 描述
桥不正确翻译安全属性从可信不可信或者不可信的信任当转换到另一个从一个织物协议。
扩展描述
一座桥允许IP块支持不同的织物协议被集成到系统中。织物端点或接口通常有专门的信号传输安全属性。例如,HPROT AHB信号,在AXI AxPROT信号,MReqInfo和SRespInfo信号(OCP。
这些信号的值用来表示事务的安全属性。这些包括控制器的硬件不变的身份启动事务,权限级别和类型的事务(例如,读/写,缓存/停机、发布/ non-posted)。
弱点可能出现如果桥IP块,这意味着信号从协议中使用的IP块端点使用的协议由中央公共汽车,不恰当地翻译安全属性。因此,发起者的身份可以翻译来自不受信任的信任,反之亦然。这可能导致访问控制旁路,特权升级,或拒绝服务。
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
保密
完整性
访问控制
|
技术的影响:修改内存;读记忆;获得特权或假设的身份;旁路保护机制;执行未经授权的代码或命令
|
|
示范例子
示例1
(OCP和AHB端点之间的桥接接口。(OCP使用MReqInfo信号来表示安全属性,而AHB使用HPROT信号来表示安全属性。MReqInfo的宽度可以根据需要定制。在这个例子中,MReqInfo 5-bits宽,携带的特权级别(OCP控制器。
值5 'h11 5 'h10 5 'h0f, 5 'h0d 5 'h0c 5 'h0b 5 'h09 5 'h08 5 'h04, 5 'h02 MReqInfo表明请求来自一个特权(OCP总线控制器的状态。值5 'h1f 5 'h0e 5 'h00表示不可信,特权的国家。
尽管HPROT是位信号,我们只考虑低,两位在这个例子。2 'b00和2 'b10 HPROT值被认为是可信的,和2 'b01和2 'b11被认为是不可信的。
OCP2AHB大桥预计将可信身份在控制器端可信身份响应者。同样,预计将不可信的身份在控制器端不可信的身份在应答器方面。
模块ocp2ahb (
ahb_hprot,
ocp_mreqinfo
);
输出(1:0]ahb_hprot;/ /输出是2位信号AHB HPROT 输入(4:0]ocp_mreqinfo;/ /输入5位信号(OCP MReqInfo 线[6:0]p0_mreqinfo_o_temp;/ / (OCP信号传输总线控制器的硬件身份
线y;
reg 1:0 [] ahb_hprot;
/ /硬件标识位5:1的总线控制器p0_mreqinfo_o_temp信号 分配p0_mreqinfo_o_temp [6:0] = {1 'b0 ocp_mreqinfo 4:0 [], y};
总是@ * 开始
例(p0_mreqinfo_o_temp [2])
000:ahb_hprot = 2 'b11;/ / (OCP MReqInfo AHB HPROT映射
001:ahb_hprot = 2 'b00;
010:ahb_hprot = 2 'b00;
011:ahb_hprot = 2 'b01;
100:ahb_hprot = 2 'b00;
101:ahb_hprot = 2 'b00;
110:ahb_hprot = 2 'b10;
111:ahb_hprot = 2 'b00;
endcase
结束 endmodule
case语句的逻辑只检查MReqInfo 2节,即。,hardware-identity位3:1。当ocp_mreqinfo 5 'h1f或5 'h0e p0_mreqinfo_o_temp[2]将1。结果,不可信的IDs (OCP 5 'h1f和5 'h0e得到翻译2 'b00 ahb_hprot信任值。
潜在的缓解措施
阶段:体系结构和设计
翻译必须映射信号以这样一种方式,不可信的代理不能映射到可信代理或亦然。 |
实施阶段:
确保翻译地图信号以这样一种方式,不可信的代理不能映射到可信代理或亦然。 |
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
