跟着轿车和工业商场中自动化和互联革新的推进,边际节点正在敏捷成为网络进犯的方针。软件更新、长途捕获确诊数据以及长途端点与根底设施之间的通讯变得越来越遍及,因而简单遭受网络进犯和其它安全要挟。
跟着半导体技能的前进,工艺尺度不断缩小,将闪存嵌入到包含硬件安全模块(HSM)的 MCU 中也变得越来越困难,因而外置闪存的需求不断添加。当闪存外置于 MCU 时,存储的代码和数据将愈加简单遭到进犯,所以设备有必要规划安全发动流程和其它根底设施,以保证存储和检索的内容可以信赖。
本文讨论的是,当闪存外置于具有 HSM 模块的 MCU 时,但依然坚持硬件信赖根时,新一代安全设备的规划会面对哪些应战和安全要求。本文触及的其他内容还包含:加密安全存储、快速安全发动、安全固件长途更新和管理合规。
I. 导言
在一个日益趋于嵌入式和互联的国际中,安全问题正在变得无足轻重。每一个嵌入式体系都扩展了进犯面,从设备和车辆到办公室和工厂,其间的一切都愈加简单遭到进犯。在轿车电子、工业体系等运用中,功用安全上升到了至关重要的方位。
规划工程师深知,对安全和隐私日积月累的重视已成为影响购买决策的一个首要因素。顾客和企业简单选用新技能的日子现已一去不复返。现在,稳重替代了信赖,这促进每个供货商都有必要在某种程度上保证其产品和服务的安全性。政府也有着相同的忧虑,因而推出法规,要求供货商履行各项安全规则,若未能履行有时候还会遭到处分。
规划工程师还意识到,保证嵌入式体系的安全将变得越来越困难。原因是,跟着 SOC/MCU 在应对杂乱的实时运用方面越来越强壮,它们开端向较小尺度的 CMOS 技能(例如:16 纳米或 7 纳米)过渡,以加速速度和下降功耗。可是在较小尺度的条件下,现在还没有可用的可重编程非易失性存储器(NVM)技能。这就导致了 eFlash(MCU 的嵌入式闪存)的去集成,需求一种天然安全的架构,而且支撑外置闪存。这就需求拟定特别的规则以保证其安全运转。
本文的第 II 章和第 III 章还剖析了规划安全嵌入式体系的应战,包含嵌入式闪存的去集成所形成的应战。第四章则讨论了运用安全闪存维护嵌入式体系的新一代架构。
II. 嵌入式闪存面对去集成
为了应对日益增长的安全问题,芯片供货商将硬件安全模块(HSM)功用集成于 MCU。HSM 坐落安全的处理环境中,其间含有一个根据硬件的信赖根,用于维护敏感数据、处理器状况、发动加载程序、加密密钥和运用安全服务代码。嵌入式存储(eFlash 和 RAM)也是安全处理环境可信鸿沟的重要组成部分,因而足以抵挡常见要挟。
片外存储(例如:外置闪存)并非天然可信,而且简单遭到继续进犯。应对办法一般是对外置闪存中的数据进行加密,然后在履行代码之前,将其从外置闪存下载至 MCU 内置的 RAM 进行解密和验证。这种办法虽然满意强壮,可以抵挡大多数进犯,可是会导致功用下降(发动时有或许会呈现问题)和本钱上升(需求更多的内置 RAM 和更高的功率),乃至有或许依然简单遭到继续进犯(例如:回滚进犯)。
跟着 MCU 逐渐运用于先进的技能节点以前进功用、前进性价比和下降功耗,闪存的去集成有或许带来更大的要挟,曾经被 eFlash 悉数或部分战胜的某些可信存储应战或许会东山再起。此外,由于嵌入式体系的遍及所形成的要挟性环境也会带来新的应战,而运用外置闪存则会让这些应战变得愈加难以战胜。
为了保证外置闪存的安全,需求处理的首要要挟包含:
模仿闪存芯片的授权数据拜访
篡改闪存芯片存储的内容
重放通讯指令以解析闪存芯片的内容
在不安全环境进行设置以获取密钥
在闪存芯片通讯时进行窥视(中间人)进犯
通过旁路进犯或故障注入来揭露(获取或调查)闪存芯片的内容和密钥
以电子办法危害闪存芯片的完整性
克隆闪存芯片
为了处理上述及其他对外置闪存的要挟,有效地使其成为安全处理环境可信鸿沟的组成部分,该设备有必要供给以下三种功用:
根据硬件的信赖根,可避免进犯对存储的代码和 / 或数据形成的修正、操作、仿制或其他潜在影响
通过 MCU 或云端供给安全更新,综合运用各种办法进行端到端维护,包含通过总线的加密验证,通过读 / 写拜访办法完成的安全区域,安全密钥存储空间,以及非易失性防回滚计数器
低本钱,无需额定的安全设备(例如:可信渠道模块),也无需更改电路板,包含支撑 x4 SPI 和 x8 HyperBus 规范 .
图 1 显现了专门规划的安全闪存(见第 IV 章)怎么供给上述三种功用。实践上,安全闪存通过规范总线从外部扩展了 MCU 嵌入式闪存集成的 HSM 功用。还请留意,图一也一起展现了安全闪存怎么替代一般的 NOR 闪存,然后继续运用现有的电路板。
值得一提的是,运用外置闪存还具有一些其他优势,首先是它可以愈加轻松地习惯不断添加的代码长度。嵌入式体系常用的规范闪存容量规范可以支撑 1Gbit 乃至更大的存储空间,远高于 eFlash。外置闪存还可以包容更多的 CPU 内核 / 负载,以应对机器学习、人工智能等杂乱技能所需的更密布、更实时的处理。这些改变有助于简化规划作业并加速产品上市,然后供给不同的类型以便更好地满意价格、功用或其他规范方面的需求。
I. 运用外置闪存规划安全的嵌入式体系
无论是运用 eFlash 仍是外置闪存,规划安全的嵌入式体系都是一项越来越深重的作业。本章要点介绍一些重要的留意事项,以协助辅导规划和开发作业。
一般,针对端到端安全而规划的体系有必要具有三大要素:
维护机制,用于维护代码和要害数据的完整性,避免各种办法的删去、更改或损坏
检测机制,用于提醒代码和 / 或要害数据何时被以某些未经授权的办法更改
康复机制,用于康复被以某些未经授权的办法更改的代码和 / 或要害数据的完整性
工程师规划的体系应可以应对 STRIDE 模型已验证的一切要挟。下表概述了此模型,它供给了一种有用的办法,以了解各种潜在的要挟以及怎么运用各种安全办法来应对各种要挟。
安全产品规划需求树立根据信赖根的可信履行环境(TEE)。在运用一切组件和子体系之前,TEE 供给了验证真实性和完整性的办法。创立这种安全规划的部分最佳办法如下:
施行硬件信赖根以创立安全根底
通过验证和加密稳固这一根底
维护一切衔接、网络和云组件的端到端价值链
供给防护旁路进犯和故障注入技能的才能
对体系进行独立的缝隙和危险评价
继续实时监控异常状况
施行应对流程(例如:安全更新)
图 2 显现在体系中施行信赖根时怎么权衡危险和本钱。可以意料,根据软件的规划本钱最低,而安全性也最低。图 2 没有显现不安全嵌入式体系的间接本钱,而这些十分实践的本钱可以轻松地证明,根据硬件的规划可以将安全性最大化。
美国国家规范技能研讨院计算机安全资源中心解说了在硬件中施行信赖根的优势:“信赖根是履行特定要害安全功用的高度牢靠的硬件、固件和软件组件。由于信赖根天然可信,所以有必要通过规划来保证它们的安全。为此,许多信赖根都在硬件中施行,这样歹意软件便无法篡改其供给的功用。”
技能的前进不断推进 IC 本钱下降,集成新一代 IC 的体系本钱也随之下降。外置闪存也是这种状况,安全“智能闪存”的呈现,减少了在硬件中施行信赖根并归入其他必要功用所需的作业。
I. 安全闪存:新一代智能存储
半导体厂商想方设法寻求小尺度的嵌入式闪存,可是还没有可行的处理方案呈现。小尺度 RRAM 和 MRAM 技能已作为 eFlash 的替代品得到了广泛研讨,但由于数据完整性和本钱方面的应战,它们现在都还不可行,尤其是不适合要求高温高牢靠性的要害使命运用。到本文编撰之时,尚不能确认这些技能或其他相关技能何时(或是否)可以交给批量生产的嵌入式存储。
尺度缩小导致改变不可避免,因而产生了对新式安全信道的需求。在这种信道中,信息交流发生在 MCU 内部的 HSM 和外置存储设备的加密安全区之间。一种远景不错的处理方案是放弃现在的做法,不将各种类型的存储集成于处理器,而将处理器集成于存储 IC,是为智能存储。图 3 显现了安全闪存怎么与主机 MCU 树立通过验证和加密的安全处理环境。
