Armv8-M安全扩展与RTOS安全设计实践

1. Armv8-M安全扩展架构解析

Armv8-M安全扩展是Arm Cortex-M系列处理器针对物联网安全需求设计的硬件级隔离方案。其核心思想是通过TrustZone技术将系统划分为安全(Secure)和非安全(Non-secure)两个独立执行环境，每个环境拥有自己的内存空间、外设资源和异常处理机制。

1.1 安全状态划分原理

安全状态的切换由硬件自动管理，通过特殊指令和异常机制实现。当处理器处于安全状态时：

• 可以访问所有安全和非安全资源
• 使用安全堆栈指针(PSP_S/MSP_S)
• 执行安全异常处理流程

非安全状态则只能访问非安全资源，任何越权访问都会触发安全异常。这种硬件强制的隔离机制有效防止了恶意代码对敏感数据的窃取或篡改。

1.2 内存保护单元(SAU/IDAU)

安全属性配置通过两个硬件单元实现：

1. SAU(Security Attribution Unit)：可编程的安全审计单元，通常支持4-8个可配置区域
2. IDAU(Implementation Defined Attribution Unit)：芯片厂商定义的固定安全区域

内存的最终安全属性由SAU和IDAU共同决定，遵循"取最严格"原则。典型配置如下表所示：

提示：NSC(Non-secure Callable)区域是特殊的安全内存，允许非安全代码通过严格定义的入口点调用安全函数。

2. RTOS在安全扩展环境的设计实践

2.1 非安全态RTOS设计要点

当RTOS运行在非安全状态时，面临的主要挑战是安全堆栈管理。由于非安全RTOS无法直接访问安全寄存器(如PSP_S)，必须通过标准化的API接口实现上下文切换。

2.1.1 安全堆栈管理流程

1. 线程创建阶段：

   • 调用TZ_AllocModuleContext_S分配安全堆栈
   • 非安全TCB中保存安全上下文指针
   • 设置EXC_RETURN为0xFFFFFFBC(非安全线程无FPU)

2. 上下文切换阶段：

   • 非安全PendSV中调用TZ_StoreContext_S保存当前安全上下文
   • 调用TZ_LoadContext_S恢复目标线程安全上下文
   • 更新PSP_NS和PSP_S指针

// 典型上下文切换代码片段 __asm void PendSV_Handler(void) { // 保存非安全上下文 MRS R0, PSP STMDB R0!, {R4-R11} MSR PSP, R0 // 调用安全API保存安全上下文 BL TZ_StoreContext_S // 调度器选择新任务 BL SchedulerGetNextTask // 恢复新任务的安全上下文 MOV R4, R0 // 新任务TCB指针 BL TZ_LoadContext_S // 恢复非安全上下文 LDR R0, [R4, #TCB_PSP_OFFSET] LDMIA R0!, {R4-R11} MSR PSP, R0 BX LR }

2.1.2 TF-M的优化实现

Trusted Firmware-M(TF-M)采用不同的安全堆栈管理策略：

1. 非安全任务通过PSA API发起服务请求
2. 产生SVC异常进入安全状态
3. SPM(Secure Partition Manager)通过PendSV进行安全分区切换
4. 服务完成后通过异常返回机制回到非安全状态

这种设计的优势在于：

• 安全堆栈的分配/释放完全由SPM管理
• 支持多个相互隔离的安全分区
• 减少非安全RTOS的信任依赖

2.2 安全态RTOS设计考量

当RTOS完全运行在安全状态时，设计相对简单但需注意：

1. 线程创建参数：

   • EXC_RETURN必须设置为0xFFFFFFFD
   • 使用PSP_S作为线程堆栈指针
   • 安全TCB需要包含PSP_S和CONTROL_S等安全寄存器

2. MPU配置策略：

   • 为不同安全库分配独立MPU区域
   • 设置PXN位防止特权提升攻击
   • 配置堆栈限制寄存器防止溢出

3. 关键安全机制深度剖析

3.1 防重入机制(CCR_S.TRD)

安全函数被非安全异常打断后可能发生重入攻击。Armv8.1-M引入的TRD(Thread Reentrancy Disable)位可有效防御：

// 系统初始化时启用TRD SCB->CCR |= SCB_CCR_TRD_Msk;

当检测到重入尝试时，处理器会触发INVEP类型的安全异常。实际开发中还需配合以下措施：

• 关键安全函数使用互斥锁
• 检查EXC_RETURN值验证调用来源
• 敏感操作原子化执行

3.2 权限执行禁止(PXN)

PXN(Privilege Execute Never)是Armv8.1-M引入的重要安全特性：

• 当PXN=1时，任何在特权模式下执行该内存代码的尝试都会触发MemManage异常
• 典型应用场景：

  // 配置安全库的代码段为PXN MPU->RBAR = (LIB_ADDR & MPU_RBAR_BASE_Msk) | MPU_RBAR_PXN_Msk;

这种机制有效阻止了攻击者通过非安全特权模式跳转到安全非特权代码进行权限提升。

3.3 堆栈密封技术

为防止堆栈篡改攻击，安全软件应在初始化时密封堆栈：

void Secure_Init(void) { // 设置主堆栈限制 __set_MSPLIM((uint32_t)&__STACK_LIMIT); // 密封安全堆栈 __TZ_set_STACKSEAL_S((uint32_t*)&__STACK_SEAL); // 初始化SAU TZ_SAU_Setup(); }

密封值通常使用0xFEF5EDA5，处理器在异常返回时会自动验证该值，不一致则触发安全异常。

4. 开发工具链与实战技巧

4.1 工具链配置要点

1. **分散加载文件(scatter file)**配置：

   LR_CMSE_VENEER 0x101FFC00 0x400 { ER_CMSE_VENEER 0x101FFC00 0x400 { *(Veneer$$CMSE) } }

   • CMSE接口必须放置在NSC区域
   • 安全/非安全内存区域需严格对应SAU配置

2. 编译选项：

   # Arm Compiler安全相关选项 --cmse -march=armv8-m.main -D__ARM_FEATURE_CMSE=3

4.2 调试技巧与常见问题

1. 安全异常诊断：

   • 安全异常时首先检查SCB->SFSR(安全故障状态寄存器)
   • 常见错误码：
     • INVEP：非法异常返回
     • INVSTATE：无效的EPSR状态
     • DERR：内存访问违例

2. 上下文切换问题排查：

   • 确认EXC_RETURN值正确
   • 检查PSP_S/MSP_S是否在切换时意外修改
   • 验证安全堆栈分配是否充足

3. 性能优化建议：

   • 最小化安全-非安全切换频率
   • 批处理安全服务请求
   • 合理设置SAU区域减少检查开销

我在实际项目中发现，安全扩展的合理使用可以使系统达到EAL4+的安全认证要求，同时保持低于5%的性能开销。关键是要在架构设计阶段就明确安全边界，避免后期频繁修改SAU和MPU配置。