在物联网、工业4.0和机器人技术的崛起中,微控制器越来越多地成为防篡改和网络攻击的保护屏障。各种微控制器系列已经配备了一系列安全功能。一旦欧洲通用数据保护条例(GDPR)在2018年5月开始生效,企业便必须执行其中规定的数据安全标准。该法律对个人数据的匿名化(pseudonymization)和加密进行了更加严格的规定,与德国以前的法律基础相比,新增了弹性条款和问责条款。

GDPR不仅影响制造商,还影响OEM厂商和网络运营商等运营企业。作为一个中央控制和监管元件,微控制器在网络系统中扮演着关键角色。制造商的开发过程已经开始按照相应的安全标准进行认证。凭借安全的生产链,半导体制造商还为其客户提供安全的端到端解决方案。意法半导体最近成为第一家获得微控制器解决方案“法国网络安全标签”的微电子元件制造商,该解决方案为多个目标市场提供最大的安全性和灵活性。

每个应用的安全性具有不同含义

从安全角度而言,目标应用可以分为不同的微控制器类别:

• 身份验证解决方案和可信平台模块 (TPM),例如用于商标保护和IoT网络 • 传统智能卡企业在支付、个人识别、交通和付费电视内容领域的银行和身份识别(ID)解决方案 • 针对移动产品和机器对机器(M2M)应用中的基于SIM解决方案的移动安全解决方案 • 用于近场通信(NFC和 eSE)和安全驾驶的汽车解决方案

集成的数据安全特性

在IoT以及工业4.0和机器人领域,通常使用工业和消费类应用的标准微控制器(通用微控制器)。具有集成安全功能的型号已经可以在此领域中使用。我们的产品组合为以下方面提供多种保护功能

˙ 身份盗窃(防篡改机制、完整性检查、可追溯性) ˙ 限制数据服务 ˙ 数据和代码拦截和篡改(内存保护、权限管理、调试级别、防篡改机制、完整性检查、安全固件更新) ˙ 物理或机械攻击(模块上的防篡改机制)

这些功能主要集成到芯片中,以确保稳健的身份验证、平台完整性和一致的数据安全性,从而确保最终用户的隐私,并提供对数据、IP和商标的全面保护——从而在标准产品的数据安全方面满足最高标准。典型的目标应用包括打印机、计算机、网关、物联网终端节点和传感器。

基于硬件的功能

完整性与安全

由循环冗余校验所确定的校验值可以检测数据传输或存储中的错误。这意味着它不仅可以检查数据的完整性,还可以验证软件运行时的签名。安全的电源监控系统(POR [上电复位] / PDR [掉电复位] / BOR [欠压复位] / PVD [可编程电压检测器]标志状态)可以识别复位的原因,并确保器件的复位是基于合法访问。它由“写入时进行读取”功能进行补充,以实现高效的篡改检测和记录。

时钟安全系统(CSS)基于恢复时的时钟和系统,以及相互独立运行的内部和外部时钟。看门狗和窗口看门狗也相互独立地监视时间窗口。

存储器内容的完整性和可靠性则可通过纠错码(ECC)和奇偶校验来确保,它还提供了扩展的保护,免受通过错误来偷偷进行的攻击。温度传感器持续监测IC的环境温度,以防止恶意程序故意加热到超出其指定范围,从而永久性损坏IC。

加密方法

加密方法通过使用代码加密原始纯文本来防止源文本遭到未经授权的访问,破解代码使黑客能够解密加密的文本。更复杂的加密方法使用对称或非对称加密。若使用对称加密,只有一个加密和解密密匙,这意味着发送者和接收者使用相同的密钥。

若使用不对称方法,通信各方各自使用自己的密匙,用于生成密匙对。这包括用于加密数据的公匙和用于解密的私匙。

对称方法,举例来说,某些STM32系列有一个真正的随机数发生器,用于产生32位加密密匙,完全集成到芯片中。这种加密基于对称高级加密标准(AES),而STM32F2、F4、F7、L4系列采用128位密匙长度(AES-128)和256位(AES -256)密匙长度以及多种方法 (ECB、CBC、CTR、GCM、GMAC、CMAC),而STM32L0 / L1则采用128位密匙长度(AES-128)。这种对称加密标准也适用于少数其他供应商的专用MCU / MPU系列(如瑞萨RX、瑞萨Synergy和东芝TZ1000) (见交叉列表)。 此外,瑞萨RX系列和Synergy S5和S7系列在硬件上提供非对称加密引擎,这是一项突出的功能。

对称方法的优点是,由于只有一个密匙,所以密匙管理比非对称方法更简单,加密和解密的速度也明显更快。 一些微控制器部件也具有完全集成的散列函数,其中数据被散列和分散,并且该函数将较大量的输入映射到较少量的目标数据。

还有密匙散列信息验证码(HMAC),该信息认证码(MAC)的结构基于密码散列函数。在RFC 2104和NIST标准FIPS 198中规定了HMAC。

防篡改机制

防篡改机制用于防止针对微控制器之外的硬件系统有意或无意发起的物理攻击。它引用各种唤醒源的备份域,确保即使在低功耗模式下也能保持保护。实时时钟(RTC)为每个篡改事件盖上时间戳。

某些微控制器系列还具有RTC寄存器保护功能,可以阻止未授权的写操作,并独立于系统复位进行操作,但不包括写入一系列按键时的保护功能。

如果检测到篡改,备份寄存器确保写入内容被自动删除。通讯通道也可以通过通用输入/输出(GPIO)通讯模块选择性地阻止,这可以防止选定的GPIO,并且可以在下次复位时删除该模块。

调试模块

调试模块通过调试接口防止未经授权的微控制器访问。可以为每个应用程序或需求选择安全级别,但是在此之后不能再次降级。

访问权限管理

访问权授予用户或用户组执行某些操作的权限。为此,集成存储器保护单元(MPU)将存储器划分为具有不同访问权限和规则的区域。

在数据传输期间,防火墙将闪存或SRAM的代码或数据组件与在保护区外执行的其余代码隔离开来。防火墙比内存保护单元(MPU)更具限制性,仅集成到STM32L0、L4和瑞萨Synergy S5和S7中。

内存保护

读保护用于管理如何访问内存,例如用户IP的存储转储和备份是不允许的。写保护可以保护每个扇区免受不妥当的写入操作。专有代码保护允许将每个存储器区域配置为“仅执行”,这意味着只有代码可以在此处执行——不能写入该区域。 使用批量擦除或安全擦除功能可以安全地删除IP和机密数据,该功能将内存完全重置为出厂状态。

数据的可追溯性

许多微控制器系列具有特定的独特96位ID,以确保最终产品可追溯。这也可以用于安全密匙的多样化。许多系列还具有启用安全固件更新的功能。

基于软件的加密方法

用硬件实现的安全功能也可以配合基于软件的解决方案。加密库软件包可用于不同的微控制器系列,并提供一系列加密算法。它们以二进制目标格式作为标准提供,也可以通过基于保密协定(NDA)授权的条款以源代码形式提供。也可通过硬件扩展为某些集成电路提供功能支持。

除了集成在芯片中的随机数发生器之外,软件包还提供了对重播攻击的保护;这些重播攻击利用了先前的请求来重新攻击。散列算法验证消息的数字签名和验证代码,以确保数据可信并保护其完整性。此外,还有可用于对称和非对称加密方法的软件包。

对于复杂的IoT解决方案,还可以选择使用另一个板载模块——意法半导体的STSAFE-A100或英飞凌的OPTIGA系列是可立即运行的解决方案,并且具有安全的操作系统。这一最新一代安全微控制器为本地和远程主机、智能家居、智慧城市和工业应用、电子娱乐设备以及各种其他终端设备、公用设施和配件增强了身份验证和数据管理服务的安全性。