本发明专利技术扩展到用于配置、实施和监控可信执行环境的分离的方法、系统和计算机程序产品。无需更改现有应用源代码,可生成与多个分离执行域的配置一致的固件映像。可以在处理器处加载加密签名的固件映像,以在处理器处形成多个分离执行域。通信可以跨分离执行域被保护,而无需使用共享存储器。无需使用共享存储器。无需使用共享存储器。
【技术实现步骤摘要】
【国外来华专利技术】配置、实施和监控可信执行环境的分离
[0001]相关申请的交叉引用
[0002]本申请要求Cesare Garlati的标题为“Methods and system for securing multiple execution domains in RISC-V processors”的美国临时专利申请序列号62/689,205的权益和优先权,其全部内容通过引用明确地并入。本申请要求Cesare Garlati等人的标题为“Methods and system for securing multiple execution domains in ARM processors”的美国临时专利申请序列号62/796,967的权益和优先权,其全部内容通过引用明确地并入。本申请要求Cesare Garlati等人的标题为“Methods and system for securing multiple execution domains in MIPS processors”的美国临时专利申请序列号62/796,991的权益和优先权,其全部内容通过引用明确地并入。本申请要求Cesare Garlati等人的标题为“Methods and system for securing multiple execution domains in extended instruction set processors”的美国临时专利申请序列号62/801,091的权益和优先权,其全部内容通过引用明确地并入。
[0003]背景
1.专利
<br/>[0004]本专利技术大体上涉及配置计算机系统,且更具体地涉及配置、实施(enforcing)和监控可信执行环境的分离。
[0005]2.相关技术
[0006]许多当前的计算机系统环境(包括RISC-V、Arm和MIPS系统)在属于不同软件应用的数据、代码和外围设备之间缺乏分离。因此,这些计算机系统本质上是不安全的。例如,RISC-V处理器提供内存管理单元(MMU)和虚拟内存功能。然而,即使这些机制也不够安全。MMU的功能通常由富操作系统(如Linux)控制,该富操作系统过于复杂以至于无法被认为没有缺陷。至少一个平台经由专门的硬件(例如,单独的CPU和存储器)确实提供了物理资源分离。这种布置在某种程度上更安全,但是提供有限(例如,仅2个)执行模式(例如,安全和不安全)。因此,甚至这些布置也无法满足对于许多(例如,现代)应用的安全和安全性要求。
[0007]附图简述
[0008]关于以下描述和附图,将更好地理解本专利技术的具体特征、方面和优点,其中:
[0009]图1图示了通用计算设备的简化示例框图。
[0010]图2图示了便于生成定义多个分离的执行域(separated execution domain)的固件映像的示例计算机架构。
[0011]图3图示了用于生成定义多个分离的执行域的固件映像的示例方法的流程图。
[0012]图4A图示了便于形成和执行多域执行环境的示例计算机架构。
[0013]图4B1至图4B3图示了便于在多域执行环境中同时执行多个可执行程序的图4A的示例计算机架构。
[0014]图5图示了用于同时执行多个可执行程序的示例方法的流程图。
[0015]图6图示了定义执行域的示例配置文件。
[0016]图7图示了便于生成包括多个分离的执行域的加密签名的固件映像的计算机架构。
[0017]图8图示了简化的示例多域执行环境。
[0018]图9图示了示例API定义。
[0019]详细描述
[0020]本专利技术扩展到用于配置、实施和监控执行环境的分离的方法、系统和计算机程序产品,包括数据、程序和外围设备入口。一般来说,在无需更改现有应用源代码的情况下,可生成与多个分离的执行域的配置一致的固件映像。此外,在不使用共享存储器的情况下,通信可以跨分离的执行域被保护。
[0021]因此,本专利技术的各方面向基本上无限数量的执行域提供了对数据、程序和外围设备的动态硬件强制分离。分离可以在没有内存管理单元(MMU)、虚拟内存功能或丰富的操作系统的情况下实现(尽管分离可以在存在这些和其他组件的情况下与其一起工作)。多个执行域可以同时执行,而无需针对安全和安全性的专用硬件组件。
[0022]在某些方面,RISC-V物理内存保护(PMP)利用了至少两个级别的特权执行。在其他方面,ARM处理器或MIPS处理器内存保护技术(如内存保护单元(MPU))利用了至少两级的特权执行相结合。在一个方面,可验证软件层(例如,安全监控)以较高(可能最高)的特权级别(例如,M模式)执行。可验证软件层动态地切换处理器状态,以对以较低特权级别(例如,U模式或S模式)运行的执行域实施分离和安全策略。
[0023]在另一个方面,可验证软件层提供基于消息的机制(例如,API定义900中的群组902),以允许执行域之间的域间通信,而不使用诸如缓冲区的内存共享数据结构。在又一方面,可验证软件层提供专有软件API实现(例如,系统调用、可执行代码、库等),其便于从较低特权模式(例如,API定义900中的群组905)安全执行选定的较高特权指令。专有软件API可以利用可信执行环境的特征,在不损害处理器安全模型的情况下,由每个单独的执行域以较低特权模式捕获和模仿较高特权模式指令。专有软件API可以实现开源API定义(例如,在PDF、Word或power point文件中定义的)。在一个方面中,开源API定义是以C语言头文件的形式提供的。
[0024]通常,配置系统可以为基本上无限数量的分离的执行域配置物理内存保护(PMP)范围、读/写/执行策略和运行时行为(包括指令隔离(instruction fencing))。配置系统可以包括用户界面,例如图形用户界面(GUI)、命令行界面、集成开发环境(IDE)插件或例如(基于超文本标记语言(HMTL))的网络浏览器界面。通过用户界面,用户可以输入定义多个分离的执行环境的配置,包括配置设置、创建配置文件等。
[0025]无需改变现有的应用源代码,配置系统可以生成与定义的多个分离的执行环境一致的加密签名的固件映像。固件映像可以在(例如,嵌入式)处理器上被验证和加载,以初始化与所定义的多个分离的执行环境一致的处理器。固件的真实性和完整性可以使用加密技术进行验证,包括哈希算法、摘要(digests)和数字签名认证(DSA)。
[0026]在运行时,处理器可以同时执行多个应用,每个应用运行在其自己的安全上下文(域)中,而无需额外的操作系统软件。基于裸机微内核的抢占式调度器(preemptive scheduler)可以以特定的(例如,规则的)间隔在安全上下文(例如,API定义900中的群组901中的ECALL_YIELD())之间切换,并防止有故障的执行域包括其他执行域。在安全上下
文之间进行切换可以包括切换物理内存保护上下文和每个单独执行域的安全策略。切换可以在没有内存管理单元且没有本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于生成包括多个分离的执行域的固件映像的方法,包括:访问第一可执行程序;访问第二可执行程序;访问安全监控可执行程序;访问安全策略,所述安全策略定义第一安全上下文和第二安全上下文,所述第一安全上下文定义第一闪速存储器地址范围和第一系统存储器地址范围,所述第二安全上下文定义第二闪速存储器地址范围和系统存储器地址范围,所述第一闪速存储器地址范围不同于所述第二闪速存储器地址范围并且与所述第二闪速存储器地址范围不重叠,所述第一系统存储器地址范围不同于所述第二系统存储器地址范围并且与所述第二系统存储器地址范围不重叠;和根据所述安全策略导出包括所述第一可执行程序、所述第二可执行程序和所述安全监控可执行程序的固件映像,包括:根据所述第一安全上下文配置第一执行域,包括将所述第一执行域限制为使用所述第一闪速存储器地址范围中的闪速存储器和使用所述第一系统存储器地址范围中的系统存储器;将所述第一可执行程序配置为在所述第一执行域中运行;根据所述第二安全上下文配置第二执行域,包括将所述第二执行域限制为使用所述第二闪速存储器地址范围中的闪速存储器和使用所述第二系统存储器地址范围中的系统存储器;将所述第二可执行程序配置为在所述第二执行域中运行;和将所述安全监控可执行程序配置为以相对于所述第一执行域和所述第二执行域的更高特权级别运行,并且以特定间隔在所述第一执行域和所述第二执行域之间切换处理器资源。2.根据权利要求1所述的方法,还包括:安装根据所述多个分离的执行域初始化处理器的所述固件映像。3.根据权利要求1所述的方法,其中,根据所述安全策略导出所述固件映像包括导出所述固件映像以包括在所述第一执行域和所述第二执行域之间的硬件实施的分离。4.根据权利要求1所述的方法,还包括对所述固件映像加密签名。5.根据权利要求1所述的方法,其中,根据所述安全策略导出所述固件映像包括从目标平台处可用的存储器配置选项中选择合适的存储器配置。6.根据权利要求5所述的方法,其中,选择合适的存储器配置包括从以下各项中选择合适的存储器配置:TOR、NAPOT或4B。7.根据权利要求1所述的方法,其中,根据所述安全策略导出所述固件映像包括验证所述安全策略未被配置为干扰所述安全监控可执行程序的操作。8.根据权利要求1所述的方法,其中,根据所述安全策略导出所述固件映像包括将所述第一执行域配置为超过在...
【专利技术属性】
技术研发人员:切萨雷,
申请(专利权)人:海克斯伍安全公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。