封控管控的第N天给大家推荐的是来自EuroSys 2022的一篇文章——“OPEC: Operation-based Security Isolation for Bare-metal Embedded Systems”,作者设计并实现基于操作的裸机嵌入式系统隔离OPEC,能够在适度开销的情况下实现安全特权资源隔离。
由于资源受限,桌面系统的安全防御措施(权限隔离、DEP、ASLR)很难直接部署在裸机嵌入式系统中。尽管已有一些研究为裸机嵌入式系统提供了安全隔离,但其实现仍存在缺陷。如图3(a)所示,ACES为了节省MPU而合并了一些共享变量访问,这会引入过度特权问题,例如C3能够访问V1和V3,但实际上C3只需访问V1;如果隔离区域C1包含多个功能(如图4所示),而执行任务时仅需要C1中的F1,同样会造成过度特权。此外,隔离区域的切换还会造成执行时间的开销。
考虑上述缺陷,本文作者设计并实现了基于操作的逻辑嵌入式系统隔离——OPEC,其中操作是指一个逻辑独立任务,由一个入口函数以及所有可访问函数组成。如图5所示,该系统包含两个阶段:
-
Compiler-assisted Operation Partition:基于LLVM编译器,用于分析程序并构建具有操作隔离属性的映像。
-
Call Graph Generation:OPEC首先构造调用图,而操作可视为调用图的子树。
-
Resource Dependency Analysis:构造调用图之后,OPEC进一步分析每个函数所需资源,识别每个函数直接/间接访问的全局变量。
-
Operation Partitioning:之后,OPEC利用开发者提供的入口函数将程序划分为多个操作,并确定每个操作所需要的资源。对于每个入口函数,OPEC编译器执行DFS算法从入口函数遍历调用图来获得操作包含的函数,相关函数会被分组到一个操作,同时合并资源来生成资源依赖关系。这一步之后OPEC会生成一个策略文件,包含每个操作的可访问资源。
-
Program Image Generation:最后,OPEC编译器生成操作数据区(operation data section)和MPU配置,并对程序进行指令插入以生成最终映像。
-
Hardware-assisted Operation Isolation:用于在运行时执行操作之间的权限和资源隔离。
-
Initialization:在运行应用代码之前初始化系统。
-
Resource Isolation:OPEC监视器会在运行时强制执行资源隔离。对于全局变量(如图7所示),OPEC监视器会同步(修改)操作数据区中的共享变量;对于堆栈(如图8所示),OPEC利用MPU分区功能和数据重定位技术来实现操作切换并保护堆栈;对于外围设备,OPEC为每个操作保留四个MPU区域来访问外围设备。
-
Operation Switch:OPEC监视器会保存操作上下文(如MPU配置、堆栈指针等)来实现上下文的恢复,它会在进入新操作时复制全局影子变量并重新定位堆栈变量,在退出操作时清理同步当前操作的影子变量并恢复上一操作堆栈和MPU配置。
作者利用两个开发板上的六个物联网应用和CoreMark benchmark对OPEC的有效性、开销进行了评估,并将其与ACES进行对比。结果表明,OPEC能够有效的实现权限隔离和资源隔离,并解决过度特权的问题,而对性能的影响可以忽略不计。
原文链接:
https://dlnext.acm.org/doi/10.1145/3492321.3519573
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-04-12 OPEC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论