一、引言
1.1、研究背景(jing)及意義(yi)
在萬物互聯時代(dai),嵌(qian)(qian)入式系統廣泛存(cun)在于智能家(jia)居、工業控(kong)制(zhi)、醫療設備等關鍵領域。然而,隨(sui)著系統復雜性的提升,內存(cun)安全問(wen)題(ti)(如緩沖�������區溢出(chu)、懸垂指(zhi)針、越界訪(fang)問(wen))已成(cheng�����)為嵌(qian)(qian)入式設備面臨的主要威脅(xie)之(zhi)一。
內(nei)(nei)存安(an)全(quan)問題不僅影響系(xi)(xi)統(tong)(tong)的(de)正常運行,還可能導致(zhi)數(shu)據泄露、系(xi)(xi)統(tong)(tong)崩潰等嚴重(zho������ng)后果。例如,2014年的(de)Heartbleed漏洞就是因(yin)為內(nei)(nei)存管理不當導致(zhi)的(de),影響了(le)全(quan)球(qiu)數(shu)百萬臺服務(wu)器的(de)安(an)全(quan)。此(ci)外(wai),嵌入(ru)式(shi)系(xi)(xi)統(tong)(tong)通(tong)常資源(yuan)有(you)(you)限,處理能力和內(nei)(nei)存空間相對不足,這使得傳統(tong)(tong)的(de)內(nei)(nei)存保(bao)護機(ji)制在嵌入(ru)式(shi)環境中難以有(you)(you)效(xiao)實施。因(yin)此(ci),探索適合嵌入(ru)式(shi)系(xi)(xi)統(tong)(tong)的(de)內(nei)(nei)存安(an)全(quan)解決方案顯得尤為迫切。
傳(ch�������uan)統的軟件防護方案(如ASLR、DEP)和編譯時檢查存在��������性(xing)能開(kai)銷(xiao)高(gao)、覆蓋率不足等(deng)問題。CHERI(Capability Hardware Enhanced RISC Instructions)架(jia)構通過(guo)硬件級能力(Capability)模型(xing),為嵌(qian)入式系統提供了一種全新的內存安全防護思路。
1.2、CHERI架構(gou)簡介
CHERI(Capability Hardware Enhanced RISC Instructions)架構(gou)是一種新興的(de)安(an)全架構(gou),由英國劍(jian)橋大學和(he)(he)美國SRI International合(he)作(zuo)研發。CHERI架構(gou)通過引入(ru)能(neng)力指針(Capability Pointer)的(de)概念,從硬件層(ceng)面提(ti)供 fine-grained 的(de)內(nei)存(cun)保護能(neng)力。能(neng)力指針不僅(jin)包(bao)含傳(chuan)統的(de)地址信息(xi),還(huan)包(bao)含了訪(fang)問權限和(he)(he)內(nei)存(c�����un)邊界信息(xi),從而有效(xiao)防(fang)止緩(huan)沖區溢出、內(nei)存(cun)泄漏(lou)等(deng)常見內(nei)存(cun)安(an)全漏(lou)洞。這種架構(gou)的(de)設計(ji)目標是顯著提(ti)升計(ji)算(suan)機系(xi)統的(de)安(an)全性和(he)(he)可(ke)靠性,尤其適用于(yu)對安(an)全性要(yao)求極高的(de)嵌入(ru)式系(xi)統領域(yu)。
CHERI架構的(de)(de)核心思想在(zai)(zai)(zai)于(yu)通過硬件支持的(de)(de)能(neng)力指針(zhen),確保每個內(nei)存訪(fang)問操作(zuo)都在(zai)(zai)(zai)預定義的(de)(de)權限和(he)范圍內(nei)進(jin)行。這(zhe)種機制從(����cong)根(gen)本上杜絕(jue)了非法內(nei)存訪(fang)問的(de)(de)可能(neng)性,從(cong)而(er)大大提(ti)高了系(xi)(xi)統的(de)(de)安全性。與傳(chuan)統的(de)(de)內(nei)存保護機制相比,CHERI架構不(bu)僅在(zai)(zai)(zai)安全性上有顯(xian)著提(ti)升,還在(zai)(zai)(za������i)性能(neng)和(he)靈活性方面表(biao)現出色,使其成為嵌入式(shi)系(xi)(xi)統內(nei)存安全研(yan)究的(de)(de)理想選擇。
二、CHERI架構的核心思想
CHERI由劍橋大學和(he)ARM等機構聯合研發,其核心理(li)念(nian)是通過硬件擴展實(shi)現細粒度內存保�����護(hu),具體包(bao)括以下特性:
l 能力(Capability)模型
每個����指針不僅是內(nei)存地址,還包含訪(fang)問權限(如(ru)可(ke)(ke)讀、可(ke)(ke)寫、可(ke)(ke)執行)、邊界范圍(起始地址和長度)等�������元數據。
例如,一個指(zhi)(zhi)向數組的������指(zhi)(zhi)針只能訪(fang)問(wen)該數組的����合法(fa)區間,越界操作會(hui)被(bei)硬件直接攔(lan)截(jie)。
l 硬件強(qiang)制(zhi)隔離
能力�������(li)元(yua�����n)數(shu)據由硬件(jian)(jian)直接驗證,軟件(jian)(jian)無法繞過。即使存在漏洞,攻(gong)擊者也無法通過內存破壞篡改能力(li)信息。
l 向后兼容(rong)性
CHERI支持����混合(he)模式運行,傳統代(d������ai)(dai)碼(ma)(無能(neng)力模型)與增強代(dai)(dai)碼(ma)可共存(cun),降低遷移成本。
1. CHERI架構的核心(xin):能力指針
1.1 能(neng)力(li)指針的硬件實現(xian)
(注:示(shi)意圖示(shi)例,實(shi)際可參考CHERI官方文檔)
其實能力這個概念在計算領域并不算新鮮(xi�����an)事(shi)物(wu),以往已經有不少大型(xing)機系統就采取過類似��������的(de)機制。
Gr������isenthwaite解釋道(dao),“這(zhe)(zhe)些(xie)獨立(li)的(de)128位(wei)單(dan)元(yuan)(yuan)被保存在(zai)一起,同時進一步為寄存器文件和內存系統添加(jia)元(yuan)(yuan)數(shu)據(ju)標簽(qian),用以將能力與數(shu)據(ju)區分開來。”這(zhe)(zhe)里(li)的(de)元(yuan)(yuan)數(shu)據(ju)標簽(qian)非(fei)常(chang)重要,能夠“幫(bang)助我們保證能力具備不可偽(wei)造的(de)特(te)性。”
這意(yi)(yi)味著元數據標(biao)簽只(zhi)能(n������eng)由內核或其(qi)他(ta)高權限進程(cheng)所(suo)設(she)置,攻擊者只(zhi)要嘗試把(ba)能(neng)力當成數據來操作并更(geng)改其(qi)屬性,都會導致該能(neng)力失去(qu)狀(zhuang)態。而失去(qu)狀(zhuang)態,也就意(yi)(yi)味著能(neng)力失效。
Grisenthwaite解釋稱,“最主要的變化,就是我們建立起(qi)一套完(wan)整的加(jia)(jia)載和存(cun)儲體系,它們會從能(neng)力寄存(cun)器中獲取自身基礎地址(zhi)(zhi)(zhi)并檢(jian)查所(suo)生成的地址(zhi)(zhi)(zhi)。這些地址(zhi)(zhi)(zhi)通(tong)常(chang)可能(neng)會在能(neng)力范圍內添�����加(jia)(jia)一個(ge)整數偏移量。”
對能力權限的檢查會與常規(gui)內存(cun)管(guan)理檢查一同進行(xi����ng),任何與能力檢查相(xiang)(xiang)沖突的行(xing)為都將導致內存(cun)中(zhong)(zhong������)止(zhi),其中(zhong)(zhong)止(zhi)方式與轉(zhuan)譯(yi)后備緩(huan)沖器(TLB)中(zhong)(zhong)的內存(cun)管(guan)理故(gu)障相(xiang)(xiang)同。
根據Grisenthwa�������ite的(de)�������(de)(de)(de)描述,Morello架構同樣(yang)支(zhi)持(chi)普通的(de)(de)(de)(de)加載和(he)存儲指令,這些指令會從傳統(tong)的(de)(de)(de)(de)通用寄存器中獲(huo)取地址。但Arm還添加了所謂(wei)默認數據能(neng)力(li)的(de)(de)(de)(de)機制,能(neng)夠為此類訪問(wen)添加邊界和(he)權限,相(xiang)當(dang)于為不(bu)具(ju)備能(neng)力(li)感知(zhi)的(de)(de)(de)(de)遺留代碼(ma)創建起相(xiang)應的(de)(de)(de)(de)沙(sha)箱。
與此同時,對能力的(de)操作(zuo)自然也(ye)需要新的(de)數據處(chu)理(li)指令(ling)。這(zhe)些新的(de)數據處(�����chu)理(li)指令(ling)包含(han)某些規則,允許用������(yong)戶在能力邊界定義的(de)范(fan)圍之內(nei)執行地址調整。
Grisenthwaite還提到,“重要的是,一(yi)般來(lai)說無(wu)法在能力內添加邊(bian)界(jie)。這(zhe)些指(zhi)令允(yun)許大家(jia)減少能力的邊(bian)界(jie)或權限(xian),通(tong)過原(yuan)始對象(xiang)創建子對象(xiang)。但用戶無(wu)法在能力不提供相應權限(xian)的前�����提下,擴大權限(xian)邊(bian)界(jie)。”
該項目的目標之一(yi)就是調整程(cheng)序計數(shu)器,將其轉化為程(cheng)序計數(shu)器能力(li)(li),從而(er)(er)建立(li)一(yi)組與之相關的邊界(jie)。直接分支(zhi)可以在邊界(jie)之內(nei)實現分支(zhi),而(er)(er)間接分支(zhi)則可以改(gai)變能力(li)(li)邊界(jie),從而(er)(er)在不(bu)同(t���������ong)代碼塊之間實現調用。
能力指(zhi)針與(yu)傳(chuan)統指(zhi)針的對(dui)比:
注:���������關鍵(jian)差異:能力指針在硬件層面(mian)存(cun)儲了內存(cun)范圍(Base+Length)、權限(R/W/X)和標簽(Tag),任何越界訪問直接由(you)硬件攔截�������。
2. 內存安全挑戰的硬件級解決方案
2.1 緩沖(chong)區溢出防護(hu)
傳統系統:攻擊者通(tong)過溢出覆蓋返回地址
CHERI系統:能力指針的(de)邊界限制使溢出(chu)訪(fang)問觸發硬件異常
2.2 使用釋(shi)放后內(nei)存(Use-After-Free)
注:防護(hu)機制,內存釋(shi)放時硬件(jian)自動清除能力指(z�����hi)針的標簽(Tag),使后續訪問失效。
3. 嵌入式系統的CHERI適配實踐
3.1 安全編譯器的代碼轉換
編譯�������(yi)器(如Clang-CHERI)將源碼(ma)中的指(zhi)針(zhen)自(zi)動(dong)升級為能力指(zhi)針(zhen):
3.2 實時性保障:硬件加速檢查
4. 應用案例:工業控制系統的CHERI改造
4.1 系統架(jia)構圖
安全隔(ge)離(li):不同功(gong)能模塊(kuai)(通信������/控制/日志)使用獨立能�����力域
攻擊攔截:惡意(yi)代(dai)碼嘗試跨(kua)模塊訪問時觸(chu)發硬件隔(ge)離
4.2 關(guan)鍵代碼片(pian)段(duan)
5. 未(wei)來研究方向(技術路線圖)
關鍵(jian)技術(shu)節點:2025年實現物聯網級CHERI-Micro控制器.
結語
CHERI架(jia)構為嵌�������入式系統提供了一(yi)種(zhong)“治本”的(de)內存(cun)安(an)全(quan)方(fang)案,其硬(ying)件強制的(de)防護(hu)機制顯著提升(sheng)了設備的(de)安(an)全(quan)性(xing)。盡管(guan)在硬(ying)件生態和(he)工具鏈上仍需(xu)完善,但隨著RISC-V的(de)普及和(he)物聯網安(an)全(qua������n)需(xu)求(qiu)的(de)升(sheng)級(ji),CHERI有望成為嵌入式開發(fa)的(de)下一(yi)代(dai)黃金標(biao)準。
通過硬件(jian)能力指(zhi)針(zhen)的(de)革新設計,������CHERI架構為嵌(qian)入式(shi)系(xi)統構建了(le)“鋼鐵般”的(de)內(nei)存安全防線(xian)。在(zai)智能汽(qi)車���、工(gong)業物聯網等關鍵領域,CHERI正(zheng)在(zai)開啟硬件(jian)安全的(de)新紀元。讀者可訪問(wen)CHERI Playground在(zai)線(xian)實驗能力指(zhi)針(zhen)的(de)魔力。
