許多設(shè)計(jì)人員仍然認(rèn)為，通過(guò)禁止對(duì)MCU的調(diào)試訪問(wèn)，他們可以實(shí)現(xiàn)“非常好”的IP安全性。在開(kāi)發(fā)周期之后，使用用戶可配置的設(shè)置阻止調(diào)試路徑（JTAG或SWD）。然而，對(duì)于想要對(duì)產(chǎn)品進(jìn)行逆向工程的中等技術(shù)知識(shí)產(chǎn)權(quán)盜版者而言，這種方法實(shí)際上并沒(méi)有太大的威懾力。

簡(jiǎn)單地阻止調(diào)試訪問(wèn)并不會(huì)阻止從包含關(guān)鍵位置的位置讀取設(shè)備內(nèi)存軟件IP。雖然有幾種方法可以解決這個(gè)問(wèn)題，但最有效的方法之一是通過(guò)創(chuàng)建內(nèi)部硬件和軟件進(jìn)入障礙來(lái)隔離關(guān)鍵IP。

然而，在描述兩種解決方案之前，值得列舉使嵌入式空間越來(lái)越危險(xiǎn)的發(fā)展。

洗碗機(jī)，冰箱和家庭自動(dòng)化系統(tǒng)等設(shè)備正在使用越來(lái)越強(qiáng)大的MCU實(shí)現(xiàn)先進(jìn)的診斷和便利功能。實(shí)現(xiàn)這些功能的軟件IP需要花費(fèi)時(shí)間和金錢來(lái)開(kāi)發(fā)，這意味著需要采取有效措施來(lái)防止競(jìng)爭(zhēng)對(duì)手盜竊。

當(dāng)設(shè)備或設(shè)備或多或少地自主運(yùn)行時(shí)，保護(hù)產(chǎn)品IP要容易得多。 “大數(shù)據(jù)”趨勢(shì) - 收集可用于營(yíng)銷目的的數(shù)TB信息 - 使嵌入式系統(tǒng)成為發(fā)起數(shù)據(jù)并通過(guò)物聯(lián)網(wǎng)（IoT）連接傳輸數(shù)據(jù)的關(guān)鍵任務(wù)。互聯(lián)性的這種重大轉(zhuǎn)變?cè)黾恿吮Ｗo(hù)的必要性。

第三個(gè)趨勢(shì) - 一個(gè)不經(jīng)常提到的 - 是開(kāi)源軟件的廣泛采用。工程師喜歡開(kāi)源，因?yàn)樗ǔ３杀据^低，易于使用，并縮短了設(shè)計(jì)周期。例如，Linux在許多行業(yè)領(lǐng)域中被廣泛使用，但開(kāi)源軟件還包括諸如通信棧之類的代碼。盡管有其優(yōu)勢(shì)，但開(kāi)源軟件比專有系統(tǒng)更容易受到攻擊，因?yàn)槿魏稳?- 包括IP盜版者 - 都可以獲取源代碼，分析和修改它。

硬件安全性

實(shí)施安全性的經(jīng)過(guò)時(shí)間考驗(yàn)的方法是包括一個(gè)單獨(dú)的安全處理器 - 通常是一個(gè)MCU - 具有自己精心控制的訪問(wèn)和執(zhí)行環(huán)境。例如，安全子系統(tǒng)可以是加密引擎。除了增加安全性之外，引擎還將主MCU從軟件中執(zhí)行加密算法的任務(wù)中卸載。在該方法中，通常采用基于內(nèi)部描述符的DMA來(lái)有效地編程安全關(guān)聯(lián)數(shù)據(jù)和分組指針。智能狀態(tài)機(jī)基于協(xié)議選擇和分組邊界來(lái)調(diào)度加密引擎。

雖然高度安全，但使用額外的處理器存在缺點(diǎn)。三個(gè)最突出的是：1）額外的物料清單（BOM）成本; 2）降低整個(gè)系統(tǒng)的性能; 3）缺乏可編程性。其他選項(xiàng)在概念上與此方法類似。

ARM TrustZone

對(duì)于32位設(shè)計(jì)，ARM Holdings Ltd.開(kāi)發(fā)了一項(xiàng)名為TrustZone的技術(shù)，該技術(shù)有很長(zhǎng)的路要走減輕這些缺點(diǎn)。 TrustZone是指可以在許多ARM內(nèi)核中實(shí)現(xiàn)的安全擴(kuò)展 - 并且緊密集成到其Cortex-A處理器中。

ARM的系統(tǒng)級(jí)安全方法始于執(zhí)行環(huán)境，并使用特定于公司AMBA總線和AXI總線的特定TrustZone IP塊進(jìn)行擴(kuò)展。系統(tǒng)方法可以保護(hù)外圍設(shè)備，如內(nèi)存和加密塊。

TrustZone架構(gòu)基本上通過(guò)定義處理器，外圍設(shè)備，內(nèi)存地址甚至緩存區(qū)域來(lái)隔離基于ARM內(nèi)核的MCU的硬件子集，以作為“安全”或“非安全”硬件運(yùn)行。 TrustZone技術(shù)可以動(dòng)態(tài)地將整個(gè)MCU暴露給安全軟件，或者將該MCU的一部分動(dòng)態(tài)暴露給普通軟件。

TrustZone通過(guò)將處理器內(nèi)核分成兩個(gè)虛擬內(nèi)核來(lái)實(shí)現(xiàn)這一目標(biāo)，一個(gè)在正常環(huán)境中運(yùn)行，其他在安全的世界中工作（圖1）。除了傳統(tǒng)的用戶和內(nèi)核模式劃分之外，這種機(jī)制實(shí)質(zhì)上創(chuàng)建了一個(gè)新級(jí)別的執(zhí)行權(quán)限。監(jiān)控模式軟件可以仔細(xì)控制兩個(gè)世界之間的轉(zhuǎn)換。

圖1：ARM的TrustZone架構(gòu)在概念上基于創(chuàng)建虛擬核心。 （由Texas Instruments提供）

任何具有基于ARM的產(chǎn)品的MCU供應(yīng)商都可以選擇實(shí)施TrustZone。德州儀器（TI）通過(guò)其KeyStone II片上系統(tǒng)（SoC）架構(gòu)為支持TrustZone的應(yīng)用提供支持，該架構(gòu)具有集成的ARM Cortex-A15集群。由于TrustZone集成在ARM的Cortex-A處理器中，TI更經(jīng)濟(jì)的Sitara系列（基于A8內(nèi)核）的成員都支持TrustZone，包括AM3352ZCE27。

其他支持TrustZone的產(chǎn)品包括Atmel的SAMA5D4系列32位MCU，包括ATSAMA5D41A-CU和飛思卡爾半導(dǎo)體的i.MX6系列，包括MCIMX6X1CVK08AB。

由于它是基于硬件的，因此TrustZone為上層提供了堅(jiān)實(shí)的基礎(chǔ)。可以構(gòu)建安全軟件。創(chuàng)建受TrustZone保護(hù)的應(yīng)用程序涉及三個(gè)基礎(chǔ)元素。

可信執(zhí)行環(huán)境（TEE） - 在安全領(lǐng)域內(nèi)運(yùn)行的軟件堆棧，以及啟用安全世界所需的通信功能與普通世界軟件交互的軟件。 TEE軟件通常包含一個(gè)小型微內(nèi)核和API，允許安全軟件與更大的以用戶為中心的軟件進(jìn)行通信。

安全感知應(yīng)用程序和安全服務(wù)，或受信任的應(yīng)用程序（TA）

安全監(jiān)視器，充當(dāng)控制域之間遷移的虛擬網(wǎng)守。

物理核心通過(guò)調(diào)用稱為監(jiān)控模式的新處理器模式在兩個(gè)虛擬核心之間切換。可以通過(guò)激活A(yù)RM的安全監(jiān)視器調(diào)用（SMC）指令或硬件異常機(jī)制的子集，從正常模式進(jìn)入監(jiān)視模式。配置IRQ，F(xiàn)IQ，外部數(shù)據(jù)中止和外部預(yù)取中止異常都可以使處理器切換到監(jiān)控模式。這些中斷也可以被分配更高的優(yōu)先級(jí)來(lái)保護(hù)安全世界的軟件免受拒絕服務(wù)攻擊。

TrustZone軟件

TrustZone硬件由實(shí)現(xiàn)類似分區(qū)的軟件架構(gòu)補(bǔ)充。在這種架構(gòu)中，所有與安全相關(guān)的功能，包括與安全外圍設(shè)備的接口，都是安全世界的范疇，而普通世界則處理其他任務(wù)。

在監(jiān)控模式下執(zhí)行的軟件通常會(huì)保存當(dāng)前世界的軟件映像，并將該狀態(tài)恢復(fù)到其切換的位置。然后，它執(zhí)行從異常返回命令以在恢復(fù)的世界中重新啟動(dòng)處理。

安全世界托管所有安全應(yīng)用程序，并通過(guò)監(jiān)視器代碼向正常世界中的客戶端提供經(jīng)過(guò)精心編排的服務(wù)。安全世界只能運(yùn)行經(jīng)過(guò)大量審查的代碼。圖2顯示了TrustZone的軟件架構(gòu)。

圖2：TrustZone軟件架構(gòu)。 （由ARM有限公司提供）

沒(méi)有必要開(kāi)發(fā)復(fù)雜的軟件來(lái)為TrustZone提供有意義的安全性。實(shí)際上，有時(shí)編寫(xiě)復(fù)雜的軟件會(huì)通過(guò)引入和隱藏其他漏洞來(lái)破壞安全目標(biāo)。實(shí)現(xiàn)的選擇取決于使用場(chǎng)景，可以從復(fù)雜的完全可搶占的操作系統(tǒng)到為普通世界提供按需服務(wù)的一組被動(dòng)庫(kù)。 TrustZone架構(gòu)提供安全定時(shí)器和安全感知中斷控制器，用于構(gòu)建可搶占的安全操作系統(tǒng)。

安全啟動(dòng)對(duì)于保護(hù)IP至關(guān)重要，因?yàn)楫?dāng)所有組件都加載時(shí)，MCU處于相對(duì)受損的環(huán)境中。片上ROM代碼在TrustZone引導(dǎo)過(guò)程中起著關(guān)鍵作用。它的作用是存儲(chǔ)使用OEM私鑰簽名的可信軟件映像。 OEM的私鑰的公共對(duì)應(yīng)物在制造期間僅被編程到MCU中一次。

受信任的OEM軟件映像引導(dǎo)輔助引導(dǎo)加載程序，后者又引導(dǎo)高級(jí)操作系統(tǒng)。此過(guò)程建立完整的信任鏈，因?yàn)榈谝患?jí)組件可以使用另一個(gè)嵌入式公鑰來(lái)驗(yàn)證它嘗試加載的下一級(jí)組件，依此類推。這種安全的信任鏈可以一直擴(kuò)展到加載安全應(yīng)用程序。

16位處理器的解決方案

雖然TrustZone特定于基于ARM的產(chǎn)品，但具有16位和自己的32位MCU的MCU供應(yīng)商面臨著相同的安全問(wèn)題。

他們面臨的一個(gè)知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題源于設(shè)計(jì)和支持生態(tài)系統(tǒng)的普及，其中多家公司參與了系統(tǒng)級(jí)產(chǎn)品的開(kāi)發(fā)過(guò)程。每個(gè)合作公司都有自己的IP保護(hù)。在前面描述的傳統(tǒng)方法中，該IP通常存儲(chǔ)在其自己的專用代碼保護(hù)MCU的閃存中的固件中（圖3）。

意外結(jié)果是一個(gè)相當(dāng)昂貴的系統(tǒng)級(jí)產(chǎn)品，因?yàn)閾碛卸鄠€(gè)MCU可以增加BOM成本和設(shè)計(jì)時(shí)間。除了增加系統(tǒng)成本之外，這種做法還使采購(gòu)部門更難以管理庫(kù)存和交貨時(shí)間。

圖3：設(shè)計(jì)生態(tài)系統(tǒng)創(chuàng)造了一個(gè)特殊的知識(shí)產(chǎn)權(quán)保護(hù)挑戰(zhàn)。 （由Microchip Technology提供）

Microchip Technology的解決方案是其CodeGuard安全技術(shù)，允許多家公司安全地共享單個(gè)MCU的資源。多個(gè)安全處理器可以集成到單個(gè)16位Microchip MCU或數(shù)字信號(hào)控制器（DSC）中。

所有Microchip Technology的16位產(chǎn)品均提供CodeGuard。可以啟用基本，中間或高級(jí)安全功能的程度主要取決于MCU中嵌入的閃存量。例如，所有PIC24F器件（例如PIC24FJ16GA002-I/SS）都可以實(shí)現(xiàn)基本的安全功能。具有64 KB片上閃存和更高容量的PIC24H器件（如PIC24HJ12GP202-I/SS）可實(shí)現(xiàn)高級(jí)安全功能。中間級(jí)安全性可以在DSPIC30F1010設(shè)備上實(shí)現(xiàn)，例如DSPIC30F1010-30I/SP。

CodeGuard是一種多功能且強(qiáng)大的技術(shù)，可實(shí)現(xiàn)以下功能和流程：

內(nèi)存分段和訪問(wèn)權(quán)限

段擦除/編程選項(xiàng)支持安全啟動(dòng)加載程序/內(nèi)核

安全中斷處理

安全開(kāi)發(fā)和調(diào)試

每個(gè)應(yīng)用程序都有自己的定義和實(shí)現(xiàn)。然而，一個(gè)關(guān)鍵特性是內(nèi)存分段和訪問(wèn)權(quán)限，如圖4所示。

圖4：CodeGuard內(nèi)存分段和訪問(wèn)權(quán)限。 （由Microchip Technology提供）

程序閃存，RAM和EEPROM可以分為三個(gè)受保護(hù)的閃存段：

引導(dǎo)段具有最高的訪問(wèn)權(quán)限和可配置多種尺寸。簡(jiǎn)單但高度安全的引導(dǎo)加載程序需要一個(gè)小的內(nèi)存空間，而復(fù)雜的操作系統(tǒng)需要更大的空間。引導(dǎo)段可以被賦予讀或?qū)憴?quán)限（如在Flash更新中）。無(wú)論其他段是否受代碼保護(hù)，它都可以調(diào)用例程或跳轉(zhuǎn)到任何其他段。它還可以重寫(xiě)自己的位置，這一功能使其能夠存儲(chǔ)和更新加密密鑰。如果虛假寫(xiě)入是開(kāi)發(fā)團(tuán)隊(duì)的問(wèn)題，則可以完全禁用對(duì)引導(dǎo)段的所有Flash寫(xiě)入。可以嚴(yán)格限制從其他段訪問(wèn)引導(dǎo)段或保持相對(duì)開(kāi)放。引導(dǎo)段還可以保護(hù)片上數(shù)據(jù)Flash的一部分以禁止從其他段訪問(wèn)。

安全段主要用于存儲(chǔ)面向應(yīng)用的IP，如電機(jī)控制軟件，聲學(xué)算法和噪聲 - 抑制算法。它有許多大小選項(xiàng)，可以限制其他兩個(gè)部分（引導(dǎo)和一般）的訪問(wèn)。安全段可以保護(hù)片上RAM和片上數(shù)據(jù)EEPROM的部分。當(dāng)安全段配置為“標(biāo)準(zhǔn)安全性”時(shí)，可以為引導(dǎo)段提供對(duì)安全段的不受限制的訪問(wèn)。但是，當(dāng)安全段配置為“高安全性”時(shí)，安全段和引導(dǎo)段具有相同的權(quán)限。

通用段是用戶應(yīng)用程序的指定區(qū)域，例如外圍驅(qū)動(dòng)程序，中斷服務(wù)例程（ISR）和大型查找表。其大小基本上是片上閃存減去引導(dǎo)和安全段的大小，為256 KB。