安全：下一代网络的基本组成

作者：Jim Wallace, Arm; Joseph Byrne, NXP，安智客译

很难想象，哪一天能够不依靠电脑或智能手机工作，购物或银行业务，与朋友聊天，甚至听音乐或观看节目时都是如此。 与此同时，当头条新闻报道大量盗用信用卡数据，医院运营被勒索赎金，或者访问一个受欢迎的网站被拒绝时，很难不感到这些冲击带来的脆弱感。

随着我们变得更加容易连接，攻击面不断增长，安全性，恢复能力和隐私等信任要素将需要内置到下一代智能边缘设备，网络和数据中心中，以减少漏洞并实现到我们超连接世界的好处。

安全技术是SoC设计中的基本构建模块之一，以及机密性，完整性和可用性（AIC）三重安全模型对于确保信任至关重要。此AIC模型包括用于数据机密性和用户身份验证的加密，用于帮助系统可用性和完整性的数据包处理以及用于系统完整性的平台信任。

本博客将重点介绍保护网络访问，可用性和数据所需的一些关键技术，并简要概述提供信任奠定基础的Arm底层平台。

访问和可用性

图1网络安全; 连续的层提供更大程度的保护

安智客注：作者将安全层次分为简单安全保护比如针对路由器的攻击防护、内部保护比如系统固件、节点保护。

在网络边界，访问控制在减少简单安全攻击方面起着主要作用。基本数据包过滤和速率限制相结合，可以在数据包进入下一个防火墙安全层之前减轻拒绝服务（DoS）洪泛攻击。防火墙通过过滤不符合网络规定的安全策略的流量来提供额外的访问控制。它们结合了侦察威慑技术（如ping扫描，代理扫描，数据包嗅探等）以及具有入侵检测和防御（IDPS）功能的深度数据包检测[i]。

在最内层，能够接收，创建，存储或发送分布式网络路由数据的网络节点，可以提供进一步的访问控制措施，并支持更复杂的保护手段（通常称为“节点强化”）。节点强化尝试确保节点默认安全，然后可以远程验证其真实性和安全状态，以便其他节点可以信任它。它通过在硬件中嵌入信任根，为修补和更新软件提供基础，确保运行服务，控制节点访问，最大限度地减少运行的系统服务数量，同时确保记录所有活动并配置备份。

安全始终始于节点，然后安全链中的关键元素就建立在此之上。使用加密技术进行加密是此安全链中的关键环节之一。

数据加密

虽然加密可以保护静态数据，更重要的是它可以保护通过网络传输的数据。加密指令已被添加到Armv8架构中以加速CPU上的加密算法执行。ARM Cortex-A72是一款Armv8处理器，具有加速AES，SHA1和SHA2-256算法的新指令。网络安全协议（如IPsec和SSL/TLS）通常使用这些算法。与早期的Arm CPU相比，新的指令和其他增强功能使Cortex-A72 CPU能够显著改善算法执行。恩智浦发现其带有八个Cortex-A72内核和加速器的LS2088A处理器可以比基于非Arm的八线程竞争芯片更快地运行基于SSL的HTTPS协议。

图2基于ARM Cortex-A72 CPU的恩智浦Layerscape LS2088A八核处理器。

使用CPU进行加密对于程序员来说很方便。 例如，V**软件可以通过简单的函数调用从控制处理转移到加密。后备加速器需要软件将明文数据传送给它，并在等待加速器发回加密数据的同时找到占用CPU的内容。恩智浦Layerscape处理器中的加密单元非常智能，除了加密之外还可以处理数据包报头和报尾，从而减少数据传输次数。

该公司的Layerscape LS2088A处理器更加智能。它具有C可编程数据包引擎，可以完全处理一般流行的V**协议IPsec，速度为20Gbps，可处理128字节的数据包 - 性能提升，也可释放CPU以执行其他任务。该引擎还可以加速NetFlow，这是一个收集有关网络上发生的事情的统计数据的程序。这些统计数据的一个用途是安全性，例如使用算法而不是签名来评估流是否对网络和连接到网络的系统的完整性构成威胁。该引擎还可以处理iptables，这是Linux内置的基本防火墙功能。

网络信任基础

信任从具有基于硬件的信任锚（称为信任根）的网络节点设备开始，一个可信的引导过程，使这些系统进入已知的良好状态和基于硬件和软件的安全层，可用于生命周期管理、身份验证、固件和软件更新。

为了实现这个信任基础，Arm提供了一系列平台规范来标准化最佳实践定义 一个安全的启动过程 - 例如，可信基础系统架构（TBSA）定义了基于TrustZone的系统中安全功能的硬件要求，以及受信任的板载启动要求（TBBR）。

图3 ARM构建硬件安全层-信任层次结构

ARM安全体系结构有4层，提供了越来越高的安全级别。越到三角尖部，我们通过增加隔离和划分等级加强安全。ARM使用最小特权原则，即状态代码应该具有执行所需功能所必需的最少特权。

从三角形的底部开始，我们通过MMU和OS的组合将应用程序和操作系统分开。 在正常情况下这里用户代码使用异常级别0（EL0），内核使用EL1。正在运行的进程或应用程序由操作系统和MMU相互隔离。每个正在执行的进程都有自己的地址空间，与其他进程隔离，以及的操作系统内核管理的一组功能和权限运行在EL1。

这种方法的一个潜在弱点是内核可以窥探任何进程的内存。Linux提供了ptrace调用（可以禁用），Windows提供ReadProcessMemory调用，使一个进程能够看到另一个进程的内存。后来成为美国零售商用来从销售终端获取信用卡详细信息以及如NotPetya一样勒索软件的目标。

虚拟化通过增加另一层隔离来克服这个问题，使得一个CPU能够托管多个操作系统，而每个操作系统都不知道另一个操作系统。在正常的世界中，管理程序受保护的域在EL2上运行，并允许相同或不同操作系统的多个实例在与虚拟机相同或多个处理器上执行。每个虚拟机都与其他虚拟机隔离，并且通过使用MMU-600等系统MMU，其他总线主控也可以被虚拟化。这种分离可以用于保护虚拟机和保护来自其他虚拟机的中的资源和资产。

为确保最佳性能，Arm添加了专用的虚拟机管理（VMM）硬件扩展，以加速虚拟机和管理程序软件之间的切换。

Trusted/Secure World是一个硬件隔离执行空间，旨在托管一个小型代码库，因此具有更小的攻击面。使用TrustZone安全扩展，可以将系统物理分区为安全和非安全组件。这使得可信执行环境（TEE）能够在普通世界不能访问任何安全世界资源（例如安全内存或安全外围设备）的情况下向普通世界提供安全服务。

Arm's CryptoCell增强了TrustZone的功能，进一步巩固了设备的安全性。多层硬件和中间件体系结构将硬件加速器，信任根控制硬件与以TEE运行的丰富安全中间件层相结合。

最后，我们有安全元件（SE）或子系统，它具有更小的攻击面和非常有限的代码，可以是片内或片外实现。

安全元件，因为资源共享较少由于有硬件支持，服务更安全。具有独立内存的物理独立CPU具有比共享CPU的安全状态小的攻击面。

Arm'sCryptoIsland或恩智浦的信任管理器等安全子系统提供一系列安全服务，包括持久存储秘钥和安全密钥管理，验证加载软件，验证软件更新，防止代码和数据回滚，加密， 在给他们访问资源之前的强身份验证，等等。

安全元件中的这些服务还需要通过在TrustzoneTEE中运行的安全代码进行扩充，以安全地调用SE中的功能并提供一种安全的路径来接收数据并将数据发送到正常的世界。

图4硬件，固件和软件安全资源

结论

连接下一个万亿设备的价值将源于设备之间可信数据的无缝流动。安全性必须成为这些下一代网络的主要设计考虑因素 - 随着威胁模型的变化，安全性需要始终呈现并可安全更新。它需要在SoC内尽早开始。

安全未来的愿景意味着我们需要重新思考如何通过采用数字领域之外的新概念并利用先进的新技术来设计智能设备和网络。

Arm 和合作伙伴正在积极参与此项工作，并为此奠定基础，使您能够为这些下一代网络和服务构建安全框架。

参考：

[i]注意：对于普通的加密数据包，不可能进行深度数据包检测。大多数对加密数据流进行深度数据包检测的设备都会进行某种截取和解密。

点击下方阅读原文，阅读英文原文。