嵌入式工程师需要开始采用系统设计的集成方法，其中安全功能是整个系统功能的基本组成部分。因此，应该在开发周期的开始就对安全性进行关注，而不仅仅是将其视为次要的考虑因素。实施的安全策略应涵盖软件和硬件。

 

传统上，软件是防止未授权访问的第一道防线。在这里，诸如密码使用，加密和身份验证之类的机制是最常见的。但是，老练的黑客正在寻找攻击网络系统和子系统的新方法。如果无法保护和验证启动过程，则采用的技术包括攻击启动过程。一旦攻击成功破坏了系统，存放的恶意软件便会长时间处于休眠状态。

现在，高级微控制器单元（MCU）具有安全功能，可以缓解各种形式的黑客攻击。这些功能包括内置的安全和强大的加密/身份验证引擎，密钥管理，篡改检测和预防，外部存储器保护以及通信协议的加密/解密。

芯片制造商目前正在使用几种精心设计的方案来保护安全密钥免遭黑客入侵或以其他方式被篡改。例如，片上篡改检测/保护机制可以使设备免受侵入式探测。加密引擎可以帮助系统通过加密来确保存储的数据安全。另外，系统可以使用专用总线来传输安全数据或密钥。还采用了许多策略来保护外部存储器的内容，例如直接从外部存储器储备中就地执行安全操作，而无需将数据加载到处理器的嵌入式存储器中或即时解密-这允许应用程序在主处理器和异地存储上运行，同时仍保持完全机密性。

关于网络安全性，无线和有线网络通信都可能被拦截。实际上，某些通信协议具有众所周知的安全漏洞，黑客已设法利用这些漏洞。高度安全的通信协议除了验证发送方和接收方的真实性之外，通常还涉及加密和解密通信流的开销。在这种情况下，将付出性能损失以换取更高的安全性。通过集成用于密码算法的基于硬件的加速器作为通信协议的一部分，可以避免或至少最小化这种折衷。然后，要在成本和安全性之间进行权衡，而不是在性能和​​安全性之间进行权衡。

MCU如何实施安全功能以进行反击的示例
如前所述，某些MCU集成了硬件加密加速器以执行安全功能，而不会影响整体系统性能。一个例子是德州仪器（TI）的TM4C129E加密连接LaunchPad™，这是一种基于ARM Cortex-M4F的120MHz微控制器板，设计用于安全的云连接，楼宇/工厂自动化，智能电网和工业控制。该板核心的TM4C129E 32位MCU包括三个核心安全功能。这些是数据加密标准（DES）加速器，高级加密标准（AES）安全模块和安全哈希算法。

DES加速器模块提供了硬件加速的数据加密和解密功能。它可以运行单DES或三重DES（3DES）算法，并支持电子密码簿（ECB），密码块链接（CBC）和密码反馈（CFB）操作模式，以提供高级的片上安全功能。AES对称密码模块在硬件中使用128位，192位或256位密钥进行加密和解密。安全哈希算法包括使用64Bytes密钥的哈希消息认证码（HMAC）操作。这将对消息或数据文件进行身份验证。总之，这三个功能使芯片可以执行安全密钥管理，加密/解密和数据文件身份验证。

 

在Maxim的MAXQ1061DeepCover安全密码控制器IC实现篡改检测和安全启动功能。多种篡改检测功能可确保芯片中包含的信息的安全性。它的私钥管理可防止未经授权的访问发生，而片上密钥的生成则基于随机数生成器和证书验证。如果不进行验证，则无法执行TLS握手，从而防止黑客与芯片进行通信。此外，128位AES引擎支持AES-GCM（符合SP 800-38D）和AES-ECB（符合SP 800-A）模式。符合标准可提高芯片的安全性。最后，通过签名验证机制强制执行安全启动。没有签名，黑客将无法访问主机处理器的数据。

 

Microchip的ATECC608A硬件加速器IC系列将比标准微处理器上运行的传统软件处理安全算法快十倍到一千倍。这些算法包括基于椭圆曲线密码学（ECC）和椭圆曲线数字签名算法（ECDSA）协议的完整非对称（公共/私有）密钥密码签名解决方案。此外，它们符合NIST标准P256主曲线，并支持从高质量私钥生成到公钥验证的完整密钥生命周期。由于ECDSA代码签名验证和可选的存储摘要/签名，因此提供了安全启动功能。结果，恶意软件将无法更改任何对系统至关重要的引导信息。

结论

嵌入式处理器安全性是一个多层且高度复杂的问题。随着物联网的无处不在的增长和几乎无处不在的嵌入式系统，复杂的安全攻击给开发人员带来了严峻的挑战。幸运的是，MCU设计中目前取得的进步意味着可以在这些设备上执行许多安全功能和操作。更好的是，使用内置的加速器或协处理器，通常可以执行这些操作，而无需降低系统性能。