基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全.doc
《基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全.doc》由会员分享,可在线阅读,更多相关《基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全.doc(6页珍藏版)》请在三一文库上搜索。
1、基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全物联网(IoT)是嵌入式开发者的热门话题,IoT系统产品变得更加复杂,同时也需要更好的方案来保证系统的安全。本文介绍基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全。一、TrustZone技术介绍LPC5500系列MCU以Arm最新的Cortex-M33为核心,与前几代产品相比,改进了产品架构并提高了集成度;大幅减小了功耗,并提供高级安全功能,通过Arm TrustZone-M保护资产。近几年来,物联网(IoT)成为了嵌入式开发者的热门话题。IoT系统产品变得更加复杂
2、,同时也需要更好的方案来保证系统的安全。传统的方案是通过把软件分成特权和非特权两部分解决。特权级软件利用MPU防止非特权软件的应用,访问包含敏感信息在内的关键系统资源。这些方案对一些IoT系统非常适合,但是在一些情况下,只有两层划分是不够的。特别是那些包含很多复杂特权级别的软件组成的系统,特权级代码的一个缺陷,就可能导致黑客彻底的控制整个系统。为了更好地提高MCU的安全性能,Arm在ARMv8-M架构中引入了TrustZone技术。ARMv8-M中的TrustZone技术是一种可选择的安全扩展,旨在为各种嵌入式系统应用提供基本的安全保障。TrustZone技术将系统分为安全区和非安全区两部分,
3、并通过特殊的指令实现两种区域内函数的相互访问。TrustZone的概念不是最新的了,它被应用在Arm Cortex-A系列处理器中已经有一段时间了,现在被扩展到了ARMv8-M 处理器中,它与Cortex-A处理器中的TrustZone并不是完全相同的,本篇中所描述的TrustZone技术都是基于Cortex-M处理器的。1.1TrustZone的特性:允许用户将内存划分为安全和非安全区域;允许在未经过身份验证时阻止调试安全代码/数据;NVIC、MPU、SYSTICK、内核控制寄存器等也被备份到两个区域中 ,安全代码和非安全代码可以独立访问自己的资源;安全区和非安全区都有MSP和PSP堆栈指针
4、;提出了Secure Gateway的概念,非安全代码可以通过Secure Gateway访问特定的安全代码,这也是非安全代码访问安全代码的唯一方式;提供了一个Stack Limit Checking(堆栈限制检查)功能,可以用于检测堆栈溢出的情况。在Cortex-M33对应的ARMv8-M架构中,每个堆栈指针都有相应的堆栈限制寄存器。1.2Register banking上节提到一些有内核相关的寄存器也被备份到了安全/非安全区域中,下图展示了具体哪些通用/特殊寄存器被备份到两种内存中。1.3TrustZone 技术可以满足的安全需求Data protection:敏感数据可以存储在安全内存中
5、,只可以被安全软件访问。只有在安全检查和授权之后,非安全软件才可以访问安全APIs。Firmware protection:固件可以预装载在安全区域中,防止逆向操作和恶意攻击。Operation protection:关键操作可以像安全固件一样,被预加载到安全内存中,并且配置适当的外设仅在安全状态下访问。通过这种方式, 可以保护操作免受来自非安全端的入侵。Secure boot:安全启动机制可以使用户对自己的平台充满信心,因为它始终从安全内存启动。二、Secure/Non-Secure存储器配置在Cortex-M33中,如果选配了TrustZone技术,则4G的内存空间将被划分为安全和非安全内
6、存区域。安全内存空间又可以进一步划分为两种类型: Secure和Non-secure Callable(NSC)。三种内存区域的特性:Secure:安全数据只可以被安全代码访问,安全代码只有在CPU处于安全模式时才可以被执行;Non-secure:非安全数据可以被安全和非安全状态访问,但非安全代码只能在CPU处于非安全状态时被执行;Non-secure Callable(NSC):NSC区域作为非安全函数访问安全函数的跳板。非安全代码需要先跳转到NSC区域中,执行SG指令,然后再跳转到相应的的安全函数处执行,这也是NS代码访问S函数的唯一方式。引入NSC存储区的原因,是为了防止其他二进制数据(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于M33核NXP LPC55Sxx MCU拥有的TrustZone技术来实现IoT安全 基于 M33 NXP MCU 拥有 TrustZone 技术 实现 IoT 安全
链接地址:https://www.31doc.com/p-3411086.html