在一个抽象的层次,一个系统需要包含一系列的assets,包括一些在这些assets上的操作。assets一般指的是代码或者信息有一个owner或内在的价值。比如金融价值。高价值的assets属于trusted world,低价值的assets属于non-trusted world。以下列出SoC需要达到的安全需求。
目录
Security requirements:
1.Security Lifecycle
2. Boot ROM and reset
2.1 Boot keys
2.2 Boot types
2.3 Boot parameters
2.4 Boot robustness
2.5 Secondary processing elements
Security requirements:
1.Security Lifecycle
- lifecycle的状态是保持的或并从OTP类的memory中获得的。
- 所有的lifecycle状态的转换是限制在一个设计的规则下,这个规则至少包含:
- 系统启动的时候所有子系统安全状态的初始化。
- 设计好的可部署状态用于授权系统安全特性的启用。
- decommissioned退休状态,不再允许进一步的状态转换。
- 进入decommissioned状态应该清除或不使用所有的密钥 依据FIPS 140-2.
- 一些系统有足够的硬件能力去隐藏root secrets,当平台处于侵入式debug状态时。比如说Trusted World Privileged Debug。这使体系返回Secured状态成为可能。
- Booting,debugging和scan 访问受到secure lifecycle policy控制。
2. Boot ROM and reset
SoC架构的安全初始化由一系列的设置搞定,这些调整由安全启动来配置完成。Secure boot确保了firmware的完整性和数据来源的可信度。
Secure Boot Firmware。就是安全启动依赖于不可改变的安全boot镜像。它是SoC启动的第一段代码也是用于下一个阶段的验证。一般会分为多个阶段,第一个阶段是Boot ROM。后面的阶段会通过非易失性的存储载入Secure RAM并且执行。第二阶段的boot loader一般指的
2.1 Boot keys
SoC需要有一个on-chip Boot ROM用于安全启动,存储hash形式的公共密钥用于验签。
2.2 Boot types
启动不依赖之前系统状态。一般,冷启动只发生在平台上电或hard reset由power-on reset circuit产生的情况。有时hard reset还会当软件死锁时发生。就是Cold boot,冷启动一般指的
启动依赖之前系统状态来利用一个比冷启动更快的系统启动方案。此种方式需要告知Boot ROM目前的启动状态,凭借比如说:就是Warm boot,热启动一般指的
- 一个特殊的寄存器告知Boot ROM目前的启动状态。
- SoC能够采用一个备用重置向量对于一个warm boot,从而使Boot ROM执行warm boot 特定代码。
典型的场景,任何存储需执行这种机制得放置在一个AON的区域中。
| 如果系统支持warm boot,一个flag或register需要能够区分warm boot和cold boot。这个寄存器只能在Trusted world 被部署,在warm reset和cold reset之后被重置。 | |
| 这个flag或寄存器默认配置为cold boot,非授权的侵入会导致cold boot。 |
2.3 Boot parameters
Boot ROM的实施有时会受到额外的configuration信息影响,比如说从OTP的配置。这些配置包含:
- 选择first loadable firmware image启动的设备。
- ROTPK的存储。(Root of Trust Public Key)。
- boot image decryption root key的存储。
- 其他boot特定的参数。
有些configuration应该被禁用,依据LCS。
| Boot ROM应该能感知目前的LCS状态。 | |
| 必须不能从其他的外设存储启动,除非Trusted Debug mode允许这个行为。 | |
| 从on-chip OTP获得的必须依据on-chip public key验证。就是任何外部的configuration,不 |
2.4 Boot robustness
当冷启动时Boot ROM不能被其他agents扰乱。这避免了secure boot被跳过了。
| Boot ROM执行的时候,DMA不能获取。 | |
| 冷启动的时候,外设访问需被禁止。 |
2.5 Secondary processing elements
几个轻松的场景:就是一般SoC都有多个PE,用于启动的PE是primary。Primary PE用于执行Boot ROM。剩下的PE由Primary PE启动。下列
- platform power controller能保持住所有secondary PEs处于reset state,当primary PE执行Boot ROM时,直到primary PE要求secondray PEs被释放。
- 冷启动后所有的PEs通过Boot ROM中generic boot vector被执行。但是Boot ROM识别出primary boot PE允许它使用secure boot image去启动,同时其他secondary PEs保持inactive。
- on-chip security subsystem 执行它自己private Boot ROM当一个系统reset发生时,执行完后释放AP。security subsystem定义在Security subsystems中。