互联设备容易受到网络攻击,因此自动驾驶和工业自动化的进步会带来更大的风险。与云通信、处理软件更新和捕获诊断数据构成了不断增长的攻击面。设备本身也可以被篡改,但诸如此类的物理攻击通常无法扩展。
从安全启动过程开始,连接的设备采用整体安全方法变得越来越重要。引导代码必须经过身份验证并安全地存储在非易失性存储器 (NVM) 中。本文将探讨技术进步如何推动处理器和内存的系统架构变化,但让我们首先了解嵌入式系统中安全性的演变。
嵌入式系统安全性的演进
多年来,智能卡和硬件安全模块(HSM)提供了一个离散的“安全安全区”,可以在其中执行加密。这些外设包括大量可重新编程的NVM(EEPROM或闪存),允许将机密存储在安全区内,免受恶意攻击或意外入侵。这些器件是主机控制器的从属外设,用于各种应用。
2006年,一群德国汽车制造商开发了安全硬件扩展(SHE)规范,定义了可以集成到芯片组中的极简主义HSM。SHE架构已被专为汽车市场设计的安全芯片组广泛采用。SHE作为状态机实现,具有基于高级加密标准(AES)算法的加密功能,并包含足够的NVM来存储所需的密钥和计数器。
几年之内,汽车行业就认识到,某些汽车应用需要更高级别的安全性。由此,EVITA工作组成立。SHE被采用为EVITA轻型HSM的基础,但为中高安全性应用定义了更高级的版本。易维塔中型和艾维塔全 HSM 基于传统 SHE 基础架构构建,并添加了一个 ARM CPU 来管理 HSM 操作。最后,椭圆曲线加密 (ECC) 被添加到 EVITA 完整 HSM 中,以实现更高级别的安全性。EVITA工作组的HSM变体被广泛部署,并且是当前活跃的AutoSAR工作组中描述的许多安全基础设施的基础。
高级工艺节点上嵌入式闪存的消失
安全隔区通常依靠嵌入式闪存 (eFlash) 来存储密钥和其他加密信息。嵌入式闪存通常用于40nm及以上的代工厂工艺节点,甚至在28nm上也存在一些示例。然而,随着过程节点的不断缩小,由于器件物理和经济性,eFlash的集成变得非常困难。代工厂正在花费大量精力寻找小尺寸的嵌入式NVM,但到目前为止,还没有出现可行的解决方案。小截面RRAM和MRAM作为eFlash替代品已被广泛探索,但尚不可行,特别是对于需要在高温下具有高可靠性的任务关键型应用。目前尚不清楚何时(或是否)这些技术中的任何一种将被投入生产。因此,开发人员正在使用外部闪存来代替电子闪存。
当今的系统使用标准的 QSPI NOR 闪存,但公认的缺点是外部 NOR 器件不安全(参见图 1)。向前迈出的一步是使用安全闪存设备来显著提高安全性,并满足 HSM 对安全可重新编程 NVM 的要求。关键功能是创建一个安全通道,在该通道中,可以在 HSM 和安全闪存设备内的加密安全区域之间交换位。
图 1:从嵌入式安全闪存到外部安全闪存的演变。
加密安全存储: Secure Flash 可以为安全密钥、证书、密码哈希、特定于应用程序的数据和配置数据、代码版本信息以及用于身份验证的生物识别传感器数据启用受硬件保护的安全存储。此外,它可以支持经过身份验证和加密的交易,以防止未经授权的访问和其他安全威胁。
快速安全启动:汽车应用依赖于快速安全启动。汽车应用中的典型CAN总线的启动要求小于100ms。这意味着ECU必须能够在上电后100ms内回复CAN消息。如果CAN节点无法在100ms内启动,则可能会错过关键的CAN消息,这对于ADAS等汽车应用来说是不可接受的。安全闪存设备可以使安全启动过程与主机MCU相互进行身份验证,并在不到100ms的时间内确保总线事务的机密性和真实性。
安全固件无线 (FOTA) 更新:普通汽车包含大约100个电子控制单元(ECU)和超过1亿行软件代码。我们相信这些系统能够以更高的复杂性处理更多任务,这突显了对提高可靠性和端到端安全性的需求。由于代码和数据驻留在外部闪存上,因此保护闪存免受攻击对于确保数据完整性、真实性和抗重放攻击能力至关重要。安全的闪存通过仅允许授权更新并启用硬件信任根来防止对代码和数据存储的修改、操作和其他安全攻击,从而提供端到端保护。安全闪存还通过在主机 MCU、安全存储和云之间提供加密和身份验证的交易,使互联世界中的系统更加安全。
汽车应用
汽车市场是安全闪存的主要采用者。主要应用包括高级驾驶员辅助系统 (ADAS)、网关、远程信息处理、仪表板和发动机/动力总成控制。用例涵盖代码/数据存储、快速安全启动和固件无线 (FOTA) 更新。ADAS、网关和HEV/EV动力总成应用仍然是该细分市场的增长动力。
高级驾驶辅助系统:ADAS检测物体,提醒驾驶员危险情况或即将发生的危险,使汽车保持在车道上,并自动减速或停止车辆。ADAS应用包括夜视辅助、驾驶员监控、行人和交通标志识别、前方碰撞警告、车道偏离警告和盲点监控(见图3)。在ADAS系统中,安全关键算法和数据存储在闪存中。因此,确保闪存内容不被以任何方式篡改至关重要。此外,OEM厂商希望执行OTA固件更新,这进一步加剧了安全挑战。安全闪存非常适合ADAS应用,因为它们即使在极端温度下也能确保安全、可靠、可靠的程序执行和关键数据的安全存储。例如,赛普拉斯 NOR 闪存器件具有 AEC-Q100 汽车级认证,并符合 ISO 26262 ASIL-B 标准。
图3:典型ADAS系统框图
互联汽车:车辆与远程实体之间的通信在软件更新、远程捕获诊断数据以及与运输基础设施(LTE、Wi-Fi通道)通信等操作中变得越来越普遍。电子控制单元 (ECU) 之间通过 CAN 和以太网总线进行的车载通信对于确保正常运行至关重要(参见图 4)。在这些通信子系统中,最关键的电子元件之一是ECU中使用的存储器。对ECU存储器的攻击可能导致数据泄漏、不可靠行为甚至灾难性故障。如果要确保现代汽车中的电子设备安全,则必须制作内存子系统以抵御恶意行为者的攻击。
图 4:典型的车载网络
工业应用
工业4.0智能工厂利用网络物理系统来监控物理过程,并创建物理世界的虚拟副本,以实现新的和分散的决策功能。工业物联网 (IIoT) 设备连接到本地系统和云,并利用机器学习来提高生产力、质量和安全性。这些系统监控,管理和控制工厂,仅制造所需的东西,何时需要,并经过适当的授权。其中许多IIoT系统在所有工作模式下都需要高级别的安全性,高可靠性和低功耗。安全闪光灯非常适合工业自动化、工业相机、医疗设备、测量设备、工业计算、M2M 通信等。
工业机器视觉相机:微型高分辨率有线和无线摄像机与图像处理器相结合,使机器能够观察、解释、计划和行动。这项技术正在改变安全、制造、医疗保健和零售行业。当今的工业机器视觉相机是复杂的系统,结合了图像处理、实时模式匹配和对象跟踪,同时通过网络接口进行通信,并在极端工作条件下控制多个电机(见图5)。安全闪存通过支持快速安全执行、代码保护和工业温度范围来满足这些要求。
图 5:典型的机器视觉相机
作为eFlash的替代品,安全的外部闪存正在获得动力,随着工艺节点缩小到40nm以下,eFlash已经变得稀缺。我们需要将 HSM 集成到闪存技术中,以实现无法集成 eFlash 的安全芯片组。可以集成 eFlash 但需要专用于 HSM 功能的额外非易失性内存的芯片组也将发现安全闪存具有吸引力。安全闪存允许数据在其用户阵列内的受保护区域之间以加密安全的方式通过现有通信基础设施传输到主机MCU的HSM。
通过利用现代 NOR 闪存设备的内存计算功能,例如集成了 ARM Cortex M0 处理器的赛普拉斯的森佩尔 NOR 闪存,可以创建高级安全闪存。高级安全性包括防止对固件、启动映像和系统参数的覆盖、修改和操作攻击的功能。安全闪存也成为实现功能安全的基本组成部分。
使用包括 QSPI 和 xSPI 在内的现有总线协议,安全闪存设备可以与主机 MCU 配合使用,以实现要求苛刻的连接应用所需的安全级别,同时保持与现有主机内存控制器的兼容性。当前基于状态机的存储器架构无法提供与嵌入式内核相同的灵活性和可编程性。嵌入式 ARM Cortex M0 可实现卓越的架构,该架构可添加硬件加密加速、安全 HMAC 密钥生成和存储,并使用单调计数器来解决汽车和工业嵌入式系统的广泛安全问题。
审核编辑:郭婷
-
ARM
+关注
关注
134文章
9043浏览量
366770 -
机器视觉
+关注
关注
161文章
4342浏览量
120095 -
自动驾驶
+关注
关注
783文章
13680浏览量
166116
发布评论请先 登录
相关推荐
评论