Arm Corstone SSE-310嵌入式安全架构解析与实践

亜恵恵阿由

1. Arm Corstone SSE-310安全架构概览

Arm Corstone SSE-310是针对嵌入式安全应用设计的子系统参考设计，其核心安全机制建立在硬件级内存保护和访问控制基础上。作为现代嵌入式系统的典型代表，SSE-310通过多种技术手段实现了从内存到外设的全面安全防护。

1.1 安全设计核心理念

SSE-310的安全架构遵循"最小权限原则"和"防御纵深"两大核心理念。系统将资源划分为安全(Secure)和非安全(Non-secure)两个主要域，每个域又进一步细分为特权(Privileged)和非特权(Unprivileged)访问级别。这种分级控制机制确保了：

关键安全资源（如加密密钥、安全启动代码）仅能被安全域的特权代码访问
非安全域的应用只能访问明确授权的资源
任何越权访问都会触发硬件级保护机制

这种设计特别适合需要同时运行安全关键代码和第三方应用的场景，如支付终端、工业控制器等。

1.2 关键安全组件

SSE-310的安全子系统由以下几个核心组件构成：

内存保护控制器(MPC)：管理对易失性存储器(VM)的访问权限，确保安全和非安全域的内存隔离
外设保护控制器(PPC)：控制对外设寄存器的访问权限，防止非授权访问关键外设
安全配置寄存器组：包括SPCSECCTRL、NSCCFG等关键寄存器，用于定义系统安全策略
紧耦合存储器(TCM)：提供低延迟、确定性访问的专用内存区域，支持安全/非安全别名配置

这些组件协同工作，构成了SSE-310的硬件安全基础。下面我们将深入分析每个组件的技术细节和实现原理。

2. 内存子系统安全机制

2.1 紧耦合存储器(TCM)配置

TCM是SSE-310中性能关键代码和数据的理想存储位置。SSE-310为CPU0配置了独立的指令TCM和数据TCM，其地址映射如下：

markdown复制| TCM类型   | 地址范围1          | 地址范围2(别名)    | 大小  | 访问特性                     |
|-----------|--------------------|--------------------|-------|------------------------------|
| 指令TCM   | 0x00000000-0x00FFFFFF | 0x10000000-0x10FFFFFF | 16MB  | 仅CPU0通过私有地址访问       |
| 数据TCM   | 0x20000000-0x20FFFFFF | 0x30000000-0x30FFFFFF | 16MB  | 其他管理器可通过主互联访问   |

TCM的关键安全特性包括：

私有访问路径：CPU0通过专用接口访问自己的TCM，不经过主互联，减少了被攻击面
访问控制：其他管理器通过TCM从属接口访问时，需遵守MPC定义的安全规则
别名区域：每个TCM区域有两个地址别名，便于安全和非安全代码的灵活访问

在实际应用中，开发者通常将安全关键代码（如加密算法）放在安全TCM中，而将性能敏感的非安全代码放在非安全TCM区域。

2.2 易失性存储器(VM)管理

SSE-310支持两个内部VM Bank，采用SRAM实现，总容量可达16MB。VM的安全管理通过以下机制实现：

地址别名机制：VM物理存储被同时映射到安全和非安全地址空间
- 非安全地址：0x21000000-0x21FFFFFF
- 安全地址：0x31000000-0x31FFFFFF
内存保护控制器(MPC)：每个VM Bank对应一个MPC，负责：
- 将VM划分为多个保护页（粒度由VMMPCBLKSIZE参数定义）
- 控制每页的安全属性（Secure/Non-secure）
- 检测并阻止非法访问

典型配置示例（2MB Bank大小）：

markdown复制| 行ID | 起始地址  | 结束地址  | 大小 | 区域名 | 安全属性    | 描述                     |
|------|-----------|-----------|------|--------|-------------|--------------------------|
| 1    | 0x21000000| 0x211FFFFF| 2MB  | VM0    | NS-MPC      | 映射到非安全VM Bank 0    |
| 4    | 0x31000000| 0x311FFFFF| 2MB  | VM0    | S-MPC       | 同一物理Bank的安全映射   |

关键实践：在安全启动过程中，建议先通过安全MPC配置所有VM页为Secure-only，然后在运行时根据需要逐步开放非安全访问。这种"默认拒绝"策略能有效减少攻击面。

2.3 安全响应配置

当发生安全违规（如非安全代码尝试访问安全资源）时，SSE-310提供灵活的响应机制，通过SECRESPCFG寄存器配置：

位0：
- 0：读操作返回0，写操作被忽略（RAZ/WI）
- 1：触发总线错误

选择策略时应考虑：

RAZ/WI模式：适合需要高可用性的场景，违规访问不会导致系统崩溃
总线错误模式：适合需要严格安全审计的场景，便于检测和定位违规行为

3. 外设安全访问控制

3.1 外设区域划分

SSE-310的外设地址空间被精心划分为8个区域，根据延迟特性和安全需求进行分类：

markdown复制| 类型          | 非安全地址范围       | 安全地址范围         | 别名  | 描述                          |
|---------------|----------------------|----------------------|-------|-------------------------------|
| 低延迟外设    | 0x40000000-0x4000FFFF| 0x50000000-0x5000FFFF| 是    | 需要快速响应的安全外设        |
| 低延迟非别名  | 0x40040000-0x400FFFFF| 0x50040000-0x500FFFFF| 否    | 仅需单安全域访问的外设        |
| 高延迟外设    | 0x48000000-0x4800FFFF| 0x58000000-0x5800FFFF| 是    | 对延迟不敏感的安全外设        |
| 高延迟非别名  | 0x48040000-0x480FFFFF| 0x58040000-0x580FFFFF| 否    | 单安全域访问的高延迟外设      |

这种划分方式允许开发者根据外设的实时性要求和安全需求，将其放置在合适的区域。

3.2 外设保护控制器(PPC)

PPC是SSE-310外设安全的核心组件，其主要功能包括：

访问控制：基于主控端的安全状态和特权级别，决定是否允许访问
违规检测：记录并报告非法访问尝试
细粒度控制：支持对外设寄存器组的位级保护

SSE-310中的PPC分为两类：

Main Interconnect PPC：保护连接到主互联的外设
Peripheral Interconnect PPC：保护外设互联上的外设

PPC的配置通过以下寄存器组实现：

MAINNSPPCEXP0-3：主互联扩展外设的非安全访问控制
PERIPHNSPPC0-1：外设互联本地外设的非安全访问控制
PERIPHNSPPCEXP0-3：外设互联扩展外设的非安全访问控制

3.3 典型配置流程

配置一个Timer外设的安全访问权限通常需要以下步骤：

确定外设位置：例如Timer0位于0x48000000(NS)和0x58000000(S)
设置PPC控制位：在PERIPHNSPPC0寄存器中配置NS_TIMER0位
- 1：允许非安全访问
- 0：仅允许安全访问
锁定安全配置：设置SPCSECCTRL.SPCSECCFGLOCK位，防止后续篡改

调试技巧：在开发阶段，可以先禁用SPCSECCFGLOCK，通过监控SECPPCINTSTAT寄存器来调试访问控制问题。生产固件中必须启用锁定。

4. 安全寄存器详解与编程实践

4.1 安全配置寄存器组

SSE-310的安全配置寄存器位于0x50080000，关键寄存器包括：

SPCSECCTRL (0x000)：
- 位0(SPCSECCFGLOCK)：安全配置锁定
  - 一旦置1，关键安全寄存器将无法修改，直到系统复位
  - 典型用法：在完成所有安全配置后锁定
NSCCFG (0x014)：
- 位0(CODENSC)：控制0x10000000-0x1FFFFFFF区域是否可非安全调用
- 位1(RAMNSC)：控制0x30000000-0x3FFFFFFF区域是否可非安全调用
- 用于定义安全API的调用门
SECRESPCFG (0x010)：
- 位0：安全违规响应策略（RAZ/WI或总线错误）

4.2 中断处理机制

SSE-310为安全事件提供了丰富的中断报告机制：

MPC中断：
- 通过SECMPCINTSTAT(0x01C)查看中断源
- 所有MPC中断合并为一个CPU中断，需查询状态寄存器定位具体MPC
PPC中断：
- SECPPCINTSTAT(0x020)：中断状态
- SECPPCINTCLR(0x024)：中断清除
- SECPPCINTEN(0x028)：中断使能
- 支持按外设组独立控制
MSC中断：
- 报告管理器安全控制器违规
- 通过SECMSCINTSTAT/CLR/EN(0x030-0x038)管理

典型的中断处理流程：

c复制void MPC_IRQHandler(void)
{
    uint32_t status = SECMPCINTSTAT;
    
    if(status & (1 << 0)) { // VM0 MPC中断
        handle_VM0_violation();
        VM0MPC->INT_CLEAR = 0x1; // 清除MPC中断
    }
    
    SECMPCINTSTAT = status; // 清除状态位
}

4.3 安全启动实现

基于SSE-310的安全启动流程通常包括以下步骤：

初始化MPC：
- 配置所有VM页为Secure-only
- 设置VMMPCBLKSIZE确定保护粒度
设置安全外设：
- 通过PERIPHNSPPCx寄存器关闭非安全访问
- 配置关键外设（如加密引擎）为安全模式
定义NSC区域：
- 通过NSCCFG寄存器开放必要的非安全可调用区域
- 通常用于安全服务API
锁定配置：
- 设置SPCSECCTRL.SPCSECCFGLOCK
- 确保后续运行中安全策略不可篡改
验证与调试：
- 检查SECPPCINTSTAT/SECMPCINTSTAT确认无违规
- 通过调试接口验证安全隔离效果

5. 性能优化与安全权衡

5.1 TCM使用策略

TCM的合理使用对系统性能和安全性都有重要影响：

关键代码放置：
- 安全引导代码应放在安全ITCM
- 实时中断处理程序适合放在ITCM
- 加密密钥等敏感数据放在DTCM
别名区域利用：
- 安全和非安全代码可通过别名共享TCM内容
- 需要仔细设计共享数据结构和同步机制
大小配置：
- 过大的TCM会浪费片上资源
- 过小的TCM可能导致关键代码无法放入
- 建议通过性能分析确定最优大小

5.2 VM分页策略

VM的MPC分页策略直接影响系统安全性和灵活性：

页大小选择：
- 小页（如4KB）：精细控制，但增加MPC开销
- 大页（如1MB）：减少开销，但控制粒度变粗
典型分区方案：
- 安全内核：专用安全页
- 安全服务：部分页可配置为NSC
- 非安全应用：独立非安全页
动态重配置：
- 运行时根据需要调整页属性
- 必须确保原子性，避免安全漏洞

5.3 外设访问优化

安全外设访问的性能考量：

延迟敏感外设：
- 放置在低延迟区域（0x40000000或0x50000000）
- 确保中断响应路径无MPC/PPC检查
批量数据传输：
- 使用DMA从非安全内存向安全外设传输
- 需要正确配置DMA MSC的安全属性
权限缓存：
- SSE-310内部会缓存部分权限检查结果
- 修改安全配置后需要必要的同步操作

6. 调试与问题排查

6.1 常见安全违规

症状：系统进入异常处理，SECPPCINTSTAT显示置位
- 可能原因：非安全代码尝试访问安全外设
- 解决方案：检查PERIPHNSPPCx相关配置位
症状：数据读取全零，SECMPCINTSTAT置位
- 可能原因：非安全访问安全VM区域，且SECRESPCFG=0
- 解决方案：调整VM MPC配置或修改访问代码
症状：外设功能异常，无中断触发
- 可能原因：安全代码尝试通过非安全地址访问别名外设
- 解决方案：统一使用安全或非安全地址访问