SoCチップを茍封から奸る糠セキュリティ禱窖をImaginationが給倡
Imagination Technologiesは、SoCなど剩花なシステムLSIをハッカ〖などの茍封から奸ることのできるセキュリティの糠しいア〖キテクチャOmniShieldを給倡した。これは、SoCなどCPUコアやGPU、DSP、コ〖デックなどのさまざまな佰なるプロセッサコアを礁姥した染瞥攣に努脫できるセキュリティ禱窖である。
セキュリティは輻洗にすればするほど蝗いにくくなる。がんじがらめに輻洗にすれば馮渡蝗わなくなる。かといって此くすればハッカ〖などに茍封されやすい。そこで、噬∈Wall∷を侯って、セキュリティの動い嬸舶と此い嬸舶を脫罷することがセキュアなシステムの答塑となる。それらの嬸舶粗の噬は蟬されないように妨喇する。ARMのTrustZoneというセキュリティシステムは嬸舶を企つ肋けたものだが、これだけでは顱りないと雇えるユ〖ザ〖もいる。また、ARMのCPUだけではCPUのセキュリティしか奸っていない。
海攙、Imaginationが捏捌するOmniShieldは、SoC柒嬸にいくつかの嬸舶を侯り、その面で磋炬なセキュリティの嬸舶と此い嬸舶を肋け、しかもCPUに裁え、GPUやDSP、コ〖デックなど屯」なプロセッサを礁姥した攙烯に努脫できる。CPUだけセキュアにするわけではなく、GPUなどのプロセッサもセキュアにする爬が糠しい。
哭1 SoCを稱撾拌に尸け、それらを噬で惰磊りセキュアに瘦つ 叫諾¨Imagination Technologies
この糠しい禱窖が材墻になったのは、マルチスレッド/マルチコア禱窖と、簿鱗步禱窖、それらを瓷妄するハイパ〖バイザ禱窖のおかげである。簿鱗步禱窖とは、1駱のコンピュ〖タシステムなのに、まるで剩眶駱のコンピュ〖タが瓢侯しているように斧せかける禱窖のこと。OS、CPUともまるで侍」のモノが瓢いているように斧える。毋えば、LinuxとリアルタイムOS∈RTOS∷、それぞれにCPUが燒くといったシステムを菇蜜できる。この車前をSoCに積ってくると、Linux OSとSoC1、RTOSとSoC2、Android OSとSoC3といったシステムLSIが材墻になる。マルチコアやシングルコアのマルチスレッド(徊雇獲瘟1)などの禱窖を稱CPUコアに充り碰てる條だが、それらを慷り尸けˇ拇臘する舔充を積つ攙烯がハイパ〖バイザである。
海攙、Imaginationが倡券したOmniShield禱窖の車妥は哭1のように、稱」のSoCをコンテナ嬸舶に斧惟て、それぞれはヘテロなコンテナとなる。哭1の毋では、SoC鏈攣をOSからアプリケ〖ションまでを辦つのコンテナとみなし、いろいろな脫龐に炳じて、それぞれ灤炳するコンテナである。セキュアなコンテナとセキュアではないコンテナを肋け、それぞれ簿鱗步禱窖で侍」のSoCとして瓢侯させている。毋えば、あるコンテナがfacebookやTwitterなどそれほどセキュリティを澀妥としないアプリまで崔めた遍換を面看とするSoC1、侍のコンテナには改客弄なヘルスケアのデ〖タのようにセキュリティを澄瘦したい遍換のSoC2、というようにそれぞれ簿鱗步されたSoCを肋け、侍」のSoCのように瓢侯させる。これらのコンテナはそれぞれ簿鱗步禱窖で侯られたバ〖チャルマシンで瓢いているともいえる。
コンテナをそれぞれ簿鱗步禱窖によって尸違することができるため、塑碰にセキュアにして奸りたいコンテナを噬(ウォ〖ル)で磊り違すことができる。これらのコンテナを擴(kuò)告ˇ瓷妄するのが、慨完拉の光いハイパ〖バイザで、これが簿鱗步するSoCを慷り尸ける。CPUは、マルチコアであり、辦つのコアで呵絡(luò)4つの佰なるスレッドを借妄するマルチスレッド數(shù)及のプロセッサでもある。このため、コンテナをスケ〖ラブルに橙磨できる。ソフトウエア弄に呵絡(luò)255のコンテナを肋けることができるが、附悸にはハ〖ドウエアでその眶は瘋まる。
このセキュリティシステムOmniShieldをハ〖ドウエア弄に斧ると、ハ〖ドウエアで簿鱗步したCPUとGPU、セキュアなファブリック、慨完拉の光いハイパ〖バイザ、簿鱗步したコネクティビティとオフロ〖ド、そしてカギを愛る窗鏈なセキュリティ擴(kuò)告攙烯であるRoT (Root of Trust)、からなっている(哭2)。
このセキュリティ攙烯のキモであるRoT∈哭3∷は、掐蝸されたイメ〖ジを悸乖する漣にセキュアかどうかを千沮するための辦鹼の井さなCPUといえる攙烯だという。システムをセキュアにするための慌齒けであり、慨完拉のあるコ〖ドしか瘤らない。
哭3 RoTは千沮するための井さなCPU 叫諾¨Imagination Technologies
このRoTのキモは、TLB∈Translation Lookaside Buffer∷のアドレスを企腳步したことだ(哭4)、と票家セグメントマ〖ケティング嬸嚏VPのVolker Politz會は咐う。TLBは簿鱗步する眷圭に、濕妄アドレスと俠妄アドレスとを?yàn)幢丹护烤鹗螭蜣k箕弄にためておくバッファメモリである。簿鱗步させた俠妄アドレスは、CPUだけをアドレッシングするものではなく、井さなSoC鏈攣∈コンテナ∷をアドレッシングする。TLBを、セキュリティのしっかりしたル〖トTLBと、システム鏈攣にアドレッシングしてくるゲストTLBに尸ける。ゲストTLBからのアドレッシングに灤して、RoT攙烯がそのアドレッシングが絡(luò)炬勺かどうかを千沮し(authenticate)、OKであれば、カギを倡けるというモノ。ハイパ〖バイザはTLBも充り碰てている。
哭4 TLBを企腳步、慨完拉の光いTLBアドレッシングを撅に積つ 叫諾¨Imagination Technologies
ImaginationはすでにMIPSのWarrior CPUコアファミリ〖や(徊雇獲瘟2)、PowerVRシリ〖ズ7 GPUの鏈てに灤してOmniShield灤炳貉みで、MIPSのMクラスM5150という呵井のIoT羹けMCUもハ〖ドウエアの簿鱗步を貉ませている。さらに、これからも蝗われるIPコアのOmniShield灤炳を渴めていく。
徊雇獲瘟
1. マルチコアよりマルチスレッドで拉墻を懼げながらシリコン燙姥を猴負(fù) (2007/11/08)
2. Imagination、マルチスレッド禱窖を駿り哈んだMIPS I6400をリリ〖ス (2014/09/12)
