使用外部闪存的安全嵌入式系统

在本系列的第 1 部分中，我们介绍了安全性在连接的嵌入式系统中的重要性，以及强制使用外部闪存的闪存的去集成。在本系列的第 2 部分中，我们介绍了下一代智能内存安全闪存。在本系列的最后一部分中，我们将介绍与使用外部闪存的安全嵌入式系统相关的设计问题。

图 4 显示了安全闪存内置的智能如何能够提供嵌入式系统所需的性能、可靠性、安全性和功能安全性。使用标准总线协议，包括四通道串行外设接口（QSPI）和扩展串行外设接口（xSPI），智能安全闪存可以与主机配合使用，以实现要求苛刻的连接应用所需的安全级别，同时保持与现有主机存储器控制器的完全兼容性。

对于不能发生故障的关键任务应用程序，安全闪存可以确保系统的安全启动，记录关键信息并扩展基本功能的工作内存。此类“故障安全”应用的示例包括高级驾驶员辅助系统（ADAS）、便携式医疗设备、工厂自动化、国防级传感器和高级无线通信系统。

故障安全的一个重要方面涉及加密存储的代码和数据，以防止其被更改或以其他方式泄露。通过将加密引擎与嵌入式处理器集成，可以以安全的方式存储数据。鉴于内存占用量通常使CPU和特定任务的计算引擎所需的门数相形见绌，因此可以在智能安全闪存中以相对较低的增量成本实现加密和其他高级功能。

安全闪存创建基于硬件的信任根，提供安全环境或与安全 MCU 提供的 TEE 集成。信任根的一个至关重要的角色是确保系统正确启动，理想情况下基于受信任的计算组的设备标识符组合引擎（DICE）标准。安全启动过程通过对闪存和主机 MCU 进行相互身份验证来提供端到端保护，以确保遍历总线的所有事务的机密性。而且，由于 Flash 是智能的，因此经过身份验证的启动可以在不到某些应用程序所需的 100 毫秒内开始。

将代码安全地更新到最新版本的能力是安全启动过程的同等重要的方面。这需要确保固件无线（FOTA）或其他形式的更新完成，没有任何篡改或损坏，无论是故意的还是意外的。如果通过版本证明或其他方式检测到任何篡改，则可以使用回滚保护功能来还原以前已知有效（尽管是下转）版本的代码。此相同功能还可用于保护在不安全的制造设施或服务中心可能发生的任何设备预配。

嵌入式智能使安全的闪存能够处理除保护存储的代码和数据之外的其他任务。例如，对原位验证 （XIP） 功能的支持使安全的闪存作为可信环境能够直接执行代码，从而减轻主机 MCU 的负担。这还可以通过减少MCU所需的片上RAM数量来帮助降低成本和功耗。

汽车和工业自动化市场正在引领安全闪存的采用，这是由于需要满足最苛刻的安全性和功能安全要求。由于嵌入式系统中的潜在漏洞可能导致可远程利用的攻击，从而威胁到乘客或工人的安全，因此，如果不确保强大的安全性，就无法实现系统中的功能安全。因此，要求安全关键型应用中的所有半导体元件（包括外部闪存设备）均符合高级驾驶辅助系统（ADAS）的ISO26262标准和工业系统的IEC 61508标准。

在现场持续监控设备的健康状况以及执行远程诊断和预防性维护也至关重要。闪存设备容易出现多种故障模式，包括由于电荷损失或宇宙辐射、延迟、功率损耗故障等引起的闪存单元故障，需要解决这些问题，以确保在20年或更长时间的使用寿命内具有高可靠性。

闪存的未来

智能安全闪存作为eFlash的替代品正在被接受，随着工艺几何形状缩小到28nm以下，eFlash注定会变得稀缺或完全消失。可以集成eFlash但需要专用于HSM功能的额外非易失性存储器的芯片组也将受益于安全闪存的出现。在这两种设计中，安全闪存能够以加密安全的方式在受保护区域和主机MCU的HSM之间通过行业标准总线传输代码和数据。

预计采用安全闪存的设计将变得更加普遍，甚至对于满足不断变化的安全要求至关重要。攻击正变得越来越普遍和复杂。预计法规将变得更加严格，增加的自主性将进一步提高安全性和功能安全的重要性。为了满足这些不断变化的需求，同时最大限度地缩短新功能的上市时间，设计工程师将越来越依赖只有智能安全闪存才能提供的敏捷性。

审核编辑：郭婷