作者：Stephen Evanczuk

投稿人：DigiKey 北美編輯

隨著向物聯(lián)網(wǎng) (IoT) 的遷移，安全性已不再是嵌入式應(yīng)用中的選配功能，已發(fā)展成為確保系統(tǒng)完整性所需的必備能力。為了滿足日益增多的安全規(guī)范要求，開發(fā)人員所需的解決方案不僅要滿足低功耗或高性能的應(yīng)用要求，還應(yīng)提供基于硬件的安全功能，包括身份驗證、加密、安全存儲和安全啟動。

本文簡將要介紹嵌入式安全的原理。然后，介紹開發(fā)人員如何利用 [Microchip Technology]的高性能[數(shù)字信號控制器] (DSC)、低功耗 [PIC24F] 微控制器單元 (MCU) 以及 Microchip 的專用安全設(shè)備來滿足對嚴(yán)格的嵌入式安全的新需求。

嵌入式安全基于四個關(guān)鍵原則

通過與公共互聯(lián)網(wǎng)連接，可在復(fù)雜的應(yīng)用中將智能產(chǎn)品結(jié)合在一起，這是獨立產(chǎn)品所無法比擬的。然而，來自這些相同的連接途徑的網(wǎng)絡(luò)攻擊威脅，不僅可能限制智能產(chǎn)品的價值，而且還會使這些產(chǎn)品、相關(guān)應(yīng)用及其用戶面面臨幾乎是無窮無盡的威脅之源。

除了需要滿足消費者對系統(tǒng)級網(wǎng)絡(luò)安全的持續(xù)需求外，開發(fā)人員還需要越來越多地滿足國家和地區(qū)組織的各種安全規(guī)范。歐洲的《ETSI EN 303 645 消費者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全：基本要求》和美國的《NIST IR 8259 物聯(lián)網(wǎng)設(shè)備制造商的基礎(chǔ)網(wǎng)絡(luò)安全活動》是最具影響力的兩個規(guī)范，建議按照以下四個關(guān)鍵原則執(zhí)行網(wǎng)絡(luò)安全實踐：

• 使用唯一的密碼
• 可在設(shè)備上安地全存儲敏感性安全參數(shù)
• 通過相互驗證和加密通信確保通信安全
• 能夠通過安全啟動和安全固件更新確保固件的完整性、真實性

要根據(jù)這些核心原則交付系統(tǒng)，就必須使用可信平臺。這種平臺能夠防止黑客注入改變通信、存儲、固件甚至安全機(jī)制本身的妥協(xié)代碼。

可信平臺利用基于硬件的不可變安全機(jī)制，從底層開始建構(gòu)系統(tǒng)級安全，從而有助于確保系統(tǒng)級安全。雖然概念簡單明了，但系統(tǒng)級安全的實施卻充滿挑戰(zhàn)，因為系統(tǒng)任何部分的安全漏洞都可能為網(wǎng)絡(luò)攻擊提供途徑。通過使用 Microchip Technology 的高性能 dsPIC33C DSC 和低功耗 PIC24F MCU，并結(jié)合 Microchip 的配套安全器件，開發(fā)人員可以更輕松地實現(xiàn)能夠確保系統(tǒng)級安全的嵌入式設(shè)計。

滿足性能和功率要求

Microchip 的 dsPIC33C DSC 和 PIC24F MCU 系列器件專為支持各種用例而設(shè)計，每個器件都將強(qiáng)大的執(zhí)行平臺與特定應(yīng)用功能相結(jié)合，包括大量集成的模擬、波形控制和通信外設(shè)。事實上，利用 dsPIC33C DSC 上的多個脈寬調(diào)制 (PWM)、可編程增益放大器 (PGA)、模數(shù)轉(zhuǎn)換器 (ADC) 和其他外設(shè)，開發(fā)人員只需增加最少的元件就能實現(xiàn)復(fù)雜的系統(tǒng)——通常只需要設(shè)計任何此類設(shè)計所需的功率器件。例如，使用 [DSPIC33CK512MP608] 單核 DSC 實現(xiàn)離線式不間斷電源 (UPS) 設(shè)計（圖 1）。

圖 1：與其他 dsPIC33C DSC 一樣，DSPIC33CK512MP608 單核 DSC 集成了一整套外設(shè)，簡化了如圖所示的離線 UPS 等復(fù)雜系統(tǒng)的設(shè)計。（圖片來源：Microchip Technology）

對于需要實時控制和數(shù)字信號處理功能的應(yīng)用，dsPIC33C DSC 能提供 MCU 功能和 DSC 專用指令和硬件功能。對于安全關(guān)鍵型設(shè)計，dsPIC33C DSC 符合 IEC 60730 功能安全標(biāo)準(zhǔn)和 ISO 26262 標(biāo)準(zhǔn)，具有多種硬件功能，旨在簡化汽車安全完整性等級 B (ASIL-B) 以及 SIL-2 汽車和工業(yè)安全關(guān)鍵型應(yīng)用的功能性安全認(rèn)證。

dsPIC33C DSC 專為性能至上的應(yīng)用而設(shè)計，而 PIC24F MCU 則在性能和能效之間取得了平衡，適用于通用嵌入式系統(tǒng)、消費電子產(chǎn)品、工業(yè)自動化、醫(yī)療設(shè)備以及其他需要控制、連接，但不需要 DSP 功能的應(yīng)用。與 dsPIC33C DSC 一樣，PIC24F MCU 也是 IEC 60730 具備功能性安全的器件，且具有 B 級安全診斷庫，適用于住宅應(yīng)用。

如前所述，固件完整性是嵌入式網(wǎng)絡(luò)安全的核心原則。為了幫助開發(fā)人員確保固件完整性、保護(hù)整體代碼，Microchip 在 dsPIC33C DSC 器件中通過在線串行編程 (ICSP) 寫入抑制和 CodeGuard 閃存安全功能，提供了閃存一次性可編程 (OTP) 功能，例如 DSPIC33CK512MP608 單核 DSC 和 [DSPIC33CH512MP508]雙核 DSC，以及 PIC24F MCU 器件（例如 PIC24FJ512GU405 MCU）和其他許多配置了不同的應(yīng)用特定性外設(shè)的器件。

器件固件的保護(hù)

通過 ICSP 禁止寫入功能，開發(fā)人員利用閃存 OTP 可將部分閃存配置為 OTP 存儲器，并對閃存進(jìn)行讀/寫保護(hù)。Microchip 的專有 ICSP 功能允許這些器件在最終應(yīng)用中運行時通過一對引腳進(jìn)行串行編程。有了這項功能，制造商就可在生產(chǎn)電路板上完成編程。ICSP 需要使用外部編程器件來控制閃存 OTP 過程，而增強(qiáng)型 ICSP 則允許使用板載引導(dǎo)程序來控制閃存 OTP 過程。這些器件還支持運行時自編程 (RTSP)，這會允許在運行時自行更新閃存用戶應(yīng)用的代碼。

在對生產(chǎn)器件進(jìn)行編程后，開發(fā)人員可激活 ICSP 寫入抑制功能，以防止進(jìn)一步的 ICSP 編程或擦除。不過，如果在 ICSP 寫入禁止激活之前已將適當(dāng)?shù)拈W存更新代碼寫入器件，即使激活了 ICSP 寫入禁止，RTSP 閃存擦除和編程操作也能繼續(xù)進(jìn)行。因此，即使在 ICSP 寫入禁止被激活的情況下，開發(fā)人員也可使用可信任的引導(dǎo)程序來更改閃存，從而安全地更新固件，同時還能減少從外部對生產(chǎn)系統(tǒng)中的閃存進(jìn)行的任何更新嘗試。

通過使用獨立的啟動片段和通用片段，CodeGuard Flash 安全可為程序閃存提供細(xì)粒度保護(hù)。開發(fā)人員通過在器件的 BSLIM 寄存器中設(shè)置引導(dǎo)片段 (BS) 限制 (BSLIM) 的地址來定義這些片段的大小；通用片段 (GS) 占用剩余內(nèi)存。為進(jìn)一步保護(hù)敏感信息，每個片段都包含附加分區(qū)。例如，BS 包含中斷向量表 (IVT)、可選的備用中斷向量表 (AIVT) 和額外指令字 (IW) 空間；配置片段 (CS) 位于 GS 的用戶地址空間內(nèi)，其中包含了關(guān)鍵的器件用戶配置數(shù)據(jù)（圖 2）。

圖 2：dsPIC33C DSC 和 PIC24F MCU 系列支持 BS 和 GS 等獨立分區(qū)的代碼保護(hù)。（圖片來源：Microchip Technology）

設(shè)置片段分區(qū)后，開發(fā)人員可使用器件的固件安全 (FSEC) 寄存器，選擇啟用寫保護(hù)，并為每個片段設(shè)置所需的代碼保護(hù)級別。在運行期間，該器件可防止代碼保護(hù)級別較低的片段中的代碼訪問代碼保護(hù)級別較高的片段中的代碼。在典型系統(tǒng)中，開發(fā)人員會對 BS 進(jìn)行寫保護(hù)，并將其代碼保護(hù)設(shè)置為較高級別，以防從外部更改 BS（包括引導(dǎo)程序）。

實施安全的空中下載固件更新

軟件開發(fā)人員不可避免地需要更新軟件，以應(yīng)對新發(fā)現(xiàn)的軟件漏洞、競爭力加強(qiáng)或不斷出現(xiàn)的安全威脅。與移動應(yīng)用更新不同，在嵌入式系統(tǒng)中對固件執(zhí)行安全更新，輕則有可能干擾當(dāng)前運行的應(yīng)用，重則使系統(tǒng)“癱瘓”。Microchip 的 dsPIC33C DSC 和低功耗 PIC24F MCU 系列提供雙分區(qū)機(jī)制，有助于開發(fā)人員避免這些問題。

在標(biāo)準(zhǔn)運行模式下，這些器件將所有可用的物理內(nèi)存用作連續(xù)的單分區(qū)內(nèi)存空間（圖 3，左），可將這種空間配置為獨立的 BS 和 GS。在雙分區(qū)模式下，開發(fā)人員將物理內(nèi)存分成獨立的活動分區(qū)和非活動分區(qū)（圖 3，右）。

圖 3：開發(fā)人員可以在默認(rèn)的單分區(qū)模式或雙分區(qū)模式下運行 dsPIC33C DSC 和 PIC24F MCU 系列。（圖片來源：Microchip Technology）

在雙分區(qū)模式下運行時，這些器件可以在對非活動分區(qū)進(jìn)行編程的同時，繼續(xù)在活動分區(qū)中執(zhí)行應(yīng)用代碼。編程完成后，執(zhí)行引導(dǎo)交換 (BOOTSWP)“運行時指令”會將器件引導(dǎo)目標(biāo)切換到更新分區(qū)。如果更新分區(qū)中的代碼失效或出現(xiàn)缺陷，器件重置功能將自動使設(shè)備啟動到原始分區(qū)（圖 4）。

圖 4：在雙分區(qū)模式下，dsPIC33C DSC 和 PIC24F MCU 可以在一個分區(qū)中加載應(yīng)用代碼，同時在另一個分區(qū)中繼續(xù)執(zhí)行應(yīng)用代碼。（圖片來源：Microchip Technology）

在確保更新分區(qū)成功后，可將更新分區(qū)的閃存啟動順序 (FBTSEQ) 設(shè)置為低于原始分區(qū)的值。在隨后的器件重置中，器件將啟動到具有較低 FBTSEQ 值的更新分區(qū)（圖 5）。

圖 5：雙分區(qū)模式允許開發(fā)人員指定器件復(fù)位后啟動到所需分區(qū)的順序。（圖片來源：Microchip Technology）

通過 ICSP 寫入抑制和 CodeGuard 閃存安全實現(xiàn)的閃存 OTP 能為靜態(tài)和“運行時代碼”安全提供關(guān)鍵支持，但全面的嵌入式安全需要額外的機(jī)制，包括安全密鑰存儲、代碼驗證和安全通信。

使用配套安全器件來確保嵌入式系統(tǒng)安全

通過將 dsPIC33C DSC 和 PIC24F 微控制器與 Microchips 的[ATECC608]CryptoAuthentication 或 TrustAnchor100 ([TA100]) CryptoAutomotive 安全 IC 相結(jié)合，開發(fā)人員可以更輕松地部署全套基于硬件的安全功能。

這些安全 IC 提供基于硬件的防篡改安全機(jī)制，包括安全存儲、硬件加速型加密引擎、真隨機(jī)數(shù)生成器以及加密算法所需的其他機(jī)制。這些 IC 配套器件而設(shè)計，可以方便地添加到 DSC 或 MCU 系統(tǒng)設(shè)計中，從而完整地實施全嵌入式系統(tǒng)安全（圖 6）。

圖 6：ATECC608 或 TA100 等安全 IC 補(bǔ)充了 dsPIC33C DSC 和 PIC24F MCU 的安全功能，簡化了安全嵌入式系統(tǒng)的實施。（圖片來源：Microchip Technology）

執(zhí)行像安全固件更新這樣的關(guān)鍵運行說明了 dsPIC33C DSC 和 PIC24F 微控制器與這些配套安全 IC 之間的互補(bǔ)性安全功能。在完成固件更新運行之前，開發(fā)人員使用代碼簽名技術(shù)來驗證代碼的真實性、完整性。在這里，開發(fā)人員使用他們的開發(fā)系統(tǒng)創(chuàng)建一個更新包，其中包含代碼、代碼元數(shù)據(jù)和用于驗證的簽名（圖 7）。

圖 7：代碼簽名是一種重要的協(xié)議，通常用于驗證代碼在目標(biāo)系統(tǒng)上更新前的真實性和完整性。（圖片來源：Microchip Technology）

在目標(biāo)系統(tǒng)上，基于硬件的簽名驗證避免了驗證協(xié)議受損的風(fēng)險，而過去使用的那種基于軟件的簽名驗證則可能出現(xiàn)這種情況。取而代之的是配套的安全 IC，如 Microchip 的 ATECC608 和 TA100 可快速、安全地執(zhí)行簽名驗證操作，而不會有泄露的風(fēng)險（圖 8）。

圖 8：在目標(biāo)系統(tǒng)中，為了確保在引導(dǎo)程序更新固件之前進(jìn)行代碼驗證，ATECC608 或 TA100 等安全 IC 提供的基于硬件的驗證功能是至關(guān)重要的。（圖片來源：Microchip Technology）

為了加快實施安全系統(tǒng)，Microchip 提供了包含軟件和硬件的組合開發(fā)工具。

加快軟件和硬件開發(fā)

[MPLAB X 集成開發(fā)環(huán)境] 為開發(fā)人員提供了完整的軟件開發(fā)環(huán)境，而 [MPLAB XC C 編譯器]則為現(xiàn)有工具鏈提供開發(fā)支持。為了加快這兩種環(huán)境下的開發(fā)速度，Microchip [MPLAB 代碼配置器] 可讓開發(fā)人員使用圖形界面自動生成初始化程序、構(gòu)建驅(qū)動程序、分配引腳和實施庫，還有助于加快與任何嵌入式軟件開發(fā)項目相關(guān)的許多關(guān)鍵性底層設(shè)置步驟和流程。

為了加快實施合適的安全引導(dǎo)程序，Microchip 的 [用于 dsPIC33 DSC 和 PIC24 MCU 的引導(dǎo)程序]提供了一個圖形界面，幫助開發(fā)人員快速配置和生成其應(yīng)用所需的定制引導(dǎo)程序。相關(guān)的引導(dǎo)程序主機(jī)應(yīng)用會進(jìn)一步簡化向目標(biāo)器件傳輸應(yīng)用代碼的過程。

在硬件開發(fā)方面，Microchip 提供了多個相關(guān)開發(fā)板，可用于構(gòu)建基于 dsPIC33C DSC 或 PIC24F MCU 的系統(tǒng)。事實上，Microchip 的 [PIC-IoT EV54Y39A 開發(fā)板]和 [PIC-IoT AC164164 開發(fā)板]（圖 9）集成了安全 IC，且這些 IC 分別預(yù)置了亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 和谷歌云的安全憑證。

圖 9：PIC-IoT AC164164 等開發(fā)板集成了預(yù)先為 AWS 或谷歌云提供憑據(jù)的安全 IC，以幫助加快嵌入式安全開發(fā)。（圖片來源：Microchip Technology）

對于定制設(shè)計，Microchip 提供基于 dsPIC33CH512MP508 雙核 DSC 的 dsPIC33CH Curiosity 開發(fā)板 ([DM330028-2])。此外，開發(fā)人員還可以將 Microchip 基于 dsPIC33CH128MP508 的插件模塊 [(MA330040]) 連接到 Microchip Explorer 嵌入式評估板 [(DM240001-2])，以加快安全嵌入式系統(tǒng)的開發(fā)。

結(jié)束語

嵌入式系統(tǒng)安全依賴基于硬件的機(jī)制，這些機(jī)制能夠支持包括固件完整性、身份驗證、加密和安全存儲在內(nèi)的核心網(wǎng)絡(luò)安全原則。Microchip 的 dsPIC33C DSC 和 PIC24F MCU 簡化了代碼保護(hù)，而其 ATECC608 和 TA100 安全 IC 則提供了有效安全平臺所需的額外安全機(jī)制。組合使用這些設(shè)備，開發(fā)人員可以滿足物聯(lián)網(wǎng)嵌入式解決方案以及汽車、工業(yè)、消費和醫(yī)療應(yīng)用對系統(tǒng)級安全的需求。