整合安全闪存NuMicro M2351SF的安全特色与应用

NuMicro M2351 系列

NuMicro M2351 系列微控制器以 Arm Cortex-M23 为核心，内建 Armv8-M 架构的 TrustZone 技术，并提供 XOM (Execute-Only-Memory) 用以定义 Execute-Only 内存的区域以保护关键程序代码，为全球首款同时通过 Arm PSA Certified™ Level 1 与 PSA Functional API Certified 的的微控制器。M2351 系列微控制器运行频率可高达 64 MHz，内建 512 KB 双区块 (Dual Bank) 架构闪存 (Flash)，可支持 Over-The-Air (OTA) 韧体升级，并内建 96 KB SRAM。同时解决了 IoT 安全问题。为了与 Arm 平台安全架构 (PSA) 兼容，Nuvoton 开发了 Nuvoton 安全微控制器平台 (NuSMP, NuMicro Secure Microcontroller Platform)，该平台完整的定义了基于 Arm Cortex-M 系列 CPU 的 NuMicro 微控制器的安全功能，并提供了广泛可选择的微控制器硬件安全和软件安全功能。有了这些好处，客户可以轻松的进行 IoT 节点设备的安全设计。除了 TrustZone 技术和 Nuvoton 安全微控制器平台之外，NuMicro M2351 系列还配备了丰富的功能以提高系统安全性。例如: 安全启动程序 (Secure Boot Loader) 可以验证韧体的完整性，并在需要时支持全微控制器韧体更新。包括 ECC 在内的硬件加密加速器支持加密和解密操作，以减轻处理器的计算负担。此外，M2351 提供多元的电源管理模式，使功耗管理更具效率。M2351 系列于正常运行模式 (Normal Run Mode) 在 LDO 模式下耗电为 97 μA/MHz、于 DC-DC 模式下耗电为 45 μA/MHz。待机断电模式 (Standby Power-down Mode, SPD) 的电流为 2.8 μA，不带 VBAT 的深度断电模式 (Deep Power-down Mode, DPD) 的电流则小于 2 μA。M2351 系列具备安全与低功耗的双重特性，为现今市场上物联网应用众多解决方案的最佳选择之一 。

为何选用内建安全闪存的 M2351SF

接着，我们需要说明信任对于不断发展的万亿连接的设备至关重要，安全存储是必需的重要安全功能之一。M2351SF 提供了更高的安全级别，可以为不同应用程序的代码和数据提供更大的安全存储 – 4 Mbytes。连网装置安全取决于与物联网云服务连结实可通过端到端的相互身份验证，而为了实现此一安全目标，它需要一系列强大的解决方案，包括受信任的启动，各种密钥，凭证，证书，用于韧体和软件的安全无线更新。通过使用 Winbond 的安全闪存解决方案，M2351SF 可以很好地保护微控制器的代码和数据，以减少漏洞暴露。安全的闪存确实是针对应用程序的宝贵资产进行加密储存，例如生物识别数据，证书颁发机构 (Certificate Authority) 数据，系统日志等。此外，M2351SF 在微控制器和安全闪存之间使用独特的绑定方法以及内部连接通过加密的 SPI 界面来确保微控制器数字资产的机密性，完整性和可用性。在微控制器和闪存之间进行数据传输期间，针对 Side-Channel Attack，Man-in-the-Middle，Rollback，Sniffering 和 Fault-Injection 等攻击的未授权操作有良好的对策。因此， 微控制器系统开发人员可以轻松设计针对安全要求苛刻的市场的应用程序，例如安防产业，智能家居，智能城市和智能物联网以及任何其他有安全大量储存潜在需求的嵌入式设备。除了增强的微控制器储存安全性之外，M2351SF 仍保留 M2351 系列的所有安全功能，包括 Armv8-M TrustZone，仅执行内存 (XOM)，加密硬件加速器，安全调试，系统级篡改检测引脚以及用于应用程序开发的所有软件工具与 M2351 系列相同。

M2351SF 的主要应用

保护有价值的的软件资产不被滥用

在过去的微控制器应用产品开发过程中，最令独立软件开发商亦或系统整合商头痛的就是如何确微控制器内部软件资产能受到严谨保护，同时又要能兼顾给合作厂商在软件开发上一定的弹性，正如图一的例子，Armv8-M 架构可以把有价值的通讯协议放到 TrustZone 或 Secure Flash 区域内，基于通讯协议的上层应用可以不同内存位置来放置，这样也可以方便不同的开发团队进行协同开发，各自进行对自己专长的领域来进行软件制作。这类应用譬如一些短距离的通讯协议、音频编码器、生物辨识核心算法…..等。

TrustZone for Armv8-M/ Secure Flash – 保护有价值的中间软件

确保每个微控制器应用产品都受到信任与保护 (Root of Trust)

在可预期的未来联网环境世界里，连上网络的装置只会愈来愈多，这些装置都会是一个个潜在的破坏入侵点，连网装置可能需要存储敏感资料，有了 TrustZone 与 Secure Flash 区域，可以把单颗微控制器的 ID、加解密的 Key、软件升级都保护在安全区内，而每一次的开基都可以进行自我检查确保装置本身内部运行软件并没有遭到窜改，从开机根源点就是一个可信任 (Trusted) 的进入点，如此才能称得上是功能正常保证。图二的说明给了示意范例，这类的应用譬如跟媒体版权应用有关如 Digital Right Management (DRM)，支付及连网环境中的节点间之识别与通讯。

TrustZone for Armv8-M/ Secure Flash – Root of Trust

保障核心软件的完整性

近年来由于微控制器的市场已由传统的 8 位/ 16 位往 32 位移动，愈来愈强大的运算能力也配备了丰富的周边资源如更高容量的内存，Flash、RAM Memory，使得小型微控制器应用跑操作系统 (Operating System) 的机会变多了，这些核心软件不管是 OS 或固件都可能有被恶意软件攻击的风险，再者由于在嵌入式系统中，对于软件本身并无统一的纯软件安全检验标准，大多是一些产业界的标准，如车界的 ISO 26262，工业界的 IEC 61508，其余如医疗用品之 FDA，未来可能会发展的 Smart Metering 等，这些标准的需求都让软件开发人员要花费相当的心力去达成，在有了 TrustZone for Armv8-M 与安全闪存后，虽说不能马上依靠该功能做到符合所有业界规范标准，但其内建硬件 TrustZone 的做法可以相当程度减轻软件开发人员的心力，对于核心软件的建构与维护可以提升许多效率，因为 Armv8-M 的TrustZone 架构或安全闪存可让受到认证的软件受到安全的保护，因其可对不需要认证的部分或委外开发的部分提供了缓冲区 (Sandboxing)，这也方便软件人员对不同应用的技术支持，例如可授权予上层应用软件开发商对产品的技术服务，如下图说明。

TrustZone for Armv8-M/ Secure Flash – Sandboxing Certified Software