傳統(tǒng)的嵌入式軟件應(yīng)用程序存在于單個連續(xù)的空間中，具有唯一的ID，內(nèi)存和代碼均坐在一起且易于訪問。當然，這使得黑客一旦踏入門，就可以很容易地訪問整個系統(tǒng)。嵌入式系統(tǒng)安全的關(guān)鍵是隔離。開發(fā)人員可以改善隔離的一種新方法是利用ARM®M23/33微控制器中的新Trustzone®功能。在這篇文章中，我將介紹讀者如何使用Trustzone保護安全功能，但仍能從非安全內(nèi)存區(qū)域訪問它們。

在介紹細節(jié)之前，討論有關(guān)Trustzone的一些信息將很有用。 TrustZone是ARMV-8體系結(jié)構(gòu)的安全硬件擴展，可提供硬件隔離，從而創(chuàng)建一個可以從中執(zhí)行軟件的安全和非安全區(qū)域。這兩個區(qū)域都有自己的MSP，PSP，MPU和安全區(qū)域，甚至有一些非銀行寄存器在非安全區(qū)域中無法訪問。從安全到非安全的過渡，反之亦然，在三個時鐘周期內(nèi)的硬件中都完成了，因此開發(fā)人員無需擔心添加任何額外的代碼來處理過渡;但是，開發(fā)人員確實需要關(guān)注自己可以正確控制哪些安全功能可以從非安全區(qū)域訪問。

Trustzone允許開發(fā)人員除了指定在安全區(qū)域中應(yīng)執(zhí)行哪些內(nèi)存區(qū)域，中斷和外圍設(shè)備，還可以安全啟動其微控制器。

默認情況下，在非安全區(qū)域中執(zhí)行的代碼無法訪問安全區(qū)域。在安全區(qū)域中放置內(nèi)存位置的任何嘗試都將導(dǎo)致異常。問題在于，開發(fā)人員可能需要調(diào)用安全功能，例如加密庫函數(shù)，或者可能被認為是安全的外圍驅(qū)動程序。為此，開發(fā)人員需要在其安全的應(yīng)用程序項目中創(chuàng)建一個接口，該項目成為非安全和安全代碼區(qū)域之間安全網(wǎng)關(guān)的一部分，并允許執(zhí)行安全函數(shù)。安全功能在安全或受信任的區(qū)域中執(zhí)行，使其與非安全代碼隔離。

在安全代碼和非安全代碼之間創(chuàng)建接口是使用ARM_CMSE庫完成的，該庫是C庫擴展程序，以支持安全的可執(zhí)行文件。該庫包含用于創(chuàng)建功能指針的定義，以指向非安全內(nèi)存，例如cmse_nsfptr_create。編譯器本身(例如Keil MDK)還包括諸如CMSE_NONSECURE_ENTRY之類的新編譯器屬性，該屬性告訴編譯器，相關(guān)函數(shù)位于安全內(nèi)存中，但可以從非安全內(nèi)存中訪問。

創(chuàng)建可訪問的安全功能的過程很簡單。首先，開發(fā)人員可以像其他任何功能一樣定義其安全功能，只是在其安全項目中定義了該功能?？梢栽谙旅婵吹揭粋€安全功能：

int mySecureFunction(funcptr_ns，int data){funcptr_ns callback_ns; callback_ns =(funcptr_ns)cmse_nsfptr_create(callback); data = callback_ns(data); Return data;}

有關(guān)此代碼有幾個有趣的觀點：

· 該代碼利用來自ARM_CMSE.H的funcptr_ns類型，該類型定義了用于訪問非安全內(nèi)存的功能指針的類型

· 從安全區(qū)域訪問非安全回調(diào)函數(shù)需要調(diào)用CMSE_NSFPTR_CREATE，這將允許在安全區(qū)域中訪問非安全函數(shù)

· Trustzone代碼通常使用NS表示非安全，并表示安全

· 如書面，非安全區(qū)域無法訪問此代碼

為了糾正此代碼是完全安全且不可訪問的事實，開發(fā)人員需要使用cmse_nonsecure_entry屬性。然后，安全功能定義將從以下方式變化：

int mysecurefunction(funcptr_ns，int data){…}

到

int mysecurefunction(funcptr_ns，int data)__attribute __(((cmse_nonsecure_call))){…}

添加屬性CMSE_NONSECURE_CALL告訴編譯器，可以從非安全內(nèi)存訪問此功能。這將允許使用安全的網(wǎng)關(guān)指令訪問該功能。此外，當安全函數(shù)完成執(zhí)行并準備好跳回非安全代碼時，將清除任何非銀行寄存器，即在安全區(qū)域和非安全區(qū)域之間共享的寄存器。清除寄存器可以防止可能存儲在非銀行寄存器中的任何安全數(shù)據(jù)暴露于非安全區(qū)域。

在這一點上，開發(fā)人員將能夠編譯安全庫，然后從其非安全項目中，包括其功能的標頭文件，并撥打邁塞克雷功能。

在嘗試保護嵌入式系統(tǒng)時，將關(guān)鍵功能與應(yīng)用程序的其余部分隔離至關(guān)重要。應(yīng)仔細考慮，以決定應(yīng)隔離應(yīng)用程序中的哪些功能，甚至將使用哪些機制。 Trustzone是一種嵌入式軟件開發(fā)人員可以開始用于提高產(chǎn)品安全性的工具。