當(dāng)前位置:首頁(yè) > 學(xué)習(xí)資源 > 講師博文 > 基于CHERI架構(gòu)的嵌入式系統(tǒng)內(nèi)存安全機(jī)制防護(hù)研究
基于CHERI架構(gòu)的嵌入式系統(tǒng)內(nèi)存安全機(jī)制防護(hù)研究
時(shí)間:2025-04-03 來(lái)源:華清遠(yuǎn)見(jiàn)
一、引言
1.1、研究背景及意義
在萬(wàn)物互聯(lián)時(shí)代,嵌入式系統(tǒng)廣泛存在于智能家居、工業(yè)控制、醫(yī)療設(shè)備等關(guān)鍵領(lǐng)域。然而,隨著系統(tǒng)復(fù)雜性的提升,內(nèi)存安全問(wèn)題(如緩沖區(qū)溢出、懸垂指針、越界訪問(wèn))已成為嵌入式設(shè)備面臨的主要威脅之一。
內(nèi)存安全問(wèn)題不僅影響系統(tǒng)的正常運(yùn)行,還可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)崩潰等嚴(yán)重后果。例如,2014年的Heartbleed漏洞就是因?yàn)閮?nèi)存管理不當(dāng)導(dǎo)致的,影響了全球數(shù)百萬(wàn)臺(tái)服務(wù)器的安全。此外,嵌入式系統(tǒng)通常資源有限,處理能力和內(nèi)存空間相對(duì)不足,這使得傳統(tǒng)的內(nèi)存保護(hù)機(jī)制在嵌入式環(huán)境中難以有效實(shí)施。因此,探索適合嵌入式系統(tǒng)的內(nèi)存安全解決方案顯得尤為迫切。
傳統(tǒng)的軟件防護(hù)方案(如ASLR、DEP)和編譯時(shí)檢查存在性能開(kāi)銷高、覆蓋率不足等問(wèn)題。CHERI(Capability Hardware Enhanced RISC Instructions)架構(gòu)通過(guò)硬件級(jí)能力(Capability)模型,為嵌入式系統(tǒng)提供了一種全新的內(nèi)存安全防護(hù)思路。
1.2、CHERI架構(gòu)簡(jiǎn)介
CHERI(Capability Hardware Enhanced RISC Instructions)架構(gòu)是一種新興的安全架構(gòu),由英國(guó)劍橋大學(xué)和美國(guó)SRI International合作研發(fā)。CHERI架構(gòu)通過(guò)引入能力指針(Capability Pointer)的概念,從硬件層面提供 fine-grained 的內(nèi)存保護(hù)能力。能力指針不僅包含傳統(tǒng)的地址信息,還包含了訪問(wèn)權(quán)限和內(nèi)存邊界信息,從而有效防止緩沖區(qū)溢出、內(nèi)存泄漏等常見(jiàn)內(nèi)存安全漏洞。這種架構(gòu)的設(shè)計(jì)目標(biāo)是顯著提升計(jì)算機(jī)系統(tǒng)的安全性和可靠性,尤其適用于對(duì)安全性要求極高的嵌入式系統(tǒng)領(lǐng)域。
CHERI架構(gòu)的核心思想在于通過(guò)硬件支持的能力指針,確保每個(gè)內(nèi)存訪問(wèn)操作都在預(yù)定義的權(quán)限和范圍內(nèi)進(jìn)行。這種機(jī)制從根本上杜絕了非法內(nèi)存訪問(wèn)的可能性,從而大大提高了系統(tǒng)的安全性。與傳統(tǒng)的內(nèi)存保護(hù)機(jī)制相比,CHERI架構(gòu)不僅在安全性上有顯著提升,還在性能和靈活性方面表現(xiàn)出色,使其成為嵌入式系統(tǒng)內(nèi)存安全研究的理想選擇。
二、CHERI架構(gòu)的核心思想
CHERI由劍橋大學(xué)和ARM等機(jī)構(gòu)聯(lián)合研發(fā),其核心理念是通過(guò)硬件擴(kuò)展實(shí)現(xiàn)細(xì)粒度內(nèi)存保護(hù),具體包括以下特性:
l 能力(Capability)模型
每個(gè)指針不僅是內(nèi)存地址,還包含訪問(wèn)權(quán)限(如可讀、可寫、可執(zhí)行)、邊界范圍(起始地址和長(zhǎng)度)等元數(shù)據(jù)。
例如,一個(gè)指向數(shù)組的指針只能訪問(wèn)該數(shù)組的合法區(qū)間,越界操作會(huì)被硬件直接攔截。
l 硬件強(qiáng)制隔離
能力元數(shù)據(jù)由硬件直接驗(yàn)證,軟件無(wú)法繞過(guò)。即使存在漏洞,攻擊者也無(wú)法通過(guò)內(nèi)存破壞篡改能力信息。
l 向后兼容性
CHERI支持混合模式運(yùn)行,傳統(tǒng)代碼(無(wú)能力模型)與增強(qiáng)代碼可共存,降低遷移成本。
1. CHERI架構(gòu)的核心:能力指針
1.1 能力指針的硬件實(shí)現(xiàn)
(注:示意圖示例,實(shí)際可參考CHERI官方文檔)
其實(shí)能力這個(gè)概念在計(jì)算領(lǐng)域并不算新鮮事物,以往已經(jīng)有不少大型機(jī)系統(tǒng)就采取過(guò)類似的機(jī)制。
Grisenthwaite解釋道,“這些獨(dú)立的128位單元被保存在一起,同時(shí)進(jìn)一步為寄存器文件和內(nèi)存系統(tǒng)添加元數(shù)據(jù)標(biāo)簽,用以將能力與數(shù)據(jù)區(qū)分開(kāi)來(lái)。”這里的元數(shù)據(jù)標(biāo)簽非常重要,能夠“幫助我們保證能力具備不可偽造的特性。”
這意味著元數(shù)據(jù)標(biāo)簽只能由內(nèi)核或其他高權(quán)限進(jìn)程所設(shè)置,攻擊者只要嘗試把能力當(dāng)成數(shù)據(jù)來(lái)操作并更改其屬性,都會(huì)導(dǎo)致該能力失去狀態(tài)。而失去狀態(tài),也就意味著能力失效。
Grisenthwaite解釋稱,“最主要的變化,就是我們建立起一套完整的加載和存儲(chǔ)體系,它們會(huì)從能力寄存器中獲取自身基礎(chǔ)地址并檢查所生成的地址。這些地址通常可能會(huì)在能力范圍內(nèi)添加一個(gè)整數(shù)偏移量。”
對(duì)能力權(quán)限的檢查會(huì)與常規(guī)內(nèi)存管理檢查一同進(jìn)行,任何與能力檢查相沖突的行為都將導(dǎo)致內(nèi)存中止,其中止方式與轉(zhuǎn)譯后備緩沖器(TLB)中的內(nèi)存管理故障相同。
根據(jù)Grisenthwaite的描述,Morello架構(gòu)同樣支持普通的加載和存儲(chǔ)指令,這些指令會(huì)從傳統(tǒng)的通用寄存器中獲取地址。但Arm還添加了所謂默認(rèn)數(shù)據(jù)能力的機(jī)制,能夠?yàn)榇祟愒L問(wèn)添加邊界和權(quán)限,相當(dāng)于為不具備能力感知的遺留代碼創(chuàng)建起相應(yīng)的沙箱。
與此同時(shí),對(duì)能力的操作自然也需要新的數(shù)據(jù)處理指令。這些新的數(shù)據(jù)處理指令包含某些規(guī)則,允許用戶在能力邊界定義的范圍之內(nèi)執(zhí)行地址調(diào)整。
Grisenthwaite還提到,“重要的是,一般來(lái)說(shuō)無(wú)法在能力內(nèi)添加邊界。這些指令允許大家減少能力的邊界或權(quán)限,通過(guò)原始對(duì)象創(chuàng)建子對(duì)象。但用戶無(wú)法在能力不提供相應(yīng)權(quán)限的前提下,擴(kuò)大權(quán)限邊界。”
該項(xiàng)目的目標(biāo)之一就是調(diào)整程序計(jì)數(shù)器,將其轉(zhuǎn)化為程序計(jì)數(shù)器能力,從而建立一組與之相關(guān)的邊界。直接分支可以在邊界之內(nèi)實(shí)現(xiàn)分支,而間接分支則可以改變能力邊界,從而在不同代碼塊之間實(shí)現(xiàn)調(diào)用。
能力指針與傳統(tǒng)指針的對(duì)比:
注:關(guān)鍵差異:能力指針在硬件層面存儲(chǔ)了內(nèi)存范圍(Base+Length)、權(quán)限(R/W/X)和標(biāo)簽(Tag),任何越界訪問(wèn)直接由硬件攔截。
2. 內(nèi)存安全挑戰(zhàn)的硬件級(jí)解決方案
2.1 緩沖區(qū)溢出防護(hù)
傳統(tǒng)系統(tǒng):攻擊者通過(guò)溢出覆蓋返回地址
CHERI系統(tǒng):能力指針的邊界限制使溢出訪問(wèn)觸發(fā)硬件異常
2.2 使用釋放后內(nèi)存(Use-After-Free)
注:防護(hù)機(jī)制,內(nèi)存釋放時(shí)硬件自動(dòng)清除能力指針的標(biāo)簽(Tag),使后續(xù)訪問(wèn)失效。
3. 嵌入式系統(tǒng)的CHERI適配實(shí)踐
3.1 安全編譯器的代碼轉(zhuǎn)換
編譯器(如Clang-CHERI)將源碼中的指針自動(dòng)升級(jí)為能力指針:
3.2 實(shí)時(shí)性保障:硬件加速檢查
4. 應(yīng)用案例:工業(yè)控制系統(tǒng)的CHERI改造
4.1 系統(tǒng)架構(gòu)圖
安全隔離:不同功能模塊(通信/控制/日志)使用獨(dú)立能力域
攻擊攔截:惡意代碼嘗試跨模塊訪問(wèn)時(shí)觸發(fā)硬件隔離
4.2 關(guān)鍵代碼片段
5. 未來(lái)研究方向(技術(shù)路線圖)
關(guān)鍵技術(shù)節(jié)點(diǎn):2025年實(shí)現(xiàn)物聯(lián)網(wǎng)級(jí)CHERI-Micro控制器.
結(jié)語(yǔ)
CHERI架構(gòu)為嵌入式系統(tǒng)提供了一種“治本”的內(nèi)存安全方案,其硬件強(qiáng)制的防護(hù)機(jī)制顯著提升了設(shè)備的安全性。盡管在硬件生態(tài)和工具鏈上仍需完善,但隨著RISC-V的普及和物聯(lián)網(wǎng)安全需求的升級(jí),CHERI有望成為嵌入式開(kāi)發(fā)的下一代黃金標(biāo)準(zhǔn)。
通過(guò)硬件能力指針的革新設(shè)計(jì),CHERI架構(gòu)為嵌入式系統(tǒng)構(gòu)建了“鋼鐵般”的內(nèi)存安全防線。在智能汽車、工業(yè)物聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域,CHERI正在開(kāi)啟硬件安全的新紀(jì)元。讀者可訪問(wèn)CHERI Playground在線實(shí)驗(yàn)?zāi)芰χ羔樀哪ЯΑ?/p>
課程分享:華清遠(yuǎn)見(jiàn)聯(lián)合NXP推出i.MX8M Plus開(kāi)發(fā)與實(shí)踐課程分享:鴻蒙HarmonyOS系統(tǒng)及物聯(lián)網(wǎng)開(kāi)發(fā)實(shí)戰(zhàn)課程(課程分享:HaaS EDU K1開(kāi)發(fā)教程(附課程視頻及源碼下新版C語(yǔ)言編程之控制語(yǔ)句視頻教程重磅贈(zèng)送(嵌入式入價(jià)值2000元的嵌入式精裝教程大禮包免費(fèi)送!(搞懂嵌入價(jià)值1000元的最新ARM系列視頻完整版教程新鮮出爐(免【最新】ARM課程課堂實(shí)錄精華版視頻免費(fèi)領(lǐng)取(內(nèi)含源模型量化技術(shù)對(duì)比:INT8與二進(jìn)制網(wǎng)絡(luò)(BNN) 的精度與基于CHERI架構(gòu)的嵌入式系統(tǒng)內(nèi)存安全機(jī)制防護(hù)研究聯(lián)邦學(xué)習(xí)在邊緣設(shè)備中的隱私保護(hù)與通信效率平衡策略基于RISC-V指令集的實(shí)時(shí)操作系統(tǒng)中斷優(yōu)先級(jí)調(diào)度算法優(yōu)TLS 1.3 在資源受限設(shè)備中的輕量化實(shí)現(xiàn)嵌入式系統(tǒng)中的低功耗音頻編解碼算法改進(jìn)與實(shí)現(xiàn)人工智能在復(fù)雜網(wǎng)絡(luò)分析中的社區(qū)發(fā)現(xiàn)與鏈路預(yù)測(cè)融合實(shí)時(shí)操作系統(tǒng)(RTOS)嵌入式視覺(jué)系統(tǒng)中的圖像預(yù)處理技術(shù)及加速實(shí)現(xiàn)基于C++的嵌入式軟件開(kāi)發(fā)中的內(nèi)存管理與性能調(diào)優(yōu)
