跟着半导体技能的前进,工艺尺度不断缩小,将闪存嵌入到包含硬件安全模块(HSM)的MCU中也变得越来越困难,因而外置闪存的需求不断添加。当闪存外置于MCU时,存储的代码和数据将愈加简略遭到进犯,所以设备有必要规划安全发动流程和其它根底设备,以保证存储和检索的内容能够信赖。
本文讨论的是,当闪存外置于具有HSM模块的MCU时,但依然坚持硬件信赖根时,新一代安全设备的规划会面对哪些应战和安全要求。本文触及的其他内容还包含:加密安全存储、快速安全发动、安全固件长途更新和管理合规。
在一个日益趋于嵌入式和互联的国际中,安全问题正在变得无足轻重。每一个嵌入式体系都扩展了进犯面,从设备和车辆到办公室和工厂,其间的一切都愈加简略遭到进犯。在轿车电子、工业体系等运用中,功用安全上升到了至关重要的方位。
规划工程师深知,对安全和隐私日积月累的重视已成为影响购买决策的一个首要因素。顾客和企业简略选用新技能的日子现已一去不复返。现在,稳重代替了信赖,这促进每个供货商都有必要在某种程度上保证其产品和服务的安全性。政府也有着相同的忧虑,因而推出法规,要求供货商履行各项安全规则,若未能履行有时候还会遭到处分。
规划工程师还意识到,保证嵌入式体系的安全将变得越来越困难。原因是,跟着SOC/MCU在应对杂乱的实时运用方面越来越强壮,它们开端向较小尺度的CMOS技能(例如:16纳米或7纳米)过渡,以加速速度和下降功耗。可是在较小尺度的条件下,现在还没有可用的可重编程非易失性存储器(NVM)技能。这就导致了eFlash(MCU的嵌入式闪存)的去集成,需求一种天然安全的架构,并且支撑外置闪存。这就需求拟定特别的规则以保证其安全运转。
本文的第II章和第III章还剖析了规划安全嵌入式体系的应战,包含嵌入式闪存的去集成所形成的应战。第四章则讨论了运用安全闪存维护嵌入式体系的新一代架构。
II. 嵌入式闪存面对去集成
为了应对日益增长的安全问题,芯片供货商将硬件安全模块(HSM)功用集成于MCU。HSM坐落安全的处理环境中,其间含有一个根据硬件的信赖根,用于维护敏感数据、处理器情况、发动加载程序、加密密钥和运用安全服务代码。嵌入式存储(eFlash和RAM)也是安全处理环境可信鸿沟的重要组成部分,因而足以抵挡常见要挟。
片外存储(例如:外置闪存)并非天然可信,并且简略遭到继续进犯。应对办法一般是对外置闪存中的数据进行加密,然后在履行代码之前,将其从外置闪存下载至MCU内置的RAM进行解密和验证。这种办法虽然满意强壮,能够抵挡大多数进犯,可是会导致功用下降(发动时有或许会呈现问题)和本钱上升(需求更多的内置RAM和更高的功率),乃至有或许依然简略遭到继续进犯(例如:回滚进犯)。
跟着MCU逐渐运用于先进的技能节点曾经进功用、前进性价比和下降功耗,闪存的去集成有或许带来更大的要挟,曾经被eFlash悉数或部分战胜的某些可信存储应战或许会东山再起。此外,因为嵌入式体系的遍及所形成的要挟性环境也会带来新的应战,而运用外置闪存则会让这些应战变得愈加难以战胜。
为了保证外置闪存的安全,需求处理的首要要挟包含:
· 模仿闪存芯片的授权数据拜访
· 篡改闪存芯片存储的内容
· 重放通讯指令以解析闪存芯片的内容
· 在不安全环境进行设置以获取密钥
· 在闪存芯片通讯时进行窥视(中间人)进犯
· 经过旁路进犯或毛病注入来揭露(获取或调查)闪存芯片的内容和密钥
· 以电子办法危害闪存芯片的完整性
· 克隆闪存芯片
为了处理上述及其他对外置闪存的要挟,有用地使其成为安全处理环境可信鸿沟的组成部分,该设备有必要供给以下三种功用:
· 根据硬件的信赖根,可避免进犯对存储的代码和/或数据形成的修正、操作、仿制或其他潜在影响
· 经过MCU或云端供给安全更新,综合运用各种办法进行端到端维护,包含经过总线的加密验证,经过读/写拜访办法完结的安全区域,安全密钥存储空间,以及非易失性防回滚计数器
· 低本钱,无需额定的安全设备(例如:可信渠道模块),也无需更改电路板,包含支撑x4 SPI和x8 HyperBus规范.
图1显现了专门规划的安全闪存(见第IV章)怎么供给上述三种功用。实践上,安全闪存经过规范总线从外部扩展了MCU嵌入式闪存集成的HSM功用。还请留意,图一也一起展现了安全闪存怎么代替一般的NOR闪存,然后继续运用现有的电路板。
值得一提的是,运用外置闪存还具有一些其他优势,首先是它能够愈加轻松地习惯不断添加的代码长度。嵌入式体系常用的规范闪存容量规范能够支撑1Gbit乃至更大的存储空间,远高于eFlash。外置闪存还能够包容更多的CPU内核/负载,以应对机器学习、人工智能等杂乱技能所需的更密布、更实时的处理。这些改变有助于简化规划作业并加速产品上市,然后供给不同的类型以便更好地满意价格、功用或其他规范方面的需求。
III. 运用外置闪存规划安全的嵌入式体系
无论是运用eFlash仍是外置闪存,规划安全的嵌入式体系都是一项越来越深重的作业。本章要点介绍一些重要的留意事项,以协助辅导规划和开发作业。
一般,针对端到端安全而规划的体系有必要具有三大要素:
· 维护机制,用于维护代码和要害数据的完整性,避免各种办法的删去、更改或损坏
· 测机制,用于提醒代码和/或要害数据何时被以某些未经授权的办法更改
· 康复机制,用于康复被以某些未经授权的办法更改的代码和/或要害数据的完整性
工程师规划的体系应能够应对STRIDE模型已验证的一切要挟。下表概述了此模型,它供给了一种有用的办法,以了解各种潜在的要挟以及怎么运用各种安全办法来应对各种要挟
安全产品规划需求树立根据信赖根的可信履行环境(TEE)。在运用一切组件和子体系之前,TEE供给了验证真实性和完整性的办法。创立这种安全规划的部分最佳办法如下:
· 施行硬件信赖根以创立安全根底
· 经过验证和加密稳固这一根底
· 维护一切衔接、网络和云组件的端到端价值链
· 供给防护旁路进犯和毛病注入技能的才能
供给防护旁路进犯和毛病注入技能的才能
· 对体系进行独立的缝隙和危险评价
· 继续实时监控异常情况
· 施行应对流程(例如:安全更新)
图2显现在体系中施行信赖根时怎么权衡危险和本钱。能够意料,根据软件的规划本钱最低,而安全性也最低。图2没有显现不安全嵌入式体系的间接本钱,而这些十分实践的本钱能够轻松地证明,根据硬件的规划能够将安全性最大化。
美国国家规范技能研讨院核算机安全资源中心解说了在硬件中施行信赖根的优势:“信赖根是履行特定要害安全功用的高度牢靠的硬件、固件和软件组件。因为信赖根天然可信,所以有必要经过规划来保证它们的安全。为此,许多信赖根都在硬件中施行,这样歹意软件便无法篡改其供给的功用。”
技能的前进不断推进IC本钱下降,集成新一代IC的体系本钱也随之下降。外置闪存也是这种情况,安全“智能闪存”的呈现,削减了在硬件中施行信赖根并归入其他必要功用所需的作业
安全闪存:新一代智能存储
半导体厂商想方设法寻求小尺度的嵌入式闪存,可是还没有可行的处理计划呈现。小尺度RRAM和MRAM技能已作为eFlash的代替品得到了广泛研讨,但因为数据完整性和本钱方面的应战,它们现在都还不可行,尤其是不适合要求高温高牢靠性的要害使命运用。到本文编撰之时,不能确认这些技能或其他相关技能何时(或是否)能够交给批量出产的嵌入式存储。
尺度缩小导致改变不可避免,因而产生了对新式安全信道的需求。在这种信道中,信息交流产生在MCU内部的HSM和外置存储设备的加密安全区之间。一种远景不错的处理计划是放弃现在的做法,不将各种类型的存储集成于处理器,而将处理器集成于存储IC,是为智能存储。图3显现了安全闪存怎么与主机MCU树立经过验证和加密的安全处理环境。
新一代智能存储的这种发展趋势有或许为电子职业带来革新性的改变。就嵌入式体系而言,技能发展将会集体现在NOR闪存上。NOR闪存是一种抱负的非易失性存储,存储代码具有持久性,并具有快速随机读取功用。
安全NOR闪存,或更简略的安全闪存,可为安全密钥、证书、哈希暗码、特定运用数据、装备数据、代码版别信息和生物辨认传感器数据供给硬件维护的安全存储,以便用于验证。安全闪存还支撑经过验证和加密的买卖,以避免未经授权的拜访和其他安全要挟。
相比之下,当时根据情况机的存储架构则无法供给与嵌入式处理器相同的多功用性和功用。例如,强壮的安全需求强壮的加密,然后需求强壮的处理才能。嵌入式处理器还支撑其他安全要求,包含HMAC密钥生成和存储以及防回滚计数器,并可维护固件、发动镜像和体系参数免受进犯。
在存储中嵌入处理才能有助于集成逻辑,以添加特定功用和/或减轻体系主SOC/MCU的作业量。例如,嵌入式处理能够完结硬件信赖根的创立,然后避免对存储的代码和数据进行修正、操作和其他安全进犯。或许,处理器也能够对原始数据运转各种算法,包含机器学习算法,然后存储体系其他功用所需的成果。
此外,针对能够经过智能存储的嵌入式处理器运转代码而悉数或部分认证的安全法规,新体系能够愈加轻松地取得认证。这样,经过简化所需的规划和开发作业,咱们能够极大地加速新产品的上市速度。
图4显现了内置了智能化安全的闪存怎么满意嵌入式体系所需的功用、牢靠性、安全性和功用安全。经过运用包含x4 SPI(QSPI)和x8 HyperBus在内的规范总线协议,智能安全闪存能够与主控芯片合作,以到达要求苛刻的互联运用所需的安全级别,一起依然彻底兼容现有的主控芯片存储控制器。
关于不允许产生毛病的要害使命运用,安全闪存能够保证体系的安全发动,记载要害的信息,并扩展重要功用的作业存储。此类“毛病维护”运用的示例包含:高档驾驭辅佐体系(ADAS),便携式医疗设备,工厂自动化,国防级传感器,以及高档无线通讯体系。
无毛病的一个重要方面,是对存储的代码和数据进行加密,以防遭到更改或损坏。经过集成加密引擎和嵌入式处理器,数据能够以安全的办法进行存储。考虑到存储所添加的逻辑门数远小于CPU和专用核算引擎所需求添加的逻辑门数,因而在智能安全闪存中以相对较低的增量本钱施行加密和其他高档功用更为可行。
安全闪存创立的硬件信赖根,可供给一个安全环境或与安全MCU供给的TEE集成。信赖根有一个至关重要的效果,便是保证体系正常发动,抱负情况下应根据可信核算作业组的设备标识符组合引擎(DICE)规范。安全发动流程对闪存和主SOC/MCU进行彼此验证,以保证穿越总线的一切买卖的机密性,然后完结端到端的维护。并且因为闪存是智能的,所以经过验证的发动进程能够在某些运用领域需求的不到100毫秒时间内完结。
能够将代码安全地更新至最新版别,是安全发动流程的另一个重要方面。这就要求保证FOTA或其他方法的更新在没有任何篡改或损坏的情况下完结,无论是有意仍是意外的损坏。假如经过版别认证或其他办法检测到任何篡改,那么能够运用备份功用复原曾经已知有用版别(虽已降级)的代码。相同的功用也可用于维护非安全出产设备或服务中心或许存在的任何设备装备。
嵌入式智能使得安全闪存除了维护存储的代码和数据之外,还能够处理其他使命。例如,支撑XIP功用使得作为可信环境的安全闪存能够直接履行代码,然后减轻主机MCU的负载。这样也能够削减MCU所需的片上RAM的数量,然后有助于下降本钱和功耗。
在最苛刻的安全性和功用安全需求推进下,轿车和工业自动化商场首先选用安全存储。因为嵌入式体系的潜在缝隙或许导致长途进犯,并终究要挟到乘客或作业人员的安全,所以,假如不能保证强壮的安全性,就无法完结体系的功用安全。因而,安全要害型运用的一切半导体组件(包含外置闪存设备)都有必要契合ISO26262高档驾驭员辅佐体系(ADAS)规范和IEC 61508工业体系规范。
继续监控现场设备情况,履行长途确诊和预防性维护,也都十分重要。闪存设备简略呈现几种毛病形式,包含因为电荷损耗或世界辐射引起的闪存单元毛病、时延、功率损耗毛病等,这些毛病都有必要即时加以处理,以保证在20年以上的运用寿命中供给较高的牢靠性。
V. 定论
智能安全闪存作为eFlash的代替产品现已逐渐得到了人们的承受,跟着它的工艺尺度缩小到28nm以下,eFlash的运用必将变得日渐稀疏,直至彻底消失。芯片能够集成eFlash、但集成HSM功用的安全闪存计划更具有优势。在这两种规划中,安全闪存都能够经过职业规范总线,以加密安全的办法,在受维护区域和主机MCU的HSM之间传输代码和数据。
能够预期,选用安全闪存的规划将变得越来越遍及,关于满意不断发展的安全需求来说乃至必不可少。现在,进犯行为正在变得日渐广泛和杂乱,各项法规估计将会越来越严厉,自动化程度的前进也将进一步前进安全性和功用安全的重要性。为了满意这些不断发展的需求,一起最大程度地加速新功用的上市速度,规划工程师将越来越依靠仅智能安全闪存能够供给的快捷性