為了增強(qiáng)SoC的總線訪問(wèn)安全，阻止非法地址的訪問(wèn)行為，提出了基于AXI總線的分布式安全總線防火墻架構(gòu)。針對(duì)不同的任務(wù)制定了多級(jí)可動(dòng)態(tài)更新的安全策略，設(shè)計(jì)了具有較低延時(shí)的高速總線防火墻接口，增加了安全更新模塊來(lái)保證策略配置與更新安全，結(jié)合系統(tǒng)的任務(wù)管理機(jī)制實(shí)現(xiàn)了面向多任務(wù)處理的任務(wù)隔離機(jī)制。實(shí)驗(yàn)結(jié)果表明，該防火墻的傳輸延時(shí)小、資源消耗少，可實(shí)現(xiàn)任務(wù)隔離。

0 引言

隨著SoC(System-on-Chip)的發(fā)展與廣泛應(yīng)用，SoC面臨的安全威脅與攻擊手段[1-2]也更為復(fù)雜，嵌入式系統(tǒng)安全已成為不容忽視的重要問(wèn)題。由于傳統(tǒng)的嵌入式軟件防護(hù)能力較弱，具有較大的延遲，易對(duì)系統(tǒng)造成性能損失，因此單純依靠軟件層面的安全機(jī)制已很難有效應(yīng)對(duì)層出不窮的攻擊手段。

目前，已有眾多學(xué)者在不修改處理器結(jié)構(gòu)的基礎(chǔ)上，提出了基于總線的硬件安全增強(qiáng)機(jī)制。Fiorin提出一種基于NoC(Network-on-Chip)總線的安全探針和安全管理單元的保護(hù)機(jī)制，通過(guò)安全探針監(jiān)控總線數(shù)據(jù)進(jìn)出信息，安全管理單元收集探針信息來(lái)檢測(cè)沖突與錯(cuò)誤。Coburn J基于AHB總線提出了SECA的安全總線結(jié)構(gòu)，在各個(gè)IP模塊總線接口配置了安全增強(qiáng)接口(Security-Enhanced Interface，SEI)，同時(shí)設(shè)計(jì)了安全增強(qiáng)模塊(Security-Enhanced Module，SEM)作為中央管控模塊協(xié)調(diào)各SEI模塊工作。Cotret P、Crenne J等人在Coburn研究的基礎(chǔ)上，引入基于總線的分布式防護(hù)結(jié)構(gòu)，在各IP總線接口設(shè)置局部防火墻，實(shí)現(xiàn)地址的訪問(wèn)控制，并在片外存儲(chǔ)器接口設(shè)計(jì)了局部密碼防火墻，保護(hù)重要數(shù)據(jù)的機(jī)密性和完整性。但是該方案只是對(duì)地址進(jìn)行監(jiān)控，在多任務(wù)處理下，單獨(dú)的地址訪問(wèn)操作可能屬于不同的任務(wù)行為，因此不能實(shí)現(xiàn)任務(wù)的隔離。

本文借鑒了網(wǎng)絡(luò)防火墻的安全隔離思想與Cotret P的分布式架構(gòu)，提出了基于AXI總線的分布式安全總線防火墻架構(gòu)，制定了多級(jí)可動(dòng)態(tài)更新的安全策略，設(shè)計(jì)了具有較低延時(shí)的高速總線防火墻接口，實(shí)現(xiàn)了面向多任務(wù)處理的任務(wù)隔離機(jī)制。?

1 總線防火墻架構(gòu)設(shè)計(jì)

1.1 防火墻總體架構(gòu)

總線防火墻部署于SoC通信鏈路上，介于總線與IP之間，是嵌入式系統(tǒng)的硬件底層安全防線。為減輕總線防火墻負(fù)載，并利用AXI總線的點(diǎn)對(duì)點(diǎn)突發(fā)傳輸特性，本文采用分布式的總線防火墻架構(gòu)，即在每個(gè)IP接口與總線之間增加防火墻模塊，如圖1所示。

安全總線防火墻的架構(gòu)由軟件層和SoC硬件架構(gòu)組成。軟件層運(yùn)行多任務(wù)處理的嵌入式操作系統(tǒng)，包括安全任務(wù)與非安全任務(wù)，各個(gè)任務(wù)之間有不同的資源訪問(wèn)權(quán)限。

硬件層由CPU、DMA、Memory、各個(gè)IP模塊組成，模塊之間通過(guò)AXI總線互連。安全防火墻位于總線與IP模塊之間，由防火墻接口與片上 BRAM(Block RAM)組成。防火墻接口根據(jù)BRAM的安全策略實(shí)施訪問(wèn)控制，其基本特征就是阻止非法地址訪問(wèn)，目的是實(shí)現(xiàn)安全任務(wù)與非安全任務(wù)的隔離。防火墻的安全性由安全策略保證，安全策略只可由安全更新模塊配置與更新。

1.2 防火墻安全策略設(shè)計(jì)

安全策略存儲(chǔ)在片上BRAM，一條策略占用一個(gè)字空間，由一個(gè)地址標(biāo)識(shí)。每條策略為每個(gè)給定的物理地址空間（帶下邊界與上邊界）設(shè)定訪問(wèn)權(quán)限。

安全策略根據(jù)任務(wù)分組，同一任務(wù)的策略稱之為一個(gè)策略組，由任務(wù)ID尋址標(biāo)識(shí)。安全策略組在上電時(shí)由安全更新模塊配置，運(yùn)行過(guò)程中只可由安全更新模塊更新，是一個(gè)可信區(qū)域。

面對(duì)復(fù)雜的SoC系統(tǒng)，安全策略數(shù)量眾多，策略存儲(chǔ)會(huì)占用大量的存儲(chǔ)空間。為減少策略存儲(chǔ)空間，本文提出策略組間白名單、組內(nèi)黑名單的混合存儲(chǔ)策略。策略組存儲(chǔ)采取白名單策略，只有在白名單之列的任務(wù)可以訪問(wèn)該模塊，否則直接拒絕訪問(wèn)，具有更高的安全性。安全策略組內(nèi)采用黑名單存儲(chǔ)策略，不在黑名單中的訪問(wèn)行為默認(rèn)可讀可寫，直接允許。

為了增加安全策略的安全性與靈活性，本文設(shè)計(jì)了多級(jí)可動(dòng)態(tài)更新的安全策略。安全策略設(shè)定3個(gè)安全等級(jí)：正常級(jí)別、警告級(jí)別、錯(cuò)誤級(jí)別。正常級(jí)別為系統(tǒng)初始化后的各模塊的安全級(jí)別，表示系統(tǒng)任務(wù)處于正常狀態(tài)。警告級(jí)別表示系統(tǒng)出現(xiàn)了非法訪問(wèn)行為，并禁止該危險(xiǎn)任務(wù)對(duì)該模塊的所有訪問(wèn)權(quán)限。錯(cuò)誤級(jí)別表示出現(xiàn)了較為嚴(yán)重的安全威脅，系統(tǒng)所有任務(wù)的訪問(wèn)都將禁止，只有關(guān)機(jī)重啟有效。安全級(jí)別的更新是發(fā)生訪問(wèn)違規(guī)后作出的反應(yīng)行為。當(dāng)非關(guān)鍵任務(wù)出現(xiàn)訪問(wèn)違規(guī)時(shí)，則將其安全級(jí)別由正常級(jí)別提升為警告級(jí)別；當(dāng)關(guān)鍵任務(wù)出現(xiàn)訪問(wèn)違規(guī)時(shí)，則將正常級(jí)別直接跳躍提升為錯(cuò)誤級(jí)別，強(qiáng)制終止系統(tǒng)運(yùn)行。

安全策略的參數(shù)包括策略組參數(shù)與策略參數(shù)，如圖2所示。策略組參數(shù)由任務(wù)ID、策略數(shù)量組成；策略參數(shù)由讀寫權(quán)限、安全級(jí)別、策略域值組成。讀寫權(quán)限采用黑名單存儲(chǔ)策略，包括禁讀、禁寫、禁讀寫。策略域值表示策略監(jiān)控的地址空間,包括基地址偏移量和長(zhǎng)度。

1.3 防火墻接口設(shè)計(jì)

AXI總線采用突發(fā)傳輸，因此防火墻只需在握手過(guò)程中分析其首地址、握手信號(hào)、突發(fā)傳輸SIZE等總線信號(hào)來(lái)實(shí)現(xiàn)訪問(wèn)控制。根據(jù)安全策略規(guī)則，其設(shè)計(jì)原理如圖3所示。?

行為分析模塊是判斷當(dāng)前訪問(wèn)的讀或?qū)懶袨椤?a href="http://www.nxhydt.com/tags/時(shí)鐘/" target="_blank">時(shí)鐘同步模塊，用于延遲握手信號(hào)，滿足AXI總線的傳輸時(shí)序。讀模塊讀取安全策略內(nèi)容，需要消耗一個(gè)時(shí)鐘周期。校驗(yàn)?zāi)K則根據(jù)讀取到的安全策略與訪問(wèn)的地址進(jìn)行比對(duì)。校驗(yàn)成功，決策模塊則允許訪問(wèn)行為，否則終止行為并將數(shù)據(jù)端置0。

快速查找單元?jiǎng)t是一個(gè)類似于TCAM(Ternary Content Addressable Memory)容器的列表，自身存儲(chǔ)每個(gè)任務(wù)安全策略監(jiān)控的地址空間和長(zhǎng)度，如圖4所示，在防火墻監(jiān)控狀態(tài)下，根據(jù)TaskID選擇安全策略組，通過(guò)訪問(wèn)地址addr、突發(fā)SIZE長(zhǎng)度，可快速定位到其安全策略的地址。根據(jù)黑白名單存儲(chǔ)策略規(guī)則，若noID=1,直接拒絕；若noSP=1則直接允許。

防火墻有3種工作狀態(tài)，包括空閑狀態(tài)、監(jiān)控狀態(tài)、更新?tīng)顟B(tài)，其狀態(tài)轉(zhuǎn)換圖如圖5所示。