7、嵌入式平台上经济实惠的隔离：软重启启用的双模式虚拟化系统

嵌入式平台上经济实惠的隔离：软重启启用的双模式虚拟化系统

1. 引言

随着嵌入式系统变得更强大、分布更广且全球互联，从传统单功能嵌入式系统向强大的协作式专用计算设备转变，即所谓的网络物理系统。过去，软件攻击主要针对高性能计算机，如今针对网络物理系统的安全威胁成为严重问题，需要强大的平台安全保护技术，如进程隔离，同时不能过度增加性能或系统成本。

ARM 推出的 TrustZone 技术能在可信和不可信执行之间实现高度隔离，但需要对片上系统（SoC）进行仔细适配。系统虚拟化是保护安全关键资产的另一种方式，但在硬件虚拟化支持有限的小型嵌入式系统中，会带来不可忽视的性能开销。而且安全服务通常并非一直运行。

本文提出一种基于双模式执行的系统虚拟化方法，可在虚拟化和非虚拟化执行模式之间切换，通过软重启实现模式转换。该方案旨在提供隔离的同时，将性能开销和所需的 SoC 适配降至最低。其优势如下：
1. 可保证可信域的隔离执行，在不需要其服务时不产生性能开销。
2. 在允许延迟的情况下，可暂停通用操作系统，使可信域无需对通用操作系统进行半虚拟化即可执行。
3. 协议包含安全启动方案，确保在外部访问非易失性存储时，管理程序和可信域的机密性和完整性。

2. 硬件与协议

该概念依赖于对 SoC 设计进行少量调整，使系统能在保护模式和正常模式下运行。在保护模式下，专用管理程序在每个 CPU 的最高特权级别运行，可信来宾（如密钥服务）可与通用操作系统分离运行；在正常模式下，系统无需管理程序。特权软件可通过请求软重启（软重置或热重启）实现模式转换。

SoC 包含两个专用易失性内存寄存器：模式状态寄存器和转换寄存器。