安全性在包括智能手機(jī)配件、智能儀表、個(gè)人健康監(jiān)控、遙控以及存取系統(tǒng)等各種應(yīng)用中正在變得日益重要。要保護(hù)收益及客戶隱私,OEM 廠商必須采用安全技術(shù)加強(qiáng)系統(tǒng)的防黑客攻擊能力。對(duì)于大量這些應(yīng)用而言,將要部署數(shù)百萬(wàn)的器件,工程師面臨的挑戰(zhàn)是在不嚴(yán)重影響系統(tǒng)成本或可靠性的同時(shí),確保最佳安全平衡。主要注意事項(xiàng)包括保護(hù)敏感數(shù)據(jù)的傳輸,防止MCU 應(yīng)用代碼及安全數(shù)據(jù)被讀取,防止MCU 遭到物理攻擊,最大限度提高電源效率,以及支持安全升級(jí),確保設(shè)備能夠應(yīng)對(duì)未來(lái)安全威脅等。
安全設(shè)備必須能夠像銀行保險(xiǎn)庫(kù)一樣有效地安全存儲(chǔ)敏感信息。這類信息包括交換的實(shí)際數(shù)據(jù)(比如客戶的信用卡號(hào)或者何時(shí)用了多少電的記錄等)以及任何確保通信通道安全的加密數(shù)據(jù)(如安全密鑰及密碼等)等。
最新低功耗微處理器(MCU) 集成降低安全應(yīng)用成本與功耗所需的高性能以及各種特性,可幫助開(kāi)發(fā)人員為低功耗應(yīng)用提高安全性。此外,它們還采用非易失性FRAM 替代EEPROM 或閃存提供穩(wěn)健統(tǒng)一的存儲(chǔ)器架構(gòu),從而可簡(jiǎn)化安全系統(tǒng)設(shè)計(jì)。
FRAM 的優(yōu)勢(shì)
與基于閃存的傳統(tǒng)系統(tǒng)相比,F(xiàn)RAM 可提供優(yōu)異的保留性與耐用性。采用閃存,數(shù)據(jù)按晶體管充電狀態(tài)存儲(chǔ)(如開(kāi)或關(guān))。寫(xiě)入閃存時(shí),必須先擦除相應(yīng)的塊然后再寫(xiě)入。這個(gè)過(guò)程可對(duì)閃存造成物理?yè)p壞,最終導(dǎo)致晶體管無(wú)法可靠保持電荷。
確保閃存的最長(zhǎng)使用壽命,通常部署損耗平衡等技術(shù)在各個(gè)塊上平攤使用量,以避免某些常用塊過(guò)早損壞。進(jìn)而需要評(píng)估閃存系統(tǒng)可靠性,是因?yàn)殚W存的耐用性規(guī)范反映的是平均故障率,每個(gè)具體塊的耐用性有高有低。此外,保留的可靠性會(huì)隨耐用性極限的接近而下降,因?yàn)楸A羰歉鶕?jù)每個(gè)存儲(chǔ)器元素的磨損進(jìn)行統(tǒng)計(jì)的。
圖1:FRAM PZT 分子的模型
相比之下,F(xiàn)RAM 將數(shù)據(jù)按分子極化狀態(tài)存儲(chǔ)。由于該過(guò)程為非破壞性,因此FRAM 具有幾乎無(wú)限期的保留性與耐用性。對(duì)必須在整個(gè)設(shè)備使用壽命期間執(zhí)行20,000 至40,000 次交易的移動(dòng)支付系統(tǒng)等應(yīng)用而言,F(xiàn)RAM 無(wú)需考慮耐用性與可靠性問(wèn)題。
此外,F(xiàn)RAM 的高耐用性也關(guān)系到某些應(yīng)用的安全性。例如,要提高通信安全性,每次新傳輸都需要生成新密鑰。這種方法必須考慮閃存和EEPROM 的耐用性問(wèn)題。使用FRAM 就無(wú)需考慮密鑰改變頻次對(duì)存儲(chǔ)器耐用性產(chǎn)生影響的問(wèn)題。
校準(zhǔn)
除了防止應(yīng)用數(shù)據(jù)和加密密鑰遭到非授權(quán)讀寫(xiě)之外,系統(tǒng)還必須防止參數(shù)被惡意篡改,導(dǎo)致敏感信息被訪問(wèn),甚至發(fā)生物理MCU 本身受到侵害攻擊的情況。MCU 容易受到各種攻擊的侵害,導(dǎo)致存儲(chǔ)器中存儲(chǔ)的數(shù)據(jù)、應(yīng)用代碼或安全密鑰被提取。
在許多情況下,MCU 攻擊的目的都是為了改變器件上存儲(chǔ)的數(shù)據(jù)。例如,自動(dòng)計(jì)量?jī)x表上的使用數(shù)據(jù)可能被修改,顯示實(shí)際使用數(shù)額偏低,導(dǎo)致每月賬單降低。一般說(shuō)來(lái),黑客不是去修改收集到的數(shù)據(jù),而是要改變應(yīng)用代碼本身。要達(dá)到這一目標(biāo),它們必須首先獲得應(yīng)用代碼畫(huà)面,進(jìn)行逆向工程,然后在系統(tǒng)中使用修改后的版本進(jìn)行成功覆蓋。
圖2:TI MSP430FR59xx MCU 建立在超低功耗“Wolverine”技術(shù)平臺(tái)基礎(chǔ)之上,采用非易失性FRAM 替代EEPROM 或閃存提供高穩(wěn)健統(tǒng)一存儲(chǔ)器架構(gòu),可簡(jiǎn)化安全系統(tǒng)設(shè)計(jì)
目前已經(jīng)出現(xiàn)了大量強(qiáng)制系統(tǒng)暴露保密信息甚至其應(yīng)用代碼的方法。例如,故障攻擊可引發(fā)故障操作,讓系統(tǒng)進(jìn)入不可預(yù)測(cè)的狀態(tài),從而使其輸出安全密鑰或應(yīng)用代碼塊。此外,黑客還可對(duì)系統(tǒng)進(jìn)行物理攻擊,分離MCU 或采用光學(xué)手段引發(fā)故障。需要注意的是,不是所有以下攻擊情境都適用于所有應(yīng)用,具體可能發(fā)生哪種攻擊取決于風(fēng)險(xiǎn)數(shù)據(jù)的應(yīng)用及價(jià)值。
- 機(jī)械探查:雖然對(duì)EEPROM 進(jìn)行機(jī)械探查比較困難,但仍可通過(guò)IC 后端、采用既不破壞浮動(dòng)?xùn)?,又不破壞比特單元?shù)據(jù)的方法做到。相比之下,F(xiàn)RAM 的極化狀態(tài)只有在電路完整時(shí)才能檢測(cè)到。
- 電源分析:頻譜電源分析(SPA) 和動(dòng)態(tài)電源分析(DPA) 是測(cè)量MCU 電磁輻射或電源使用的專業(yè)技術(shù),其可創(chuàng)建用來(lái)確定MCU 內(nèi)部所做工作的配置文件。EEPROM 與閃存需要工作電壓為10 至14V 的電荷泵,使其比較容易檢測(cè)到。FRAM 極其快速的讀寫(xiě)速度(分別為50 ns 和200 ns 以下)以及較低的工作電壓(1.5 V) 使其被成功安裝基于SPA 或DPA 的攻擊極為困難。
- 顯微鏡檢查:實(shí)踐證明,使用Atomic Force Microscopy (AFM) 或Scanning Kelvin Probe Microscopy (SKPM) 可在后端剝層后檢測(cè)到EEPRO 中的浮動(dòng)?xùn)烹姾伤剑虼丝捎涗洿鎯?chǔ)在存儲(chǔ)器位置上或在數(shù)據(jù)線路上傳輸?shù)臄?shù)據(jù)。
- 電壓篡改:這類攻擊多年來(lái)一直針對(duì)EEPROM 及閃存設(shè)備,特別是用于電話卡作弊。實(shí)際上,就是讓設(shè)備輸入電壓超過(guò)標(biāo)準(zhǔn)范圍,對(duì)比特單元進(jìn)行強(qiáng)制編程。注意,提供工作時(shí)間比EEPROM 比特單元完成編程所需時(shí)間長(zhǎng)得多的欠壓及過(guò)壓保護(hù)電路系統(tǒng)非常困難。不過(guò),F(xiàn)RAM 的讀寫(xiě)時(shí)間很快,因此可對(duì)電壓篡改攻擊進(jìn)行保護(hù)。
- 光篡改:有證據(jù)表明,EEPROM 比特單元可能因?yàn)镺ptical Fault Induction 攻擊而導(dǎo)致數(shù)據(jù)值被修改。激光或UV 輻射都不會(huì)影響FRAM 比特單元(忽略強(qiáng)光熱效應(yīng)),因此基于FRAM 的設(shè)備對(duì)于這類攻擊而言是安全的。
- 輻射:阿爾法粒子可導(dǎo)致EEPROM 中的比特替換。實(shí)踐證明,F(xiàn)RAM 架構(gòu)不受阿爾法粒子及其它輻射源影響。此外,由于FRAM 的鐵電屬性,其也不受磁場(chǎng)影響。
圖 3:FRAM 與 EEPROM 受影響情況一覽表
對(duì)于眾多上述攻擊的應(yīng)對(duì)措施就是確保閃存及EEPROM IC 的安全性。但是,與某種攻擊實(shí)例以及某單個(gè)器件上被盜用數(shù)據(jù)的價(jià)值相比,這些應(yīng)對(duì)措施往往實(shí)施起來(lái)成本太高。此外,這些應(yīng)對(duì)措施可提高電源需求,提升應(yīng)用設(shè)計(jì)復(fù)雜性,從而可降低整體系統(tǒng)可靠性。然而,由于FRAM 提供針對(duì)不同類型攻擊的所有內(nèi)在恢復(fù)力,因此可對(duì)安全應(yīng)用產(chǎn)生比閃存和EEPROM 更積極的影響,降低設(shè)計(jì)復(fù)雜性,消除實(shí)施應(yīng)對(duì)措施的開(kāi)銷。
使用支持快速信號(hào)及偏振狀態(tài)的FRAM 與使用閃存和EEPROM 相比,可為敏感代碼及數(shù)據(jù)提供強(qiáng)大保護(hù)。FRAM 存儲(chǔ)器塊可采用不同類型的訪問(wèn)權(quán)限進(jìn)行配置,進(jìn)一步保護(hù)系統(tǒng)。只讀針對(duì)諸如LCD 使用的字體等常量,讀寫(xiě)僅支持變量,而讀取與執(zhí)行僅適用于應(yīng)用代碼。訪問(wèn)權(quán)限的使用不僅可提高應(yīng)用穩(wěn)定性,防止存儲(chǔ)器的無(wú)意識(shí)濫用,而且還可針對(duì)系統(tǒng)蓄意攻擊提供保護(hù)。
此外,F(xiàn)RAM 存儲(chǔ)器管理還可通過(guò)IP 包絡(luò)提供另一層存儲(chǔ)器安全,使開(kāi)發(fā)人員不但可定義受保護(hù)的存儲(chǔ)器分段,而且還可針對(duì)應(yīng)用進(jìn)行功能拆分。只有通過(guò)代碼執(zhí)行在相同包絡(luò)分段內(nèi)才能對(duì)受保護(hù)分段進(jìn)行直接讀寫(xiě)訪問(wèn)。這樣,來(lái)自未保護(hù)分段的代碼要訪問(wèn)包絡(luò)分段的唯一途徑就是調(diào)用受保護(hù)分段內(nèi)的函數(shù)。具體而言,處理安全密鑰及數(shù)據(jù)的代碼可通過(guò)打包與其它應(yīng)用隔離。這樣,即便應(yīng)用代碼遭到某種毀壞,也不會(huì)暴露系統(tǒng)的安全部分。此外,外部JTAG 訪問(wèn)不允許進(jìn)入受保護(hù)分段。不過(guò)要特別注意的是,任何設(shè)計(jì)都必須包含安全門(mén)入口和多重檢查等軟件設(shè)置,以便傳遞這種安全標(biāo)準(zhǔn)。該實(shí)用硬件特性可產(chǎn)生更深遠(yuǎn)的意義,但不是萬(wàn)無(wú)一失的“傻瓜式”方案。
電源
采用無(wú)線連接的便攜式應(yīng)用在設(shè)計(jì)時(shí)需要考慮電源效率問(wèn)題。例如,加密通道會(huì)由所使用的握手與認(rèn)證過(guò)程大幅提升事務(wù)處理開(kāi)銷。例如該過(guò)程不但可延長(zhǎng)無(wú)線電的工作時(shí)間,而且還可延長(zhǎng)CPU 的工作時(shí)間。在使用閃存或EEPROM 等慢速存儲(chǔ)器技術(shù)時(shí),無(wú)線更新在超過(guò)10 mA 的恒定電流下可以按秒計(jì),這對(duì)電池的負(fù)面影響非常大。
集成型AES 256 加密引擎的高效率有助于工程師推出功耗僅為此前所需能源十分之一的加密功能。此外,F(xiàn)RAM 更快的訪問(wèn)速度與更低的電源需求所消耗的功耗可比傳輸前加密格式記錄數(shù)據(jù)的單位功耗減少約250 倍。
更好地理解這些數(shù)字,需要考慮執(zhí)行無(wú)線更新的低功耗器件。由于這些器件所需電源極少,因此要采用EEPROM 或閃存的話,一次更新的功耗可能就高達(dá)電池使用壽命的一個(gè)月。而采用FRAM 的同等系統(tǒng)將使用不足四分之一天的電池使用壽命。
圖4:TI MSP430FR59xx MCU 采用FRAM 存儲(chǔ)器管理提供存儲(chǔ)器保護(hù)及IP 包絡(luò)
此外,F(xiàn)RAM 的高效率還可影響到標(biāo)準(zhǔn)工作期間的電源與存儲(chǔ)器使用效率。閃存和EEPROM 必須在某一時(shí)刻為存儲(chǔ)器擦除一個(gè)數(shù)據(jù)塊并對(duì)其進(jìn)行編程。因此,要改變單比特系統(tǒng)標(biāo)識(shí),就必須從閃存讀取256 字節(jié)的整個(gè)塊,擦除該塊并重新為其寫(xiě)回?cái)?shù)據(jù)。利用FRAM,開(kāi)發(fā)人員可對(duì)全部存儲(chǔ)器進(jìn)行比特級(jí)訪問(wèn)。
最后,由于EEPROM 與閃存的讀取、擦除和寫(xiě)入序列,開(kāi)發(fā)人員必須使用冗余存儲(chǔ)器塊對(duì)數(shù)據(jù)進(jìn)行鏡像,以確保潛在電源損耗過(guò)程中的數(shù)據(jù)完整性??赏ㄟ^(guò)使用片上電容器,用FRAM 提供寫(xiě)入操作擔(dān)保,來(lái)確保有足夠的電源完成當(dāng)前寫(xiě)入工作。由于FRAM 寫(xiě)入的極快速度與更低電流,電容器可以非常小,小得無(wú)需鏡像便可集成在MCU 上。
圖5:TI MSP430FR59xx MCU 中的FRAM 為無(wú)線固件升級(jí)提供電源管理優(yōu)勢(shì)
FRAM 更高的電源效率可用于支持更長(zhǎng)的電池使用壽命。或者與EEPROM 或閃存的使用相比,這些設(shè)備能夠以更低的功耗存儲(chǔ)更多的數(shù)據(jù),因此開(kāi)發(fā)人員可選擇采用較大數(shù)據(jù)緩沖或事件日志。這可幫助設(shè)備在更低頻率下進(jìn)行檢查,從而減少無(wú)線電或其它大功耗通信通道必須使用的頻次。
結(jié)論
鑒于設(shè)備互聯(lián)趨勢(shì)的不斷發(fā)展,在MCU 中集成安全性正在成為一種常見(jiàn)需求。OEM 廠商可通過(guò)對(duì)器件預(yù)期工作范圍以外的惡意行為進(jìn)行阻止、檢查并采取相應(yīng)措施,防止數(shù)據(jù)暴露,避免應(yīng)用代碼被覆蓋,為敏感數(shù)據(jù)的交換提供安全的通信通道等措施,來(lái)保護(hù)客戶信息以及其自己的知識(shí)產(chǎn)權(quán)。
FRAM MCU 的高效率架構(gòu)集成的硬件可在既不影響數(shù)據(jù)完整性或可靠性,又可降低功耗的情況下降低軟件復(fù)雜性,簡(jiǎn)化安全系統(tǒng)設(shè)計(jì)。這樣,我們就可在低成本下將低功耗應(yīng)用的安全性提升到全新的高度。
作者簡(jiǎn)介
Jacob Borgeson 現(xiàn)任德州儀器MSP430™ MCU 產(chǎn)品部FRAM 產(chǎn)品市場(chǎng)營(yíng)銷經(jīng)理,擁有5 年的微控制器和功耗優(yōu)化經(jīng)驗(yàn)。他此前撰寫(xiě)出版的文章涉及能量采集、低功耗趨勢(shì)以及無(wú)線傳感及個(gè)人醫(yī)療監(jiān)護(hù)應(yīng)用。Borgeson 畢業(yè)于德州理工大學(xué)(Texas Tech University),先后獲電氣工程學(xué)士學(xué)位與工商管理碩士學(xué)位。