AXI Veriyoluna Dayalı Güvenlik Güvenlik Duvarının Araştırılması ve Tasarımı
Liu Zhiqiang, Xu Jinfu, Dai Qiang, Li Junwei
(Halk Kurtuluş Ordusu Bilgi Mühendisliği Üniversitesi, Zhengzhou 450001, Henan)
SoC'nin veri yolu erişim güvenliğini artırmak ve yasadışı adres erişim davranışını önlemek için, AXI veri yoluna dayalı bir dağıtılmış güvenlik veri yolu güvenlik duvarı mimarisi önerilmektedir. Farklı görevler için çok seviyeli ve dinamik olarak güncellenebilir bir güvenlik stratejisi formüle edilmiş, daha düşük gecikmeli yüksek hızlı veri yolu güvenlik duvarı arayüzü tasarlanmış, politika yapılandırması ve güncellemesinin güvenliğini sağlamak için bir güvenlik güncelleme modülü eklenmiş ve sistemin görev yönetim mekanizması gerçekleştirilmiştir. Çok görevli görev izolasyon mekanizması. Deneysel sonuçlar, güvenlik duvarının küçük iletim gecikmesine ve düşük kaynak tüketimine sahip olduğunu ve görev izolasyonu sağlayabildiğini göstermektedir.
Veri yolu güvenliği; güvenlik duvarı; güvenlik güncellemesi; görev izolasyonu
Çin Kütüphanesi Sınıflandırma Numarası: TN47; TP309.2
Belge tanımlama kodu: Bir
DOI: 10.16157 / j.issn.0258-7998.171962
Çince alıntı biçimi: Liu Zhiqiang, Xu Jinfu, Dai Qiang, ve diğerleri.AXI veriyoluna dayalı güvenlik güvenlik duvarı araştırması ve tasarımı.Elektronik Teknoloji Uygulaması, 2017, 43 (11): 27-30.
İngilizce alıntı biçimi: Liu Zhiqiang, Xu Jinfu, Dai Qiang, ve diğerleri.AXI veriyoluna dayalı güvenlik güvenlik duvarının araştırılması ve tasarımı.Elektronik Tekniğin Uygulanması, 2017, 43 (11): 27-30.
0 Önsöz
SoC'nin (System-on-Chip) geliştirilmesi ve yaygın olarak uygulanmasıyla, SoC'nin karşılaştığı güvenlik tehditleri ve saldırı yöntemleri de daha karmaşık hale geldi ve gömülü sistem güvenliği, göz ardı edilemeyecek önemli bir konu haline geldi. Geleneksel gömülü yazılım zayıf koruma yeteneklerine ve büyük gecikmelere sahip olduğundan, sistemde performans kaybına neden olmak kolaydır.Bu nedenle, yalnızca yazılım düzeyinde güvenlik mekanizmalarına dayanan sonsuz saldırı yöntemleriyle etkin bir şekilde başa çıkmak zordur.
Şu anda birçok bilim insanı, işlemci yapısını değiştirmeden veri yolu tabanlı bir donanım güvenliği geliştirme mekanizması önermiştir. Fiorin, NoC (Çipte Ağ) veri yoluna dayalı bir güvenlik araştırması ve güvenlik yönetimi birimi koruma mekanizması önerir.Güvenlik sondası, veri yolunun içindeki ve dışındaki verileri izler ve güvenlik yönetimi birimi, çatışmaları ve hataları tespit etmek için sonda bilgilerini toplar. Coburn J, AHB veriyoluna dayalı olarak SECA'nın güvenlik veriyolu yapısını önermiştir.Her IP modülü veriyolu arabirimi, Güvenlik Geliştirilmiş Arabirim (SEI) ile donatılmıştır ve Merkezi kontrol olarak Güvenlik Geliştirilmiş Modül (SEM) tasarlanmıştır. Modül, her SEI modülünün çalışmasını koordine eder. Coburn'un araştırmasına dayanan Cotret P, Crenne J vb., Veri yolu tabanlı dağıtılmış bir koruma yapısı geliştirdi, adres erişim kontrolü sağlamak için her IP veri yolu arabiriminde yerel bir güvenlik duvarı kurdu ve çip dışı bellek arabiriminde yerel bir parola güvenlik duvarı tasarladı. Önemli verilerin gizliliğini ve bütünlüğünü koruyun. Bununla birlikte, bu çözüm yalnızca adresleri izler Çoklu görev altında, bireysel adres erişim işlemleri farklı görev davranışlarına ait olabilir, bu nedenle görev izolasyonu elde edilemez.
Bu makale, ağ güvenlik duvarlarının güvenlik izolasyon fikirlerinden ve Cotret P'nin dağıtılmış mimarisinden yararlanmakta, AXI veriyoluna dayalı dağıtılmış bir güvenlik veri yolu güvenlik duvarı mimarisi önermekte, çok seviyeli ve dinamik olarak güncellenebilir bir güvenlik stratejisi formüle etmekte ve daha düşük gecikmeli yüksek hızlı bir tasarım tasarlamaktadır. Veri yolu güvenlik duvarı arabirimi, çoklu görev için görev yalıtım mekanizmasını gerçekleştirir.
1 Bus güvenlik duvarı mimari tasarımı
1.1 Genel güvenlik duvarı mimarisi
Veri yolu güvenlik duvarı, veri yolu ile IP arasındaki SoC iletişim bağlantısına yerleştirilir ve gömülü sistem için temel donanım güvenlik savunma hattıdır. Veri yolu güvenlik duvarının yükünü azaltmak ve AXI veri yolunun noktadan noktaya çoklu iletim özelliklerinden yararlanmak için, bu makale dağıtılmış bir veri yolu güvenlik duvarı mimarisi benimser, yani Şekil 1'de gösterildiği gibi her IP arayüzü ile veri yolu arasına bir güvenlik duvarı modülü ekler.
Güvenli veri yolu güvenlik duvarının mimarisi, yazılım katmanından ve SoC donanım mimarisinden oluşur. Yazılım katmanı, güvenlik görevleri ve güvenlik dışı görevler de dahil olmak üzere çok görevli yerleşik bir işletim sistemi çalıştırır.Her görevin farklı kaynak erişim hakları vardır.
Donanım katmanı, CPU, DMA, Bellek ve çeşitli IP modüllerinden oluşur ve modüller, AXI veri yolu üzerinden birbirine bağlanır. Güvenlik güvenlik duvarı, veri yolu ile IP modülü arasında bulunur ve güvenlik duvarı arabirimi ile yonga üzerinde BRAM'den (Blok RAM) oluşur. Güvenlik duvarı arayüzü, BRAM güvenlik politikasına göre erişim kontrolünü uygular ve temel özelliği, yasadışı adres erişimini önlemektir ve amaç, güvenlik görevlerinin ve güvenlik dışı görevlerin izolasyonunu gerçekleştirmektir. Güvenlik duvarının güvenliği, yalnızca güvenlik güncellemesi modülü tarafından yapılandırılabilen ve güncellenebilen güvenlik ilkesiyle garanti edilir.
1.2 Güvenlik duvarı güvenlik stratejisinin tasarımı
Güvenlik politikası çip üzerindeki BRAM'de saklanır ve bir politika bir kelime alanı kaplar ve bir adresle tanımlanır. Her politika, verilen her fiziksel adres alanı için (alt ve üst sınırlarla) erişim izinlerini ayarlar.
Güvenlik politikaları görevlere göre gruplandırılır.Aynı görevin ilkelerine, görev kimliği tarafından ele alınan ve tanımlanan bir ilke grubu adı verilir. Güvenlik ilkesi grubu, açıldığında güvenlik güncelleştirme modülü tarafından yapılandırılır ve yalnızca güvenilen bölge olan işlem sırasında güvenlik güncelleştirme modülü tarafından güncellenebilir.
Karmaşık SoC sistemleri karşısında, çok sayıda güvenlik politikası vardır ve politika depolaması çok fazla depolama alanı kaplar. Strateji depolama alanını azaltmak için, bu makale, strateji grupları arasında beyaz listeye alma ve gruplar içinde kara listeye alma gibi karma bir depolama stratejisi önermektedir. Strateji grubu depolaması bir beyaz liste stratejisi benimser ve yalnızca beyaz listede listelenen görevler modüle erişebilir, aksi takdirde erişim doğrudan reddedilir, bu da daha yüksek güvenlik sağlar. Güvenlik ilkesi grubunda bir kara liste depolama stratejisi kullanılır ve kara listede olmayan erişim davranışları varsayılan olarak okunabilir ve yazılabilir ve doğrudan izin verilir.
Güvenlik stratejisinin güvenliğini ve esnekliğini artırmak için bu belge, çok seviyeli ve dinamik olarak güncellenebilir bir güvenlik stratejisi tasarlar. Güvenlik politikası 3 güvenlik seviyesi ayarlar: normal seviye, uyarı seviyesi ve hata seviyesi. Normal seviye, sistem başlatıldıktan sonra her modülün güvenlik seviyesidir ve sistem görevinin normal durumda olduğunu gösterir. Uyarı seviyesi, sistemin yasadışı erişim davranışına sahip olduğunu gösterir ve tehlikeli görevin modüle tüm erişim haklarını yasaklar. Hata seviyesi, ciddi bir güvenlik tehdidi olduğunu, sistemin tüm görevlerine erişimin yasaklanacağını ve yalnızca kapatma ve yeniden başlatmanın etkili olduğunu gösterir. Güvenlik düzeyinin güncellenmesi, bir erişim ihlaline verilen yanıttır. Kritik olmayan bir görevin erişim ihlalleri olduğunda, güvenlik seviyesi normal seviyeden bir uyarı seviyesine yükseltilir; kritik bir görevin erişim ihlalleri olduğunda, normal seviye doğrudan bir hata seviyesine yükseltilir ve sistem çalışması zorla sonlandırılır.
Güvenlik politikasının parametreleri, Şekil 2'de gösterildiği gibi politika grubu parametrelerini ve politika parametrelerini içerir. Strateji grubu parametreleri, görev kimliği ve strateji miktarından oluşur; strateji parametreleri okuma ve yazma izinleri, güvenlik seviyesi ve strateji etki alanı değerinden oluşur. Okuma ve yazma izinleri, okumayı, yazmayı yasaklamayı ve okumayı ve yazmayı yasaklamayı içeren bir kara liste depolama stratejisini benimser. Politika etki alanı değeri, temel adres uzaklığı ve uzunluğu dahil olmak üzere politika izlemenin adres alanını temsil eder.
1.3 Güvenlik duvarı arayüz tasarımı
AXI veriyolu ani aktarım kullanır, bu nedenle güvenlik duvarının erişim kontrolünü elde etmek için el sıkışma sürecindeki ilk adresini, el sıkışma sinyalini, çoklu iletim BOYUTUNU ve diğer veri yolu sinyallerini analiz etmesi yeterlidir. Güvenlik politikası kurallarına göre tasarım prensibi Şekil 3'te gösterilmiştir.
Davranış analizi modülü, mevcut ziyaretin okuma veya yazma davranışını değerlendirmek içindir. Saat senkronizasyon modülü, AXI veriyolunun iletim zamanlamasını karşılamak için el sıkışma sinyalini geciktirmek için kullanılır. Okuma modülünün güvenlik politikasının içeriğini okuması bir saat döngüsü alır. Doğrulama modülü, okunan güvenlik politikasını erişilen adresle karşılaştırır. Doğrulama başarılı olursa, karar modülü erişim davranışına izin verir, aksi takdirde davranış sonlandırılır ve veri terminali 0'a ayarlanır.
Hızlı arama birimi, her bir görev güvenlik politikası izlemesinin adres alanını ve uzunluğunu depolayan TCAM (Üçlü İçerik Adreslenebilir Bellek) konteynerine benzer bir listedir.Şekil 4'te gösterildiği gibi, güvenlik duvarı izleme durumunda, Güvenlik politikasını Görev Kimliği'ne göre seçin Grup, adres adres ve patlama boyutuna erişerek güvenlik politikasının adresini hızlı bir şekilde bulabilir. Kara ve beyaz liste depolama politikası kurallarına göre, noID = 1 ise doğrudan reddedilir; noSP = 1 ise doğrudan izin verilir.
Güvenlik duvarının boşta kalma durumu, izleme durumu ve güncelleme durumu dahil olmak üzere üç çalışma durumu vardır Durum geçiş diyagramı Şekil 5'te gösterilmiştir.
1.4 Politika güvenlik güncellemesi tasarımı
Sistem bir saldırı tespit ettiğinde, BRAM'daki güvenlik politikası güncellenmeli ve yeni güvenlik politikasına uygulanmalıdır. Güncelleme ortamının güvenliğini sağlamak için, güvenlik duvarına bir güvenlik güncelleme modülü eklenmiştir.
Güvenlik güncelleştirme modülü Şekil 6'da gösterilmektedir. Tüm bileşenler, bir güvenlik alt sistemi oluşturmak için bir AXI-Lite veriyolu (güvenlik veriyolu da denir) ve güvenilir bir güvenlik SMCU aracılığıyla bağlanır. Flash, her bir güvenlik duvarı stratejisinin ilk konfigürasyonunu ve tüm SoC'nin güvenli başlangıcını gerçekleştirebilen ürün yazılımı programını ve güvenlik duvarı güvenlik stratejisini depolar. İzleme modülü, her bir güvenlik duvarı arayüzünün durum sinyalini izler ve güvenlik duvarının BRAM'sinin diğer ucu, dinamik stratejiyi güncellemek için depolama denetleyicisine bağlanır. Sistem açıldığında, SMCU flaştan güvenlik politikasını okur ve güvenlik politikasını her IP modülünün BRAM'ına yazar.
Güvenlik duvarı izleme modülü, noID sinyali ve check_out gibi sinyaller dahil olmak üzere her IP güvenlik duvarı arayüzünün durum makinesi durumunu izler. Check_out 0 olduğunda veya noID 1 olduğunda, bir saldırı olayının gerçekleştiğini ve izleme sonucunun ilgili görevin IP izleme kaydına kaydedildiğini gösterir. Güvenlik duvarı izleme modülü bir saldırı algıladığında, SMCU'yu bilgilendirmek için bir kesinti üretir ve SMCU, kesinti hizmet programını yürütür ve politika güncellemesini başlatır.
Politika güncelleme işlemi, iki güvenlik politikası arasında geçiş yaparken veri kullanılabilirliğini sağlamalıdır. Bu nedenle, anahtarlama sürecinde önce update_en'i etkinleştirin ve ardından karar modülü geçerli adrese erişimi engeller.Politika güncellemesi tamamlandıktan sonra, blok kapatılır ve güncellemenin tamamlandığını belirtmek için güncelleme 1'e ayarlanır. Engelleme mekanizması, hazır sinyalinin geciktirilmesiyle gerçekleştirilir. Bir güvenlik politikasının güncellenmesi 1 saat döngüsü tüketir ve n politikanın güncellenmesi en az n saat döngüsü gerektirir.Bu zaman kayıpları performansı düşürecek olsa da güvenlik açısından yasadışı erişim davranışları önlenir ve güvenlik faydaları iyileştirilir.
2 Veri yolu güvenlik duvarına dayalı görev izolasyon mekanizması
Sistem operasyonunun davranışsal bir işlem varlığı olarak görev, güvenlik duvarı işlevi ile birlikte, veriyoluna görev tanımlaması eklenerek, görev izolasyon mekanizması gerçekleştirilebilir.
2.1 Görev tanımlama için veri yolu iletimi
Veri yolundaki ana-bağımlı erişim davranışı, ana cihaz Aygıt Kimliği veya sistem Görev Kimliği, veri yolu adresi ve veri yolu kontrol sinyalleri aracılığıyla güvenlik duvarının erişim konusunu ve erişilen nesnesini oluşturur. Veri yolu güvenlik duvarı, tüm veri yolu aktarımlarını güvenlik politikasına göre izler ve iletimi başlatan görevin hedef kaynağa erişip erişemeyeceğine karar verir.
Veriyolu iletimini başlatma sürecini belirtmek için, veriyolu iletim görevini belirlemek ve kimliği iletim işlemine yerleştirmek gerekir ID sinyaline veriyolu yan bant sinyali adı verilir. Şekil 7'de gösterildiği gibi, her bir ana cihaz bir İD yazmacı tutar ve kayıt çıkışı, veri yolu iletimi ile senkronize olan İD yan bant sinyalini sürer. CPU bir görevi yürüttüğünde, TaskID, iletim başlatılmadan önce CPU'nun görev kimliği kaydına enjekte edilir; DMA, kriptografik yardımcı işlemciler vb. Gibi diğer ana cihazlar çalıştırıldığında, cihaza özel kimlik kaydına sabit bir Cihaz Kimliği enjekte edilir ve her ana cihaza ayrılmış PID eklenir. Kaydolun, Görev Kimliği, işlem planlamasının bir parçası olarak kaydedilir.
2.2 Görev izolasyon mekanizmasının uygulanması
Görev izolasyon mekanizmasının gerçekleştirilmesi, yazılım ve donanımın işbirliğini gerektirir.
Sistem çekirdeği, güvenilir bir işlemi yürütür, çeşitli görevleri oluşturur ve yürütür, TaskID'yi tek tip olarak yönetir ve atar.Bir veri yolu transferini başlatan herhangi bir görev, önce arayan veri yolu yöneticisinin Görev Kimliği kaydını kaydetmelidir. TaskID sinyali, görev tarafından başlatılan tüm veri yolu aktarım süresi boyunca değişmeden tutulur ve işlem değiştirildiğinde TaskID yazmacı eşzamanlı olarak güncellenir.Görev Kimliği kaydı güncellemesi, planlanan işlemin yürütülmesinden önce, yani yürütmek için programlanan yeni işlemin veri yolu iletimini başlatmadan önce karşılık gelen işlemi tamamlamasını sağlamak için zamanlanır Görev Kimliği kaydının güncellenmesi.
Veri yolu güvenlik duvarı izleme sürecinde, aynı görevin TaskID yan bant sinyali değişmeden kalır.Yan bant sinyali, her bir slave arayüzünün güvenlik duvarı modüllerini çalıştırır, ID numarasına göre göreve yönelik strateji grubu adreslemesini tamamlar ve hızlı arama biriminin adres ve uzunluk parametrelerini yapılandırır. . Bu işlem 2 saat döngüsünde tamamlanabilir ve görev değiştirme işlem süresinde gizlenebilir.
Görev değiştirme tamamlandıktan sonra, veri yolu iletimi başlatılır ve güvenlik duvarı arayüzü, görevin altındaki adresin güvenlik politikasını hızlı bir şekilde okuyabilir ve adres politikası doğrulamasını hızlı bir şekilde tamamlayabilir. Sistem saldırıya uğradığında ve görev izin vermediği alana eriştiğinde, güvenlik duvarı, görevler arasındaki izolasyonu gerçekleştiren erişim davranışını reddeder. İlke güncelleme işlemi sırasında, güvenlik güncelleme modülü, güvenlik seviyesi güncellemesini tamamlar, tehlikeli görevin erişim haklarını kısıtlar ve saldırıya uğrayan görevin izolasyonunu gerçekleştirir.
3 Deney ve doğrulama
3.1 Deneysel platform yapımı
Deneyin donanım platformu, ARMA9 işlemcisini ve diğer sert çekirdek parçaları ve FPGA mantık parçalarını entegre eden ZYNQ 7c020 geliştirme kartıdır. Deney, Xilinx'in vivado yazılımı aracılığıyla Şekil 1'de gösterildiği gibi SoC donanım devresini oluşturur. SoC, ana işlemci olarak ARMA9'u ve depolama birimi ve çevresel arayüz olarak RAM ve UART'ı kullanır. Güvenli alan, güvenli SMCU olarak MciroBalze yumuşak çekirdekli işlemciyi kullanır ve Flash birimi yerine RAM kullanır.
Deneysel yazılım platformu, çoklu görevi destekleyen FreeRToS gerçek zamanlı işletim sistemidir. Sistem sırasıyla veri alma, şifreleme ve gönderme işlemlerini tamamlamak için Görev1, Görev2 ve Görev3 olmak üzere 3 görev çalıştırır Görev2 bir güvenlik görevidir ve görev değiştirme bir zamanlayıcı kesintisi ile gerçekleştirilir. FreeRTos'un görev değiştirme programı, sistemin güvenilir bir işlemi olarak görev kimliğini TaskID kaydına yazan vTaskSwitchContext'tir.
3.2 Deneysel sonuçlar
Güvenlik duvarı arabirimi tarafından kullanılan FPGA kaynakları Tablo 1'de gösterilmektedir. ARM bir sert çekirdek olduğundan, genel sonuç geçici olarak Mciroblaze yazılım çekirdeği ile toplam kaynaklara dahil edilir. Güvenlik duvarı arabirimleri eklenerek artırılan kaynakların oranı küçüktür ve yazmaç ve LUT'lardaki artış oranları sırasıyla% 9.0 ve% 5.2'dir. Güvenlik güncellemesi modülüne eklenen ana birimler yumuşak çekirdek işlemci ve büyük miktarda kaynak kullanan BRAM denetleyicisidir. Tek bir güvenlik duvarı arayüzünün kaynak kullanımı Tablo 2'de gösterildiği gibi P Cotret ile karşılaştırılmıştır. Bu makaledeki güvenlik duvarı çok fazla kayıt kaynağı kaplar, ancak daha az LUT kaynağı kullanır.
Güvenlik duvarı arayüzünün devre tasarımına göre, hızlı arama ünitesi için iki saat döngüsü ve karar verme modülü ve senkronizasyon modülü için bir saat döngüsü gereklidir, bu da toplam 4 saat döngüsü gerektirir. İletim patlama uzunluğu büyük olduğunda, Tablo 3'te gösterildiği gibi performans kaybı oranı küçüktür.
Güvenlik politikası yapılandırması tamamlandıktan sonra, hata ayıklama hata ayıklama altında bir saldırganı simüle edin ve görev3 tarafından erişilen düz metin adresini görev2'nin anahtar adres alanına değiştirin.Sonuç, okunan verilerin 0 olduğunu gösterir. Görev tekrar yürütüldüğünde, program görev yalıtımının etkili olduğunu gösteren bir istisna girer.
4. Sonuç
Bu makale, AXI veriyoluna dayalı dağıtılmış bir güvenlik veri yolu güvenlik duvarı mimarisi önerir, görev odaklı çok seviyeli bir güvenlik stratejisi formüle eder, stratejiyi güvenlik güncelleme modülü aracılığıyla dinamik olarak güncelleyebilir, kara ve beyaz listeler için bir politika depolama kuralı önerir ve düşük gecikme süresi tasarlar Yüksek hızlı veri yolu güvenlik duvarı arayüzü olduğunda. Güvenlik duvarı işlevi temelinde, görev izolasyon mekanizmasını gerçekleştirmek için görev tanımlamasına yönelik veri yolu aktarım işlevi eklenir. Güvenlik güncelleme alt sistemi tek bir işleve sahip olduğundan, sonraki adım, güvenlik hizmetiyle ilgili işlevleri artırmak ve güvenlik duvarı güvenlik stratejisini daha da optimize etmek için güvenli izolasyon ortamından tam olarak yararlanacaktır.
Referanslar
Zheng Xianyi, Li Wen, Meng Dan. TrustZone teknolojisi analizi ve araştırması. Chinese Journal of Computers, 2016 (9): 1912-1928.
ELMILIGI H, GEBALI F, EL-KHARASHI M W. Gömülü sistem güvenliğinin çok boyutlu analizi. Mikroişlemciler ve Mikrosistemler, 2016, 41 (C): 29-36.
FIORIN L, LUKOVIC S, PALERMO G. NoC tabanlı MPSoC'ler için yeniden yapılandırılabilir bir veri koruma modülünün uygulanması. Paralel ve Dağıtılmış İşleme IEEE Uluslararası Sempozyumu. IEEE, 2008: 1-8.
Joel Coburn, Srivaths Ravi, Anand Raghunathan, ve diğerleri SECA: güvenliği artırılmış iletişim mimarisi. 2005 Uluslararası Derleyiciler, Mimariler ve Gömülü Sistemler için Sentez Konferansı Bildirileri. New York: ACM, 2005: 78-89.
COTRET P, CRENNE J, GOGNIAT G, vd. Axi tabanlı MPSoC'ler için hafif yeniden yapılandırma güvenlik hizmetleri. Uluslararası Paralel ve Dağıtılmış İşleme Sempozyumu, Şangay: IEEE, 2012: 326-329.
