在本系列的第 1 部分中，我們介紹了安全性在連接的嵌入式系統(tǒng)中的重要性，以及強(qiáng)制使用外部閃存的閃存的去集成。在本系列的第 2 部分中，我們將介紹下一代智能內(nèi)存安全閃存。

無(wú)論是使用 eFlash 還是外部閃存，設(shè)計(jì)安全的嵌入式系統(tǒng)都是一項(xiàng)越來(lái)越繁重的工作。本節(jié)重點(diǎn)介紹一些重要的注意事項(xiàng)，以幫助指導(dǎo)設(shè)計(jì)和開(kāi)發(fā)工作。

通常，在為端到端安全性而設(shè)計(jì)的系統(tǒng)中需要三個(gè)元素：

·保護(hù)機(jī)制，通過(guò)防止代碼和關(guān)鍵數(shù)據(jù)通過(guò)各種方式被刪除、更改或損壞，從而保持代碼和關(guān)鍵數(shù)據(jù)的完整性

·檢測(cè)機(jī)制，用于揭示代碼和/或關(guān)鍵數(shù)據(jù)何時(shí)可能被某些未經(jīng)授權(quán)的方式更改

·恢復(fù)機(jī)制，用于恢復(fù)被某些未經(jīng)授權(quán)的方式更改的任何代碼和/或關(guān)鍵數(shù)據(jù)的完整性

工程師應(yīng)設(shè)計(jì)能夠解決 STRIDE 模型中確定的所有威脅的系統(tǒng)（參見(jiàn)表 1）。下表總結(jié)了此模型，它提供了一種了解潛在威脅以及如何通過(guò)各種安全規(guī)定來(lái)應(yīng)對(duì)每個(gè)威脅的實(shí)用方法。

表 1：STRIDE 模型概述了安全系統(tǒng)需要解決的威脅。

安全的產(chǎn)品設(shè)計(jì)需要建立基于信任根的可信執(zhí)行環(huán)境 （TEE）。TEE提供了在使用之前驗(yàn)證所有組件和子系統(tǒng)的真實(shí)性和完整性的方法。以下是創(chuàng)建此類(lèi)安全設(shè)計(jì)的一些最佳實(shí)踐：

·在硬件中實(shí)現(xiàn)信任根以創(chuàng)建安全的基礎(chǔ)

·通過(guò)身份驗(yàn)證和加密鞏固這一基礎(chǔ)

·為所有連接、網(wǎng)絡(luò)和云組件提供端到端的價(jià)值鏈保護(hù)

·提供對(duì)側(cè)信道攻擊和故障注入技術(shù)的免疫力

·對(duì)系統(tǒng)進(jìn)行獨(dú)立的漏洞和風(fēng)險(xiǎn)評(píng)估

·持續(xù)實(shí)時(shí)監(jiān)控異常

·實(shí)施對(duì)策流程（例如安全更新）

圖 2 顯示了在系統(tǒng)中實(shí)現(xiàn)信任根如何涉及在風(fēng)險(xiǎn)和成本之間進(jìn)行權(quán)衡。正如預(yù)期的那樣，基于軟件的設(shè)計(jì)是最便宜的，也是最不安全的。沒(méi)有顯示的是不安全的嵌入式系統(tǒng)的間接成本，而這些非常真實(shí)的成本使得證明基于硬件的設(shè)計(jì)很容易最大化安全性。

以下是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院的計(jì)算機(jī)安全資源中心如何解釋在硬件中實(shí)現(xiàn)信任根的優(yōu)勢(shì)：“信任根是執(zhí)行特定關(guān)鍵安全功能的高度可靠的硬件，固件和軟件組件。由于信任根本質(zhì)上是受信任的，因此它們必須在設(shè)計(jì)上是安全的。因此，許多信任根都是在硬件中實(shí)現(xiàn)的，因此惡意軟件無(wú)法篡改它們提供的功能。

技術(shù)的進(jìn)步不斷降低IC的成本，從而降低采用下一代IC的系統(tǒng)的成本。隨著安全“智能閃存”的出現(xiàn)，外部閃存就是這種情況，它減少了在硬件中實(shí)現(xiàn)信任根并整合其他所需功能所需的工作量。

安全閃存：下一代智能存儲(chǔ)器

半導(dǎo)體代工廠正在花費(fèi)大量精力追求小尺寸嵌入式閃存，但尚未出現(xiàn)可行的解決方案。小截面RRAM和MRAM技術(shù)作為eFlash替代品已被廣泛探索，但由于數(shù)據(jù)完整性和成本挑戰(zhàn)，這些技術(shù)尚不可行，特別是對(duì)于需要在高溫下具有高可靠性的關(guān)鍵任務(wù)應(yīng)用。在撰寫(xiě)本文時(shí)，尚不清楚這些或任何其他技術(shù)何時(shí)（或是否）能夠在批量生產(chǎn)中提供嵌入式內(nèi)存。

由縮小的幾何形狀引起的不可避免的變化產(chǎn)生了對(duì)新型安全通道的需求，在該通道中，可以在MCU內(nèi)部的HSM和外部存儲(chǔ)設(shè)備內(nèi)的加密安全區(qū)域之間交換位。一個(gè)有前途的解決方案是采用當(dāng)前實(shí)踐的反面，將各種類(lèi)型的內(nèi)存集成到處理器中，而是將處理器集成到內(nèi)存IC中以創(chuàng)建智能內(nèi)存。圖3顯示了安全閃存如何能夠與主機(jī)MCU建立經(jīng)過(guò)身份驗(yàn)證和加密的安全處理環(huán)境。

下一代智能存儲(chǔ)器的這一趨勢(shì)有可能為電子行業(yè)帶來(lái)革命性的變化。對(duì)于嵌入式系統(tǒng)，這些進(jìn)步將集中在NOR Flash上，它是一種理想的非易失性存儲(chǔ)器，用于存儲(chǔ)基于其耐用性和快速隨機(jī)讀取性能的代碼。

Secure NOR 閃存（或更簡(jiǎn)單的“安全閃存”）為安全密鑰、證書(shū)、密碼哈希、特定應(yīng)用數(shù)據(jù)、配置數(shù)據(jù)、代碼版本信息和生物識(shí)別傳感器數(shù)據(jù)提供受硬件保護(hù)的安全存儲(chǔ)，以便進(jìn)行身份驗(yàn)證。Secure Flash 還可以支持經(jīng)過(guò)身份驗(yàn)證和加密的交易，以防止未經(jīng)授權(quán)的訪問(wèn)和其他安全威脅。

相比之下，當(dāng)前基于狀態(tài)機(jī)的內(nèi)存架構(gòu)無(wú)法提供與嵌入式處理器相同的多功能性和性能。例如，強(qiáng)大的安全性需要強(qiáng)大的加密，而這反過(guò)來(lái)又需要相當(dāng)大的處理能力。嵌入式處理器還可以支持其他與安全相關(guān)的要求，包括 HMAC 密鑰生成和存儲(chǔ)以及單調(diào)計(jì)數(shù)器，并提供針對(duì)固件、啟動(dòng)映像和系統(tǒng)參數(shù)的攻擊的保護(hù)。

在存儲(chǔ)器中嵌入處理能力可以選擇性地促進(jìn)邏輯集成，以添加特定功能和/或卸載系統(tǒng)主機(jī)MCU的工作負(fù)載。例如，嵌入式處理可以創(chuàng)建硬件信任根，以防止對(duì)存儲(chǔ)的代碼和數(shù)據(jù)進(jìn)行修改、操作和其他安全攻擊。或者，處理器可以在存儲(chǔ)系統(tǒng)其他功能所需的結(jié)果之前，對(duì)原始數(shù)據(jù)（包括用于機(jī)器學(xué)習(xí)的數(shù)據(jù)）運(yùn)行各種算法。

此外，對(duì)于可以通過(guò)在智能存儲(chǔ)器的嵌入式處理器中運(yùn)行的代碼部分或完全滿足的安全法規(guī)，可以更輕松地認(rèn)證新系統(tǒng)的合規(guī)性。這有可能通過(guò)簡(jiǎn)化所需的設(shè)計(jì)和開(kāi)發(fā)工作來(lái)顯著加快新產(chǎn)品的上市時(shí)間。

審核編輯：郭婷