電子系統在我們的生活中發(fā)揮著至關重要的作用。無論是通過智能手機進行通信，還是駕駛配備高級駕駛員輔助系統 （ADAS） 的汽車，我們都依靠電子設備來簡化甚至執(zhí)行我們的日常任務。這些系統很容易被黑客入侵，而且它們相互連接的事實放大了威脅。隨著可信情報承擔關鍵活動（例如，個人醫(yī)療監(jiān)控），網絡攻擊和破壞的后果會增長到包括人身傷害甚至死亡。在這個新的現實中，構建能夠抵御此類攻擊的電子系統勢在必行。

安全啟動是構建安全電子系統的基礎。隨著微控制器的工藝尺寸不斷縮小，板載嵌入式閃存正逐漸被外部 NOR 閃存所取代。這種架構演變通過暴露的總線接口、克隆可能性等創(chuàng)造了更大的攻擊面。解決這一日益嚴重的漏洞的一種方法是使用安全 NOR 閃存進行設計以保護存儲并幫助 MCU 在啟動時建立安全的信任鏈。

安全啟動——安全系統的基礎

通電時，每個電子系統都會啟動。對于嵌入式系統，這通常通過運行存儲在非易失性存儲器中的引導代碼來實現。要啟用安全啟動，系統需要建立信任根，從原始硬件存儲啟動，并使用原始受信任啟動代碼啟動（參見圖 1）。

建立信任根

當 MCU 開始啟動時，它必須從受信任的位置運行。這通常通過小型內部 ROM 或受信任的嵌入式閃存來實現。此代碼必須是不可變的，以便系統可以從本質上信任它。它作為信任根層次結構的基礎。從這里系統可以通過驗證硬件和驗證存儲內容將信任擴展到外部存儲。

非對稱密鑰算法。

為了建立信任根，ROM 代碼通常依賴于預先存儲的密鑰。如果使用非對稱密鑰算法，該密鑰通常是公鑰。MCU 使用此公鑰來驗證第二階段引導加載程序的簽名，該引導加載程序駐留在外部閃存設備上。與實際引導加載程序一起存儲的簽名是引導加載程序的摘要值，并使用與公鑰加密配對的私鑰進行簽名。如果 MCU 使用公鑰成功驗證了引導加載程序簽名并從當前引導加載程序計算出相同的摘要值，則可以確定引導加載程序代碼沒有被更改。這樣，信任根就建立起來了。現在可以安全地執(zhí)行這個經過驗證的第二階段引導加載程序。

對稱密鑰算法

通常，對稱密鑰算法的執(zhí)行速度比對稱算法慢。出于這個原因，在啟動時間很關鍵的應用程序中，用戶經常選擇對稱密鑰算法。使用對稱密鑰，主機 MCU 和外部閃存共享相同的密鑰。可以在現場部署之前（即在制造期間）在安全環(huán)境中提前建立此共享秘密。隨后，共享密鑰可用于通過在軟件上使用基于密鑰的哈希來快速驗證第二階段引導加載程序。

圖 1：建立信任根

從原始硬件存儲啟動

如果整個啟動代碼都存儲在 MCU 內的嵌入式閃存中，那么從原始硬件存儲啟動可能不是主要問題。這是因為在不損壞 MCU 主機的情況下更換嵌入式閃存可能是不可能的。然而，隨著行業(yè)向 22-nm MCU 發(fā)展，在 MCU 中嵌入閃存變得越來越困難。超過 28nm 的技術可能會被迫將引導代碼存儲在外部閃存中。因此，為了安全啟動，主機必須考慮是否更換了外部閃存。

為了防止黑客使用原始內存內容克隆硬件，主機MCU可以在制造過程中與引導存儲設備執(zhí)行配對過程。之后，只有這個配對的存儲設備才能提供啟動代碼進行啟動。因此，必須在設備上使用安全的硬件標識符來提供這種配對能力。標識符可以是非常強的設備 ID，不能被篡改或克隆。因此，配對后的認證過程可以基于這樣的標識符。

使用原始的、受信任的引導代碼進行引導

在識別出原始硬件存儲之后，下一步是驗證啟動代碼，以確保它沒有被篡改或修改。有多種方法可以做到這一點，每種方法都需要不同的處理能力并提供相應的安全級別。

簡單保護

與大多數傳統的 NOR 閃存一樣，用戶可以在引導代碼所在的內存范圍內啟用基于塊或扇區(qū)的保護。這種保護也可以防止意外寫入并從受保護區(qū)域中擦除。簡單保護中沒有安全元素，因此這種保護對于更改代碼的故意攻擊很弱。黑客可以輕松發(fā)出命令來取消對該區(qū)域的保護并修改啟動代碼。即使保護方案包括密碼，由于密碼本質上是靜態(tài)的，它也可能被復雜的攻擊破解。

校驗和驗證

如果已從原始引導代碼計算出校驗和，則可以在后續(xù)引導中使用它來驗證代碼未被修改。這個過程必須由宿主完成；因此，它要求主機從引導設備讀取整個引導代碼并計算校驗和，然后才能開始運行它。請注意，主機不能依賴存儲設備來提供校驗和值，因為這可能會在攻擊期間被修改。

使用加密存儲引導代碼

加密的引導代碼可以使用密鑰存儲在 NOR 閃存中。MCU 內部可能有硬件在啟動時透明地解密數據。由于引導代碼純文本不會暴露在總線上，因此無法竊聽。只要用于加密的密鑰不被泄露，這種方法就是安全的。但是，如果加密密鑰被泄露，則必須重新刷新外部閃存上的引導代碼內容。這個過程可能很乏味，甚至不可能在已經在現場的設備上實施。

閃存設備輔助驗證

如果設備提供此類功能，則可以將驗證任務卸載到 NOR 閃存，而不是 MCU 將整個引導加載程序讀取到 RAM 以進行驗證。在對引導時間敏感的系統中，卸載驗證任務可以幫助 MCU 更快地開始執(zhí)行引導加載程序。看門狗定時器可用于在驗證失敗的情況下重置系統。使用這種方法，MCU 可以在閃存設備驗證代碼時開始處理一些緊急任務。當然，在驗證完成之前，只能運行非安全功能。這意味著主機必須實現一個安全的中斷處理程序，該處理程序可以通過中斷事件從 NOR 閃存獲取驗證結果。

安全 NOR 閃存

傳統的 NOR 閃存能夠提供簡單的數據保護，無論是否有密碼。這使得使用傳統 NOR 閃存實現安全啟動功能變得困難。賽普拉斯等公司提供的下一代安全 NOR 閃存集成了安全功能，可實現更高級別的安全啟動。

設備識別復合引擎 （DICE）

由可信計算組 （TCG） 指定的 DICE 提供了一種方法，用于根據每個設備的唯一設備機密來獲取強大且安全的設備 ID。使用存儲引導代碼的設備上的 DICE，系統可以在引導時建立信任根基礎。

DICE 建立在唯一設備密鑰 （UDS） 之上。UDS 是每個設備上的真正隨機數，沒有任何關聯。UDS 在客戶的設施中生成并存儲在設備上的一個秘密位置，一旦寫入，就無法讀取 UDS。由證書提供的設備標識源自 UDS。因此，一旦 MCU 與特定的閃存設備配對，就不可能克隆包含相同 UDS 的設備。

安全存儲區(qū)域

可以將安全 NOR 閃存配置為在設備內具有多個獨立的安全區(qū)域。具有不同訪問級別的區(qū)域可用于存儲可能需要不同安全級別的固件或軟件。個別區(qū)域也可以配置為一般數據的非安全存儲。隨著安全級別的提高，設備的讀取吞吐量會因加密措施而降低。通過提供各種訪問級別，用戶可以決定系統每個部分的性能和安全性之間的權衡。

如果固件引導加載程序存儲在配置為需要身份驗證的區(qū)域中，則用戶可以確定固件未被任何未經授權的方修改。如果固件包含用戶不想暴露在 SPI 總線上的敏感數據，則可以將其存儲在需要加密的區(qū)域中，這樣只有加密的數據才會傳輸到總線上。

快速安全啟動

某些應用程序（例如汽車系統）需要及時安全地啟動。在現代復雜系統中，引導代碼或應用軟件可能非常龐大，以至于 MCU 需要大量時間來讀取和驗證整個軟件。在這種情況下，安全 NOR 閃存可以在啟動期間卸載 MCU，以驗證存儲在設備上的軟件。這是通過提前在 MCU 和設備之間存儲共享秘密信息來實現的。在啟動過程中，可以快速驗證此共享密鑰，以確保設備和存儲軟件的原創(chuàng)性。該設備還可以在 MCU 開始處理一些基本任務時驗證軟件應用程序代碼。因此，可以縮短整個啟動時間，以滿足汽車應用的嚴格要求。

汽車、工業(yè)和通信領域的現代電子系統需要高度安全的閃存存儲。設計人員面臨著構建能夠抵御網絡攻擊的安全系統的挑戰(zhàn)。賽普拉斯串行和并行NOR 閃存等安全存儲器實現了安全功能，使外部存儲能夠支持快速安全的啟動。

審核編輯：郭婷