摘要——随着汽车和工业市场中自动化和互联革命的推进，边缘节点正在迅速成为网络攻击的目标。软件更新、远程捕获诊断数据以及远程端点与基础设施之间的通信变得越来越普遍，因此容易遭受网络攻击和其它安全威胁。

随着半导体技术的进步，工艺尺寸不断缩小，将闪存嵌入到包含硬件安全模块（HSM）的MCU中也变得越来越困难，因此外置闪存的需求不断增加。当闪存外置于MCU时，存储的代码和数据将更加容易受到攻击，所以设备必须设计安全启动流程和其它基础设施，以确保存储和检索的内容可以信赖。

本文探讨的是，当闪存外置于拥有HSM模块的MCU时，但仍然保持硬件信任根时，新一代安全设备的设计会面临哪些挑战和安全要求。本文涉及的其他内容还包括：加密安全存储、快速安全启动、安全固件远程更新和管理合规。

I. 引言

在一个日益趋于嵌入式和互联的世界中，安全问题正在变得举足轻重。每一个嵌入式系统都扩大了攻击面，从设备和车辆到办公室和工厂，其中的一切都更加容易受到攻击。在汽车电子、工业系统等应用中，功能安全上升到了至关重要的位置。

设计工程师深知，对安全和隐私与日俱增的关注已成为影响购买决策的一个主要因素。消费者和企业轻易采用新技术的日子已经一去不复返。如今，慎重取代了信任，这促使每个供应商都必须在某种程度上保证其产品和服务的安全性。政府也有着同样的担忧，因此推出法规，要求供应商执行各项安全规定，若未能执行有时候还会受到处罚。

设计工程师还意识到，保障嵌入式系统的安全将变得越来越困难。原因是，随着SOC/MCU在应对复杂的实时应用方面越来越强大，它们开始向较小尺寸的CMOS技术（例如：16纳米或7纳米）过渡，以加快速度和降低功耗。但是在较小尺寸的条件下，目前还没有可用的可重编程非易失性存储器（NVM）技术。这就导致了eFlash（MCU的嵌入式闪存）的去集成，需要一种天然安全的架构，并且支持外置闪存。这就需要制定特殊的规则以确保其安全运行。

本文的第II章和第III章还分析了设计安全嵌入式系统的挑战，包括嵌入式闪存的去集成所造成的挑战。第四章则探讨了利用安全闪存保护嵌入式系统的新一代架构。

II.嵌入式闪存面临去集成

为了应对日益增长的安全问题，芯片供应商将硬件安全模块（HSM）功能集成于MCU。HSM位于安全的处理环境中，其中含有一个基于硬件的信任根，用于保护敏感数据、处理器状态、启动加载程序、加密密钥和应用安全服务代码。嵌入式存储（eFlash和RAM）也是安全处理环境可信边界的重要组成部分，因此足以抵御常见威胁。

片外存储（例如：外置闪存）并非天然可信，并且容易受到持续攻击。应对措施一般是对外置闪存中的数据进行加密，然后在执行代码之前，将其从外置闪存下载至MCU内置的RAM进行解密和验证。这种方法尽管足够强大，可以抵御大多数攻击，但是会导致性能下降（启动时有可能会出现问题）和成本上升（需要更多的内置RAM和更高的功率），甚至有可能仍然容易受到持续攻击（例如：回滚攻击）。

随着MCU逐步应用于先进的技术节点以提升性能、提高性价比和降低功耗，闪存的去集成有可能带来更大的威胁，以前被eFlash全部或部分克服的某些可信存储挑战也许会卷土重来。此外，由于嵌入式系统的普及所造成的威胁性环境也会带来新的挑战，而使用外置闪存则会让这些挑战变得更加难以克服。

为了确保外置闪存的安全，需要解决的主要威胁包括：

·模拟闪存芯片的授权数据访问

·篡改闪存芯片存储的内容

·重放通讯指令以解析闪存芯片的内容

·在不安全环境进行设置以获取密钥

·在闪存芯片通讯时进行窥探（中间人）攻击

·通过旁路攻击或故障注入来公开（获取或观察）闪存芯片的内容和密钥

·以电子方式损害闪存芯片的完整性

·克隆闪存芯片

为了解决上述及其他对外置闪存的威胁，有效地使其成为安全处理环境可信边界的组成部分，该设备必须提供以下三种功能：

·基于硬件的信任根，可防止攻击对存储的代码和/或数据造成的修改、操纵、复制或其他潜在影响

·通过MCU或云端提供安全更新，综合利用各种措施进行端到端保护，包括通过总线的加密验证，通过读/写访问方法实现的安全区域，安全密钥存储空间，以及非易失性防回滚计数器

·低成本，无需额外的安全设备（例如：可信平台模块），也无需更改电路板，包括支持x4 SPI和x8 HyperBus标准.

图1显示了专门设计的安全闪存（见第IV章）如何提供上述三种功能。实际上，安全闪存通过标准总线从外部扩展了MCU嵌入式闪存集成的HSM功能。还请注意，图一也同时展示了安全闪存如何取代普通的NOR闪存，从而继续使用现有的电路板。

值得一提的是，使用外置闪存还具有一些其他优势，首先是它能够更加轻松地适应不断增加的代码长度。嵌入式系统常用的标准闪存容量规格可以支持1Gbit甚至更大的存储空间，远高于eFlash。外置闪存还可以容纳更多的CPU内核/负载，以应对机器学习、人工智能等复杂技术所需的更密集、更实时的处理。这些变化有助于简化设计工作并加快产品上市，从而提供不同的型号以便更好地满足价格、性能或其他标准方面的需求。

III.利用外置闪存设计安全的嵌入式系统

无论是使用eFlash还是外置闪存，设计安全的嵌入式系统都是一项越来越繁重的工作。本章重点介绍一些重要的注意事项，以帮助指导设计和开发工作。

通常，针对端到端安全而设计的系统必须具备三大要素：

·保护机制，用于保护代码和关键数据的完整性，防止各种方式的删除、更改或破坏

·检测机制，用于揭示代码和/或关键数据何时被以某些未经授权的方式更改

·恢复机制，用于恢复被以某些未经授权的方式更改的代码和/或关键数据的完整性

工程师设计的系统应能够应对STRIDE模型已验证的所有威胁。下表概述了此模型，它提供了一种实用的方法，以了解各种潜在的威胁以及如何使用各种安全措施来应对各种威胁。

安全产品设计需要建立基于信任根的可信执行环境（TEE）。在使用所有组件和子系统之前，TEE提供了验证真实性和完整性的方法。创建这种安全设计的部分最佳方法如下：

·实施硬件信任根以创建安全基础

·通过验证和加密巩固这一基础

·保护所有连接、网络和云组件的端到端价值链

· 提供防御旁路攻击和故障注入技术的能力