大胆质疑 CPU 供应商的安全声明

规格书有时很有意思。我时常需要对比竞争产品的规格书中各种声明，坦白来说，有时可能无法进行有效比较。在某些情况下，规格仅在特定条件下有效。而在其他情况下，制造商会使用最佳条件下的规格来对比竞争产品的“平均值”。

在安全性方面，情况也大同小异。如今的 MCU 供应商无不声称其产品“安全可靠”。然而，所谓的“安全”实际指代什么？也许是产品采用了某种内置加密，或是借助第三方来处理安全问题，抑或依赖于 Arm 的 TrustZone 等技术（图 1）。

图 1：TrustZone 适用于基于 Arm Cortex 处理器 IP 的 MCU，代表了一种通过将任务关键型代码与操作系统分离的系统级嵌入式安全解决方案。（图片来源：Embedded Computing Design）

TrustZone 已然成为提高基于 MCU 安全性的常用方法。该技术将任务关键型代码和协议栈与操作系统 (OS) 分离，以防固件后门植入安全密钥存储区。此外，还构建了多个软件安全域，以限制对微控制器中特定内存、外设和 I/O 器件的访问。

无线更新

MCU 制造商用于维持安全性的另一种方法是提供无线 (OTA) 更新。至少在理论上，使用该技术可确保系统始终使用最新的安全协议。例如，Renesas 的 RX651 微控制器集成了可信安全 IP (TSIP) 和可信闪存区域保护，可通过安全的网络通信实现闪存固件现场更新。

TSIP 具有强大的密钥管理、加密通信和篡改检测功能，针对各种外部威胁均可确保安全性。有赖于嵌入式系统安全专家 Secure Thingz 的协作，32 位 RX 系列 MCU 在整个设计和制造价值链过程中安全性均有所保证。

MCU 供应商 STMicroelectronics 与 Arilou Information Security Technologies 之间也达成了类似合作。这两家公司联手打造了一项多层安全架构，其中硬件和软件可互补互利以监控数据流并检测通信异常。

ST 已将 Arilou 的入侵检测和防御系统 (IDPS) 软件整合至 SPC58 Chorus 系列 32 位汽车微控制器，以检测流量异常并针对网络攻击提供额外保护。IDPS 是专为汽车应用设计的软件解决方案，可用于控制器局域网 (CAN) 总线监控和电子控制单元 (ECU) 通信模式的异常检测。

安全协处理器

安全元件也称为安全协处理器，唯一的用途是作为主 CPU 的配套芯片来确保不具有安全型 MCU 的系统安全。安全元件针对一系列威胁提供了安全框架。这种经济实惠的简单设备可代替主 MCU 或 CPU 承担安全相关的任务，例如密钥存储、加密加速等。

安全元件的一个实例是 Microchip 的 ATECC608A（图 2），具有随机数生成器 (RNG) 用于生成唯一的密钥，并且满足美国国家标准与技术研究院 (NIST) 的最新要求。此外，还具有 AES-128、SHA-256 和 ECC P-256 等加密加速器，用于相互身份验证。ATECC608A 可提供 OTA 验证和安全引导，确保用于物联网和云服务身份验证的密钥能够安全存储和传输。

图 2：Microchip 的 ATECC608A 是安全元件的实例，可作为安全协处理器。（图片来源：Microchip）

总之，系统安全不可或缺，而嵌入终端系统的 MCU 已采用安全设计诚不足为奇。但是，万万不可自行假设，分析规格书时务必仔细研读。如需了解有关此重要主题的更多信息，请参见文章《针对物联网应用的安全微控制器剖析》。