MCU安全的意識需要培育 解決痛點的方法多種多樣

迎九

1 MCU安全的意識需要培育

今天物聯網設備面臨的安全問題和以往有很多不同，因此，ST加強了安全方面的投資。2015前后，ST的安全芯片和MCU（微控制器）平臺同屬于一個大部門，因為當時發現黑客已經不止攻擊高安全性應用，如銀行卡、身份證等，而是已經逐漸擴展到大眾層面。例如，四五年前已有智能家居的智能音箱、智能視頻被攻破的現象，很多客戶逐漸發現安全隱患的威脅可能使整個網絡癱瘓，甚至有一些廠商被黑客挾持勒索。

傳統MCU已經有了一定的安全能力，遺憾的是有很多嵌入式開發者不太注重安全問題，或者沒有相關的知識和能力去提升安全性，所以在過去四五年中，ST在逐步培育這塊市場和教育客戶。

由于物聯網碎片設備的應用越來越廣泛，人們并不知道黑客會從哪個最弱的環節進入，所以格外提升MCU的安全性。

2 STM32WL LoRa無線系統芯片如何保證安全

2020年底，ST推出面向大眾市場的STM32WL LoRa無線系統芯片系列產品，其中的WL5采用了雙核形態，在M4核之外，又增加了M0+核，好處是可在同樣系統中升級一些更需要高安全性的應用，即對客戶在安全升級方面有很大的幫助；此外，還增加了先進的安全特性。

具體講，STM32WL是基于傳統STM32平臺做的一些升級。實際上，現有STM32上已經有了應有的安全防護，如圖1，黑色字體描述現有STM32產品線上都有的安全設施，如電源監控、閃存保護、時鐘安全、入侵監視、軟件IP等，這些都是現有STM32支持的功能。

在此基礎上，雙核可提供更高的安全功能，包括M4和M0+安全的硬件隔離，安全啟動代碼保護等。而且，在增加這些更高安全的雙核硬件版本時，ST的客戶群可以迅速從現有平臺升級，引導開發者快速地把安全理念植入在其產品的設計框架中。

對開發者來說，雙核特別強調4個主要特性：數據加密、安全下載、固件保護和身份驗證。這4個主要安全特性是ST在過去十幾年與開發者互動時，在產品安全設計開發中精選出來的，被認為是解決開發者痛點的主要關鍵。

1）數據加密

數據加密推動了安全密鑰管理服務KMS系統，也就是說在芯片中提供了一個特殊的安全域可以存儲密鑰，以管理系統中不同應用的使用，還可以處理特權，在過去傳統通用MCU中是沒有這個功能的。

2）固件IP保護

我們的客戶群里有很多用戶是開發硬件方面的固件來執行芯片上的應用，有很多客戶非常擔心他們的產品和固件里的IP被盜取、攻破，被黑客竊取。所以在WL5里有一個安全啟動（可信根），讓他們比較放心地去使用、保護固件，其中有一些特定域，只有這些應用在這些固件內存里通過身份驗證過后，才可以執行。

3）安全固件安裝或更新

在執行過程中，越來越多的物聯網設備各式各樣的升級需求一定會持續發生，即用戶可能在這個過程中要做代碼的更新、固件的更新，在目前環境下這樣做非常困難，而且也比較耗時、耗力、耗資源。很多設備一上市，就很難做固件升級，增加了整個生態維護的難度。為此，WL5有2個特點：①嵌入式安全固件安裝（SFI）；②SBSFU，即在此基礎上給了一個可定義的現場更新，可執行安全的平臺升級。除了這2個固件，ST還提供參考代碼來支持用戶更加快速的使用，讓他們能更好地去實現這個功能。

4）加密/密碼

這幾個基礎必須嵌入在具有較強安全的密碼和加密模塊里，例如ST有一個比較強的硬件加密協處理器，能增加數字簽名，保證現有MCU在資源有限的條件下也能達到加密的功能和能力。

說到最重要的現有客戶，在做應用開發固件升級時，他們知道有關安全啟動和信任鏈，而信任鏈的構思不是最新的，但真正在MCU上執行是近幾年的事。在芯片上需要有一個機制，讓這些芯片在一開始執行或在復位時必須執行一個安全啟動。在安全啟動機制下，芯片會自己檢查是否芯片上的寄存器或外設被篡改過。在這些措施下，會通過第2步驟去認證這些應用程序是否允許認證它的合法性，如果這些都正常，那么這款應用才可以在特定域里開始應用，這將大大減少可破壞性或出錯，或者讓黑客有機會去截取或讓整個系統崩潰掉。所以信任根在安全構思中是一個極重要的環節。ST還在不斷地培育開發者、工程師，更快地去提升他們的安全理念。

由于ST有了雙核的推動，在保持最大靈活性時，這些應用優勢，如SFI、SBSFU還有KMS，可以將應用的優勢發揮出來。以前沒辦法或比較困難，或需要很高費用、能力才能實現的功能，現在開發者可以更加方便、更加容易地實現。

下面五點對任何物聯網設備都非常重要：①開發者需要有靈活性實現不同等級的安全，因為設備本身所保護的數據程度不同，不可能花費很高的費用只用非常初級的安全功能來保護它；②有關IP的保護，當越來越多的開發者在他們的中間件或固件中實現不同功能、性能時，這些IP的保護將非常重要，以便有較有好的方法保護他們的知識產權。接下來3個是有關設備的可復制性、可攻擊性、可信賴性的升級，也是未來物聯網設備所必須要具備的功能，這些都會很完善、很容易提供給開發者。

3 MCU全生命周期的安全管理

在整個芯片研發過程中，安全生命周期包含在芯片的設計、流片、測試，以及芯片給開發者后的測試工具，如果一旦受到攻擊，它會進行復位，或到某一程度將閃存上的代碼全部擦除掉，這是目前ST MCU能夠進行處理的方面。

在后面的生命周期，最重的環節是自我毀滅。在安全芯片中可以有這個功能，但是在傳統的MCU里還沒有類似的功能，這取決于開發者是否要把這一點植入到他們的研發或生命周期管理中。

4 安全有多種途徑

既然Arm TrustZone很好，為何STM32WL LoRa無線系統芯片沒有用到TrustZone呢？

實際上，TrustZone概念一開始是Arm提出來的，是實現安全功能最基本的代碼隔離或安全性隔離的思路。在過去十幾年里，TrustZone已經在不同的安全芯片里得到了認可，很多廠商把TrustZone 用在了安全芯片上。

STM32通用MCU過去用的是M核，是不帶TrustZone的，所以在Cortex-M的基礎上，如果要實現類似TrustZone——硬件上物理隔離的話，要采取另外的手段，就是基于雙核的設計理念，把TrustZone的理念（并不是TrustZone本身）植入到傳統通用MCU里。

由此可見，要實現安全方法有很多，TrustZone只是其中的一種。此外，還有防火墻、專有代碼讀保護（PCROP），以及唯一啟動入口、BootLock等，還有用戶安全存儲區等。STM32有一系列安全相關的硬件，結合雙核，其他不是雙核的也有這樣的功能，能夠實現或滿足客戶要求的安全級別。