自主可控開源 RISC-V助力IoT設(shè)備提升安全等級(jí)

物聯(lián)網(wǎng)也稱為IoT，這種技術(shù)可使全球數(shù)十億物理設(shè)備通過互聯(lián)網(wǎng)聯(lián)通，所有這些設(shè)備都收集和共享大量數(shù)據(jù)。由于連接設(shè)備的數(shù)量眾多，因此物聯(lián)網(wǎng)已成為全球數(shù)十億人生活中不可或缺的一部分。許多人認(rèn)為，物聯(lián)網(wǎng)是21世紀(jì)最重要的技術(shù)，因?yàn)樗鼛缀跤绊懥藦尼t(yī)療到運(yùn)輸?shù)母餍懈鳂I(yè)。但是，隨著我們周圍世界的聯(lián)系越來越緊密，保護(hù)這些設(shè)備的安全性變得至關(guān)重要。

有限的硬件功能限制了整體固件的發(fā)展，大多數(shù)物聯(lián)網(wǎng)設(shè)備的核心存在安全性缺陷?；贛CU的設(shè)備通常不提供辨識(shí)可信和不可信軟件的方法。第三方二進(jìn)制文件、開源庫、legacy code、應(yīng)用程序、驅(qū)動(dòng)程序和操作系統(tǒng)共享硬件資源的訪問權(quán)限，因?yàn)樗鼈円韵嗤募?jí)別運(yùn)行。所以設(shè)備的安全性就看鏈中最薄弱的環(huán)節(jié)，而利用單個(gè)固件中任何組件的漏洞就足以危害整個(gè)設(shè)備。

TEE就是一種方法來確保設(shè)備或系統(tǒng)的數(shù)據(jù)和程序的機(jī)密性（confidentiality），完整性（integrity）和可用性（availability）（簡稱“CIA”）。傳統(tǒng)的TEE技術(shù)能夠在各種硬件組件中“切出”一個(gè)安全區(qū)域（通常稱為“安全區(qū)”（secure world）），這種功能已經(jīng)在市場上存在了一段時(shí)間。然而由于兩個(gè)主要缺點(diǎn)，這種特定的TEE技術(shù)從未在移動(dòng)市場之外得到廣泛應(yīng)用。首先，底層硬件模塊基于專有IP，這導(dǎo)致了跨廠商和平臺(tái)將產(chǎn)生高昂成本。其次，硅IP供應(yīng)商通常是以硬件為中心的方法使軟件實(shí)現(xiàn)復(fù)雜化，甚至很難在不同的微體系結(jié)構(gòu)中實(shí)現(xiàn)。此外，由于系統(tǒng)層面發(fā)現(xiàn)了微體系結(jié)構(gòu)組件中的關(guān)鍵漏洞，在過去的幾年中，對(duì)這種繁復(fù)的硬件方法已經(jīng)逐步被淘汰。

而RISC-V指令集體系結(jié)構(gòu)（ISA）的簡潔設(shè)計(jì)克服了這些限制，因?yàn)樗鼘⒋蠖鄶?shù)TEE硬件要求定義為標(biāo)準(zhǔn)規(guī)范。這使得TEE硬件模塊可在任何RISC-V實(shí)現(xiàn)中立而無需專有IP。這些硬件塊包括特權(quán)執(zhí)行擴(kuò)展和物理內(nèi)存保護(hù)（PMP）primitive。這些RISC-V primitive的開放式設(shè)計(jì)使ISA的TEE實(shí)現(xiàn)在硅實(shí)現(xiàn)中具有非常好的可擴(kuò)展性，涵蓋了從微型32位單核MCU到64位多核Linux的復(fù)雜系統(tǒng)。

作為向現(xiàn)實(shí)世界物聯(lián)網(wǎng)應(yīng)用邁進(jìn)的一步，Hex Five Security（RISC-V International的長期成員）已開發(fā)了MultiZone Security IoT Stack，可免費(fèi)下載RISC-V IoT安全棧。Hex Five的MultiZone Security TEE協(xié)調(diào)了底層RISC-V硬件安全塊，并在多個(gè)相等安全，輕量級(jí)線程之間提供了硬件強(qiáng)制，軟件定義的分隔，這些線程映射到稱為“區(qū)域（Zones）”的硬件資源。在區(qū)域中運(yùn)行的程序本質(zhì)上是安全的，因?yàn)樗鼈兪窃诜翘貦?quán)用戶模式下執(zhí)行的。通過觸發(fā)故障的RISC-V物理內(nèi)存保護(hù)（PMP）單元，可以防止訪問未明確映射到區(qū)域的硬件資源-ram / rom /外圍設(shè)備。除MultiZone TEE外，Hex Five Secure IoT Stack還包括其他三個(gè)開源組件：FreeRTOS，WolfSSL加密庫和picoTCP IP堆棧。該應(yīng)用程序包含四個(gè)通過靜態(tài)策略定義的單獨(dú)Zone。每個(gè)區(qū)域在物理上是分開的，并且與其他區(qū)域以及MultiZone運(yùn)行時(shí)不共享硬件資源。每個(gè)區(qū)域都是密封的，并提供了安全關(guān)鍵的實(shí)時(shí)調(diào)度程序和安全的通信層。

1.Zone 1運(yùn)行FreeRTOS，其三項(xiàng)任務(wù)包括：提供用戶控制臺(tái)的CLI應(yīng)用程序，控制機(jī)械臂運(yùn)動(dòng)的實(shí)時(shí)應(yīng)用程序以及顯示單獨(dú)的實(shí)時(shí)線程管理按鈕中斷和LED的心跳應(yīng)用程序。

2.Zone 2運(yùn)行TCP / IP堆棧，提供到云的TLS 1.3連接。這樣可以將遠(yuǎn)程攻擊面與實(shí)時(shí)操作系統(tǒng)以及Root of Trust隔離。

3.Zone 3運(yùn)行Root of Trust和WolfSSL庫。它提供保護(hù)TLS鏈接所需的加密密鑰。機(jī)密信息（加密密鑰，密碼，受保護(hù)的文件等）永遠(yuǎn)不會(huì)離開此區(qū)域，只能通過MultiZone安全消息進(jìn)行訪問。

4.Zone 4運(yùn)行一個(gè)裸機(jī)UART終端，以驗(yàn)證分離策略的執(zhí)行情況并評(píng)估MultiZone TEE的性能。

硬件準(zhǔn)備：Digilent Arty A7 35T

為了在原本隔離的區(qū)域之間實(shí)現(xiàn)通信，它們的API封裝在通過TEE提供的安全通信基礎(chǔ)結(jié)構(gòu)路由的請(qǐng)求/響應(yīng)消息中。此技術(shù)允許與現(xiàn)在作為微服務(wù)公開的第三方軟件功能進(jìn)行快速而強(qiáng)大的集成。

嵌入式應(yīng)用程序需要分層的安全性方法。通過隔離實(shí)現(xiàn)安全性至關(guān)重要，因?yàn)樗梢詫㈥P(guān)鍵功能與不受信任的大型代碼庫軟件引入的攻擊面相隔離。專有、過于復(fù)雜，重硬件的TEE時(shí)代已經(jīng)過去，因?yàn)檫@種傳統(tǒng)方法已被證明不足以滿足現(xiàn)代IoT應(yīng)用程序的成本和敏捷性要求。Hex Five的MultiZone Security提供了一種快速安全的方法來為RISC-V應(yīng)用程序增加安全性和分離性。MultiZone基于RISC-V標(biāo)準(zhǔn)，可以對(duì)現(xiàn)有設(shè)計(jì)進(jìn)行改造：您可以利用高安全性隔離而無需重新設(shè)計(jì)硬件和軟件，從而消除了管理混合硬件/軟件安全方案所帶來的復(fù)雜性。

作者簡介

Sandro Pinto是Hex Five Security Inc.的研發(fā)部主管，葡萄牙米尼奧大學(xué)（University of Minho）的研究科學(xué)家兼教授。Sandro是一名硬件安全向?qū)?，是Trusted Execution Environment技術(shù)的世界級(jí)專家，并且是多篇面向安全的研究論文的作者。Sandro擁有電子和計(jì)算機(jī)工程專業(yè)的博士學(xué)位，具有深厚的學(xué)術(shù)背景，并擁有多年的行業(yè)經(jīng)驗(yàn)，專注于嵌入式，網(wǎng)絡(luò)物理和基于IoT的系統(tǒng)的操作系統(tǒng)，虛擬化和安全性。

MultiZone支持多種硬件目標(biāo)。為了對(duì)框架進(jìn)行完整的評(píng)估，建議使用由Hex Five Security開發(fā)的開源軟核X300。它是最初由加州大學(xué)伯克利分校開發(fā)的E300 SoC（Rocket rv32）的增強(qiáng)版本——完全免費(fèi)用于商業(yè)和非商業(yè)用途。與E300一樣，X300可以編程到Xilinx Artix-7 35T Arty FPGA上。對(duì)參考設(shè)計(jì)感興趣？詳情及資源下載請(qǐng)前往：http://www.digilent.com.cn/community/714.html

本文源自Sandro Pinto 開源硬件創(chuàng)客坊，轉(zhuǎn)載目的在于傳遞更多信息，版權(quán)歸原作者所有。