整合安全閃存NuMicro M2351SF的安全特色與應(yīng)用

NuMicro M2351 系列

NuMicro M2351 系列微控制器以 Arm Cortex-M23 為核心，內(nèi)建 Armv8-M 架構(gòu)的 TrustZone 技術(shù)，并提供 XOM (Execute-Only-Memory) 用以定義 Execute-Only 內(nèi)存的區(qū)域以保護關(guān)鍵程序代碼，為全球首款同時通過 Arm PSA Certified? Level 1 與 PSA Functional API Certified 的的微控制器。M2351 系列微控制器運行頻率可高達 64 MHz，內(nèi)建 512 KB 雙區(qū)塊 (Dual Bank) 架構(gòu)閃存 (Flash)，可支持 Over-The-Air (OTA) 韌體升級，并內(nèi)建 96 KB SRAM。同時解決了 IoT 安全問題。為了與 Arm 平臺安全架構(gòu) (PSA) 兼容，Nuvoton 開發(fā)了 Nuvoton 安全微控制器平臺 (NuSMP, NuMicro Secure Microcontroller Platform)，該平臺完整的定義了基于 Arm Cortex-M 系列 CPU 的 NuMicro 微控制器的安全功能，并提供了廣泛可選擇的微控制器硬件安全和軟件安全功能。有了這些好處，客戶可以輕松的進行 IoT 節(jié)點設(shè)備的安全設(shè)計。除了 TrustZone 技術(shù)和 Nuvoton 安全微控制器平臺之外，NuMicro M2351 系列還配備了豐富的功能以提高系統(tǒng)安全性。例如: 安全啟動程序 (Secure Boot Loader) 可以驗證韌體的完整性，并在需要時支持全微控制器韌體更新。包括 ECC 在內(nèi)的硬件加密加速器支持加密和解密操作，以減輕處理器的計算負(fù)擔(dān)。此外，M2351 提供多元的電源管理模式，使功耗管理更具效率。M2351 系列于正常運行模式 (Normal Run Mode) 在 LDO 模式下耗電為 97 μA/MHz、于 DC-DC 模式下耗電為 45 μA/MHz。待機斷電模式 (Standby Power-down Mode, SPD) 的電流為 2.8 μA，不帶 VBAT 的深度斷電模式 (Deep Power-down Mode, DPD) 的電流則小于 2 μA。M2351 系列具備安全與低功耗的雙重特性，為現(xiàn)今市場上物聯(lián)網(wǎng)應(yīng)用眾多解決方案的最佳選擇之一 。

為何選用內(nèi)建安全閃存的 M2351SF

接著，我們需要說明信任對于不斷發(fā)展的萬億連接的設(shè)備至關(guān)重要，安全存儲是必需的重要安全功能之一。M2351SF 提供了更高的安全級別，可以為不同應(yīng)用程序的代碼和數(shù)據(jù)提供更大的安全存儲 – 4 Mbytes。連網(wǎng)裝置安全取決于與物聯(lián)網(wǎng)云服務(wù)連結(jié)實可通過端到端的相互身份驗證，而為了實現(xiàn)此一安全目標(biāo)，它需要一系列強大的解決方案，包括受信任的啟動，各種密鑰，憑證，證書，用于韌體和軟件的安全無線更新。通過使用 Winbond 的安全閃存解決方案，M2351SF 可以很好地保護微控制器的代碼和數(shù)據(jù)，以減少漏洞暴露。安全的閃存確實是針對應(yīng)用程序的寶貴資產(chǎn)進行加密儲存，例如生物識別數(shù)據(jù)，證書頒發(fā)機構(gòu) (Certificate Authority) 數(shù)據(jù)，系統(tǒng)日志等。此外，M2351SF 在微控制器和安全閃存之間使用獨特的綁定方法以及內(nèi)部連接通過加密的 SPI 界面來確保微控制器數(shù)字資產(chǎn)的機密性，完整性和可用性。在微控制器和閃存之間進行數(shù)據(jù)傳輸期間，針對 Side-Channel Attack，Man-in-the-Middle，Rollback，Sniffering 和 Fault-Injection 等攻擊的未授權(quán)操作有良好的對策。因此， 微控制器系統(tǒng)開發(fā)人員可以輕松設(shè)計針對安全要求苛刻的市場的應(yīng)用程序，例如安防產(chǎn)業(yè)，智能家居，智能城市和智能物聯(lián)網(wǎng)以及任何其他有安全大量儲存潛在需求的嵌入式設(shè)備。除了增強的微控制器儲存安全性之外，M2351SF 仍保留 M2351 系列的所有安全功能，包括 Armv8-M TrustZone，僅執(zhí)行內(nèi)存 (XOM)，加密硬件加速器，安全調(diào)試，系統(tǒng)級篡改檢測引腳以及用于應(yīng)用程序開發(fā)的所有軟件工具與 M2351 系列相同。

M2351SF 的主要應(yīng)用

保護有價值的的軟件資產(chǎn)不被濫用

在過去的微控制器應(yīng)用產(chǎn)品開發(fā)過程中，最令獨立軟件開發(fā)商亦或系統(tǒng)整合商頭痛的就是如何確微控制器內(nèi)部軟件資產(chǎn)能受到嚴(yán)謹(jǐn)保護，同時又要能兼顧給合作廠商在軟件開發(fā)上一定的彈性，正如圖一的例子，Armv8-M 架構(gòu)可以把有價值的通訊協(xié)議放到 TrustZone 或 Secure Flash 區(qū)域內(nèi)，基于通訊協(xié)議的上層應(yīng)用可以不同內(nèi)存位置來放置，這樣也可以方便不同的開發(fā)團隊進行協(xié)同開發(fā)，各自進行對自己專長的領(lǐng)域來進行軟件制作。這類應(yīng)用譬如一些短距離的通訊協(xié)議、音頻編碼器、生物辨識核心算法…..等。

TrustZone for Armv8-M/ Secure Flash – 保護有價值的中間軟件

確保每個微控制器應(yīng)用產(chǎn)品都受到信任與保護 (Root of Trust)

在可預(yù)期的未來聯(lián)網(wǎng)環(huán)境世界里，連上網(wǎng)絡(luò)的裝置只會愈來愈多，這些裝置都會是一個個潛在的破壞入侵點，連網(wǎng)裝置可能需要存儲敏感資料，有了 TrustZone 與 Secure Flash 區(qū)域，可以把單顆微控制器的 ID、加解密的 Key、軟件升級都保護在安全區(qū)內(nèi)，而每一次的開基都可以進行自我檢查確保裝置本身內(nèi)部運行軟件并沒有遭到竄改，從開機根源點就是一個可信任 (Trusted) 的進入點，如此才能稱得上是功能正常保證。圖二的說明給了示意范例，這類的應(yīng)用譬如跟媒體版權(quán)應(yīng)用有關(guān)如 Digital Right Management (DRM)，支付及連網(wǎng)環(huán)境中的節(jié)點間之識別與通訊。

TrustZone for Armv8-M/ Secure Flash – Root of Trust

保障核心軟件的完整性

近年來由于微控制器的市場已由傳統(tǒng)的 8 位/ 16 位往 32 位移動，愈來愈強大的運算能力也配備了豐富的周邊資源如更高容量的內(nèi)存，F(xiàn)lash、RAM Memory，使得小型微控制器應(yīng)用跑操作系統(tǒng) (Operating System) 的機會變多了，這些核心軟件不管是 OS 或固件都可能有被惡意軟件攻擊的風(fēng)險，再者由于在嵌入式系統(tǒng)中，對于軟件本身并無統(tǒng)一的純軟件安全檢驗標(biāo)準(zhǔn)，大多是一些產(chǎn)業(yè)界的標(biāo)準(zhǔn)，如車界的 ISO 26262，工業(yè)界的 IEC 61508，其余如醫(yī)療用品之 FDA，未來可能會發(fā)展的 Smart Metering 等，這些標(biāo)準(zhǔn)的需求都讓軟件開發(fā)人員要花費相當(dāng)?shù)男牧θミ_成，在有了 TrustZone for Armv8-M 與安全閃存后，雖說不能馬上依靠該功能做到符合所有業(yè)界規(guī)范標(biāo)準(zhǔn)，但其內(nèi)建硬件 TrustZone 的做法可以相當(dāng)程度減輕軟件開發(fā)人員的心力，對于核心軟件的建構(gòu)與維護可以提升許多效率，因為 Armv8-M 的TrustZone 架構(gòu)或安全閃存可讓受到認(rèn)證的軟件受到安全的保護，因其可對不需要認(rèn)證的部分或委外開發(fā)的部分提供了緩沖區(qū) (Sandboxing)，這也方便軟件人員對不同應(yīng)用的技術(shù)支持，例如可授權(quán)予上層應(yīng)用軟件開發(fā)商對產(chǎn)品的技術(shù)服務(wù)，如下圖說明。

TrustZone for Armv8-M/ Secure Flash – Sandboxing Certified Software