时刻保持安全

系统会关机。有时是出于维护、省电或其他原因,您希望系统关机。有时,它们会在您不希望时关机,而这就是您要尽量避免的事情。最重要的是,这种现象不能发生在系统正在开机或关机的时候,因为此时的安全性可能会在无意中变得更加松懈。

在一切正常的情况下,如何保证系统的安全性会有完善的记录。但是,当系统开机或关机时,情况不一定如此,尤其是在计划外断电的情况下。那么,在这些不幸的情况下您会怎么做?

简单的答案是确保您采用包含所有最新安全功能的 MCU 进行设计。更难的部分是确定情况是否确实如此,因为随着恶意人士似乎每时每刻都变得越来越狡猾,标准和功能的变化非常快。要了解有关此技术的更多信息,请阅读标题为“针对物联网应用的安全微控制器剖析”的文章。

图 1:工业平台中的保护边界区域。(图片来源:Maxim Integrated Products)

在典型的“安全”设计中,所有嵌入式安全构件在一个公共边界下共同运行。在安全保护层次结构中,上层包含诸如加密和硬件安全等技术(图 1)。该边界将身份验证密钥与软件隔离开来,从而可以防止黑客发起攻击,包括在系统重新启动时可能发生的攻击。但是,如果切断了电源,则按正确的顺序启动系统至关重要;这意味着首先加载安全功能,远离窥探的“眼睛”。

来自 Renesas 的 RX 系列器件(例如 RX651 微控制器)使用信任根实现安全性。这是系统设计人员处理开机和关机问题的一种方式。通过使用该信任根,系统知道必须按特定顺序开机和关机。它读取加密的关键字,而关键字向系统的其余部分提供“警报解除”信号。

RX651 MCU 还通过集成可信安全 IP (TSIP) 和可信闪存区域保护来解决安全问题,支持通过安全网络通信在现场进行闪存固件更新。TSIP 提供了可靠的密钥管理、加密通信和篡改检测,以确保针对窃听、篡改和病毒等外部威胁提供强有力的保护。

第二种安全方法是如今非常流行的一种方法,即 Arm 的 TrustZone,它将重要的安全固件和私人信息(例如安全启动、固件更新和密钥)与应用程序的其余部分隔开。从本质上讲,它将 MCU 分为两部分,其中一部分完全安全,包含加密密钥等,另一部分则部署用于通用活动。这两个域保持隔离,因此避免了篡改。

一款利用 TrustZone 的 MCU 是 STMicroelectronicsSTM32MP151A。该器件基于 Arm Cortex-A7 32 位 RISC 核心,工作频率高达 650 MHz,并包括 32 KB 的指令和数据缓存,以及 256 KB 的 2 级缓存。板载存储器保护单元 (MPU) 可增强应用的安全性。这是嵌入式 TrustZone 技术的补充。

第二个来源的安全性

另一个独立于 MCU 运作的器件是 MicrochipATECC608A 安全元件(图 2)。该器件具有一个用于生成唯一密钥的随机数发生器 (RNG),同时符合美国国家标准与技术研究院 (NIST) 的最新要求。此外,还具有用于相互身份验证的加密加速器,例如 AES-128、SHA-256 和 ECC P-256。

图 2:Microchip 的 ATECC608A 是与 MCU 协同工作的加密协处理器。该器件提供了基于硬件的安全密钥存储。(图片来源:Microchip)

虽然该零件内置了 Hook 来支持 Microchip 广泛的 MCU 系列,但对于任何微处理器或微控制器是未知的。该器件需要功耗极低,并且在宽电压范围内只需一个 GPIO。其外形小巧(8 焊盘 UDFN 或 8 引脚 SOIC 封装),因而易于设计到电路板。

如您所见,有很多方法可以保护您的系统。请选择最适合您的应用的方法。

关于此作者

Image of Richard Nass

Richard Nass 的主要职责是为 OpenSystems Media 的嵌入式物联网产品组合的各个方面设定方向,具体包括嵌入式计算设计、嵌入式大学以及各种数字、其他印刷和现场活动。Nass 以前曾是 UBM 屡获大奖的《设计新闻》杂志的品牌总监。在此之前,他领导了 UBM Canon 医疗设备事业部的内容团队,并主持了所有定制产品和活动。Nass 从事工程 OEM 行业已有 30 多年。在以前的工作中,他曾领导 EE Times 的内容团队,负责过嵌入式和定制小组以及设计工程网站的 TechOnline DesignLine 网络。Nass 拥有新泽西理工学院电子工程学士学位。

More posts by Richard Nass
 TechForum

Have questions or comments? Continue the conversation on TechForum, Digi-Key's online community and technical resource.

Visit TechForum