從復制保護您的MCU設計和逆向工程
微控制器被用作幾乎每個應用可以想象在主控制元件。他們的權力和靈活性,讓他們去到組件的大多數(shù)設計的心臟。因為它確保您的設計不能輕易被復制是非常重要的,逆向工程或篡改,現(xiàn)代的微控制器現(xiàn)在提供了幾個不同的選項來保護您的設計;的能力和權衡一個很好的理解是,以確定哪種方法是最好的一個給定的設計很重要。本文將回顧一些常見的方法來設計保護,如使從外面的世界,你的MCU讀取,使用片上的功能來驗證要執(zhí)行的代碼修改,并使用外部元件來提供更先進的安全功能。板上技術篡改檢測和可能的“懲罰”是也可以應用進行說明。
本文引用地址:http://2s4d.com/article/201808/387094.htm保護你的設計
你可能沒有考慮了很久是多么容易復制你的設計,但誰擁有經(jīng)驗豐富的設計偷竊會告訴你,一旦它發(fā)生的工程師,你永遠不希望它再次發(fā)生!例如,如果片上的代碼為您的MCU設計,可以讀出一個競爭對手,甚至是通過不法合同制造商,你的整個設計可以很容易地復制和轉售 - 無論是在不同的品牌或者甚至可以使用你的品牌在黑市上。這超過產品容量流行的設計已經(jīng)成熟,這種類型的治療,如果賣家無法從你的產品,他們可能會動用黑市場,以滿足他們客戶的需求。正如脆弱的是隱藏在你的MCU代碼心臟的實際設計或算法。也許你有一個創(chuàng)新的方法來分析傳感器數(shù)據(jù),大大減少了所需的電力或處理時間。你想一個競爭對手能夠把剛才復制的代碼和反向工程算法?甚至有軟件工具,可以采取二進制和再生合理的“C”代碼,使算法的細節(jié)更容易破譯。即使是很平常,比如板上測試程序,可能已經(jīng)采取了許多個月的時間剛剛好 - 你想要的競爭對手獲得快捷訪問您的基礎架構相關的代碼,大大降低其開發(fā)成本,使他們能夠不公平地削減他們的市場價格來贏得您的公司嗎?保護的另一個方面是涉及硬件驗證。通常,一個設計將允許外設或附加卡這樣的基本設計理念可以升級或增強。如果設計不包括一些功能,能夠檢測的附加模塊硬件授權,有可能為其他廠商打造低成本的模塊,以爭奪附加業(yè)務。打印機墨盒也許是最熟悉的應用程序的硬件認證,以確保你買的是制造商的品牌墨盒。常打印機以折扣出售和盒價格膨脹以覆蓋折讓打印機的壽命。參賽者可以以較低的價格出售墨盒,因為它不需要收回打印機的折扣,同時仍然保持健康的利潤。因此,現(xiàn)在應該清楚的是,在許多情況下,重要的是要能夠保護硬件復制,逆向工程,并且從假冒。此外,如果沒有安全硬件為起點,這將是不可能創(chuàng)造的各種需要的像家庭互聯(lián)(圖1)的應用程序的安全設備。
圖1:在聯(lián)網(wǎng)家庭安全設備常見的例子。 (德州儀器提供)一些技術已經(jīng)發(fā)展隨著時間的推移,其中許多是使用標準化的安全算法,以保護和驗證存儲內的MCU或存儲器外設到MCU的代碼。讓我們來看看一些他們用于最常見的保護技術和安全標準和內容。然后,我們就可以看到各種微控制器和外設支持這些標準,可以用來保護你的設計。
保護技術和通用安全標準
也許是最常用的技術,用于保護硬件從復印編程在其中的編程的數(shù)據(jù)不能從裝置外部進行訪問的一次性可編程(OTP)模式的MCU。 JTAG和調試設備必須關閉,因此數(shù)據(jù)不能使用調試訪問“后門”。現(xiàn)代的設計找到OTP的做法卻非常有限,因為調試測試過程中故障分析和現(xiàn)場一個非常有用的功能。在OTP方法消除的另一個重要功能是遠程更新片上MCU代碼進行升級,bug修復,提高誠信經(jīng)營和優(yōu)質的服務所需要的其他類似的變化。理想情況下,我們希望保護我們的代碼逆向工程和復制,但仍然能夠方便地進行更新和更改。一些MCU提供了訪問片上存儲器的安全方法。德州儀器(TI)憑借其MSP430FR MCU系列,提供了一種方法要么確保JTAG端口通過密碼,或者通過編程片上禁用保險絲簽名完全禁用它。當JTAG被禁用,對設備的訪問經(jīng)由使用密碼引導裝載程序只允許。提供了一個不正確的密碼可以導致整個代碼存儲區(qū)被質量擦除。 TI還提供了一個方法來創(chuàng)建兩個MSP430FR存儲器空間內的安全的和非安全區(qū)域。安全碼可以被封裝(通過IP封裝,或IPE),通過存儲安全碼在被映射到引導代碼區(qū)中的第一電周期后一個特殊存儲區(qū)域。 IPE的區(qū)域不能由JTAG,BSL甚至在系統(tǒng)讀取訪問,所以它保持安全的裝置的壽命。在安全區(qū)域內的代碼可以,不過安全區(qū)域內的訪問數(shù)據(jù),因此既安全算法和密鑰可以安全區(qū)域內共存。為了保護您的IP所需的最常見的安全算法使用,也可以加密和/或解密的安全數(shù)據(jù)或數(shù)據(jù)進行驗證,以證明它是從一個已知的和可信賴的來源。 MCU可提供專用硬件來實現(xiàn)共同的行業(yè)標準和Microchip PIC32MZ MCU系列就是這樣一個例子。 PIC32MZ設備包括一個實現(xiàn)共同批量加密解密“密碼”,如AES,DES和三重DES硬件加密引擎。這些功能所使用的加密保護的安全數(shù)據(jù),使用密鑰,以便只“知道”一個進程密鑰才能解密數(shù)據(jù)。認證是由SHA-1,SHA-256,MD-5,AES-GCM和HMAC提供了 - 在所有的硬件實現(xiàn)。加密引擎的硬件結構和產生的性能(在輸入時鐘的Mbps的/ MHz和以Mbps為100MHz的時鐘)示于圖2中。性能值遠遠優(yōu)于軟件實現(xiàn)并表明,如果大量的數(shù)據(jù)需要經(jīng)常處理的(可能在高速數(shù)據(jù)傳輸)或在時間關鍵事件(諸如在啟動過程中)使用的硬件加密引擎可滿足系統(tǒng)的要求是至關重要的。
圖2:Microchip的PIC32MZ單片機加密引擎和性能指標。 (Microchip的提供)
評論