AxPROT & AxNSE
AXI协议中的内存保护和领域管理扩展(RME)涉及硬件层面的安全设计。
Memory protection还可以通过Realm Management Extension (RME)进行扩展。该扩展提供基于硬件的隔离,允许执行上下文在不同的安全状态中运行,并在系统中共享资源。当使用 RME 时,它会扩展物理地址和未转换事务的地址空间,影响缓存维护操作,并扩展 MPAM 信号。
RME与内存保护信号举例
为了直观理解,我们以一个云服务器场景为例。一台服务器同时运行着:
一个客户的隐私数据库(属于一个Realm领域)
云平台自身的监控程序(属于Root根状态)
此时,硬件需要确保:
客户的数据库内容绝对隔离,云平台自身也无法访问。
云平台的监控程序需要稳定运行,不受客户程序影响。
这就是RME和内存保护信号发挥作用的地方。
物理地址空间扩展:AWNSE/ARNSE信号
在引入RME之前,系统主要区分安全(Secure) 和非安全(Non-secure) 状态。RME在此基础上新增了Realm和Root状态,构成了四个物理地址空间。
Realm状态:用于客户的安全敏感工作负载。
Root状态:用于云平台自身的监控程序。
AWNSE/ARNSE (Non-Secure Extension) 信号位宽为1,用于帮助扩展物理地址空间。它们与原有的安全属性信号结合,共同确定一次内存访问属于哪个物理地址空间(Root, Realm, Secure, Non-secure)。
工作方式:
当CPU核心访问客户的”隐私数据库”时,RME硬件会确保事务携带Realm状态的标识(通过AxNSE等信号)。
内存系统中的内存保护引擎(MPE) 会检查这些信号。
如果云平台的监控程序(Root状态)试图访问一个标记为Realm的地址,MPE会直接阻止并产生错误。
这样就实现了硬件级的隔离,客户的隐私数据即使云平台也无法触及。
访问属性保护:AWPROT/ARPROT信号
AWPROT/ARPROT (Protection) 信号位宽为3,定义了事务的访问属性。这3个比特位的含义通常是:
Bit 0:权限标识(0=特权模式,1=用户模式)
Bit 1:读写标识(0=写,1=读)
Bit 2:数据/指令标识(0=数据访问,1=指令访问)
工作方式:
假设客户的Realm环境中,一个运行在用户模式的应用程序(低权限)试图直接写入内核才能管理的系统控制寄存器(高权限存储区)。
在发起写请求时,CPU会将该事务的
AWPROT
当这个事务到达内存系统或负责该寄存器所在地址范围的外设时,保护电路会检查
AWPROT
发现这是来自”用户模式”的访问,而该寄存器只允许”特权模式”访问,保护电路会阻止此次写入,并返回错误。
MPAM信号扩展
MPAM (Memory Partitioning and Monitoring) 用于监控和管理不同工作负载(如不同客户或应用)对共享内存资源(如缓存、内存带宽)的使用。在支持RME的系统中:
MPAM的分区ID (PARTID) 空间从4个物理地址空间扩展为4个独立的PARTID空间。
这意味着,Realm、Root、Secure和Non-secure状态各自拥有独立的资源监控分区。
好处:云服务商可以精确监控每个客户(Realm)实际消耗的内存带宽,同时避免使用共享PARTID空间可能产生的侧信道攻击。
为何如此设计?
硬件强制隔离是安全的基石:通过RME在硬件层面划分Root、Realm等物理地址空间,为可信固件(Root)和敏感任务(Realm)提供了硬性隔离。这种隔离无法通过软件配置绕过,极大提升了系统安全基线。
最小权限原则的细化落实:
AxPROT
资源管理与安全性的结合:MPAM与RME的结合,使得在保证隔离的前提下,能进行精细化的资源监控和管理。这对于多租户的云环境至关重要,既能保证公平性,又能消除通过资源使用模式推断敏感信息的侧信道风险。
技术诞生背景
应对云与数据中心的安全需求:现代云计算需要在一个物理系统上安全地运行多个互不信任客户的工作负载。传统的软件虚拟化在安全边界存在性能开销和潜在风险,促使了RME这类硬件辅助的机密计算技术出现,旨在确保客户数据在使用时(而不仅仅是存储时)的机密性和完整性。
Arm v9架构的机密计算战略:RME是Arm v9架构机密计算架构 (CCA) 的核心组成部分。AXI-K规范对RME的支持,是Arm将这一架构特性从处理器核心扩展到整个片上互联和系统IP的关键步骤,旨在为基于Arm v9的系统构建端到端的信任基础。
应对日益复杂的硬件攻击:如Spectre和Meltdown等侧信道攻击表明,软件层面的隔离不足以保证安全。RME和相关的内存保护机制是在硬件层面进行重新设计,力图从根源上阻断这类攻击媒介。
PROT_Present 和 RME_Support
这两个属性的设计,体现了协议在保证功能完整性的同时,为满足不同应用场景的复杂度和成本需求而提供的灵活性。
1. 举例说明
这两个属性本质上是 AXI 接口的 “功能开关”,允许设计者为不同的组件“按需付费”,只实现其必需的功能。
PROT_Present 属性
这个属性决定了
AxPROT
PROT_Present = True
行为:
AWPROT
ARPROT
举例:一个 CPU 或一个 复杂的系统级互联(System MMU)。CPU 需要运行操作系统,必须在用户模式和特权模式之间切换,并防止用户程序访问内核空间。因此,它必须使用
AxPROT
PROT_Present = False
行为:
AWPROT
ARPROT
举例:一个简单的 DMA 控制器 或一个 UART(串口)控制器。
DMA 控制器 通常只在特权模式下由驱动程序操作,它发起的所有的传输都被视为数据访问。它没有“用户模式”或“取指令”的概念。因此,它可以省略这些信号,硬件上将其接口固定连接到表示“特权数据访问”的电平上,或者直接忽略这些信号。
UART 控制器 作为从设备,它只关心数据是否正确写入其寄存器,而不关心是谁(用户程序还是内核)写的。因此,它也可以省略这些输入信号,简化自身设计。
RME_Support 属性
这个属性决定了 Realm Management Extension (RME) 相关的信号(主要是
AxNSE
RME_Support = True
行为:所有 RME 信号(如
AxNSE
举例:一个用于 机密计算云服务器 的 高性能 CPU 或 系统级缓存控制器。
CPU 需要能够创建和管理处于 Realm 安全状态的机密虚拟机,因此必须能生成
AxNSE
系统缓存控制器 必须能识别这些信号,以确保一个 Realm 虚拟机的内容不会被另一个虚拟机或 Hypervisor 通过缓存侧信道访问到。
RME_Support = False
行为:所有 RME 信号从接口上省略。
举例:一个用于 消费级智能家居设备 的 低功耗微控制器 或一个 简单的传感器 IP。
这类设备通常不需要运行多个互不信任的租户,也没有极端的机密性需求。为了实现更低的成本、更小的芯片面积和更低的功耗,它们选择不支持 RME 功能,从而省略了相关硬件逻辑。
这种可配置接口的设计,根本原因是为了在 功能、复杂性、成本与功耗 之间取得最佳平衡。
实现面积和功耗优化
每一个信号线都意味着芯片上的金属连线、输入/输出缓冲器以及相关的控制逻辑。通过允许简单的组件省略
AxPROT
AxNSE
满足不同市场层级的需求
协议通过默认值的设定,清晰地指向了主流市场。
PROT_Present = True
RME_Support = False
保证系统的可组合性
这种设计使得 SoC 架构师能够像搭积木一样,自由地将支持不同功能级别的 IP 核集成在一起。
一个复杂的 SoC 可以同时包含:
支持 RME 的高性能 CPU 集群(
RME_Support = True
不支持 RME 的简单外设和加速器(
RME_Support = False
互联结构负责处理这些差异,例如,当从一个不支持 RME 的组件发起事务时,互联可以为其分配一个默认的安全属性。
这种灵活的、可配置的接口规范,是 IP 核重用和 SoC 设计方法学成熟的直接结果。
IP 核产业与设计重用的驱动
ARM 等公司不仅销售 CPU,还销售一整套互联协议和各种控制器 IP(如 DMA、UART)。
背景:为了让同一个 IP 核(如一个 DMA 控制器)能够无缝地集成到从低端物联网设备到高端云服务器等不同定位的芯片中,这个 IP 核必须能够配置。
解决方案:通过
PROT_Present
RME_Support
对安全需求的代价认知
行业逐渐认识到,安全不是“有或无”的二元问题,而是一个需要权衡的谱系。
背景:为一个小型、封闭、受控的嵌入式系统(如恒温器)增加复杂的 Realm 管理逻辑,带来的只有成本和功耗上升,几乎没有安全收益。
解决方案:协议将高级安全特性(如 RME)设计为可选的、需要显式开启的功能,允许产品设计者根据其产品的实际威胁模型做出明智的选择。
接口标准化与碎片化的平衡
如果没有这些属性,就会产生两种糟糕的情况:要么所有接口都必须实现所有信号(造成资源浪费),要么每个厂商都定义自己的简化子集(导致互操作性灾难)。
解决方案:AXI 协议通过官方定义这些可选属性,在保持接口标准化的同时,合法地、可控地允许功能的子集化,完美地平衡了标准和灵活性。
总结:
PROT_Present
RME_Support
Protection attributes
保护属性分为三个部分.
Unprivileged / privileged
AXI 协议中通过
AxPROT[0]
1. 举例说明
AxPROT[0]
场景:一个用户应用程序(如文本编辑器)和 Linux 内核同时运行在同一个 CPU 上。
AxPROT[0] = 0
行为:该访问来自处理器的用户模式。
举例:
文本编辑器 需要将用户输入的文字存入其堆内存中。
CPU 在用户模式下执行编辑器的代码,发起一次写内存事务。
此时,CPU 会自动将
AxPROT[0]
0
这个写事务会顺利通过内存系统,数据被写入内存,因为用户程序访问自己的堆空间是合法的。
AxPROT[0] = 1
行为:该访问来自处理器的特权模式(如内核模式、监管者模式)。
举例:
文本编辑器通过系统调用(如
write
CPU 切换到内核模式,执行内核中的驱动程序代码。
内核需要配置 DMA 控制器 的寄存器,以启动磁盘写入。
当内核访问 DMA 控制器的内存映射寄存器时,CPU 会将
AxPROT[0]
1
这个访问被允许,因为只有特权代码才能操作硬件外设。
访问被阻止的场景
场景:文本编辑器(用户模式)试图直接写入 DMA 控制器的寄存器,以绕过内核控制硬件。
行为:
编辑器执行一条存储指令,目标地址是 DMA 控制器的寄存器地址。
CPU 在用户模式下,将
AxPROT[0]
0
这个事务到达系统互联或外设本身的内存保护单元。
保护单元检查:目标地址是“外设寄存器区域”,其属性被配置为“仅允许特权访问”。
结果:保护单元检测到
AxPROT[0]=0
操作系统会接收到这个错误,并通常以 “段错误” 终止该应用程序。
这种简单的二元分类是实现系统稳定性和安全性的基石。
实现基本的进程隔离
这是最主要的原因。它防止了一个普通的应用程序(如计算器或游戏)有意或无意地修改操作系统的关键数据 structures 或直接操控硬件,从而保证了一个应用程序的崩溃不会导致整个系统垮掉。
保护硬件资源
系统的硬件资源(如定时器、中断控制器、DMA 控制器)必须由可信的操作系统内核统一管理。特权级访问控制确保了只有内核代码才能配置这些资源,用户程序必须通过定义良好的系统调用接口来请求服务。
构建安全模型的基础
用户/内核的隔离是现代操作系统所有安全模型的起点。在此基础上,才能构建更复杂的权限模型、访问控制列表等。
这种设计的诞生,是计算机科学从单用户、无保护的批处理系统演进到多用户、多任务分时系统的必然结果。
早期系统的教训
在早期的计算机系统中,没有特权级的概念。所有程序都在同一个权限级别下运行。
背景:一个程序中的错误(如一个错误的指针)可以轻易地覆盖操作系统的代码或数据,导致整个系统立即崩溃。恶意软件也可以为所欲为。
解决方案:硬件引入了特权级模式。AXI 协议中的
AxPROT[0]
UNIX 设计哲学的影响
UNIX 及其衍生系统(如 Linux)的核心设计原则之一就是“一切皆文件”和“系统调用是访问资源的唯一方式”。
背景:这一哲学要求硬件提供一种机制,来强制用户程序通过内核来访问设备和其他特权资源。
解决方案:
AxPROT[0]
嵌入式系统的安全需求
即使在简单的嵌入式系统中,也常常需要区分“可信固件”和“不可信的应用代码”。
背景:例如,在汽车电子中,信息娱乐系统的应用不应有能力修改引擎控制单元的参数。
解决方案:即使没有完整的操作系统,也可以利用
AxPROT[0]
关于多级特权级的说明:
如文本所述,一些处理器(如 RISC-V、x86)支持多于两个的特权级。例如:
RISC-V 有 Machine(M)、Hypervisor(HS)、Supervisor(S)和 User(U)模式。
x86 有 Ring 0, 1, 2, 3。
AXI 协议本身不区分这些细粒度级别。处理器的职责是将它内部的复杂特权级别映射到 AXI 的二元模型上。通常的映射方式是:
最高特权级(如 x86 Ring 0, RISC-V M模式)->
AxPROT[0] = 1
最低特权级(如 x86 Ring 3, RISC-V U模式)->
AxPROT[0] = 0
中间级别通常也被映射为特权访问,因为它们同样需要访问用户程序不能访问的资源。
总结:
AxPROT[0]
Security attribute
AXI 协议中通过
AxPROT[1]
AxNSE
换句话说就是如果 AXI manger支持不同的安全操作状态,则可以使用安全属性将其扩展到其内存访问。具有不同安全属性的请求可以被视为占用不同的地址空间,因此同一地址可以根据安全属性解码到不同的位置。
通过一个集成了 ARM TrustZone 和 Realm Management Extension (RME) 技术的复杂 SoC 场景来理解,比如一台支持机密计算的智能手机或云服务器。
安全状态详解
1.
AxPROT[1]=0, AxNSE=0
类比:系统的 “保险库”。
行为:访问属于系统最受信任的代码和数据。
举例:
ARM TrustZone 的安全世界:运行着指纹、面部识别等生物特征处理代码、支付相关的加密密钥、设备的根密钥。任何非安全世界的应用程序(如一个游戏App)都无法访问这些区域。系统会确保安全世界的交易绝不会将数据泄漏到非安全世界。
2.
AxPROT[1]=1, AxNSE=0
类比:系统的 “公共区域”。
行为:访问属于普通的应用程序和操作系统。
举例:
ARM TrustZone 的非安全世界:运行着丰富的操作系统(如Android、Linux)和所有用户安装的应用程序。这是设备上绝大多数代码运行的地方。这些代码可以访问普通的DRAM、应用程序数据等,但被严格禁止访问“保险库”(安全世界)中的资源。
3.
AxPROT[1]=0, AxNSE=1
类比:系统的 “管理后台” 或 “上帝模式”。
行为:访问拥有最高权限,用于管理整个系统,包括其他安全状态。
举例:
Hypervisor 或安全监视器:负责在多个虚拟机或“领域”之间调度资源、配置系统内存保护单元、管理RME的翻译表。它需要访问所有状态的数据结构,因此拥有最高权限。它必须是最小、最可信的代码基。
4.
AxPROT[1]=1, AxNSE=1
类比:一个 “上锁的私人房间”,连房东(Hypervisor)也不能随意进入。
行为:访问属于一个被保护的、机密的工作负载。
举例:
一个机密虚拟机:在云服务器上,一个租户可以运行一个“领域”,其内存内容即使在运行时也是加密的,并且对Hypervisor(根状态)本身也是不可见的。Hypervisor可以调度该领域何时运行,但当它运行时,无法窥探其内存内容。这为云租户提供了硬件级别的机密性保证,即使云服务商本身也是不可信的。
地址解码的不同
规则:相同地址 + 不同安全属性 = 不同物理位置。
举例:假设一个 SoC 有一个内存映射的控制寄存器,位于地址
0x1000
当 Hypervisor(根状态) 访问
0x1000
当 一个领域(领域状态) 访问
0x1000
硬件中的地址解码器会同时查看地址
AxADDR
{AxNSE, AxPROT[1]}
这种多层次安全分类的核心目的是为了在复杂的计算环境中建立硬件强制、颗粒度可调的信任边界。
实现深度的防御
单一的安全/非安全划分(如传统TrustZone)可能不够。通过引入根和领域状态,系统可以建立一个分级信任模型。根状态最受信任,其次是安全状态,领域状态托管不可信代码但保护其机密性,非安全状态信任度最低。这限制了任何一个组件被攻破后所造成的损害。
支持新的计算范式(机密计算)
传统的安全模型保护静态数据(存储加密)和动态数据(传输中加密)。机密计算旨在保护使用中的数据。
领域状态的设立,正是为了在硬件层面支持机密计算,确保数据在内存中和CPU计算时,即使面对有特权的恶意Hypervisor,也能保持加密和完整性。
提供硬件强制隔离
与依赖操作系统正确配置的软件隔离不同,这种基于硬件的隔离是无法通过软件bug或恶意软件绕过的。安全属性是事务的固有标签,由硬件自动添加,并在整个内存系统中被严格执行。
这种安全属性的演进,直接响应了现代计算所面临的最严峻的安全挑战。
移动设备与支付安全的需求
背景:智能手机成为了人们的数字钱包,存储了敏感的生物信息和支付凭证。需要一种机制,将支付流程与手机上可能存在的恶意软件完全隔离开。
解决方案:ARM TrustZone 技术应运而生,引入了安全与非安全的二元划分。AXI 协议中的
AxPROT[1]
云计算与多租户环境的信任危机
背景:企业将工作负载迁移到云端,但无法信任云基础设施提供商本身。传统的虚拟机隔离技术无法防止拥有根权限的Hypervisor进行窥探。
解决方案:ARM CCA 和 RME 被创建出来,在TrustZone的基础上增加了根和领域状态。这使得云服务商能够管理硬件(根),但无法看到客户虚拟机(领域)的内存内容。AXI 协议通过新增
AxNSE
对侧信道攻击的应对
背景:像 Spectre 和 Meltdown 这样的攻击表明,通过分析缓存访问模式等共享资源,可以跨软件边界泄漏信息。
解决方案:RME 等新技术不仅在逻辑上隔离内存,还在物理上隔离了缓存、总线和其他共享资源的使用。
AxNSE
AxPROT
总结:AXI 协议中的安全属性编码,是现代计算安全演进的一个缩影。它从简单的双世界模型(TrustZone)发展为支持机密计算的四状态模型(RME),反映了行业对安全威胁不断加深的理解和应对。通过将安全状态作为事务的固有属性并在硬件层面强制执行,AXI 协议为构建从移动设备到云数据中心的、真正可信的计算环境提供了最底层的、不可或缺的基石。
Instruction / data
AXI 协议中
AxPROT[2]
通过 CPU 的典型操作来理解这个信号是如何工作的,以及为什么它只是一个“提示”。
AxPROT[2] = 0b0
行为:表示该事务访问的是数据。
举例:
CPU 加载/存储操作:当程序执行
LD R1, [R0]
ST R1, [R0]
AxPROT[2]
0
栈操作:执行
PUSH
POP
DMA 传输:DMA 控制器在内存与外设之间搬运数据,所有这些访问都是数据访问。
AxPROT[2] = 0b1
行为:表示该事务是为了获取指令以供 CPU 执行。
举例:
CPU 取指:当 CPU 需要执行下一条指令时,它会根据程序计数器(PC)的值发起一个读事务,并将
AxPROT[2]
1
0x8000
ADD R1, R2, R3
为什么它只是一个“提示”?
协议明确指出这个信号并非在所有情况下都准确。关键点在于建议 “除非确定是指令访问,否则应设置为数据访问”。
情况一:混合事务
场景:某些简单的微控制器或 DSP 可能支持宽指令字,一次可以读取多条指令,或者指令和数据混合在一个长的突发读取中。
行为:在这种情况下,管理器(Manager)可能无法为事务中的每一个字节都准确标记其属性,因此会选择最保守的方案,将其标记为数据访问(
AxPROT[2]=0
情况二:自我修改代码
场景:一个程序运行时修改了自己的代码段(虽然这是一种不好的实践,但可能发生)。
行为:
CPU 将新的指令代码写入代码区域。这是一个写操作,因此它被标记为数据访问(
AxPROT[2]=0
随后,CPU 从同一地址读取指令来执行。
关键点:系统(如缓存)需要能够处理这种不一致性。如果缓存严格区分指令缓存(I-Cache)和数据缓存(D-Cache),那么在数据写入后,它必须确保旧的指令副本从 I-Cache 中失效,以便 CPU 能取到新的指令。
AxPROT[2]
将指令/数据标识设计为“提示”而非“强制”,是一种在 实用性、性能和复杂度 之间的精妙平衡。
优化内存系统性能
这是最主要的原因。这个提示允许系统进行智能优化:
预取:如果系统探测到一连串的指令访问(
AxPROT[2]=1
缓存策略:系统可以选择将指令和数据存放在不同的缓存中(类似哈佛架构的缓存)。指令通常是只读的,这可以简化缓存一致性管理。
增强系统安全性
现代处理器普遍采用 “数据执行保护”(DEP) 或 “W^X(不可写且可执行)” 策略。
行为:内存保护单元(MPU)或内存管理单元(MMU)可以利用
AxPROT[2]
AxPROT[2]=1
效果:这可以有效防止一类常见攻击,即攻击者将恶意代码注入到数据区(如通过缓冲区溢出),然后跳转到该数据区执行。硬件会因权限错误而阻止执行。
简化硬件设计并保持灵活性
将其定义为“提示”,降低了对所有主设备的强制性要求。一个简单的 DMA 控制器根本不需要设置这个信号,可以永远将其置为0。
它为未来的架构创新保留了空间,比如涉及混合指令/数据的事务或新的执行模型。
这个信号的诞生和其“提示”属性的定义,深刻反映了计算机体系结构中 “哈佛架构” 与 “冯·诺依曼架构” 的融合与权衡。
哈佛架构与冯·诺依曼架构的融合
哈佛架构:具有分离的指令和数据存储器与总线。性能高,但灵活性差。
冯·诺依曼架构:共享指令和数据存储器与总线。灵活性好,但可能成为性能瓶颈。
背景:现代处理器在核心内部普遍采用哈佛架构(分离的L1 I-Cache和D-Cache)以获得高性能,但在芯片级别(通过系统总线访问统一的主内存)则采用冯·诺依曼架构以保持灵活性。
解决方案:
AxPROT[2]
应对安全威胁的演变
背景:在早期,计算环境相对单纯,代码注入攻击不是主要威胁。随着互联网的普及,缓冲区溢出攻击变得极其普遍和危险。
解决方案:硬件需要一种机制来区分“可以执行”和“可以写入”的内存。
AxPROT[2]
对“提示”价值的认可
背景:计算机设计者认识到,一个大部分时间正确的提示,远比一个必须永远正确的强制信号更有价值且更易于实现。
解决方案:通过建议“不确定时就设为数据”,协议确保了该信号在绝大多数情况下是可靠的(因为CPU最确定的就是取指操作),同时在那些模糊的、复杂的情况下,系统仍能安全地降级运行(即,不进行激进的优化,但保证功能正确)。
总结:
AxPROT[2]
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
