隨著基于 v8-M 的芯片進入市場，開發(fā)人員必須了解架構(gòu)、它提供的新功能，以及如何在設(shè)計構(gòu)成安全端到端系統(tǒng)基礎(chǔ)的連接邊緣設(shè)備中實現(xiàn)它。

物聯(lián)網(wǎng) （IoT） 安全問題通常是由于對連接系統(tǒng)邊緣的設(shè)備保護不足造成的。這些往往是低功耗，廉價的基于微控制器的設(shè)備，執(zhí)行單一功能，如溫度監(jiān)控。缺乏處理能力，內(nèi)存，當然還有成本，經(jīng)常被引用為無法正確保護這些資產(chǎn)的原因，黑客越來越多地利用這些資產(chǎn)作為連接到同一網(wǎng)絡(luò)的更高價值資產(chǎn)的蹦床。為了保護知識產(chǎn)權(quán)、客戶數(shù)據(jù)、用戶安全和品牌聲譽免受此類威脅，設(shè)備制造商已經(jīng)研究了各種技術(shù)來保護易受攻擊的端點，包括使用多個MCU，其中一個或多個專門用于執(zhí)行加密和身份驗證等安全功能。這當然會增加復(fù)雜性和成本，并向物料清單 （BOM） 添加另一個行項目。

然而，幸運的是，對于基于MCU的設(shè)備來說，這種情況將會改變。2015年，ARM宣布其基于硬件的安全技術(shù)TrustZone將憑借新的v8-M架構(gòu)在Cortex-M M MCU上提供。ARMv8-M 的安全功能類似于在 Cortex-A 應(yīng)用程序處理器中廣泛部署的功能，可為 Cortex-M 設(shè)備帶來基礎(chǔ)安全性，并能夠創(chuàng)建端到端安全的物聯(lián)網(wǎng)系統(tǒng)。

適用于 ARMv8-M 的信任區(qū)擴展：增強的安全體系結(jié)構(gòu)

ARMv8-M 架構(gòu)是一種 32 位架構(gòu)，它保持了與 ARMv6-M 和 ARMv7-M 的兼容性，以簡化 Cortex-M 系列中的軟件遷移，同時還集成了許多增強功能和新功能，尤其是在安全性方面。安全增強功能包括對受保護內(nèi)存系統(tǒng)體系結(jié)構(gòu)的改進以及前面提到的 TrustZone 安全擴展，后者允許建立安全和非安全狀態(tài)，以便單個 Cortex-M 設(shè)備中可以存在多個安全域。

片上系統(tǒng)（SoC）通常包括多個微處理器，每個微處理器用于卸載系統(tǒng)管理或其他任務(wù)（例如I / O）。在此體系結(jié)構(gòu)中，一個處理器通常以特權(quán)狀態(tài)運行，另一個處理器在非特權(quán)狀態(tài)下運行。雖然基于MCU的系統(tǒng)也能夠通過使用內(nèi)存保護單元（MPU）或內(nèi)存管理單元（MMU）一段時間來建立特權(quán)和非特權(quán)狀態(tài)，但v8-M TrustZone擴展提供了額外的安全級別和更有效的資源利用率，從而降低了系統(tǒng)設(shè)計的復(fù)雜性，從而降低了成本。

它是如何運作的

從概念上講，v8-M 的信任區(qū)的工作方式類似于 Cortex-A 處理器的信任區(qū)。然而，與適用于 Cortex-A 級處理器的 TrustZone 技術(shù)不同，它沒有安全監(jiān)視器來管理兩種狀態(tài)之間的轉(zhuǎn)換。相反，安全和非安全狀態(tài)是基于內(nèi)存映射的，這消除了切換開銷，并有效地滿足了邊緣設(shè)備的能效要求。

對于 v8-M 的 TrustZone 擴展，MCU 中安全和非安全區(qū)域的定義由芯片設(shè)計人員自行決定。這是使用稱為安全歸因單元（SAU）的新功能完成的，SAU是一種用于定義安全和非安全內(nèi)存區(qū)域的軟件技術(shù)?；蛘?，可以使用與處理器的特殊實現(xiàn)定義歸因單元（IDAU）接口相關(guān)聯(lián)的設(shè)備或系統(tǒng)特定控制器邏輯來實現(xiàn)相同的目的。兩者之間的主要區(qū)別在于SAU在安全狀態(tài)下是可編程的，而IDAU則創(chuàng)建固定的內(nèi)存映射。

處理器狀態(tài)取決于訪問的內(nèi)存區(qū)域（安全或不安全）。如果代碼在安全內(nèi)存區(qū)域中運行，則處理器狀態(tài)是安全的，并且與傳統(tǒng)的 TrustZone 技術(shù)類似，在安全內(nèi)存區(qū)域中執(zhí)行的代碼可以訪問非安全區(qū)域，但不能訪問非安全區(qū)域。但是，適用于 v8-M 的 TrustZone 在安全區(qū)域中引入了一種稱為非安全可調(diào)用 （NSC） 的其他內(nèi)存類型，該類型充當在非安全內(nèi)存區(qū)域中運行的代碼的入口點，以訪問安全區(qū)域中的服務(wù)、函數(shù)或數(shù)據(jù)。因此，存儲器的NSC部分增加了安全和非安全存儲器區(qū)域之間的一定程度的分離，同時促進了對安全功能的訪問。需要使用 NSC 內(nèi)存的應(yīng)用程序開發(fā)人員必須使用 v8 體系結(jié)構(gòu)中引入的新指令（稱為安全網(wǎng)關(guān) （SG））來執(zhí)行此操作。SG 指令必須駐留在 NSC 內(nèi)存中，并且必須是 API 中訪問安全函數(shù)的第一條指令。任何在沒有有效SG指令的情況下訪問安全存儲器的嘗試都會導致硬故障。

此外，ARM 還增強了被定義為 AMBA 3.0 互連規(guī)范一部分的 AHB-Lite?，F(xiàn)在，更新后的規(guī)范 AMBA 5 AHB5 添加了一條特殊指令來標記安全和非安全總線事務(wù)，允許具有 ARM v8-M 的信任區(qū)的系統(tǒng)與 Cortex-A 設(shè)備上的信任區(qū)進行互操作。此功能對于支持設(shè)計可擴展性和端到端的系統(tǒng)范圍安全性至關(guān)重要。

邊緣保護方案

ARMv8-M 的新信任區(qū)擴展啟用了許多安全應(yīng)用程序，包括：

知識產(chǎn)權(quán)保護：知識產(chǎn)權(quán)，如專有算法，與公司的內(nèi)在價值直接相關(guān)。設(shè)備制造商可以使用 ARMv8-M 的 TrustZone 將知識產(chǎn)權(quán)存儲在安全內(nèi)存中，同時仍允許不安全的應(yīng)用程序通過 API 訪問它。

關(guān)鍵信息的安全存儲：將用戶數(shù)據(jù)、身份信息和安全密鑰與系統(tǒng)其余部分分開，可確保機密性。

信任根實現(xiàn)：信任根實現(xiàn)為許多不同的應(yīng)用程序（如安全無線 （OTA） 固件更新）提供了安全的基礎(chǔ)。這種信任基礎(chǔ)對于在系統(tǒng)中的設(shè)備之間啟用相互身份驗證也至關(guān)重要。

認證軟件的沙盒：軟件認證是一個昂貴的過程。例如，使用經(jīng)過認證的加密軟件，使設(shè)備制造商能夠進入要求這些要求的新市場。ARMv8-M 的信任區(qū)允許將此類代碼保存在安全的內(nèi)存區(qū)域中，同時允許通過 NSC 內(nèi)存區(qū)域中的 API 訪問應(yīng)用程序。

通過處理器整合降低成本：在復(fù)雜的 SoC 中，一個處理器可能專用于執(zhí)行安全功能，用于 ARMv8-M 的 TrustZone 可以實現(xiàn)與專用處理器相同的安全功能，從而降低成本和復(fù)雜性。

端到端安全示例

讓我們舉一個簡單的門鎖示例來演示適用于 ARM v8-M 的 TrustZone 在實現(xiàn)端到端安全性方面的實用性。該系統(tǒng)由四個部分組成 ： 門鎖、基于 Cortex-M MCU 的攝像頭單元（帶有用于控制鎖的 ARMv8-M 的信任區(qū)擴展）、基于 Cortex-A 微處理器的網(wǎng)關(guān)（采用 TrustZone 技術(shù)）和智能手機。當有人來到門口時，相機會拍攝圖像并將其發(fā)送到網(wǎng)關(guān)，網(wǎng)關(guān)會將圖像中繼到手機應(yīng)用程序。查看圖像后，用戶單擊應(yīng)用程序中的按鈕以打開門。

在此示例中，邊緣節(jié)點從 ARMv8-M 的 TrustZone 獲得其信任根，這將成為向網(wǎng)關(guān)驗證自身的基礎(chǔ)。網(wǎng)關(guān)還通過 Cortex-A MPU 上的信任區(qū)向移動電話驗證自身身份。當用戶在手機上選擇“打開門”命令時，電話會將其中繼到網(wǎng)關(guān)，網(wǎng)關(guān)又將其中繼到邊緣節(jié)點以打開門。作為過程的一部分，在每個步驟中都會驗證設(shè)備之間中繼的命令，從而確保系統(tǒng)范圍的完整性。

ARMv8-M 的 TrustZone 支持智能公用事業(yè)和智能城市等市場中的節(jié)能設(shè)備，如可穿戴設(shè)備或電池供電的邊緣節(jié)點。TrustZone 擴展不僅能夠保護邊緣，而且通過降低復(fù)雜性和消除專用于執(zhí)行安全功能的其他部件來改變安全經(jīng)濟性。雖然支持ARMv8-M的芯片的TrustZone尚未上市，但包括快速邏輯，綠山軟件，IAR系統(tǒng)，IBM，導師圖形，Micrium，實時工程師，賽門鐵克和Trustonic在內(nèi)的幾家軟件公司已宣布打算支持它。

最終，利用 ARMv8-M 功能的選擇取決于設(shè)備制造商，因為 v8-M 的 TrustZone 將要求開發(fā)人員改變應(yīng)用程序開發(fā)實踐。將 TrustZone 用于 ARMv8-M 可以強制對需要保護哪些信息進行有紀律的思考，并且可能會導致短期學習曲線，從而影響開發(fā)過程。但是，考慮到發(fā)布不安全產(chǎn)品的成本，決定很簡單 - ARMv8-M的TrustZone填補了物聯(lián)網(wǎng)系統(tǒng)范圍安全道路上的直接空白。

審核編輯：郭婷