recommendation for block cipher modes of operation：Galois/Counter Mode（GCM）and（GMAC）[Z].Inst Standards Technol，Special Publication 800-38D，2007.

[9]McGrew D A，Viega J.The Galois/counter mode of operation（GCM）[Z].Nat.Inst Standards Technol，Updated Submission to Modes of Operation Process，2005.

[10]Elbaz R，Champagne D，Lee R B，et al.TEC-Tree：a lowcost，parallelizabletreeforefficientdefenseagainst memory replay attacks[C]//Cryptographic Hardware and Embedded Systems（CHES），2007：289-302.

[11]Clarke D，Edward Suh G，Gassend B，et al.Towards constant bandwidth overhead integrity checking of untrusted data[C]//2005 IEEE Symposium on Security and Privacy，2005：1-19.

[12]Vaslin R，Gogniat G，Diguet J P，et al.A security approach for off-chip memory in embedded microprocessor systems[J].Microprocessors and Microsystems，2009：37-45.

[13]Vaslin R.Hardware core for off-chip memory security management in embedded systems[D].Univ South Brittany，Morbihan，F(xiàn)rance，2008.

[14]Dybdahl H，Stenstrom P，Natvig L.An LRU-based re-placement algorithm augmented with frequency of access in shared chip-multiprocessor caches[C]//MEDEA.06.USA：New York，2007，35（4）：46-47.

[15]Jeong J，Dubios J，Dubois M.Cost-sensitive cache re-placement algorithms[C]//ProceedingsoftheNinthInternational Symposium on High-Performance Computer Architecture（HPCA-9.03）.[S.l.]：IEEE Computer Society，2002：1-4.

LIU Genxian1，2,WANG Haixia2,LIU Zhenyu2,WANG Dongsheng2

1.Department of Computer Science and Technology,Tsinghua University,Beijing 100084,China
2.Tsinghua Laboratory for Information Science and Technology,Beijing 100084,China

Embedded systems in high security-sensitive areas are susceptible to various types of attacks,including stealing passwords,tampering data and offline analysis.Especially,the hardware-level attacks often result in significant losses to the users.In order to defend the above attacks,the off-chip memory is encrypted and authenticated through AES-GCM algorithm.This scheme writes data after encryption,decrypt and authenticate after read data.In addition,a function is built that scrambling password with page address to ensure the encryption strength.Finally LRU cache is introduced to improve its performance.The scheme is implemented on STM32F103 microprocessor platform in software and the feasibility of the system design is proved.The memory stress experiment shows that the system security is strengthened with 9%performance degradation.

embedded;microprocessor;off-chip memory;encryption and authentication

高安全敏感領(lǐng)域的嵌入式系統(tǒng)面臨總線監(jiān)聽、數(shù)據(jù)篡改、離線分析等類型的惡意攻擊，試圖竊取密碼、篡改信息等。特別是配合硬件電路的攻擊，給用戶造成重大的損失。為了從根本上解決系統(tǒng)外部電路系統(tǒng)攻擊威脅，提出片外訪存加密認(rèn)證機(jī)制，選擇AES-GCM算法，對所有片外寫數(shù)據(jù)進(jìn)行加密，對讀數(shù)據(jù)進(jìn)行解密并認(rèn)證。同時設(shè)計一次密碼與頁地址置亂函數(shù)產(chǎn)生二次密鑰，保障了加密強(qiáng)度。進(jìn)一步通過軟件實現(xiàn)LRU Cache優(yōu)化性能，在STM32系列微處理器硬件平臺上，軟件實現(xiàn)片外訪存加密認(rèn)證機(jī)制。在內(nèi)存壓力測試中，加密片外訪存性能平均降低了9%。

嵌入式；微處理器；片外訪存；加密認(rèn)證

A

TP309

10.3778/j.issn.1002-8331.1403-0022

LIU Genxian,WANG Haixia,LIU Zhenyu,et al.Encryption scheme design and implementation of embedded processor off-chip memory access.Computer Engineering and Applications,2014,50（22）：92-96.

國家高技術(shù)研究發(fā)展計劃（863）（No.2012AA012609，No.2012AA0100905）；國家自然科學(xué)基金（No.61373025，No.61303002）。

劉根賢（1974—），男，博士研究生，研究領(lǐng)域為嵌入式系統(tǒng)，信息安全；王海霞（1977—），女，博士，副教授，研究領(lǐng)域為高性能計算，形式驗證；劉振宇（1974—），男，博士，副教授，研究領(lǐng)域為視頻編碼，VLSI設(shè)計；汪東升（1966—），男，博導(dǎo)，教授，研究領(lǐng)域為計算機(jī)體系結(jié)構(gòu)，高性能計算和存儲系統(tǒng)。E-mail：liugx08@mails.tsinghua.edu.cn

2014-03-05

2014-04-24

1002-8331（2014）22-0092-05

CNKI網(wǎng)絡(luò)優(yōu)先出版：2014-07-11,http://www.cnki.net/kcms/doi/10.3778/j.issn.1002-8331.1403-0022.html