Imagination CEO稱相較于ARM TrustZone,全局硬件虛擬化才真正有效

責任編輯:editor006

2014-12-12 16:51:07

摘自:我愛研發(fā)網(wǎng)

Imagination的MIPS CPU從入門級M-class、中端I-class到高端P-class內(nèi)核以及GPU都支持Hypervisor VZ虛擬化策略。他表示虛擬化的一個重要特征是隔離性——這是為移動和嵌入式設(shè)備提供改進安全框架的基礎(chǔ)。

自從美國前國家安全局承包商愛德華.斯諾登披露“棱鏡門”監(jiān)聽計劃后,安全已經(jīng)成為移動通信設(shè)備和其他便攜式電子設(shè)備最關(guān)注的焦點,如何提升設(shè)備的安全防護水準?顯然,從芯片就開始提供設(shè)備的安全防護是最有效的舉措。ARM公司于2003年提在嵌入式領(lǐng)域出了TrustZone技術(shù),為硬件系統(tǒng)提供安全保護,不過,這個十年前提出的技術(shù)能適應(yīng)現(xiàn)在移動安全需求嗎?

“TrustZone技術(shù)提出的時候,手機的應(yīng)用功能還未發(fā)展到今天這么復(fù)雜和高度集成,這個技術(shù)不適應(yīng)目前的安全需求。”在11月12日2014 Imagination高峰論壇上,Imagination Technologies公司CEO Hossein Yassaie在接受媒體采訪時指出,“打個比方說,這個TrustZone技術(shù)就像是銀行的一個保險柜,你可以把認為安全的應(yīng)用都放進去,在以前,應(yīng)用都比較單一,這樣的安全防護也許有一定的作用,但是現(xiàn)在,手機等移動設(shè)備都集成了很多應(yīng)用,這些都放在一個保險柜中顯然安全風險就增大了很多。”

在CPU內(nèi)核的設(shè)計中集成系統(tǒng)安全性擴展,是TrustZone在ARMv6內(nèi)核架構(gòu)下的重要擴展特性之一,TrustZone分離了兩個并行執(zhí)行的環(huán)境:非安全的“普通”執(zhí)行環(huán)境;安全可信任的“安全”環(huán)境,安全監(jiān)控器(Monitor)控制著安全與“普通”環(huán)境之間的轉(zhuǎn)換,以決定系統(tǒng)是否運行在安全或不安全的環(huán)境下。圖1為TrustZone模式下二個并行安全環(huán)境的示意圖。

安全環(huán)境中的硬件經(jīng)過增強安全性的特殊設(shè)計,能進行代碼隔離;安全軟件既提供基本的安全服務(wù),又提供接口連接到安全鏈中的其它ARM TrustZone技術(shù)可識別系統(tǒng)的安全碼和數(shù)據(jù),硬件能清楚區(qū)分安全信息和非安全信息。據(jù)稱該區(qū)分能力可令安全碼和數(shù)據(jù)在操作系統(tǒng)中安全而有效地同時運行,并不需要犧牲任何系統(tǒng)性能,也不會受病毒侵害。

但是問題來了,如果一個應(yīng)用偽裝成“可信任的”進入到你的安全區(qū)會怎么樣?其他應(yīng)用和數(shù)據(jù)還會安全嗎?

“而Hypervisor全局硬件虛擬化(Virtualization-VZ)技術(shù)是應(yīng)對安全挑戰(zhàn)的良策!”Hossein指出,“Hypervisor VZ全局硬件虛擬化技術(shù)并不是未經(jīng)驗證的全新技術(shù),而是傳統(tǒng)安全領(lǐng)域廣泛使用和發(fā)展多年的成熟技術(shù)”,Hypervisor之于操作系統(tǒng)類似于操作系統(tǒng)之于進程。它們?yōu)閼?yīng)用執(zhí)行提供獨立的VZ虛擬硬件平臺,而VZ虛擬硬件平臺反過來又提供對底層機器的虛擬的完整訪問。Imaginaition將把Hypervisor VZ全局硬件虛擬化技術(shù)從傳統(tǒng)服務(wù)器領(lǐng)域帶入現(xiàn)代嵌入式領(lǐng)域的每一個角落。

利用虛擬化技術(shù),多個未經(jīng)修改的操作系統(tǒng)與應(yīng)用程序都能各自在單一、可信賴的平臺上同時獨立且安全地運行。“這好比把每個應(yīng)用都放在一個沙箱中運行,不用擔心其他應(yīng)用帶來安全威脅。”他認為未來從低端到高端應(yīng)用,對于虛擬化技術(shù)的需要都將日益提升。

所以Imagination的MIPS CPU從入門級M-class、中端I-class到高端P-class內(nèi)核以及GPU都支持Hypervisor VZ虛擬化策略。

這能為系統(tǒng)開發(fā)帶來很多好處,包括:

●具備可隔離執(zhí)行多重任務(wù)的能力

●橫跨多個客體(guests)的智能資源配置

●安全的下載與上傳

●IP保護

下圖解釋了Hypervisor VZ虛擬化的原理

Hossein指出不僅CPU ,GPU在安全方面的作用也非常大,所以Imagination最新的高端PowerVR Series7XT和中低端Series7XE GPU都可以有效地支持硬件虛擬化。可以為運行于虛擬機監(jiān)視器上的虛擬機增加虛擬GPU?;趦?yōu)先級的機制,保證了每個虛擬機可以有效地得到請求的硬件資源,從而確保所有虛擬終端間性能的強健性。

他表示虛擬化的一個重要特征是隔離性——這是為移動和嵌入式設(shè)備提供改進安全框架的基礎(chǔ)。因為虛擬機之間彼此隔離,并且也與默認底層架構(gòu)相隔離,它們可以滿足移動支付,個人健康管理,汽車安全和其它嵌入式市場生產(chǎn)廠家需求的安全性原則。例如,軟件開發(fā)商可以實現(xiàn)更安全的游戲移動支付或者在用戶與UI交互時阻止中間件攻擊。

進入物聯(lián)網(wǎng)時代,安全尤為重要,系統(tǒng)芯片廠商們是需要認真考慮下安全策略了,例如最新的華為麒麟620就是在已有的TrustZone技術(shù)上內(nèi)建了自己的芯片安全模塊,此外還有其他安全措施例如自研發(fā)安全OS等等,顯然是TrustZone技術(shù)不能滿足安全需要而帶來的廠商研發(fā)投入和產(chǎn)品成本的增加。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號