每個安全微控制器的三種必要特點

多年來，嵌入式開發人員總是不必留意安全性問題。嵌入式系統過去為分離的獨立式設計，除了實體竄改外，沒有什麼好擔心的。但自從有了物聯網 (IoT)，就無法這麼幸福了。對於幾乎每個連網裝置來說，現在最關切的問題就是安全性。要妥善保護裝置，開發人員必須尋求三個主要的微控制器單元 (MCU) 特點，即硬體型隔離、記憶體保護單元 (MPU) 與加密加速器。讓我們來看看這三大特點。

安全 MCU 特點 1：安全處理環境

要保護嵌入式系統，一個重要的概念是利用隔離來設計系統。對於一同運作的記憶體、元件和功能來說，隔離能提供界線或柵欄，以達到共同目標。如果攻擊者能利用某個系統區域趁虛而入，隔離屏障會保護第二個區域，使對方無法立刻存取。

嵌入式系統常常隔離成兩個主區，分別是非安全處理環境 (NSPE) 和安全處理環境 (SPE)。要實現這兩個執行環境，最好的方法就是使用硬體型隔離。方法有兩種，即使用多核心 MCU，或使用搭載 Arm TrustZone 的單核心 MCU。

在多核心解決方案中，一個處理器專門用於 SPE，另一個專門做為 NSPE 中功能豐富的處理器。兩個核心實體上相互隔離，只透過共用的 RAM 及行程間通訊 (IPC) 進行通訊。如果 NSPE 遭駭，安全性核心裡任何隔離的資料、記憶體和功能，仍處於隔離及保護狀態。攻擊者得設法駭入安全性核心。Infineon Technologies 的 PSoC 64，就是一種使用多核心方法的 MCU。

PSoC 64 具有 Arm Cortex-M4 處理器，用於包含許多應用的 NSPE；以及 Arm Cortex-M0+ 安全性核心，用於 SPE。這兩個核心能透過 IPC 進行通訊。可使用 CY8CKIT-064S0S2-4343W 開始實驗，這款支援 Wi-Fi 和藍牙的 PSoC 64 Pioneer 套件，是款有趣的入門開發板 (圖 1)。

圖 1：CY8CKIT-064S0S2-4343W Pioneer 套件提供一個安全的開發平台，讓開發人員能使用多核心安全性解決方案。(圖片來源：Infineon Technologies)

TrustZone 解決方案和多核心隔離模式不同，其雖採用單一處理核心，但處理方面仍分成 NSPE 和 SPE。需要執行安全功能時，處理器會以確定性方式從 NSPE 切換至 SPE；這種方式通常是三個時脈週期或更少。STMicroelectronics 的 STM32L562CET6 就是一種具有 TrustZone 能力的 MCU。

硬體型隔離是開發人員必須在安全 MCU 中尋求的第一個特點。下一個特點是 MPU。

安全 MCU 特點 2：MPU

MPU 是一種用於保護記憶體的硬體周邊裝置。嵌入式開發人員需要 MPU，因為此元件能讓他們進一步在應用程式碼中，建立硬體型隔離區。舉例來說，雖然開發人員也許會徹底發揮 SPE 的作用，但 SPE 還能利用 MPU 進一步分成不同的隔離區。攻擊者就算成功進入 SPE，仍需設法進入 MPU 保護的每個記憶體隔離區。

MPU 可以被視為一種經過瘦身的記憶體管理單元 (MMU)，讓開發人員能將軟體分成不同的隔離程序。MPU 能用於任何記憶體位置，包括快閃記憶體、RAM 及周邊裝置。MPU 用於設定執行與存取權限。同樣，如果攻擊者可以存取某個程序，他們將會受限於根據 MPU 設定的存取權限。如果嘗試存取 MPU 設定以外的記憶體區域，MPU 會擲回錯誤。系統之後可以嘗試復原或重設。這使得 MPU 成為開發人員保護系統的必要特點。

安全 MCU 特點 3：加密加速器

加密加速器是開發人員需要在安全 MCU 中尋求的第三個特點。加密加速器用於加速進行複雜的計算，否則 CPU 將需要花很長的時間進行處理。CPU 可以將工作卸載至加速器，這樣就能並行處理其他問題。結果是能縮短加密作業時間、節省 CPU 週期，甚至可能節省電池供電型裝置中的能耗。

開發人員可以將加密加速器用於幾種作業。首先能用於將通訊或資料加密。常用的加密方案是 AES-256，但可能也支援其他方案，依 MCU 而定。另一種應用是計算資料集的雜湊。在驗證應用程式碼或某段資料的完整性時，這會非常有幫助。

加密加速器很容易被忽略，但任何良好的安全 MCU 都會具備這項特點。對開發人員來說，秘訣就是審視所支援的項目，並確保其具備所需的能力，以適合應用的預期生命週期。

結論

開發人員無法直接在開發週期結束時，才將安全性納入系統。初期就必須謹慎瞭解系統面臨的威脅，並針對系統防護，選擇一款內含所有必要硬體功能的 MCU。