在本系列的第 1 部分中，我們介紹了連接的嵌入式系統(tǒng)中安全性的重要性以及強制使用外部 Flash 的 Flash 的解體。在本系列的第 2 部分中，我們將介紹下一代智能存儲器 Secure Flash。

設計安全的嵌入式系統(tǒng)，無論是使用 eFlash 還是外部 Flash，都是一項越來越繁重的工作。本節(jié)重點介紹了一些重要的注意事項，以幫助指導設計和開發(fā)工作。

一般來說，為端到端安全設計的系統(tǒng)需要三個要素：

· 保護代碼和關鍵數(shù)據(jù)完整性的保護機制，防止其通過各種方式被刪除、更改或損壞

· 用于揭示代碼和/或關鍵數(shù)據(jù)何時可能已被某些未經授權的方式更改的檢測機制

· 用于恢復被某些未經授權的方式更改的任何代碼和/或關鍵數(shù)據(jù)的完整性的恢復機制

工程師應該設計能夠解決 STRIDE 模型中識別的所有威脅的系統(tǒng)（見表 1）。該模型總結在下表中，提供了一種實用的方法來了解潛在威脅以及如何通過各種安全措施應對每種威脅。

表 1：STRIDE 模型概述了安全系統(tǒng)需要解決的威脅。

安全的產品設計需要建立一個基于信任根的可信執(zhí)行環(huán)境 （TEE）。TEE 提供了在使用之前驗證所有組件和子系統(tǒng)的真實性和完整性的方法。以下是創(chuàng)建此類安全設計的一些最佳實踐：

· 在硬件中實施信任根以創(chuàng)建安全的基礎

· 通過身份驗證和加密鞏固這一基礎

· 保護所有連接、網絡和云組件的端到端價值鏈

· 提供對側信道攻擊和故障注入技術的免疫力

· 對系統(tǒng)進行獨立的漏洞和風險評估

· 持續(xù)實時監(jiān)控異常情況

· 實施對策流程（例如安全更新）

圖 2 顯示了在系統(tǒng)中實施信任根如何涉及在風險和成本之間進行權衡。正如所料，基于軟件的設計是最便宜的，也是最不安全的。沒有顯示的是不安全的嵌入式系統(tǒng)的間接成本，這些非常真實的成本使得證明基于硬件的設計能夠最大限度地提高安全性變得很容易。

以下是美國國家標準與技術研究院計算機安全資源中心如何解釋在硬件中實施信任根的優(yōu)勢：“信任根是執(zhí)行特定的關鍵安全功能的高度可靠的硬件、固件和軟件組件。因為信任根本質上是受信任的，所以它們在設計上必須是安全的。因此，許多信任根是在硬件中實現(xiàn)的，因此惡意軟件無法篡改它們提供的功能。”

技術的進步不斷降低 IC 的成本，從而降低采用下一代 IC 的系統(tǒng)的成本。隨著安全“智能閃存”的出現(xiàn)，外部閃存就是這種情況，這減少了在硬件中實現(xiàn)信任根和整合其他所需功能所需的工作量。

安全閃存：下一代智能內存

半導體代工廠正在花費大量精力來開發(fā)小尺寸嵌入式閃存，但尚未出現(xiàn)可行的解決方案。小幾何 RRAM 和 MRAM 技術已作為 eFlash 替代品進行了廣泛的探索，但由于數(shù)據(jù)完整性和成本挑戰(zhàn)，這些技術尚不可行，特別是對于需要在高溫下具有高可靠性的關鍵任務應用。在撰寫本文時，尚不清楚這些或任何其他技術何時（或是否）能夠在批量生產中提供嵌入式存儲器。

由幾何尺寸縮小引起的不可避免的變化產生了對新型安全通道的需求，其中位可以在 MCU 內部的 HSM 和外部存儲設備中的加密安全區(qū)域之間交換。一種有前途的解決方案是采用與當前將各種類型的存儲器集成到處理器中的做法相反的方法，而是將處理器集成到存儲器 IC 中以創(chuàng)建智能存儲器。圖 3 顯示了安全閃存如何能夠與主機 MCU 建立經過身份驗證和加密的安全處理環(huán)境。

下一代智能內存的這一趨勢有可能給電子行業(yè)帶來革命性的變化。對于嵌入式系統(tǒng)，進步將集中在 NOR 閃存上，這是一種基于其耐用性和快速隨機讀取性能的存儲代碼的理想類型的非易失性存儲器。

安全 NOR 閃存，或更簡單的安全閃存，為安全密鑰、證書、密碼哈希、應用程序特定數(shù)據(jù)、配置數(shù)據(jù)、代碼版本信息和生物識別傳感器數(shù)據(jù)提供硬件保護的安全存儲，以進行身份驗證。Secure Flash 還可以支持經過身份驗證和加密的交易，以防止未經授權的訪問和其他安全威脅。

相比之下，當前基于狀態(tài)機的存儲器架構不能提供與嵌入式處理器相同的多功能性和性能。例如，強大的安全性需要強大的加密，而這反過來又需要相當大的處理能力。嵌入式處理器還可以支持其他與安全相關的要求，包括 HMAC 密鑰生成和存儲以及單調計數(shù)器，并提供針對固件、啟動映像和系統(tǒng)參數(shù)的攻擊的保護。

在內存中嵌入處理能力可以選擇性地促進邏輯集成，以添加特定功能和/或卸載系統(tǒng)主機 MCU 的工作負載。例如，嵌入式處理可以創(chuàng)建硬件信任根，以防止對存儲的代碼和數(shù)據(jù)進行修改、操縱和其他安全攻擊。或者，處理器可以在存儲系統(tǒng)其他功能所需的結果之前，對原始數(shù)據(jù)運行各種算法，包括用于機器學習的算法。

此外，對于可以通過在智能內存的嵌入式處理器中運行的代碼部分或全部滿足的安全規(guī)定，可以更輕松地認證新系統(tǒng)的合規(guī)性。這有可能通過簡化所需的設計和開發(fā)工作來顯著加快新產品的上市時間。

在本系列的第 3 部分中，我們將介紹與使用外部 Flash 的安全嵌入式系統(tǒng)相關的設計問題。

審核編輯：郭婷