论文部分内容阅读
随着移动终端市场的日益成熟与发展,隐私泄露、恶意软件、木马病毒等安全问题逐渐成为人们关注的焦点,终端用户不再满足于软件层面的数据保护,越来越多的终端用户期望能从芯片层面实现对数据的安全保护;另一方面,国内芯片制造业正赶上国家大力发展的热潮,根据国家相关计划要求,到2025年,国产芯片自给率必须要达到70%,随着国家的大力支持,芯片的设计、验证等相关技术都得到了科研人员的重视。
可信执行环境(Trusted Execution Environment,TEE)是设备主处理器上的一块安全区域,通过硬件隔离技术对数据进行保护,保证数据的完整性、真实性和机密性,是芯片结构中的重要模块,广泛应用在智能手机、可穿戴设备、平板电脑和电视机顶盒等复杂设备中,目前国内外关于TEE的研究主要集中在TEE硬件架构上的相关软件设计,如可信操作系统、API接口设计等,而关于TEE底层硬件设计的相关研究则相对较少。
本文主要研究了基于AMBA总线协议的TEE硬件架构设计方案,实现了对TEE模块的设计、仿真和验证。论文首先分析了移动终端中存在的数据风险,引出了TEE的必要性;接着介绍了AMBA总线协议的相关技术和TEE硬件设计的相关技术;然后在目前常用的芯片架构基础上,提出了基于AMBA总线的TEE模块设计方案,完成了TEE模块的设计;紧接着为所设计的TEE模块搭建了UVM验证平台,进行了功能仿真;最后为所设计的TEE模块进行了FPGA原型验证,测试所设计的TEE模块在实际应用场景中的表现。
研究的主要工作与创新如下:
(1)针对芯片TEE模块案例少,相关设计闭源的情况,自主设计了基于AMBA总线协议的芯片TEE模块,包含AXI总线、AHB总线和APB总线三部分,具体的创新点在于:针对AXI总线,使用其用户自定义信号来传递主机的world id和返回从机的读写合法信号;针对AHB总线,提出了AHB扩展总线,在AHB总线的基础上引入了两根额外的信号线用来传递主机的world id和返回从机的读写合法信号;针对APB总线,考虑到APB总线只有一个主机,提出了将APB总线通过AXI2APB bridge模块整体挂载到AXI总线上,由AXI总线上的TEE模块对APB总线进行保护。
(2)针对所设计的TEE模块搭建了UVM仿真平台,研究了UVM的运行机制,通过设计不同的输入激励,分析了主要模块在不同激励下的输出波形,验证了TEE模块的功能正确性。
(3)模拟手机恶意APP调用摄像头非法捕捉人脸图像的场景,针对TEE模块设计了独特的FPGA原型验证系统,所设计的FPGA原型验证系统以图像采集模块为从机,以VGA显示模块为主机,覆盖了TEE模块的所有部分。同时自主设计了APB2IIC模块和相关外围模块,最后将所设计的模块运行在Xilinx的开发板上,验证结果表明所设计的TEE模块在FPGA开发板上功能正确,具备实用价值。
可信执行环境(Trusted Execution Environment,TEE)是设备主处理器上的一块安全区域,通过硬件隔离技术对数据进行保护,保证数据的完整性、真实性和机密性,是芯片结构中的重要模块,广泛应用在智能手机、可穿戴设备、平板电脑和电视机顶盒等复杂设备中,目前国内外关于TEE的研究主要集中在TEE硬件架构上的相关软件设计,如可信操作系统、API接口设计等,而关于TEE底层硬件设计的相关研究则相对较少。
本文主要研究了基于AMBA总线协议的TEE硬件架构设计方案,实现了对TEE模块的设计、仿真和验证。论文首先分析了移动终端中存在的数据风险,引出了TEE的必要性;接着介绍了AMBA总线协议的相关技术和TEE硬件设计的相关技术;然后在目前常用的芯片架构基础上,提出了基于AMBA总线的TEE模块设计方案,完成了TEE模块的设计;紧接着为所设计的TEE模块搭建了UVM验证平台,进行了功能仿真;最后为所设计的TEE模块进行了FPGA原型验证,测试所设计的TEE模块在实际应用场景中的表现。
研究的主要工作与创新如下:
(1)针对芯片TEE模块案例少,相关设计闭源的情况,自主设计了基于AMBA总线协议的芯片TEE模块,包含AXI总线、AHB总线和APB总线三部分,具体的创新点在于:针对AXI总线,使用其用户自定义信号来传递主机的world id和返回从机的读写合法信号;针对AHB总线,提出了AHB扩展总线,在AHB总线的基础上引入了两根额外的信号线用来传递主机的world id和返回从机的读写合法信号;针对APB总线,考虑到APB总线只有一个主机,提出了将APB总线通过AXI2APB bridge模块整体挂载到AXI总线上,由AXI总线上的TEE模块对APB总线进行保护。
(2)针对所设计的TEE模块搭建了UVM仿真平台,研究了UVM的运行机制,通过设计不同的输入激励,分析了主要模块在不同激励下的输出波形,验证了TEE模块的功能正确性。
(3)模拟手机恶意APP调用摄像头非法捕捉人脸图像的场景,针对TEE模块设计了独特的FPGA原型验证系统,所设计的FPGA原型验证系统以图像采集模块为从机,以VGA显示模块为主机,覆盖了TEE模块的所有部分。同时自主设计了APB2IIC模块和相关外围模块,最后将所设计的模块运行在Xilinx的开发板上,验证结果表明所设计的TEE模块在FPGA开发板上功能正确,具备实用价值。