值得一提的是，使用外置閃存還具有一些其他優(yōu)勢，首先是它能夠更加輕松地適應(yīng)不斷增加的代碼長度。嵌入式系統(tǒng)常用的標準閃存容量規(guī)格可以支持1Gbit甚至更大的存儲空間，遠高于eFlash。外置閃存還可以容納更多的CPU內(nèi)核/負載，以應(yīng)對機器學習、人工智能等復(fù)雜技術(shù)所需的更密集、更實時的處理。這些變化有助于簡化設(shè)計工作并加快產(chǎn)品上市，從而提供不同的型號以便更好地滿足價格、性能或其他標準方面的需求。

 

III.利用外置閃存設(shè)計安全的嵌入式系統(tǒng)

 

無論是使用eFlash還是外置閃存，設(shè)計安全的嵌入式系統(tǒng)都是一項越來越繁重的工作。本章重點介紹一些重要的注意事項，以幫助指導(dǎo)設(shè)計和開發(fā)工作。

 

通常，針對端到端安全而設(shè)計的系統(tǒng)必須具備三大要素：

 

保護機制，用于保護代碼和關(guān)鍵數(shù)據(jù)的完整性，防止各種方式的刪除、更改或破壞  

檢測機制，用于揭示代碼和/或關(guān)鍵數(shù)據(jù)何時被以某些未經(jīng)授權(quán)的方式更改

恢復(fù)機制，用于恢復(fù)被以某些未經(jīng)授權(quán)的方式更改的代碼和/或關(guān)鍵數(shù)據(jù)的完整性 

工程師設(shè)計的系統(tǒng)應(yīng)能夠應(yīng)對STRIDE模型已驗證的所有威脅。下表概述了此模型，它提供了一種實用的方法，以了解各種潛在的威脅以及如何使用各種安全措施來應(yīng)對各種威脅。

 

 

安全產(chǎn)品設(shè)計需要建立基于信任根的可信執(zhí)行環(huán)境（TEE）。在使用所有組件和子系統(tǒng)之前，TEE提供了驗證真實性和完整性的方法。創(chuàng)建這種安全設(shè)計的部分最佳方法如下：

 

●  實施硬件信任根以創(chuàng)建安全基礎(chǔ)

●  通過驗證和加密鞏固這一基礎(chǔ)

●  保護所有連接、網(wǎng)絡(luò)和云組件的端到端價值鏈

●  提供防御旁路攻擊和故障注入技術(shù)的能力

●  對系統(tǒng)進行獨立的漏洞和風險評估

●  持續(xù)實時監(jiān)控異常情況

●  實施應(yīng)對流程（例如：安全更新）

 

圖2顯示在系統(tǒng)中實施信任根時如何權(quán)衡風險和成本?？梢灶A(yù)料，基于軟件的設(shè)計成本最低，而安全性也最低。圖2沒有顯示不安全嵌入式系統(tǒng)的間接成本，而這些非常實際的成本可以輕松地證明，基于硬件的設(shè)計可以將安全性最大化。

 

 

美國國家標準技術(shù)研究院計算機安全資源中心解釋了在硬件中實施信任根的優(yōu)勢：“信任根是執(zhí)行特定關(guān)鍵安全功能的高度可靠的硬件、固件和軟件組件。因為信任根天然可信，所以必須通過設(shè)計來確保它們的安全。為此，許多信任根都在硬件中實施，這樣惡意軟件便無法篡改其提供的功能。”

 

技術(shù)的進步不斷推動IC成本下降，集成新一代IC的系統(tǒng)成本也隨之降低。外置閃存也是這種情況，安全“智能閃存”的出現(xiàn)，減少了在硬件中實施信任根并納入其他必要功能所需的工作。

 

IV.安全閃存：新一代智能存儲

 

半導(dǎo)體廠商想方設(shè)法尋求小尺寸的嵌入式閃存，但是還沒有可行的解決方案出現(xiàn)。小尺寸RRAM和MRAM技術(shù)已作為eFlash的替代品得到了廣泛研究，但由于數(shù)據(jù)完整性和成本方面的挑戰(zhàn)，它們目前都還不可行，尤其是不適合要求高溫高可靠性的關(guān)鍵任務(wù)應(yīng)用。截至本文撰寫之時，尚不能確定這些技術(shù)或其他相關(guān)技術(shù)何時（或是否）能夠交付批量生產(chǎn)的嵌入式存儲。

 

尺寸縮小導(dǎo)致變化不可避免，因此產(chǎn)生了對新型安全信道的需求。在這種信道中，信息交換發(fā)生在MCU內(nèi)部的HSM和外置存儲設(shè)備的加密安全區(qū)之間。一種前景不錯的解決方案是舍棄目前的做法，不將各種類型的存儲集成于處理器，而將處理器集成于存儲IC，是為智能存儲。圖3顯示了安全閃存如何與主機MCU建立經(jīng)過驗證和加密的安全處理環(huán)境。

 

 

新一代智能存儲的這種發(fā)展趨勢有可能為電子行業(yè)帶來革命性的變化。就嵌入式系統(tǒng)而言，技術(shù)發(fā)展將集中體現(xiàn)在NOR閃存上。NOR閃存是一種理想的非易失性存儲，存儲代碼具有持久性，并具備快速隨機讀取性能。

 

安全NOR閃存，或更簡單的安全閃存，可為安全密鑰、證書、哈希密碼、特定應(yīng)用數(shù)據(jù)、配置數(shù)據(jù)、代碼版本信息和生物識別傳感器數(shù)據(jù)提供硬件保護的安全存儲，以便用于驗證。安全閃存還支持經(jīng)過驗證和加密的交易，以防止未經(jīng)授權(quán)的訪問和其他安全威脅。

 

相比之下，當前基于狀態(tài)機的存儲架構(gòu)則無法提供與嵌入式處理器相同的多功能性和性能。例如，強大的安全需要強大的加密，進而需要強大的處理能力。嵌入式處理器還支持其他安全要求，包括HMAC密鑰生成和存儲以及防回滾計數(shù)器，并可保護固件、啟動鏡像和系統(tǒng)參數(shù)免受攻擊。

 

在存儲中嵌入處理能力有助于集成邏輯，以添加特定功能和/或減輕系統(tǒng)主SOC/MCU的工作量。例如，嵌入式處理可以實現(xiàn)硬件信任根的創(chuàng)建，從而防止對存儲的代碼和數(shù)據(jù)進行修改、操縱和其他安全攻擊?；蛘撸幚砥饕部梢詫υ紨?shù)據(jù)運行各種算法，包括機器學習算法，然后存儲系統(tǒng)其他功能所需的結(jié)果。

 

此外，針對可以通過智能存儲的嵌入式處理器運行代碼而全部或部分認證的安全法規(guī)，新系統(tǒng)能夠更加輕松地獲得認證。這樣，通過簡化所需的設(shè)計和開發(fā)工作，我們可以極大地加快新產(chǎn)品的上市速度。

 

圖4顯示了內(nèi)置了智能化安全的閃存如何滿足嵌入式系統(tǒng)所需的性能、可靠性、安全性和功能安全。通過使用包括x4 SPI（QSPI）和x8 HyperBus在內(nèi)的標準總線協(xié)議，智能安全閃存可以與主控芯片配合，以達到要求嚴苛的互聯(lián)應(yīng)用所需的安全級別，同時仍然完全兼容現(xiàn)有的主控芯片存儲控制器。

 

 

對于不允許發(fā)生故障的關(guān)鍵任務(wù)應(yīng)用，安全閃存可以確保系統(tǒng)的安全啟動，記錄關(guān)鍵的信息，并擴展重要功能的工作存儲。此類“故障保護”應(yīng)用的示例包括：高級駕駛輔助系統(tǒng)（ADAS），便攜式醫(yī)療設(shè)備，工廠自動化，國防級傳感器，以及高級無線通信系統(tǒng)。

 

無故障的一個重要方面，是對存儲的代碼和數(shù)據(jù)進行加密，以防遭到更改或破壞。通過集成加密引擎和嵌入式處理器，數(shù)據(jù)能夠以安全的方式進行存儲。考慮到存儲所增加的邏輯門數(shù)遠小于CPU和專用計算引擎所需要增加的邏輯門數(shù)，因此在智能安全閃存中以相對較低的增量成本實施加密和其他高級功能更為可行。

 

安全閃存創(chuàng)建的硬件信任根，可提供一個安全環(huán)境或與安全MCU提供的TEE集成。信任根有一個至關(guān)重要的作用，就是確保系統(tǒng)正常啟動，理想情況下應(yīng)基于可信計算工作組的設(shè)備標識符組合引擎（DICE）標準。安全啟動流程對閃存和主SOC/MCU進行相互驗證，以確保穿越總線的所有交易的機密性，從而實現(xiàn)端到端的保護。而且因為閃存是智能的，所以經(jīng)過驗證的啟動過程可以在某些應(yīng)用領(lǐng)域需求的不到100毫秒時間內(nèi)實現(xiàn)。

 

能夠?qū)⒋a安全地更新至最新版本，是安全啟動流程的另一個重要方面。這就要求確保FOTA或其他形式的更新在沒有任何篡改或損壞的情況下完成，無論是有意還是意外的損壞。如果通過版本認證或其他方式檢測到任何篡改，那么可以利用備份功能還原以前已知有效版本（雖已降級）的代碼。同樣的功能也可用于保護非安全生產(chǎn)設(shè)施或服務(wù)中心可能存在的任何設(shè)備配置。

 

嵌入式智能使得安全閃存除了保護存儲的代碼和數(shù)據(jù)之外，還可以處理其他任務(wù)。例如，支持XIP功能使得作為可信環(huán)境的安全閃存可以直接執(zhí)行代碼，從而減輕主機MCU的負載。這樣也可以減少MCU所需的片上RAM的數(shù)量，從而有助于降低成本和功耗。

 

在最嚴苛的安全性和功能安全需求推動下，汽車和工業(yè)自動化市場率先采用安全存儲。因為嵌入式系統(tǒng)的潛在漏洞可能導(dǎo)致遠程攻擊，并最終威脅到乘客或工作人員的安全，所以，如果不能確保強大的安全性，就無法實現(xiàn)系統(tǒng)的功能安全。因此，安全關(guān)鍵型應(yīng)用的所有半導(dǎo)體組件（包括外置閃存設(shè)備）都必須符合ISO26262高級駕駛員輔助系統(tǒng)（ADAS）標準和IEC 61508工業(yè)系統(tǒng)標準。 

 

持續(xù)監(jiān)控現(xiàn)場設(shè)備狀況，執(zhí)行遠程診斷和預(yù)防性維護，也都非常重要。閃存設(shè)備容易出現(xiàn)幾種故障模式，包括由于電荷損耗或宇宙輻射引起的閃存單元故障、時延、功率損耗故障等，這些故障都必須即時加以解決，以確保在20年以上的使用壽命中提供較高的可靠性。

 

V.結(jié)論

 

智能安全閃存作為eFlash的替代產(chǎn)品已經(jīng)逐步得到了人們的接受，隨著它的工藝尺寸縮小到28nm以下，eFlash的使用必將變得日漸稀少，直至完全消失。芯片可以集成eFlash、但集成HSM功能的安全閃存方案更具有優(yōu)勢。在這兩種設(shè)計中，安全閃存都可以通過行業(yè)標準總線，以加密安全的方式，在受保護區(qū)域和主機MCU的HSM之間傳輸代碼和數(shù)據(jù)。

 

可以預(yù)期，采用安全閃存的設(shè)計將變得越來越普遍，對于滿足不斷發(fā)展的安全需求來說甚至必不可少。如今，攻擊行為正在變得日漸廣泛和復(fù)雜，各項法規(guī)預(yù)計將會越來越嚴格，自動化程度的提高也將進一步提升安全性和功能安全的重要性。為了滿足這些不斷發(fā)展的需求，同時最大程度地加快新功能的上市速度，設(shè)計工程師將越來越依賴僅智能安全閃存可以提供的便捷性。

 

關(guān)于作者

 

Sandeep Krishnegowda是賽普拉斯半導(dǎo)體公司閃存業(yè)務(wù)部的產(chǎn)品總監(jiān)。他在賽普拉斯的存儲器產(chǎn)品部門工作了十多年，擔任過各種工程、管理和營銷職務(wù)。他擁有倫斯勒理工學院的電子和通信碩士學位，以及韋斯科技大學的電子和通信學士學位。