基于ARM開發(fā)板平臺的嵌入式軟件保護(hù)方案

從軟件到軟硬件聯(lián)合攻擊給嵌入式系統(tǒng)造成嚴(yán)峻的安全威脅。安全性已成為嵌入式系統(tǒng)設(shè)計中必不可少的一部分，同時這又是一個折衷的過程，不能單靠軟件來保證，而全硬件的解決方式很昂貴且不具有彈性。很多產(chǎn)品開始從設(shè)計之初就從系統(tǒng)架構(gòu)上考慮了安全性，如ARM公司的TruSTZONe技術(shù)開辟了一片可信代碼區(qū)，近年來。通過一個S比特來區(qū)分系統(tǒng)的安全狀態(tài)，IBMPowerPC中使用了多核單元寬帶引擎（BE進(jìn)行安全引導(dǎo)和物理隔離。

嵌入式軟件與嵌入式系統(tǒng)是密不可分的，嵌入式系統(tǒng)是“控制、監(jiān)視或者輔助設(shè)備、機(jī)器和車間運行的裝置”，就是以應(yīng)用為中心，以計算機(jī)技術(shù)為基礎(chǔ)，并且軟硬件可裁剪，適用于應(yīng)用系統(tǒng)對功能、可靠性、成本、體積、功耗有嚴(yán)格要求的專用計算機(jī)系統(tǒng)。它一般由嵌入式微處理器、外圍硬件設(shè)備、嵌入式操作系統(tǒng)以及用戶的應(yīng)用程序等四個部分組成，用于實現(xiàn)對其他設(shè)備的控制、監(jiān)視或管理等功能。而嵌入式軟件就是基于嵌入式系統(tǒng)設(shè)計的軟件，它也是計算機(jī)軟件的一種，同樣由程序及其文檔組成，可細(xì)分成系統(tǒng)軟件、支撐軟件、應(yīng)用軟件三類，是嵌入式系統(tǒng)的重要組成部分。嵌入式軟件廣泛應(yīng)用于國防、工控、家用、商用、辦公、醫(yī)療等領(lǐng)域，如我們常見的移動電話、掌上電腦、數(shù)碼相機(jī)、機(jī)頂盒、MP3等都是用嵌入式軟件技術(shù)對傳統(tǒng)產(chǎn)品進(jìn)行智能化改造的結(jié)果。

1 硬件結(jié)構(gòu)

ARM通過總線方式對NorFlash進(jìn)行訪問，本方案的硬件處理器平臺采用三星公司的S3C2442內(nèi)核為ARM920T外置1塊2MBNorFlash用以存放密文數(shù)據(jù)。該硬件結(jié)構(gòu)中最重要的部分是添加了1塊安全協(xié)處理器：福華公司的嵌入式系統(tǒng)軟件保護(hù)芯片F(xiàn)S8826該芯片可通過I2C或SPI總線與SOC連接，這里使用I2C方式。PC機(jī)能夠?qū)τ布脚_中的每個芯片進(jìn)行編程控制：通過JTA G端口、串口及網(wǎng)口與ARM進(jìn)行通信，通過專門的燒錄器對FS8826硬件密鑰和安全存儲區(qū)進(jìn)行寫入。

2 軟件實現(xiàn)

軟件設(shè)計從兩個主要方面考慮,一是代碼加密,二是版權(quán)認(rèn)證。前者主要通過AES(Advanced Encryptiong Standard)加解密算法實現(xiàn)，其算法密鑰的管理以及版權(quán)認(rèn)證將依靠FS8826來實現(xiàn),最終達(dá)到安全啟動嵌入式操作系統(tǒng)以及保護(hù)運行時的版權(quán)目的。安全啟動方案基于Bootloader+Image的加載機(jī)制，也是ARM處理器通用的引導(dǎo)機(jī)制。首先采用AES加解密算法在PC機(jī)端將編譯完成Image加密，利用FS8826安全存儲區(qū)存放AES算法密鑰，密文存儲在片外存儲器中，ARM啟動時將密文加載入內(nèi)存。然后在Bootloader啟動過程時加入與FS8826的認(rèn)證操作，認(rèn)證通過則在該過程中使用AES解密算法解密Image，并用明文將原內(nèi)存中的密文覆蓋，系統(tǒng)正常運行中加入與FS8826的實時通信監(jiān)測，確保在授權(quán)目標(biāo)機(jī)上運行程序。軟件實現(xiàn)流程如圖2所示，相應(yīng)的方案實現(xiàn)框圖如圖3所示。

2.1 AES算法

目前對稱加密領(lǐng)域內(nèi)的主流算法。其數(shù)據(jù)分組固定為128bit, AES美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST選定的高級加密標(biāo)準(zhǔn)。密鑰分組可支持128bit/192bit/256bit核心過程為數(shù)據(jù)塊矩陣的Nr10/12/14次輪操作。每一次輪操作都由S盒代換（SubByt行移位（ShiftRow列混淆（MixColumn和輪密鑰加（AddRoundKei4個函數(shù)組成，第Nr次輪操作不包含MixColumn函數(shù)。密鑰擴(kuò)展為每一輪變換提供輪密鑰[2]本方案中加密在PC機(jī)端離線完成，沒有時間和運行效率的特別要求，但是解密在ARM9處理器中完成，其運行時間將作為系統(tǒng)啟動的一部分，所以下面針對解密部分的算法程序結(jié)合其實現(xiàn)平臺進(jìn)行優(yōu)化設(shè)計。

解密的輪變換中交換逆行移位和逆S盒代換，輪密鑰加和逆列混淆的順序，只需要調(diào)整密鑰的編排方案即可。實現(xiàn)中等價解密過程可以將解密輪變換中的前3個步驟綜合生成1張4KBT表用于查詢，即可快速準(zhǔn)確地完成解密。直接的解密算法是將加密過程的每一步求逆并倒置次序得到，然而這樣并不利于優(yōu)化。算法的創(chuàng)始人提出了一種等價解密過程。

如果變量長度與ARM內(nèi)部寄存器長度不一致，1數(shù)據(jù)類型設(shè)置：ARM處理器內(nèi)部是32bit寄存器。將會使得變量的存取都需要附加其他指令[3]AES算法中密鑰及數(shù)據(jù)都是以字節(jié)為單位運算，優(yōu)化時調(diào)整為32bit僅在輸入輸出時進(jìn)行位數(shù)變換，可以帶來很大的速度改進(jìn)。

循環(huán)執(zhí)行Nr-1次。等價解密算法融合了3個子函數(shù)形成T表查詢，循環(huán)展開：ARM處理器中每一次循環(huán)最少有4個周期的循環(huán)開銷解密輪變換涉及4個子函數(shù)調(diào)用。于是可以把輪變換展開，不增加太多代碼量的基礎(chǔ)上，每一個數(shù)據(jù)分組解密減少4Nr-1個周期。當(dāng)密鑰位長、密文數(shù)據(jù)量大時節(jié)省的循環(huán)開銷就比較可觀。

應(yīng)盡量限制函數(shù)內(nèi)部循環(huán)所用局部變量的數(shù)目， 控制變量數(shù)：為了高效執(zhí)行1個函數(shù)。最多不超過12個，確保最重要的和經(jīng)常用到變量都被分配在寄存器里。

2.2 FS8826功能實現(xiàn)

具有不可回讀、不可在總線上傳輸?shù)奶攸c，F(xiàn)S8826芯片自帶24B硬件密鑰。主要用于芯片內(nèi)部的認(rèn)證模塊運算（HA SH&3DES和安全數(shù)據(jù)傳輸。芯片內(nèi)部開辟了1塊安全存儲區(qū)(96BEEPROM讀寫都受硬件密鑰的保護(hù)，且具有CRC校驗功能。本方案中該芯片主要實現(xiàn)兩方面功能：SoC版權(quán)確認(rèn)和AES密鑰管理。前者通過認(rèn)證實現(xiàn)，具體流程如圖5所示。總線上發(fā)送的數(shù)據(jù)為硬件密鑰與用戶設(shè)置的認(rèn)證區(qū)數(shù)據(jù)通過HA SH運算得出的數(shù)組，并加入了8B隨機(jī)數(shù)，能夠有效地防止重放攻擊(repliattack該項功能能夠提供代碼完整性驗證[4]一定程度上抵抗反匯編攻擊。后者通過將AES密鑰燒入FS8826安全存儲區(qū)，由其硬件密鑰進(jìn)行保護(hù)實現(xiàn)，認(rèn)證通過后發(fā)送加密的讀取命令，算法密鑰以密文形式在總線上傳遞。

2.3 Vxworks啟動、運行

并在其調(diào)用的初始化文件（bootConfig.c中加入與FS8826安全認(rèn)證、密鑰傳輸以及解密運算。bootrom_uncmp由仿真器燒入到目標(biāo)板的norflash中，VxWork操作系統(tǒng)的映像包括兩大類：VxWork類型和Boorom類型[5]本文對RA M中運行的VxWork映像在PC機(jī)端進(jìn)行AES加密。選擇執(zhí)行格式的未壓縮Bootrom映像—bootrom_uncmp作為啟動映像。上電后，bootrom_uncmp把自身拷貝到RA M_HIGH_A DRS地址上運行引導(dǎo)程序。之后，把VxWork映像裝入到起始地址為RA M_LOW_ADRSRA M中，接著跳轉(zhuǎn)到VxWork映像裝入點運行[5]如果認(rèn)證通過，引導(dǎo)程序?qū)腇S8826安全存儲區(qū)獲取AES算法密鑰，進(jìn)行解密，否則在RA M_LOW_A DRS處的VxWork映像將仍然為密文，無法正常啟動。

加載的明文映像開始運行，同時， 系統(tǒng)安全啟動后。隱藏在映像中認(rèn)證程序也將開始運行，并定時與FS8826通信，確保持有正確硬件密鑰的芯片運行正常，以防黑客移植代碼非法使用。

3 實現(xiàn)結(jié)果及分析

通過ADSDebuggInternal工具從速度和內(nèi)存占用量兩方面衡量實現(xiàn)效率[2]如表1所示為在ARM9處理器中2種算法所耗的匯編指令數(shù)和指令周期數(shù)。表 2為兩者占用的內(nèi)存資源對比。 按照ARM平臺下的優(yōu)化原則，A ES解密算法通過直接解密和等價解密2種形式進(jìn)行實現(xiàn)。

等價解密算法中使用了T表，從表中結(jié)果可以看出。且將循環(huán)展開造成了代碼量的增加。所以在實際使用時，對內(nèi)存資源的要求高于速度要求時建議采用直接解密算法，反之則可采用等價解密算法。這里所用的ARM9有足夠的內(nèi)存空間，所以采用128bit密鑰的等價解密算法，以1MBVxwork密文映像為對象進(jìn)行啟動測試。

然后通過NandFlash加載文件。實際測試中對1MB密文的讀取耗時1.4s可以對密文讀取方式進(jìn)行優(yōu)化，正常啟動中先由NorFlash建立文件系統(tǒng)。將密文燒入片外NorFlash中，系統(tǒng)上電后，內(nèi)存從NorFlash中獲取密文的讀取方式，時間為0.03s這種差別的原因主要有2點：1文件系統(tǒng)訪問方式下用fopen和fread函數(shù)打開密文，解密后的數(shù)據(jù)還需寫回到文件中重新讀取，且會受時鐘頻率及總線速度的限制。而后者屬于內(nèi)存直接讀取，解密后直接從內(nèi)存啟動；2NorFlash讀取速度本身就比NandFlash要快。

保證主映像運行在授權(quán)目標(biāo)機(jī)上。認(rèn)證過程中的運算都在FS8826芯片內(nèi)進(jìn)行，不會對主映像的運行速度造成影響，經(jīng)過測試每次認(rèn)證耗時0.16s如果安全級別要求不是很高，也可以選擇采用復(fù)位芯片的方式進(jìn)行監(jiān)測，每次僅耗時0.01s 系統(tǒng)啟動后進(jìn)行的定時認(rèn)證，可以監(jiān)測與FS8826正常通信。

ARM為客戶提供16/32位嵌入式RISC微控制器方案，將其RISC處理器授權(quán)給電子公司使用，在便攜式通訊，手持計算設(shè)備，消費類和數(shù)字化多媒體方案中，ARM正有一種成為標(biāo)準(zhǔn)的趨勢。ARM7、ARM9是ARM系列中的兩個分支系列，ARM9功能更強(qiáng)些，它還有其他分支系列。ARM公司是一個只做設(shè)計不生產(chǎn)的公司，它提供各種不同性能的ARM核，如果象Motorola這樣的公司就可以用它提供的ARM核，再加上相關(guān)的I/O資源、存儲器、可編程部件就形成自己的32位RISC嵌入式單片處理器。Motorola最近要在其龍珠處理器中采用ARM，Atmel公司的AT91系列也是采用ARM核的內(nèi)32位/外16位處理器。用來開發(fā)、調(diào)試基于ARM的各種應(yīng)用的工具就是arm開發(fā)平臺。