安徽芯紀(jì)元科技有限公司 中國電子科技集團(tuán)公司第38研究所集成電路研發(fā)中心 陸俊峰

嵌入式系統(tǒng)在各個(gè)領(lǐng)域的應(yīng)用范圍不斷擴(kuò)大，其占據(jù)越來越多的重要性。與此同時(shí)，互聯(lián)網(wǎng)技術(shù)下使得信息的網(wǎng)絡(luò)的連接日漸便捷、高效，網(wǎng)絡(luò)攻防的重要發(fā)展方向朝著嵌入式系統(tǒng)轉(zhuǎn)換。在信息時(shí)代，黑客無疑將攻擊目標(biāo)轉(zhuǎn)向嵌入式系統(tǒng)，嵌入式系統(tǒng)安全暴露出的問題日漸顯現(xiàn)。通過梳理和匯總不同應(yīng)用領(lǐng)域中嵌入式系統(tǒng)的安全性研究，剖析當(dāng)前可信運(yùn)行環(huán)境在應(yīng)用中存在著安全風(fēng)險(xiǎn)問題，通過深入分析問題原因，提出可信運(yùn)行環(huán)境是提高嵌入式系統(tǒng)安全性比較有效的解決方案，進(jìn)而提出了安全增強(qiáng)的可信運(yùn)行環(huán)境架構(gòu)，以期嵌入式系統(tǒng)健康運(yùn)行。

隨著互聯(lián)網(wǎng)技術(shù)在嵌入式系統(tǒng)運(yùn)行中的廣泛應(yīng)用，可信運(yùn)行環(huán)境架構(gòu)受到了更多的社會(huì)關(guān)注與現(xiàn)實(shí)應(yīng)用。在當(dāng)今時(shí)代中，圍繞著可信操作系統(tǒng)設(shè)計(jì)以及相關(guān)安全性問題的探討是一大熱門，并逐漸成為各領(lǐng)域研究的重要方向。當(dāng)前該問題研究的重要內(nèi)容之一便是基于嵌入式系統(tǒng)安全可信操作系統(tǒng)及其關(guān)鍵服務(wù)。

1 嵌入式系統(tǒng)的定義

嵌入式系統(tǒng)作為一種特殊的計(jì)算機(jī)系統(tǒng)，其嵌入于特定的控制機(jī)械或電子設(shè)備內(nèi)部，以此來執(zhí)行特定的功能。在執(zhí)行任務(wù)時(shí)，其需對(duì)系統(tǒng)的可靠性、經(jīng)濟(jì)性、實(shí)時(shí)性以及系統(tǒng)體積、功耗等做出嚴(yán)格要求。按照IEEE(Institute of Electrical and Electronics Engineers)國際相關(guān)組織中對(duì)嵌入式系統(tǒng)的概念界定，認(rèn)為該系統(tǒng)主要是“管理、調(diào)節(jié)和幫助機(jī)器或設(shè)備的重要部分”，從而確保設(shè)備整體的正常運(yùn)行。從技術(shù)維度來分析，嵌入式系統(tǒng)作為專用計(jì)算機(jī)系統(tǒng)，以應(yīng)用為中心，最大限度配合整體設(shè)備運(yùn)行；從系統(tǒng)維度來看，嵌入式系統(tǒng)作為一特殊綜合體，其兼具軟件與硬件于一身。從二十世紀(jì)六十年代嵌入式系統(tǒng)的雛形開始，以應(yīng)用為中心就逐步成為嵌入式系統(tǒng)的最重要特點(diǎn)之一。

嵌入式系在通信、國防、消費(fèi)電子、航空航天等多個(gè)領(lǐng)域得以廣泛應(yīng)用和發(fā)展。需要注意的是，嵌入式系統(tǒng)不同于計(jì)算機(jī)系統(tǒng)，二者有著鮮明的特點(diǎn)。嵌入式系統(tǒng)研究中比較關(guān)注軟硬件功能間的和諧發(fā)展。嵌入式系統(tǒng)開發(fā)是一項(xiàng)涉及交叉性、專業(yè)領(lǐng)域知識(shí)，比如在機(jī)械控制、電路設(shè)計(jì)等系統(tǒng)開發(fā)中，都是交叉領(lǐng)域?qū)I(yè)知識(shí)交織在一起。為此，要全面、清晰、精準(zhǔn)地把握好嵌入式系統(tǒng)技術(shù)的相關(guān)知識(shí)，深入掌握其軟硬件架構(gòu)以及應(yīng)用內(nèi)容，以形成系統(tǒng)性體系，以免發(fā)生偏差性問題。

2 可信運(yùn)行環(huán)境面臨的安全挑戰(zhàn)

2.1 信任根與信任鏈

UEFI組織針對(duì)嵌入式系統(tǒng)中所出現(xiàn)的信任根與信任鏈展開了較為詳細(xì)的概念界定。在最佳環(huán)境中，信任根要要以硬件機(jī)制為載體，在系統(tǒng)通電的條件下，僅僅可以在無法修正的存儲(chǔ)儀器中完成代碼提取，難以對(duì)此展開有目的的修改，其限制性要素較多。信任鏈以信任根為起點(diǎn)，啟動(dòng)代碼的獲取要建立在可信認(rèn)證的基礎(chǔ)上，需要完成完整性校驗(yàn)。必須要有可信啟動(dòng)代碼得到檢驗(yàn)，其后續(xù)的啟動(dòng)碼能夠完成檢驗(yàn)過程，在系統(tǒng)真正啟動(dòng)后，這一檢驗(yàn)過程便會(huì)結(jié)束。在實(shí)際操作中，在TrustZone的硬件框架中要實(shí)現(xiàn)可以同時(shí)防御物理攻擊和軟件攻擊的信任根日益成為在嵌入式系統(tǒng)安全可信運(yùn)行的關(guān)鍵問題之一，同樣是在可信運(yùn)行環(huán)境架構(gòu)中所值得研究與討論的關(guān)鍵性存在。

2.2 隔離性

可信運(yùn)行環(huán)境要借助軟硬件隔離機(jī)制要實(shí)現(xiàn)其功能與維護(hù)穩(wěn)定性。其一，要以硬件為基礎(chǔ)，實(shí)現(xiàn)對(duì)可信運(yùn)行環(huán)境及其所涉及到的處理器、內(nèi)存等展開相應(yīng)的隔離。TrustZone技術(shù)能夠?yàn)椴煌奶幚砥骱松袭a(chǎn)生虛擬核和NMU來實(shí)現(xiàn)資源以及地址等內(nèi)容的分離與處理，并在AMBAAXI3系統(tǒng)總線和AXI-to-APB橋來達(dá)到對(duì)總線資源以及外設(shè)資源等的有效分離與間隔。值得注意的是，當(dāng)前TrustZone技術(shù)無法對(duì)外存資源進(jìn)行有效分離與管理，缺乏可支持的硬件設(shè)施。

2.3 操作系統(tǒng)安全缺陷

（1）通用操作系統(tǒng)

為實(shí)現(xiàn)應(yīng)用系統(tǒng)的有效運(yùn)行，要確?？尚胚\(yùn)行環(huán)境與通用操作系統(tǒng)二者能夠有效發(fā)揮其作用?；诖耍ㄓ貌僮飨到y(tǒng)如果出現(xiàn)安全性問題則會(huì)影響到可信運(yùn)行環(huán)境的穩(wěn)定性。如果想要進(jìn)入安全服務(wù)體系，則要借助通用操作系統(tǒng)的客戶端實(shí)現(xiàn)對(duì)TEE客戶端API的命令申請(qǐng)來完成可信應(yīng)用操作。值得注意的是，可信應(yīng)用無法判斷申請(qǐng)應(yīng)用的客戶端是否符合要求，其安全性問題無法保證。在現(xiàn)實(shí)中，攻擊者借助所找到的系統(tǒng)漏洞來對(duì)突破客戶端限制而獲取相應(yīng)資源和服務(wù)，也能夠借助服務(wù)請(qǐng)求來判斷系統(tǒng)所存在的漏洞情況。

（2）可信操作系統(tǒng)

隨著可信運(yùn)行環(huán)境的應(yīng)用領(lǐng)域不斷擴(kuò)展，軟件系統(tǒng)構(gòu)建的要求與日俱增。當(dāng)前可信操作系統(tǒng)早已發(fā)展成較為完善的體系，兼具可拓展性與可交互性兩種功能。由于應(yīng)用環(huán)境的差異，可信操作系統(tǒng)的功能也產(chǎn)生了差異性變化，比如在網(wǎng)絡(luò)通信、生物識(shí)別等不同條件下的功能要求會(huì)有區(qū)別。針對(duì)這樣的問題，GP組織實(shí)現(xiàn)了對(duì)TEE系統(tǒng)的整合升級(jí)，在原本架構(gòu)上提高了服務(wù)接口的標(biāo)準(zhǔn)，以此實(shí)現(xiàn)對(duì)可信運(yùn)行環(huán)境的差異性調(diào)控。目前來說，可信操作系統(tǒng)僅僅在TrustZone環(huán)境下運(yùn)行，能夠?qū)崿F(xiàn)對(duì)GP TEE規(guī)范的管理與連接。但是在這一操作中，設(shè)計(jì)者并未根據(jù)系統(tǒng)安全性能的考慮以及安全操作標(biāo)準(zhǔn)來構(gòu)建可信系統(tǒng)，也難以為外部用戶提供可值得信賴的證明。

3 安全性設(shè)計(jì)與實(shí)現(xiàn)

按照常規(guī)情況，一些不希望被非法用戶獲取的信息會(huì)被關(guān)鍵領(lǐng)域的嵌入式計(jì)算機(jī)存儲(chǔ)設(shè)備中存儲(chǔ)。為了確保安全可信運(yùn)行環(huán)境，確保數(shù)據(jù)不被外界非法竊取或者進(jìn)行違規(guī)非法侵入操作。具體講，在系統(tǒng)中嵌入認(rèn)證及自毀機(jī)制來實(shí)現(xiàn)系統(tǒng)高安全性。

3.1 系統(tǒng)認(rèn)證機(jī)制

在系統(tǒng)安全管理中，需要禁止非法用戶的使用。在針對(duì)非法用戶非法入侵中，嵌入式控制系統(tǒng)需對(duì)用戶進(jìn)行必須要的身份認(rèn)證，采取嚴(yán)苛的認(rèn)證手段，保證系統(tǒng)的安全性。比如常見的系統(tǒng)中普遍采取的單一的認(rèn)證方式。在嵌入式系統(tǒng)的認(rèn)證性能中，要確保應(yīng)用在系統(tǒng)中存在多樣化的認(rèn)證方式。比如較為成熟的SD卡認(rèn)證、口令認(rèn)證、指紋認(rèn)證等。這三種技術(shù)認(rèn)證一方面能保證方便集成到系統(tǒng)，另一方面也可以保證用戶實(shí)際操作。

（1）SD卡認(rèn)證

SD卡（Secure Digital Memory Card）是一種基于信息加密技術(shù)存儲(chǔ)設(shè)備，其自身輕巧、可加密、傳輸速度高，被廣泛應(yīng)用于手持設(shè)備。其具有記憶容量高、傳輸率快、移動(dòng)靈活性大以及安全性好等優(yōu)勢。目前在很多嵌入式系統(tǒng)中第一級(jí)身份認(rèn)證往往采用SD卡認(rèn)證。采用SD卡，用戶可以輕松攜帶，使用方便，最大限度防止設(shè)備丟失。用戶使用SD卡簡單方便，使用時(shí)只需取出SD卡，并將它插入對(duì)應(yīng)匹配的系統(tǒng)SD卡槽中，正常情況下系統(tǒng)會(huì)對(duì)SD卡數(shù)據(jù)進(jìn)行讀取，并將SD卡內(nèi)存儲(chǔ)的信息進(jìn)行存儲(chǔ)。最后，對(duì)計(jì)算得到的內(nèi)容與底板內(nèi)預(yù)存的用戶信息表進(jìn)行解析，并形成有效比對(duì)，系統(tǒng)自

動(dòng)識(shí)別查詢得出相應(yīng)項(xiàng)完成認(rèn)證。（2）口令認(rèn)證

在系統(tǒng)使用前，其內(nèi)部已經(jīng)嵌入合法用戶的口令字，并存儲(chǔ)在系統(tǒng)內(nèi)?？诹钫J(rèn)證建立在SD卡認(rèn)證基礎(chǔ)上，能夠通過進(jìn)一步的安全設(shè)置來提升系統(tǒng)供電開機(jī)的安全性。用戶在第一級(jí)認(rèn)證完成后，第二級(jí)進(jìn)入口令認(rèn)證，雙重認(rèn)證啟動(dòng)并成功后，系統(tǒng)才可以供電給系統(tǒng)計(jì)算單板，并完成系統(tǒng)啟動(dòng)等待系統(tǒng)的其他操作。

（3）指紋認(rèn)證

系統(tǒng)在指令執(zhí)行前對(duì)身份識(shí)別也是非常有必要的。系統(tǒng)性能的保證和維護(hù)，需要指令執(zhí)行得到快速響應(yīng)。為此，需提供一種即快速又安全的認(rèn)證手段。指紋認(rèn)證的方式是在目標(biāo)系統(tǒng)內(nèi)集成一個(gè)快捷的指紋模塊，作為指紋身份認(rèn)證的接口，可以最大限度保證系統(tǒng)安全。

3.2 系統(tǒng)損毀機(jī)制

自毀技術(shù)的應(yīng)用，實(shí)際上對(duì)于系統(tǒng)數(shù)據(jù)道德應(yīng)用來說具有很強(qiáng)的安全性，能夠有效規(guī)避數(shù)據(jù)外泄風(fēng)險(xiǎn)，確保信息資料不受到外界的破壞與盜取。系統(tǒng)損毀機(jī)制能夠?qū)崿F(xiàn)自行毀壞，按照系統(tǒng)所遭受的攻擊程度與類別，會(huì)自主研判自毀程度與選取自毀行為。嵌入式系統(tǒng)控制計(jì)算機(jī)系統(tǒng)，最大限度確保系統(tǒng)整體的安全、可靠等特性。如若嵌入式控制系統(tǒng)被非法用進(jìn)行非法控制操作，會(huì)對(duì)嵌入式控制系統(tǒng)安全可信運(yùn)行環(huán)境形成巨大威脅。當(dāng)遭遇突發(fā)風(fēng)險(xiǎn)事件時(shí)，系統(tǒng)有必要采取系統(tǒng)自行損毀，最大限度保證應(yīng)用的安全性。為此，如果深入研究損毀模塊的內(nèi)容，則需要按照損毀形式、程度、模式等不同的角度切入，以獲得全面性數(shù)據(jù)。

借助可靠、科學(xué)的可信操作系統(tǒng)中嵌入式系統(tǒng)，可以盡可能提高安全性，對(duì)于系統(tǒng)中所產(chǎn)生的敏感性信息以及敏感性操作開展相應(yīng)的保護(hù)與隱蔽，并在可信運(yùn)行環(huán)境的基礎(chǔ)上實(shí)現(xiàn)對(duì)入侵系統(tǒng)的完善與調(diào)整，從而確保系統(tǒng)能夠在安全、穩(wěn)定的環(huán)境下運(yùn)行。嵌入式系統(tǒng)可信運(yùn)行環(huán)境在當(dāng)前不用行業(yè)中均受到了足夠的重視，相信在未來時(shí)間內(nèi)，在技術(shù)革新、創(chuàng)新與升級(jí)下，這項(xiàng)技術(shù)必將能能夠產(chǎn)生更大的社會(huì)效益，以此實(shí)現(xiàn)技術(shù)領(lǐng)域的轉(zhuǎn)型升級(jí)。