隨著物聯(lián)網(wǎng)和智能設(shè)備的快速發(fā)展，設(shè)備安全認(rèn)證的需求也日益增長。數(shù)字安全設(shè)計(jì)是現(xiàn)今電子設(shè)計(jì)領(lǐng)域最熱門的話題之一，而真正的設(shè)備和身份安全不僅僅是單純的軟件加密，安全認(rèn)證和保護(hù)在硬件設(shè)備安全中也起到了非常重要的作用。

場景對設(shè)備安全的需求

我們收集了廣泛的設(shè)備安全需求并整理成文檔，以便指導(dǎo)大家如何選擇最合適的方案。一般情況下安全需求有如下幾點(diǎn)：

數(shù)據(jù)安全：物聯(lián)網(wǎng)設(shè)備通常需要收集、處理和傳輸大量的數(shù)據(jù)。這些數(shù)據(jù)可能包括敏感的個(gè)人信息，如健康數(shù)據(jù)、位置數(shù)據(jù)等。因此，設(shè)備需要能夠保護(hù)這些數(shù)據(jù)的安全，防止數(shù)據(jù)被竊取或篡改。

設(shè)備身份驗(yàn)證：物聯(lián)網(wǎng)設(shè)備需要能夠驗(yàn)證其身份，以確保只有經(jīng)過授權(quán)的設(shè)備才能接入網(wǎng)絡(luò)。這可以防止惡意設(shè)備偽裝成合法設(shè)備，進(jìn)行網(wǎng)絡(luò)攻擊或數(shù)據(jù)竊取。

設(shè)備完整性檢查：設(shè)備需要能夠檢查其硬件和軟件的完整性，以防止設(shè)備被篡改。例如，設(shè)備可能需要檢查其固件是否被修改，或者其硬件是否被替換。

防抄板：為了保護(hù)知識(shí)產(chǎn)權(quán)，設(shè)備需要能夠防止被抄板。這通常需要設(shè)備具有一些唯一的標(biāo)識(shí)符，如設(shè)備序列號(hào)或設(shè)備標(biāo)識(shí)符（UID）。

安全更新：設(shè)備需要能夠安全地接收和安裝軟件更新。這需要設(shè)備能夠驗(yàn)證更新的來源和完整性，以防止惡意軟件的安裝。

隱私保護(hù)：設(shè)備需要能夠保護(hù)用戶的隱私。這可能需要設(shè)備能夠?qū)κ占臄?shù)據(jù)進(jìn)行加密，或者提供用戶控制數(shù)據(jù)收集和使用的選項(xiàng)。

D21x 關(guān)于硬件安全的解決方案

針對以上需求，ArtInChip D21x系列嵌入式處理器（MPU）在物聯(lián)網(wǎng)設(shè)備身份認(rèn)證和防抄板領(lǐng)域的應(yīng)用非常廣泛。它可以幫助客戶實(shí)現(xiàn)如下功能：

物聯(lián)網(wǎng)設(shè)備身份認(rèn)證：

在物聯(lián)網(wǎng)環(huán)境中，設(shè)備身份認(rèn)證是非常重要的一環(huán)。D21x系列可以通過內(nèi)置的安全模塊，如加密/解密引擎，實(shí)現(xiàn)設(shè)備的身份認(rèn)證。這種認(rèn)證方式可以確保只有經(jīng)過認(rèn)證的設(shè)備才能接入網(wǎng)絡(luò)，從而防止未經(jīng)授權(quán)的設(shè)備接入。例如，D21x系列可以使用公鑰基礎(chǔ)設(shè)施（PKI）進(jìn)行設(shè)備身份認(rèn)證。在這種情況下，每個(gè)設(shè)備都有一個(gè)唯一的公鑰和私鑰。公鑰用于驗(yàn)證設(shè)備的身份，而私鑰則存儲(chǔ)在設(shè)備的D21x系列中，用于生成簽名。

防抄板：

D21x系列也可以用于防止硬件抄板。一種常見的方法是在D21x系列中嵌入一個(gè)唯一的設(shè)備標(biāo)識(shí)符（UID）。這個(gè)UID可以在生產(chǎn)過程中燒錄到D21x系列中，并且不能被修改。當(dāng)設(shè)備啟動(dòng)時(shí)，D21x系列會(huì)讀取這個(gè)UID，并將其用于各種安全檢查。例如，D21x系列可以將UID和設(shè)備的軟件版本號(hào)等信息一起，使用私鑰生成一個(gè)簽名。隨后，此簽名便可以被發(fā)送到服務(wù)器進(jìn)行驗(yàn)證。如果驗(yàn)證失敗，說明設(shè)備可能被抄板，服務(wù)器可以拒絕設(shè)備的接入請求。

D21x系列四大安全特性

ArtInChip D21x系列嵌入式處理器器（MPU）可以實(shí)現(xiàn)四大安全功能：

功能一：

• SPI ENC模塊，SPI 總線數(shù)據(jù)加密，讀寫傳輸過程中實(shí)時(shí)加解密，不影響數(shù)據(jù)傳輸效率。

• 支持 AES-128-CTR 加密和解密

• 可通過配置連接到不同的 SPI 控制器

• 可通過 eFuse 配置密鑰

• 支持明文和密文混合傳輸

• 不影響 SPI 總線傳輸帶寬

• 不支持 SPI 全雙工模式

• 內(nèi)置 64 字節(jié)分組密鑰 Buffer

• 支持空頁(全0xFF)檢測

功能二：

• CE模塊，支持AES、TDES、HMAC、SHA、MD5、RSA、TRNG等常見密碼硬件算法加速，內(nèi)部安全SRAM，外部無法訪問。

• 支持多種算法的加速

• 專用安全 SRAM

• 支持生成安全密鑰

• 支持多種密鑰輸入方式

• 內(nèi)部專用 DMA

• 支持多路并行處理

功能三：

• Secure ID（eFuse）模塊，密鑰區(qū)域外界不可讀取，僅CE可訪問。

• 4Kbit eFuse雙備份實(shí)現(xiàn)2Kbit空間，軟件讀寫按照4Kbit空間，以32bit為單位

• 2Kbit SRAM緩存，上電復(fù)位放開后自動(dòng)讀取eFuse值到SRAM

• 2Kbit空間，以32bit為單位，可燒寫禁止讀操作或?qū)懖僮?/span>

• 提供CE安全密鑰功能(SSK/HUK/PNK/PSK0/PSK1/PSK2/PSK3)

• 具備 BROM 特權(quán)保護(hù)功能，固件防回滾計(jì)數(shù)區(qū)域僅在 BROM 中可燒

• 支持通過燒寫關(guān)閉JTAG功能，并可通過安全認(rèn)證再打開JTAG

功能四：

• Secure JTAG模塊，可安全開關(guān)調(diào)試端口。

• 在安全啟動(dòng)使能的情況下，BROM ：

• 不能通過 USB READ/WRITE 命令對寄存器進(jìn)行讀寫

• 所有BROM執(zhí)行的程序，都需要經(jīng)過安全校驗(yàn)（包括 PBP 程序，如果使能了安全啟動(dòng)，PBP 必須是加密的）

• BROM 在跳轉(zhuǎn)任何其他程序之前，必須先設(shè)置 BROM_PRIV_LOCK 特權(quán)位

• 通過上述措施，保證在 BROM 階段，JTAG 無法被其他程序打開。

D21x系列嵌入式處理器（MPU）框圖