安全：下一代網路的基本組成

作者：Jim Wallace, Arm; Joseph Byrne, NXP，安智客譯

很難想像，哪一天能夠不依靠電腦或智能手機工作，購物或銀行業務，與朋友聊天，甚至聽音樂或觀看節目時都是如此。 與此同時，當頭條新聞報道大量盜用信用卡數據，醫院運營被勒索贖金，或者訪問一個受歡迎的網站被拒絕時，很難不感到這些衝擊帶來的脆弱感。

隨著我們變得更加容易連接，攻擊面不斷增長，安全性，恢復能力和隱私等信任要素將需要內置到下一代智能邊緣設備，網路和數據中心中，以減少漏洞並實現到我們超連接世界的好處。

安全技術是SoC設計中的基本構建模塊之一，以及機密性，完整性和可用性（AIC）三重安全模型對於確保信任至關重要。此AIC模型包括用於數據機密性和用戶身份驗證的加密，用於幫助系統可用性和完整性的數據包處理以及用於系統完整性的平台信任。

本博客將重點介紹保護網路訪問，可用性和數據所需的一些關鍵技術，並簡要概述提供信任奠定基礎的Arm底層平台。

訪問和可用性

圖1網路安全; 連續的層提供更大程度的保護

安智客註：作者將安全層次分為簡單安全保護比如針對路由器的攻擊防護、內部保護比如系統固件、節點保護。

在網路邊界，訪問控制在減少簡單安全攻擊方面起著主要作用。基本數據包過濾和速率限制相結合，可以在數據包進入下一個防火牆安全層之前減輕拒絕服務（DoS）洪泛攻擊。防火牆通過過濾不符合網路規定的安全策略的流量來提供額外的訪問控制。它們結合了偵察威懾技術（如ping掃描，代理掃描，數據包嗅探等）以及具有入侵檢測和防禦（IDPS）功能的深度數據包檢測[i]。

在最內層，能夠接收，創建，存儲或發送分散式網路路由數據的網路節點，可以提供進一步的訪問控制措施，並支持更複雜的保護手段（通常稱為「節點強化」）。節點強化嘗試確保節點默認安全，然後可以遠程驗證其真實性和安全狀態，以便其他節點可以信任它。它通過在硬體中嵌入信任根，為修補和更新軟體提供基礎，確保運行服務，控制節點訪問，最大限度地減少運行的系統服務數量，同時確保記錄所有活動並配置備份。

安全始終始於節點，然後安全鏈中的關鍵元素就建立在此之上。使用加密技術進行加密是此安全鏈中的關鍵環節之一。

數據加密

雖然加密可以保護靜態數據，更重要的是它可以保護通過網路傳輸的數據。加密指令已被添加到Armv8架構中以加速CPU上的加密演算法執行。ARM Cortex-A72是一款Armv8處理器，具有加速AES，SHA1和SHA2-256演算法的新指令。網路安全協議（如IPsec和SSL/TLS）通常使用這些演算法。與早期的Arm CPU相比，新的指令和其他增強功能使Cortex-A72 CPU能夠顯著改善演算法執行。恩智浦發現其帶有八個Cortex-A72內核和加速器的LS2088A處理器可以比基於非Arm的八線程競爭晶元更快地運行基於SSL的HTTPS協議。

圖2基於ARM Cortex-A72 CPU的恩智浦Layerscape LS2088A八核處理器。

使用CPU進行加密對於程序員來說很方便。 例如，VPN軟體可以通過簡單的函數調用從控制處理轉移到加密。後備加速器需要軟體將明文數據傳送給它，並在等待加速器發回加密數據的同時找到佔用CPU的內容。恩智浦Layerscape處理器中的加密單元非常智能，除了加密之外還可以處理數據包報頭和報尾，從而減少數據傳輸次數。

該公司的Layerscape LS2088A處理器更加智能。它具有C可編程數據包引擎，可以完全處理一般流行的VPN協議IPsec，速度為20Gbps，可處理128位元組的數據包 - 性能提升，也可釋放CPU以執行其他任務。該引擎還可以加速NetFlow，這是一個收集有關網路上發生的事情的統計數據的程序。這些統計數據的一個用途是安全性，例如使用演算法而不是簽名來評估流是否對網路和連接到網路的系統的完整性構成威脅。該引擎還可以處理iptables，這是Linux內置的基本防火牆功能。

網路信任基礎

信任從具有基於硬體的信任錨（稱為信任根）的網路節點設備開始，一個可信的引導過程，使這些系統進入已知的良好狀態和基於硬體和軟體的安全層，可用於生命周期管理、身份驗證、固件和軟體更新。

為了實現這個信任基礎，Arm提供了一系列平台規範來標準化最佳實踐定義 一個安全的啟動過程 - 例如，可信基礎系統架構（TBSA）定義了基於TrustZone的系統中安全功能的硬體要求，以及受信任的板載啟動要求（TBBR）。

圖3 ARM構建硬體安全層-信任層次結構

ARM安全體系結構有4層，提供了越來越高的安全級別。越到三角尖部，我們通過增加隔離和劃分等級加強安全。ARM使用最小特權原則，即狀態代碼應該具有執行所需功能所必需的最少特權。

從三角形的底部開始，我們通過MMU和OS的組合將應用程序和操作系統分開。 在正常情況下這裡用戶代碼使用異常級別0（EL0），內核使用EL1。正在運行的進程或應用程序由操作系統和MMU相互隔離。每個正在執行的進程都有自己的地址空間，與其他進程隔離，以及的操作系統內核管理的一組功能和許可權運行在EL1。

這種方法的一個潛在弱點是內核可以窺探任何進程的內存。Linux提供了ptrace調用（可以禁用），Windows提供ReadProcessMemory調用，使一個進程能夠看到另一個進程的內存。後來成為美國零售商用來從銷售終端獲取信用卡詳細信息以及如NotPetya一樣勒索軟體的目標。

虛擬化通過增加另一層隔離來克服這個問題，使得一個CPU能夠託管多個操作系統，而每個操作系統都不知道另一個操作系統。在正常的世界中，管理程序受保護的域在EL2上運行，並允許相同或不同操作系統的多個實例在與虛擬機相同或多個處理器上執行。每個虛擬機都與其他虛擬機隔離，並且通過使用MMU-600等系統MMU，其他匯流排主控也可以被虛擬化。這種分離可以用於保護虛擬機和保護來自其他虛擬機的中的資源和資產。

為確保最佳性能，Arm添加了專用的虛擬機管理（VMM）硬體擴展，以加速虛擬機和管理程序軟體之間的切換。

Trusted/Secure World是一個硬體隔離執行空間，旨在託管一個小型代碼庫，因此具有更小的攻擊面。使用TrustZone安全擴展，可以將系統物理分區為安全和非安全組件。這使得可信執行環境（TEE）能夠在普通世界不能訪問任何安全世界資源（例如安全內存或安全外圍設備）的情況下向普通世界提供安全服務。

Arm"s CryptoCell增強了TrustZone的功能，進一步鞏固了設備的安全性。多層硬體和中間件體系結構將硬體加速器，信任根控制硬體與以TEE運行的豐富安全中間件層相結合。

最後，我們有安全元件（SE）或子系統，它具有更小的攻擊面和非常有限的代碼，可以是片內或片外實現。

安全元件，因為資源共享較少由於有硬體支持，服務更安全。具有獨立內存的物理獨立CPU具有比共享CPU的安全狀態小的攻擊面。

Arm"sCryptoIsland或恩智浦的信任管理器等安全子系統提供一系列安全服務，包括持久存儲秘鑰和安全密鑰管理，驗證載入軟體，驗證軟體更新，防止代碼和數據回滾，加密， 在給他們訪問資源之前的強身份驗證，等等。

安全元件中的這些服務還需要通過在TrustzoneTEE中運行的安全代碼進行擴充，以安全地調用SE中的功能並提供一種安全的路徑來接收數據並將數據發送到正常的世界。

圖4硬體，固件和軟體安全資源

結論

連接下一個萬億設備的價值將源於設備之間可信數據的無縫流動。安全性必須成為這些下一代網路的主要設計考慮因素- 隨著威脅模型的變化，安全性需要始終呈現並可安全更新。它需要在SoC內儘早開始。

安全未來的願景意味著我們需要重新思考如何通過採用數字領域之外的新概念並利用先進的新技術來設計智能設備和網路。

Arm 和合作夥伴正在積极參与此項工作，並為此奠定基礎，使您能夠為這些下一代網路和服務構建安全框架。

參考：

[i]注意：對於普通的加密數據包，不可能進行深度數據包檢測。大多數對加密數據流進行深度數據包檢測的設備都會進行某種截取和解密。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！