從硬件架構(gòu)與軟件架構(gòu)看TrustZone

1、TrustZone

ARM TrustZone技術(shù)是芯片級的安全解決方案，通過在CPU內(nèi)核的設(shè)計(jì)中集成系統(tǒng)安全性擴(kuò)展，同時(shí)提供安全軟件平臺(tái)，為安全支付、數(shù)字版權(quán)管理（DRM, Digital Rights Management)、企業(yè)服務(wù)等應(yīng)用提供了安全的運(yùn)行環(huán)境。

TrustZone將硬件和軟件資源劃分為兩個(gè)執(zhí)行環(huán)境：安全世界（Secure World）和普通世界（Normal World）。不同執(zhí)行環(huán)境的系統(tǒng)軟件和應(yīng)用軟件、內(nèi)存區(qū)和外圍設(shè)備等均相互獨(dú)立。TrustZone的硬件邏輯，使安全世界的資源與普通世界隔離，不能被普通世界的組件訪問。

把敏感資源放在安全世界，能保護(hù)絕大多數(shù)的資源免受很多潛在的攻擊，包括一些很難保證安全的操作，如用鍵盤或者觸摸屏輸入密碼。普通世界和安全世界的代碼以分時(shí)共享的方式在同一個(gè)物理處理器核上運(yùn)行，使其不需要專用的處理器內(nèi)核來執(zhí)行安全代碼，節(jié)省了芯片面積和能耗。

1、TrustZone硬件架構(gòu)

TrustZone的硬件架構(gòu)如圖3-1所示，其核心包括處理器內(nèi)核、直接內(nèi)存訪問（DMA，Direct Memory Access）、安全RAM、安全啟動(dòng)ROM、通用中斷控制（GIC，Generic Interrupt Controller）、TrustZone地址空間控制器（TZASC，Trust Zone Address Space Controller）、TrustZone保護(hù)控制器、動(dòng)態(tài)內(nèi)存控制器（DMC，Dynamic Memory Controller）和DRAM（Dynamic Random Access Memory，動(dòng)態(tài)內(nèi)存控制器），TrustZone內(nèi)部組件通過AXI（Advanced eXtensible Interface，先進(jìn)的可擴(kuò)展接口）系統(tǒng)總線通信，與外設(shè)通過AXI-to-APB橋通信。

（1）系統(tǒng)安全性

TrustZone隔離了所有SoC（System on Chip，系統(tǒng)級芯片）硬件和軟件資源，劃分為兩個(gè)執(zhí)行環(huán)境，即用于安全子系統(tǒng)的安全區(qū)域以及用于存儲(chǔ)其他所有內(nèi)容的普通區(qū)域。TrustZone通過AXI和APB實(shí)現(xiàn)了硬件資源的區(qū)域分離，并通過AXI總線的硬件邏輯確保普通區(qū)域的組件無法訪問安全區(qū)域的資源。將敏感數(shù)據(jù)存儲(chǔ)在安全區(qū)域，將安全軟件運(yùn)行在安全處理器內(nèi)核中，確保敏感數(shù)據(jù)存儲(chǔ)和訪問免受攻擊，如使用鍵盤或觸摸屏輸入密碼等難以防護(hù)的攻擊。

TrustZone架構(gòu)的總線結(jié)構(gòu)中， AXI是一種面向高性能、高帶寬、低延遲的片內(nèi)總線，用于連接高速設(shè)備 ； APB是一種低門數(shù)、低帶寬的外設(shè)總線，用于連接低速設(shè)備 ，APB通過AXI-to-APB橋連接到AXI系統(tǒng)總線上。

AMBA協(xié)議是用于連接和管理片上系統(tǒng)中功能塊的開放標(biāo)準(zhǔn)和芯片互連規(guī)范，TrustZone使用的AXI總線和APB外設(shè)總線均遵循AMBA3協(xié)議。

為支持TrustZone技術(shù)，AMBA3 AXI系統(tǒng)總線在 每個(gè)讀寫信道都增加了一個(gè)額外的控制信號(hào)，稱作非安全位（NS位） 。

當(dāng)主設(shè)備向總線提出讀寫事務(wù)請求時(shí)，必須將控制信號(hào)發(fā)送到總線上，總線從設(shè)備的解碼邏輯解釋該控制信號(hào)， 允許安全主設(shè)備對安全從設(shè)備的訪問，并拒絕非安全主設(shè)備對安全從設(shè)備的訪問， 依據(jù)外設(shè)的硬件設(shè)計(jì)和總線配置，從設(shè)備或總線可以產(chǎn)生錯(cuò)誤訪問的狀態(tài)信號(hào)。

TrustZone架構(gòu) 通過AMBA3 APB外設(shè)總線提供了保護(hù)外設(shè)安全性的特性，包括中斷控制器、時(shí)鐘及用戶I/O設(shè)備。 相比僅僅保護(hù)數(shù)據(jù)安全，TrustZone架構(gòu)的安全世界可以解決更廣泛的安全問題。

安全中斷控制器和時(shí)鐘允許非中斷安全任務(wù)來監(jiān)控系統(tǒng)， 安全時(shí)鐘源保證了DRM的可靠性，安全鍵盤保證用戶輸入密碼的安全性 。為了使現(xiàn)有AMBA2 APB外設(shè)與實(shí)現(xiàn)TrustZone技術(shù)的系統(tǒng)兼容，APB總線沒有帶對應(yīng)的NS位，而由AXI-to-APB橋負(fù)責(zé)管理APB外設(shè)的安全。AXI-to-APB橋會(huì)主動(dòng)拒絕異常的安全設(shè)置事務(wù)請求，而不會(huì)把請求發(fā)送給外設(shè)。

（2）處理器內(nèi)核安全性

通過ARM處理器內(nèi)核的擴(kuò)展，普通區(qū)域和安全區(qū)域的代碼能夠以分時(shí)的方式安全有效地運(yùn)行在同一個(gè)物理處理器內(nèi)核上，不需要使用專用安全處理器內(nèi)核，在保證處理器內(nèi)核安全的同時(shí)兼顧了芯片面積和能耗。(有點(diǎn)像時(shí)間片任務(wù)切換)

目前ARM主流產(chǎn)品，如ARM Cortex-A5、ARM Cortex-A7、ARM Cortex-A9等處理器均已支持前述處理器內(nèi)核安全擴(kuò)展。

在處理器架構(gòu)上，每個(gè)帶TrustZone安全擴(kuò)展的處理器核都提供兩個(gè)虛擬核：安全核和非安全核。

它們分屬不同的執(zhí)行環(huán)境安全區(qū)域和非安全區(qū)域，如圖3-2所示。同時(shí)處理器引入了一個(gè)特殊的機(jī)制——監(jiān)控模式，負(fù)責(zé)不同執(zhí)行環(huán)境間的切換。非安全核僅能訪問非安全系統(tǒng)資源，但安全核能訪問所有資源。

ARM CP15協(xié)處理器中引入一個(gè)安全配置寄存器（SCR），該寄存器中有一個(gè)NS位，NS位表明當(dāng)前處理器所處的安全狀態(tài)：0代表安全態(tài)，1代表非安全態(tài)。 安全配置寄存器中的NS位是TrustZone對系統(tǒng)所做的關(guān)鍵擴(kuò)展 ，該NS位不僅可以影響CPU內(nèi)核和內(nèi)存子系統(tǒng)，還可以影響片內(nèi)外設(shè)的工作。

當(dāng)ARM處理器處于特權(quán)模式工作狀態(tài)，即系統(tǒng)模式（sys）、中斷模式（irq）、快速中斷模式（iq）、管理模式（svc）、數(shù)據(jù)訪問終止模式（abt）或未定義指令終止模式（und）時(shí)，可以讀寫安全配置寄存器，而在用戶模式（usr）時(shí)不允許讀寫。

NS位只能被運(yùn)行在安全態(tài)且處于特權(quán)模式的軟件改變，系統(tǒng)在非安全態(tài)時(shí)不能訪問SCR寄存器，通過NS位的狀態(tài)控制處理器安全狀態(tài)的切換。

在TrustZone處理器中同時(shí)引入了一個(gè)特殊的模式——監(jiān)控模式。監(jiān)控模式是一種特殊的安全狀態(tài)，當(dāng)系統(tǒng)處于監(jiān)控模式時(shí)，不管NS位是否為0，都可以訪問安全世界的資源。從非特權(quán)模式到特權(quán)模式只能通過異常來進(jìn)行，與該過程類似的，從非安全態(tài)到監(jiān)控模式也是通過異常進(jìn)行的。從非安全狀態(tài)可以通過3種異常進(jìn)入監(jiān)控模式：執(zhí)行SMC（Secure Monitor Call，安全監(jiān)視調(diào)用）指令、外部中止、FIQ（Fast Interrupt Request，快速中斷請求）和IRQ（Interrupt Request，中斷請求）。監(jiān)控模式還負(fù)責(zé)實(shí)現(xiàn)兩個(gè)虛擬核之間切換時(shí)的上下文備份和恢復(fù)。

監(jiān)控器可以在沒有任何執(zhí)行環(huán)境的代碼幫助下直接捕獲FIQ和IRQ，當(dāng)執(zhí)行流到達(dá)監(jiān)控器的時(shí)候，監(jiān)控器能將中斷請求路由到相應(yīng)的中斷處理程序與安全中斷控制器結(jié)合起來，從而讓安全中斷源發(fā)出的中斷不被普通世界軟件操作。（是不是中斷管理器）

ARM推薦使用IRQ作為普通世界中斷源，F(xiàn)IQ作為安全世界中斷源。如果中斷發(fā)生在相應(yīng)的執(zhí)行環(huán)境，則不需要進(jìn)行執(zhí)行環(huán)境的切換；如果中斷發(fā)生在另外的執(zhí)行環(huán)境，由監(jiān)控器控制切換執(zhí)行環(huán)境。一般情況下在執(zhí)行監(jiān)控器代碼的時(shí)候應(yīng)該關(guān)閉中斷。同時(shí)在CP15協(xié)處理器中還引入一個(gè)配置寄存器以防止普通世界的惡意軟件屏蔽安全世界的中斷。

內(nèi)存管理是實(shí)現(xiàn)安全管理的另一關(guān)鍵技術(shù)。TrustZone技術(shù)的內(nèi)存管理，通過對一個(gè)增強(qiáng)的內(nèi)存子系統(tǒng)MMU（Memory Management Unit，內(nèi)存管理單元）和Cache增加相應(yīng)的控制邏輯實(shí)現(xiàn)。

ARM處理器中一級存儲(chǔ)系統(tǒng)的主要部件就是內(nèi)存管理單元，用來將程序和數(shù)據(jù)的虛擬地址轉(zhuǎn)換為物理地址。頁表描述了虛擬地址到物理地址的映射關(guān)系，以及每一頁的訪問權(quán)限和Cache屬性。

在有MMU但是沒有TrustZone安全擴(kuò)展的 ARM內(nèi)核中，只有一個(gè)頁表基地址寄存器， 通過特權(quán)模式代碼重寫頁表基地址寄存器，使其重新指向一個(gè)新的頁表來提供多個(gè)獨(dú)立的地址空間。

在TrustZone安全擴(kuò)展處理器中， 有兩個(gè)頁表基地址寄存器，不同安全狀態(tài)使用不同的頁表基地址寄存器， 相當(dāng)于有兩個(gè)虛擬MMU，每個(gè)虛擬MMU分屬不同的虛擬核，使每個(gè)執(zhí)行環(huán)境有一個(gè)本地頁表集，各個(gè)執(zhí)行環(huán)境的虛擬地址到物理地址的轉(zhuǎn)換是獨(dú)立的，在切換執(zhí)行環(huán)境時(shí)不需要切換頁表。

這樣，在兩種模式切換時(shí)不必刷新緩存，進(jìn)而提升軟件在這兩種模式間通信時(shí)的性能。為了實(shí)現(xiàn)這種特性，L1、L2等各級處理器緩存需要為 Tag域增加一個(gè)NS位 ，用來標(biāo)識(shí)這一行的安全狀態(tài)。無論Cache行的安全狀態(tài)如何，只要沒被鎖住，都可以被換出到主存中，為新的緩沖數(shù)據(jù)留出存儲(chǔ)空間。高性能設(shè)計(jì)能夠在Cache中同時(shí)支持安全模式及普通模式的數(shù)據(jù)緩存，是一個(gè)非常有用的特性。

TrustZone技術(shù)中使用協(xié)處理器實(shí)現(xiàn)處理器擴(kuò)展功能，ARM協(xié)處理器附屬于ARM處理器，通過 擴(kuò)展指令集或提供配置寄存器來擴(kuò)展內(nèi)核功能 。CP15協(xié)處理器是TrustZone技術(shù)中使用的最重要的ARM協(xié)處理器，用于控制Cache、TCM和存儲(chǔ)器管理。

協(xié)處理器通過設(shè)置某些寄存器實(shí)現(xiàn)普通世界和安全世界的工作協(xié)同。其中某些寄存器是有備份的，即普通世界和安全世界各有一個(gè)這樣的寄存器，此時(shí)修改寄存器只會(huì)對它所在執(zhí)行環(huán)境起作用；有的協(xié)處理器寄存器是沒有備份的，對它的修改會(huì)影響到全局，如控制對Cache進(jìn)行鎖定操作的寄存器。

對這種全局寄存器的訪問必須嚴(yán)格控制，一般只對安全世界提供讀寫權(quán)限，而普通世界只能讀取。

（3）調(diào)試安全性

通過安全感知的調(diào)試結(jié)構(gòu)對安全區(qū)域的調(diào)試進(jìn)行嚴(yán)格控制，而不會(huì)影響普通區(qū)域的調(diào)試。（這個(gè)方面我倒是一直沒有接觸到）

2、TrustZone軟件架構(gòu)

TrustZone硬件架構(gòu)將新的安全擴(kuò)展特性應(yīng)用于CPU內(nèi)核之中，為 建立安全執(zhí)行環(huán)境提供了硬件基礎(chǔ) ，操作系統(tǒng)廠商、手機(jī)制造商和芯片廠商可以根據(jù)自己的安全需求，在一個(gè)可共用的硬件框架之上擴(kuò)展和開發(fā)不同的安全解決方案。

ARM同時(shí)提供了一個(gè)典型的安全軟件架構(gòu)，如圖3-3所示。安全軟件架構(gòu)包括安全世界、普通世界兩個(gè)區(qū)域，通過監(jiān)控器實(shí)現(xiàn)兩者的切換。目前的絕大多數(shù)解決方案都是嚴(yán)格基于此架構(gòu)實(shí)現(xiàn)。

TrustZone的安全軟件架構(gòu)設(shè)計(jì)基于智能終端的使用模式，包含安全啟動(dòng)、監(jiān)控模式、TrustZone API 3個(gè)方面。

（1）安全啟動(dòng)

TrustZone軟件安全啟動(dòng)過程如圖3-4所示。

在系統(tǒng)初始化時(shí)，在安全特權(quán)模式下從片內(nèi)安全引導(dǎo)代碼區(qū)啟動(dòng)，采用這種方式以避免OS被攻擊。

片內(nèi)安全引導(dǎo)代碼完成系統(tǒng)安全狀態(tài)的設(shè)置，然后引導(dǎo)OS啟動(dòng)。

在OS啟動(dòng)的每一個(gè)階段，功能模塊均需通過驗(yàn)證才允許加載 。

通過檢查保存在安全域內(nèi)的簽名可以保證OS引導(dǎo)代碼的完整性，避免終端設(shè)備被非法重新硬件編程。

（可以看看我在ATF的那個(gè)翻譯-COT信任鏈，這種啟動(dòng)鏈的安全校驗(yàn)更多地是像一種思維模式）

（2）監(jiān)控模式

TrustZone監(jiān)控器實(shí)現(xiàn)軟件系統(tǒng)在安全世界和普通世界之間的切換管理。

如前所述，普通世界的應(yīng)用程序可以通過3種異常進(jìn)入監(jiān)控模式：執(zhí)行安全監(jiān)視調(diào)用SMC指令、外部中止、FIQ和IRQ。

典型的切換過程如下。當(dāng)普通世界的應(yīng)用需要切換到安全世界的服務(wù)時(shí)，首先切換到普通世界的特權(quán)模式，在該模式下調(diào)用SMI，處理器將切換進(jìn)入監(jiān)控模式；

監(jiān)控模式首先備份普通世界的運(yùn)行時(shí)環(huán)境和上下文，然后進(jìn)入安全世界的特權(quán)模式，再轉(zhuǎn)換為安全世界的用戶模式，此時(shí)的運(yùn)行環(huán)境為安全世界的執(zhí)行環(huán)境，可以執(zhí)行相應(yīng)的安全服務(wù)。

上述過程包括普通世界和安全世界的切換，以及用戶模式和特權(quán)模式的切換。 執(zhí)行環(huán)境的切換只有在各自世界的特權(quán)模式下才能實(shí)現(xiàn) ，但應(yīng)用的調(diào)用關(guān)系只能在 用戶模式下執(zhí)行 ，避免應(yīng)用越權(quán)使用系統(tǒng)級別的調(diào)用。（執(zhí)行和切換）

監(jiān)控模式中的代碼實(shí)現(xiàn)兩個(gè)虛擬運(yùn)行世界的上下文備份和恢復(fù)。CP15協(xié)處理器中的安全狀態(tài)寄存器SCR的NS位標(biāo)志著當(dāng)前處理器所處的安全狀態(tài)，該寄存器不允許被普通世界的應(yīng)用訪問。由于監(jiān)控器負(fù)責(zé)環(huán)境切換時(shí)對狀態(tài)的存儲(chǔ)和恢復(fù)，所以執(zhí)行環(huán)境的切換不需要在各自系統(tǒng)中增加環(huán)境切換代碼。

TrustZone通過優(yōu)化中斷向量表的設(shè)計(jì)避免惡意中斷攻擊，并滿足必要的執(zhí)行環(huán)境切換需求。

TrustZone把中斷向量表分成兩部分：安全的中斷向量表置于安全存儲(chǔ)器，而且指向安全的中斷處理程序；

非安全的中斷向量表和處理程序置于普通存儲(chǔ)器中，以避免某些惡意程序修改安全的中斷向量表和處理程序或其他通過非法手段進(jìn)入安全世界。

處理器執(zhí)行完安全任務(wù)后，TrustZone監(jiān)視器最后還要 執(zhí)行一遍SMI指令 ，其目的在于清除CP15的NS位。

監(jiān)視器還會(huì)將之前的內(nèi)容重新存回所有寄存器，使處理器恢復(fù)到之前的非安全狀態(tài)。

通過這種恢復(fù)機(jī)制，所有安全世界中的指令和數(shù)據(jù)還是原值，未受任何的修改，這也是安全世界之所以安全的關(guān)鍵。（函數(shù)的堆棧調(diào)用）

（3）TrustZone API

TrustZone API為希望獲取安全保護(hù)的應(yīng)用程序提供了一個(gè)標(biāo)準(zhǔn)接口，定義了運(yùn)行在普通世界中的客戶端與安全世界之間交互的接口，應(yīng)用程序必須通過調(diào)用TrustZone API才能被允許進(jìn)入安全世界。

應(yīng)用使用TrustZone API能夠與一個(gè)獨(dú)立于實(shí)際所在系統(tǒng)的安全部件進(jìn)行通信，使開發(fā)者能夠?qū)Ｗ⒂趹?yīng)用程序本身的功能和性能，并且縮短開發(fā)周期，同時(shí)保證應(yīng)用的安全性。

但是，希望使用TrustZone提供安全保護(hù)的應(yīng)用程序必須根據(jù)它們運(yùn)行的安全平臺(tái)進(jìn)行重寫，導(dǎo)致市場被過度細(xì)分，制約了應(yīng)用程序與服務(wù)之間良好的生態(tài)環(huán)境的形成。

客戶端包括應(yīng)用程序和Service Stub服務(wù)抽象層，調(diào)用普通世界下的TrustZone API呼出，通過TrustZone交互機(jī)制傳送給安全世界下的服務(wù)管理器和安全服務(wù)。

大部分的API函數(shù)都設(shè)計(jì)為客戶端程序與安全服務(wù)間的溝通橋梁，兩者通過結(jié)構(gòu)體信息（Structured Messages）及共享內(nèi)容（Shared Memory）這兩個(gè)機(jī)制形成通信信道。

當(dāng)傳遞的信息量較小時(shí)，可通過結(jié)構(gòu)體信息來傳送及溝通； 而當(dāng)傳遞的信息量較大時(shí)，則會(huì)直接將客戶端的memory映射到安全服務(wù)區(qū)的memory空間，然后通過該Share Memory作為客戶端與服務(wù)端之間直接存取信息的緩沖區(qū)。 （這個(gè)部分就是動(dòng)態(tài)TA加載）

2、SecureBoot安全啟動(dòng)技術(shù)

由于廠家版本的OS大多嵌入了相當(dāng)數(shù)量的廠家生態(tài)應(yīng)用，同時(shí)不明來源的系統(tǒng)鏡像和不可靠的刷機(jī)是系統(tǒng)風(fēng)險(xiǎn)引入的一個(gè)重要途徑，多數(shù)手機(jī)廠商希望用戶能保留和使用廠家的OS版本。另外，有的惡意病毒會(huì)通過從定向系統(tǒng)啟動(dòng)位置引入安全風(fēng)險(xiǎn)，由此提出了系統(tǒng)安全啟動(dòng)技術(shù)。

安全啟動(dòng)技術(shù)的邏輯大同小異，本節(jié)以展訊的SecureBoot為例說明。

展訊的SecureBoot安全啟動(dòng)技術(shù)采用多級認(rèn)證的機(jī)制，建立了自底向上的可信啟動(dòng)過程。

SecureBoot對系統(tǒng)軟件采用簽名認(rèn)證的方式，在手機(jī)出廠前對手機(jī)操作系統(tǒng)的Image文件進(jìn)行簽名認(rèn)證，計(jì)算簽名文件的散列值并寫入芯片的一次性可編程模塊。手機(jī)每次啟動(dòng)時(shí)先校驗(yàn)系統(tǒng)的散列值，然后對簽名Images逐級校驗(yàn)，實(shí)現(xiàn)從手機(jī)芯片到系統(tǒng)軟件的鏈?zhǔn)叫ｒ?yàn)過程。

防止非授權(quán)更改甚至替換手機(jī)原版操作系統(tǒng)中固件或者操作系統(tǒng)，避免手機(jī)出廠后沒有得到客戶簽名認(rèn)證的非授權(quán)操作，保護(hù)手機(jī)中原有的操作系統(tǒng)和軟件版本。

SecureBoot在啟動(dòng)過程中從Rom Code到Images采用了多層鏈?zhǔn)叫ｒ?yàn)機(jī)制；包括對RomCode的散列校驗(yàn)，對SPL的完整性的RSA校驗(yàn)。需要注意的是，RSA私鑰是SecureBoot的保障，需要小心保存。

SecureBoot安全啟動(dòng)的流程如下。

• （1）ROMCode讀取存儲(chǔ)于一次性可編程模塊中BSC（Base Station Controller，基站控制器）的散列值和UID（User Identification，用戶身份）。
• （2）加載SPL（Second Program Loader，第二次裝載系統(tǒng)）和BSC。
• （3）RomCode利用散列函數(shù)來驗(yàn)證BSC的完整性。
• （4）RomCode利用RSA算法來驗(yàn)證SPL的完整性。
• （5）加載和運(yùn)行安全操作系統(tǒng)引導(dǎo)程序。
• （6）驗(yàn)證和運(yùn)行安全操作系統(tǒng)。
• （7）SPL利用RSA算法驗(yàn)證UBoot。
• （8）UBoot利用RSA算法驗(yàn)證bootimage、recoveryimage、modem、sp等。