摘要

 

隨著汽車和工業市場中自動化和互聯革命的推進
，邊緣節點正在迅速成為網絡攻擊的目標。軟件更新

、遠程捕獲診斷數據以及遠程端點與基礎設施之間的通信變得越來越普遍
，因此容易遭受網絡攻擊和其它安全威脅。 

 

隨著半導體技術的進步
，工藝尺寸不斷縮小
，將閃存嵌入到包含硬件安全模塊（HSM）的MCU中也變得越來越困難

，因此外置閃存的需求不斷增加。當閃存外置於MCU時
，存儲的代碼和數據將更加容易受到攻擊，所以設備必須設計安全啟動流程和其它基礎設施，以確保存儲和檢索的內容可以信賴。

 

本文探討的是
，當閃存外置於擁有HSM模塊的MCU時


，但仍然保持硬件信任根時，新一代安全設備的設計會麵臨哪些挑戰和安全要求。本文涉及的其他內容還包括：加密安全存儲
、快速安全啟動、安全固件遠程更新和管理合規。 

 

I.引言

 

在zai一yi個ge日ri益yi趨qu於yu嵌qian入ru式shi和he互hu聯lian的de世shi界jie中zhong
，安an全quan問wen題ti正zheng在zai變bian得de舉ju足zu輕qing重zhong。每mei一yi個ge嵌qian入ru式shi係xi統tong都dou擴kuo大da了le攻gong擊ji麵mian
，從cong設she備bei和he車che輛liang到dao辦ban公gong室shi和he工gong廠chang，其qi中zhong的de一yi切qie都dou更geng加jia容rong易yi受shou到dao攻gong擊ji。在zai汽qi車che電dian子zi、工業係統等應用中

，功能安全上升到了至關重要的位置。

 

設(she)計(ji)工(gong)程(cheng)師(shi)深(shen)知(zhi)
，對(dui)安(an)全(quan)和(he)隱(yin)私(si)與(yu)日(ri)俱(ju)增(zeng)的(de)關(guan)注(zhu)已(yi)成(cheng)為(wei)影(ying)響(xiang)購(gou)買(mai)決(jue)策(ce)的(de)一(yi)個(ge)主(zhu)要(yao)因(yin)素(su)。消(xiao)費(fei)者(zhe)和(he)企(qi)業(ye)輕(qing)易(yi)采(cai)用(yong)新(xin)技(ji)術(shu)的(de)日(ri)子(zi)已(yi)經(jing)一(yi)去(qu)不(bu)複(fu)返(fan)。如(ru)今(jin)，慎(shen)重(zhong)取(qu)代(dai)了(le)信(xin)任(ren)，這(zhe)促(cu)使(shi)每(mei)個(ge)供(gong)應(ying)商(shang)都(dou)必(bi)須(xu)在(zai)某(mou)種(zhong)程(cheng)度(du)上(shang)保(bao)證(zheng)其(qi)產(chan)品(pin)和(he)服(fu)務(wu)的(de)安(an)全(quan)性(xing)。政(zheng)府(fu)也(ye)有(you)著(zhe)同(tong)樣(yang)的(de)擔(dan)憂(you)
，因(yin)此(ci)推(tui)出(chu)法(fa)規(gui)

，要(yao)求(qiu)供(gong)應(ying)商(shang)執(zhi)行(xing)各(ge)項(xiang)安(an)全(quan)規(gui)定(ding)，若(ruo)未(wei)能(neng)執(zhi)行(xing)有(you)時(shi)候(hou)還(hai)會(hui)受(shou)到(dao)處(chu)罰(fa)。

 

設計工程師還意識到，保障嵌入式係統的安全將變得越來越困難。原因是，隨著SOC/MCU在應對複雜的實時應用方麵越來越強大，它們開始向較小尺寸的CMOS技術（例如：16納米或7納米）過渡，以加快速度和降低功耗。但是在較小尺寸的條件下
，目前還沒有可用的可重編程非易失性存儲器（NVM）技術。這就導致了eFlash（MCU的嵌入式閃存）的去集成，需要一種天然安全的架構
，並且支持外置閃存。這就需要製定特殊的規則以確保其安全運行。

 

本文的第II章和第IIIzhanghaifenxileshejianquanqianrushixitongdetiaozhan，baokuoqianrushishancundequjichengsuozaochengdetiaozhan。disizhangzetantaoleliyonganquanshancunbaohuqianrushixitongdexinyidaijiagou。

 

II.嵌入式閃存麵臨去集成

 

為了應對日益增長的安全問題
，芯片供應商將硬件安全模塊（HSM）功能集成於MCU。HSM位於安全的處理環境中，其中含有一個基於硬件的信任根，用於保護敏感數據、處理器狀態
、啟動加載程序
、加密密鑰和應用安全服務代碼。嵌入式存儲（eFlash和RAM）也是安全處理環境可信邊界的重要組成部分，因此足以抵禦常見威脅。

 

片外存儲（例如：外置閃存）並非天然可信，並且容易受到持續攻擊。應對措施一般是對外置閃存中的數據進行加密

，然後在執行代碼之前，將其從外置閃存下載至MCU內置的RAM進行解密和驗證。這種方法盡管足夠強大，可以抵禦大多數攻擊，但是會導致性能下降（啟動時有可能會出現問題）和成本上升（需要更多的內置RAM和更高的功率），甚至有可能仍然容易受到持續攻擊（例如：回滾攻擊）。

 

隨著MCU逐步應用於先進的技術節點以提升性能、提高性價比和降低功耗，閃存的去集成有可能帶來更大的威脅，以前被eFlash全quan部bu或huo部bu分fen克ke服fu的de某mou些xie可ke信xin存cun儲chu挑tiao戰zhan也ye許xu會hui卷juan土tu重zhong來lai。此ci外wai
，由you於yu嵌qian入ru式shi係xi統tong的de普pu及ji所suo造zao成cheng的de威wei脅xie性xing環huan境jing也ye會hui帶dai來lai新xin的de挑tiao戰zhan
，而er使shi用yong外wai置zhi閃shan存cun則ze會hui讓rang這zhe些xie挑tiao戰zhan變bian得de更geng加jia難nan以yi克ke服fu。

 

為了確保外置閃存的安全，需要解決的主要威脅包括：

 

●  模擬閃存芯片的授權數據訪問

●  篡改閃存芯片存儲的內容

●  重放通訊指令以解析閃存芯片的內容

●  在不安全環境進行設置以獲取密鑰

●  在閃存芯片通訊時進行窺探（中間人）攻擊

●  通過旁路攻擊或故障注入來公開（獲取或觀察）閃存芯片的內容和密鑰 

●  以電子方式損害閃存芯片的完整性

●  克隆閃存芯片 

 

為了解決上述及其他對外置閃存的威脅，有效地使其成為安全處理環境可信邊界的組成部分，該設備必須提供以下三種功能：

 

●  基於硬件的信任根，可防止攻擊對存儲的代碼和/或數據造成的修改、操縱、複製或其他潛在影響

●  通過MCU或雲端提供安全更新
，綜合利用各種措施進行端到端保護，包括通過總線的加密驗證，通過讀/寫訪問方法實現的安全區域，安全密鑰存儲空間，以及非易失性防回滾計數器  

●  低成本
，無需額外的安全設備（例如：可信平台模塊），也無需更改電路板，包括支持x4 SPI和x8 HyperBus標準.

 

圖1顯示了專門設計的安全閃存（見第IV章）如何提供上述三種功能。實際上，安全閃存通過標準總線從外部擴展了MCU嵌入式閃存集成的HSM功能。還請注意，圖一也同時展示了安全閃存如何取代普通的NOR閃存，從而繼續使用現有的電路板。