【導讀】互聯(lián)設備容易受到網(wǎng)絡(luò )攻擊，因此自動(dòng)駕駛和工業(yè)自動(dòng)化的進(jìn)步會(huì )帶來(lái)更大的風(fēng)險。與云通信、處理軟件更新和捕獲診斷數據構成了不斷增長(cháng)的攻擊面。設備本身也可以被篡改，但諸如此類(lèi)的物理攻擊通常無(wú)法擴展。

互聯(lián)設備容易受到網(wǎng)絡(luò )攻擊，因此自動(dòng)駕駛和工業(yè)自動(dòng)化的進(jìn)步會(huì )帶來(lái)更大的風(fēng)險。與云通信、處理軟件更新和捕獲診斷數據構成了不斷增長(cháng)的攻擊面。設備本身也可以被篡改，但諸如此類(lèi)的物理攻擊通常無(wú)法擴展。

從安全啟動(dòng)過(guò)程開(kāi)始，連接的設備采用整體安全方法變得越來(lái)越重要。引導代碼必須經(jīng)過(guò)身份驗證并安全地存儲在非易失性存儲器 （NVM） 中。本文將探討技術(shù)進(jìn)步如何推動(dòng)處理器和內存的系統架構變化，但讓我們首先了解嵌入式系統中安全性的演變。

嵌入式系統安全性的演進(jìn)

多年來(lái)，智能卡和硬件安全模塊（HSM）提供了一個(gè)離散的“安全安全區”，可以在其中執行加密。這些外設包括大量可重新編程的NVM（EEPROM或閃存），允許將機密存儲在安全區內，免受惡意攻擊或意外入侵。這些器件是主機控制器的從屬外設，用于各種應用。

2006年，一群德國汽車(chē)制造商開(kāi)發(fā)了安全硬件擴展（SHE）規范，定義了可以集成到芯片組中的極簡(jiǎn)主義HSM。SHE架構已被專(zhuān)為汽車(chē)市場(chǎng)設計的安全芯片組廣泛采用。SHE作為狀態(tài)機實(shí)現，具有基于高級加密標準（AES）算法的加密功能，并包含足夠的NVM來(lái)存儲所需的密鑰和計數器。

幾年之內，汽車(chē)行業(yè)就認識到，某些汽車(chē)應用需要更高級別的安全性。由此，EVITA工作組成立。SHE被采用為EVITA輕型HSM的基礎，但為中高安全性應用定義了更高級的版本。易維塔中型和艾維塔全 HSM 基于傳統 SHE 基礎架構構建，并添加了一個(gè) ARM CPU 來(lái)管理 HSM 操作。最后，橢圓曲線(xiàn)加密 （ECC） 被添加到 EVITA 完整 HSM 中，以實(shí)現更高級別的安全性。EVITA工作組的HSM變體被廣泛部署，并且是當前活躍的AutoSAR工作組中描述的許多安全基礎設施的基礎。

高級工藝節點(diǎn)上嵌入式閃存的消失

安全隔區通常依靠嵌入式閃存 （eFlash） 來(lái)存儲密鑰和其他加密信息。嵌入式閃存通常用于40nm及以上的代工廠(chǎng)工藝節點(diǎn)，甚至在28nm上也存在一些示例。然而，隨著(zhù)過(guò)程節點(diǎn)的不斷縮小，由于器件物理和經(jīng)濟性，eFlash的集成變得非常困難。代工廠(chǎng)正在花費大量精力尋找小尺寸的嵌入式NVM，但到目前為止，還沒(méi)有出現可行的解決方案。小截面RRAM和MRAM作為eFlash替代品已被廣泛探索，但尚不可行，特別是對于需要在高溫下具有高可靠性的任務(wù)關(guān)鍵型應用。目前尚不清楚何時(shí)（或是否）這些技術(shù)中的任何一種將被投入生產(chǎn)。因此，開(kāi)發(fā)人員正在使用外部閃存來(lái)代替電子閃存。

當今的系統使用標準的 QSPI NOR 閃存，但公認的缺點(diǎn)是外部 NOR 器件不安全（參見(jiàn)圖 1）。向前邁出的一步是使用安全閃存設備來(lái)顯著(zhù)提高安全性，并滿(mǎn)足 HSM 對安全可重新編程 NVM 的要求。關(guān)鍵功能是創(chuàng )建一個(gè)安全通道，在該通道中，可以在 HSM 和安全閃存設備內的加密安全區域之間交換位。

圖 1：從嵌入式安全閃存到外部安全閃存的演變。

加密安全存儲： Secure Flash 可以為安全密鑰、證書(shū)、密碼哈希、特定于應用程序的數據和配置數據、代碼版本信息以及用于身份驗證的生物識別傳感器數據啟用受硬件保護的安全存儲。此外，它可以支持經(jīng)過(guò)身份驗證和加密的交易，以防止未經(jīng)授權的訪(fǎng)問(wèn)和其他安全威脅。

快速安全啟動(dòng)：汽車(chē)應用依賴(lài)于快速安全啟動(dòng)。汽車(chē)應用中的典型CAN總線(xiàn)的啟動(dòng)要求小于100ms。這意味著(zhù)ECU必須能夠在上電后100ms內回復CAN消息。如果CAN節點(diǎn)無(wú)法在100ms內啟動(dòng)，則可能會(huì )錯過(guò)關(guān)鍵的CAN消息，這對于A(yíng)DAS等汽車(chē)應用來(lái)說(shuō)是不可接受的。安全閃存設備可以使安全啟動(dòng)過(guò)程與主機MCU相互進(jìn)行身份驗證，并在不到100ms的時(shí)間內確?？偩€(xiàn)事務(wù)的機密性和真實(shí)性。

安全固件無(wú)線(xiàn) （FOTA） 更新：普通汽車(chē)包含大約100個(gè)電子控制單元（ECU）和超過(guò)1億行軟件代碼。我們相信這些系統能夠以更高的復雜性處理更多任務(wù)，這突顯了對提高可靠性和端到端安全性的需求。由于代碼和數據駐留在外部閃存上，因此保護閃存免受攻擊對于確保數據完整性、真實(shí)性和抗重放攻擊能力至關(guān)重要。安全的閃存通過(guò)僅允許授權更新并啟用硬件信任根來(lái)防止對代碼和數據存儲的修改、操作和其他安全攻擊，從而提供端到端保護。安全閃存還通過(guò)在主機 MCU、安全存儲和云之間提供加密和身份驗證的交易，使互聯(lián)世界中的系統更加安全。

汽車(chē)應用

汽車(chē)市場(chǎng)是安全閃存的主要采用者。主要應用包括高級駕駛員輔助系統 （ADAS）、網(wǎng)關(guān)、遠程信息處理、儀表板和發(fā)動(dòng)機/動(dòng)力總成控制。用例涵蓋代碼/數據存儲、快速安全啟動(dòng)和固件無(wú)線(xiàn) （FOTA） 更新。ADAS、網(wǎng)關(guān)和HEV/EV動(dòng)力總成應用仍然是該細分市場(chǎng)的增長(cháng)動(dòng)力。

高級駕駛輔助系統：ADAS檢測物體，提醒駕駛員危險情況或即將發(fā)生的危險，使汽車(chē)保持在車(chē)道上，并自動(dòng)減速或停止車(chē)輛。ADAS應用包括夜視輔助、駕駛員監控、行人和交通標志識別、前方碰撞警告、車(chē)道偏離警告和盲點(diǎn)監控（見(jiàn)圖3）。在A(yíng)DAS系統中，安全關(guān)鍵算法和數據存儲在閃存中。因此，確保閃存內容不被以任何方式篡改至關(guān)重要。此外，OEM廠(chǎng)商希望執行OTA固件更新，這進(jìn)一步加劇了安全挑戰。安全閃存非常適合ADAS應用，因為它們即使在極端溫度下也能確保安全、可靠、可靠的程序執行和關(guān)鍵數據的安全存儲。例如，賽普拉斯 NOR 閃存器件具有 AEC-Q100 汽車(chē)級認證，并符合 ISO 26262 ASIL-B 標準。

圖2：典型ADAS系統框圖

互聯(lián)汽車(chē)：車(chē)輛與遠程實(shí)體之間的通信在軟件更新、遠程捕獲診斷數據以及與運輸基礎設施（LTE、Wi-Fi通道）通信等操作中變得越來(lái)越普遍。電子控制單元（ECU） 之間通過(guò) CAN 和以太網(wǎng)總線(xiàn)進(jìn)行的車(chē)載通信對于確保正常運行至關(guān)重要（參見(jiàn)圖 4）。在這些通信子系統中，最關(guān)鍵的電子元件之一是ECU中使用的存儲器。對ECU存儲器的攻擊可能導致數據泄漏、不可靠行為甚至災難性故障。如果要確?，F代汽車(chē)中的電子設備安全，則必須制作內存子系統以抵御惡意行為者的攻擊。

圖 3：典型的車(chē)載網(wǎng)絡(luò )

工業(yè)應用

工業(yè)4.0智能工廠(chǎng)利用網(wǎng)絡(luò )物理系統來(lái)監控物理過(guò)程，并創(chuàng )建物理世界的虛擬副本，以實(shí)現新的和分散的決策功能。工業(yè)物聯(lián)網(wǎng) （IIoT） 設備連接到本地系統和云，并利用機器學(xué)習來(lái)提高生產(chǎn)力、質(zhì)量和安全性。這些系統監控，管理和控制工廠(chǎng)，僅制造所需的東西，何時(shí)需要，并經(jīng)過(guò)適當的授權。其中許多IIoT系統在所有工作模式下都需要高級別的安全性，高可靠性和低功耗。安全閃光燈非常適合工業(yè)自動(dòng)化、工業(yè)相機、醫療設備、測量設備、工業(yè)計算、M2M 通信等。

工業(yè)機器視覺(jué)相機：微型高分辨率有線(xiàn)和無(wú)線(xiàn)攝像機與圖像處理器相結合，使機器能夠觀(guān)察、解釋、計劃和行動(dòng)。這項技術(shù)正在改變安全、制造、醫療保健和零售行業(yè)。當今的工業(yè)機器視覺(jué)相機是復雜的系統，結合了圖像處理、實(shí)時(shí)模式匹配和對象跟蹤，同時(shí)通過(guò)網(wǎng)絡(luò )接口進(jìn)行通信，并在極端工作條件下控制多個(gè)電機（見(jiàn)圖5）。安全閃存通過(guò)支持快速安全執行、代碼保護和工業(yè)溫度范圍來(lái)滿(mǎn)足這些要求。

圖 4：典型的機器視覺(jué)相機

作為eFlash的替代品，安全的外部閃存正在獲得動(dòng)力，隨著(zhù)工藝節點(diǎn)縮小到40nm以下，eFlash已經(jīng)變得稀缺。我們需要將 HSM 集成到閃存技術(shù)中，以實(shí)現無(wú)法集成 eFlash 的安全芯片組?？梢约?eFlash 但需要專(zhuān)用于 HSM 功能的額外非易失性?xún)却娴男酒M也將發(fā)現安全閃存具有吸引力。安全閃存允許數據在其用戶(hù)陣列內的受保護區域之間以加密安全的方式通過(guò)現有通信基礎設施傳輸到主機MCU的HSM。

通過(guò)利用現代 NOR 閃存設備的內存計算功能，例如集成了 ARM Cortex M0 處理器的賽普拉斯的森佩爾 NOR 閃存，可以創(chuàng )建高級安全閃存。高級安全性包括防止對固件、啟動(dòng)映像和系統參數的覆蓋、修改和操作攻擊的功能。安全閃存也成為實(shí)現功能安全的基本組成部分。

使用包括 QSPI 和 xSPI 在內的現有總線(xiàn)協(xié)議，安全閃存設備可以與主機 MCU 配合使用，以實(shí)現要求苛刻的連接應用所需的安全級別，同時(shí)保持與現有主機內存控制器的兼容性。當前基于狀態(tài)機的存儲器架構無(wú)法提供與嵌入式內核相同的靈活性和可編程性。嵌入式 ARM Cortex M0 可實(shí)現卓越的架構，該架構可添加硬件加密加速、安全 HMAC 密鑰生成和存儲，并使用單調計數器來(lái)解決汽車(chē)和工業(yè)嵌入式系統的廣泛安全問(wèn)題。

（來(lái)源：中電網(wǎng)，作者：Naseem Aslam）

推薦閱讀：

常規控制繼電器選型實(shí)例分享

汽車(chē)電子后視鏡的大腦

WiFi接口開(kāi)發(fā)的高級技巧

如何提高AT32 MCU ADC轉換精度

鎖相環(huán)中的鑒相器了解不？