隨著在網(wǎng)絡(luò)邊緣運行的端點設(shè)備的出現(xiàn)，人們需要安全的空中下載 (OTA) 固件更新。Renesas的RX651微控制器通過集成可信安全 IP (TSIP) 和可信閃存區(qū)域保護(hù)來滿足此更新要求，支持通過安全網(wǎng)絡(luò)通信在現(xiàn)場進(jìn)行閃存固件更新。

TSIP提供了可靠的密鑰管理、加密通信和篡改檢測，以確保針對竊聽、篡改和病毒等外部威脅提供強有力的保護(hù)（圖1）。同樣，集成的雙存儲區(qū)閃存使設(shè)備制造商更容易安全可靠地執(zhí)行現(xiàn)場固件更新。

圖1：RX651微控制器中的安全性構(gòu)件（右側(cè)中間）示意圖

（圖片來源：Renesas Electronics）

雙組閃存使嵌入式系統(tǒng)設(shè)計人員能夠通過TSIP（用于保護(hù)加密密鑰）與加密硬件加速器（例如 AES、3DES、RSA、SHA 和TRNG）的組合來實現(xiàn)高信任根級別。并且有代碼閃存區(qū)域保護(hù)來確保引導(dǎo)代碼免遭未經(jīng)授權(quán)的重新編程。

接下來，Renesas與嵌入式系統(tǒng)安全專家Secure Thingz合作，對其RX系列32位微控制器進(jìn)行安全配置。為此，Renesas將支持創(chuàng)建了Secure Thingz的Secure Deploy架構(gòu)，以簡化跨設(shè)計和制造價值鏈的安全實現(xiàn)。

在與嵌入式安全解決方案提供商合作的MCU供應(yīng)商中，另一家是STMicroelectronics。這家芯片制造商正在與Arilou Information Security Technologies合作創(chuàng)建一種多層安全配置，其中的硬件和軟件可以相互補充以監(jiān)視數(shù)據(jù)流并檢測通信異常。

STMicro的SPC58 Chorus系列32位汽車微控制器嵌入了硬件安全模塊 (HSM)，可保護(hù)敏感的安全信息（如加密密鑰），從而確保防止車身和網(wǎng)關(guān)應(yīng)用中的通信總線受到入侵。HSM提供基于硬件的信任根，以支持安全通信、OTA更新和安全引導(dǎo)。

現(xiàn)在，ST在SPC58 Chorus系列汽車MCU中增加了Arilou的入侵檢測和防御系統(tǒng) (IDPS) 軟件，以檢測交通異常并形成針對網(wǎng)絡(luò)攻擊的額外保護(hù)層（圖2）。IDPS是一種軟件解決方案，旨在監(jiān)視控制器區(qū)域網(wǎng)絡(luò) (CAN) 總線并檢測汽車設(shè)計中電子控制單元 (ECU) 的通信模式異常。

圖2：IDPS 軟件檢測交通和其他路邊異常的方式

（圖片來源：Arilou）

以上部分簡要介紹了集成安全功能以應(yīng)對物理和遠(yuǎn)程攻擊的MCU。本部分將說明專用安全MCU，通常稱為安全元件，這些元件通過I²C或單線接口鏈接，充當(dāng)主MCU的伴芯。

安全元件支持不具備安全功能的MCU，它們基于專門構(gòu)建的硬件，以提供針對各種威脅的安全框架。這些元件簡單、便宜，并且可以減輕主MCU或CPU的安全相關(guān)任務(wù)（如密鑰存儲、加密加速等）負(fù)載。這就是它們也稱為安全協(xié)處理器的原因。

在安全元件中，所有安全構(gòu)件都在一個共同邊界內(nèi)工作，該邊界將身份驗證密鑰與軟件隔離，從而防止黑客進(jìn)行攻擊，如電源循環(huán)、時鐘毛刺和邊信道攻擊。在工廠中將安全密鑰和證書上傳到安全元件中還可以防止IP盜用、設(shè)計和產(chǎn)品仿冒。

以Microchip的ATECC608A安全元件（圖3）為例，其具有一個用于生成唯一密鑰的隨機數(shù)發(fā)生器 (RNG)，同時符合美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的最新要求。該元件還具有用于相互身份驗證的加密加速器，例如AES-128、SHA-256和ECC P-256。

圖3：ATECC608A安全元件框圖

（圖片來源：Microchip Technology）

最后，用于密鑰存儲的安全ROM營造了一個黑客和欺騙攻擊很難更改的不可改變環(huán)境，從而防止篡改和邊信道攻擊。總而言之，ATECC608A提供的服務(wù)范圍從安全引導(dǎo)到 OTA 驗證，再到用于物聯(lián)網(wǎng)和云服務(wù)身份驗證的安全密鑰存儲和傳輸。

另一個專門用于安全功能實現(xiàn)的低成本MCU是Microchip的SAM L11（圖4），可以保護(hù)功耗受限的物聯(lián)網(wǎng)節(jié)點免受故障注入和邊信道攻擊等威脅的影響。該器件通過模塊化GUI抽象出低級安全細(xì)節(jié)，使開發(fā)人員可以選擇相關(guān)的安全功能，從而簡化嵌入式安全功能實現(xiàn)。

圖4：四個使用SAM L11 安全微控制器的安全用例

（圖片來源：Microchip Technology）

SAM L11抽象出的安全功能包括第三方配置服務(wù)。該器件還集成了Arm的TrustZone技術(shù)，這種技術(shù)隔離了微控制器內(nèi)的安全代碼和非安全代碼。此外，SAM L11還簡化了與Amazon Web Services (AWS) 等云服務(wù)連接時物聯(lián)網(wǎng)節(jié)點的安全需求。

NXP的LPC5500微控制器面向的是物聯(lián)網(wǎng)邊緣應(yīng)用，是安全MCU的另一個實例。該器件利用設(shè)備唯一的密鑰來創(chuàng)建不可改變的硬件信任根。密鑰可以由基于SRAM的物理不可功能 (PUF) 在本地生成，允許最終用戶與OEM之間進(jìn)行閉環(huán)事務(wù)處理。這種操作消除了第三方密鑰處理的需求。

專用安全工具

盡管像ATECC608A這樣以安全為中心的MCU包含了安全構(gòu)件以促進(jìn)受信任的生態(tài)系統(tǒng)，但它們并不能解決軟件隔離問題。現(xiàn)在，在MCU上運行的軟件數(shù)量正在持續(xù)增長，開發(fā)人員需要保護(hù)大型代碼庫免受惡意攻擊。

例如，物聯(lián)網(wǎng)設(shè)備都具有用于Wi-Fi、藍(lán)牙、TLS等功能的協(xié)議棧，因此即使沒有黑客竊取安全密鑰，協(xié)議棧的損壞也會影響設(shè)備的運行。這就要求將任務(wù)關(guān)鍵代碼與非任務(wù)關(guān)鍵代碼分開，并將關(guān)鍵軟件置于安全的環(huán)境中。

Arm的TrustZone環(huán)境（圖5）將任務(wù)關(guān)鍵代碼和協(xié)議棧與復(fù)雜的操作系統(tǒng) (OS) 軟件和大型代碼庫分開，從而防止固件后門進(jìn)入安全密鑰存儲區(qū)。該環(huán)境創(chuàng)建了多個軟件安全域，以限制對微控制器內(nèi)部特定內(nèi)存、外設(shè)和 I/O 組件的訪問。

圖5：用于將軟件隔離成安全和非安全區(qū)域的TrustZone技術(shù)基本框架

（圖片來源：Arm）

上述所有三種安全微控制器ATECC608A、SAM L11和LPC5500（圖6）都采用了TrustZone技術(shù)，可以將安全代碼和非安全代碼進(jìn)行隔離。此外，ATECC608A安全元件還可與任何支持TrustZone的微控制器一起使用。

圖6：LPC5500微控制器中的TrustZone技術(shù)與Arm Cortex M-33處理器捆綁在一起，如圖左上方所示

（圖片來源：NXP）

在這里，還值得一提的是，安全MCU與TrustZone技術(shù)是相輔相成的，在某種意義上說TrustZone需要硬件保護(hù)，而像ATECC608A和SAM L11這樣的安全MCU則在物聯(lián)網(wǎng)設(shè)計環(huán)境中促成了這一點。另一方面，TrustZone則有助于在以MCU為中心的嵌入式設(shè)計中構(gòu)建緊湊的軟件環(huán)境。

總結(jié)

通過對安全MCU進(jìn)行剖析，我們可了解到它們?nèi)绾卧谠O(shè)計階段簡化嵌入式安全功能實現(xiàn)，以及如何繞過安全技術(shù)專業(yè)知識的陡峭學(xué)習(xí)曲線。這些專用MCU還可降低成本開銷和功耗，對于高度受限的物聯(lián)網(wǎng)設(shè)計，這是兩個主要考慮因素。

當(dāng)物聯(lián)網(wǎng)設(shè)備的推出速度超過了安全部署這些互連設(shè)計的速度時，安全MCU可提供一條應(yīng)對多方面網(wǎng)絡(luò)威脅的可行途徑。它們提供了一個簡化的解決方案，配備安全設(shè)計生態(tài)系統(tǒng)，促進(jìn)了點擊式開發(fā)環(huán)境的形成。

---

喜歡Digi-Key的文章嗎？

立即到Digi-Key官網(wǎng)，

或關(guān)注Digi-Key官方微信digikey_electronics吧！

掃碼入群

掃碼添加管理員微信

加入“電子產(chǎn)品世界”粉絲交流群

↓↓↓↓點擊閱讀原文，查看更多新聞