基于FRAM的MCU為低功耗應(yīng)用提高安全性

21ic訊 安全性在包括智能手機(jī)配件、智能儀表、個(gè)人健康監(jiān)控、遙控以及存取系統(tǒng)等各種應(yīng)用中正在變得日益重要。要保護(hù)收益及客戶隱私，OEM 廠商必須采用安全技術(shù)加強(qiáng)系統(tǒng)的防黑客攻擊能力。對(duì)于大量這些應(yīng)用而言，將要部署數(shù)百萬(wàn)的器件，工程師面臨的挑戰(zhàn)是在不嚴(yán)重影響系統(tǒng)成本或可靠性的同時(shí)，確保最佳安全平衡。主要注意事項(xiàng)包括保護(hù)敏感數(shù)據(jù)的傳輸，防止 MCU 應(yīng)用代碼及安全數(shù)據(jù)被讀取，防止 MCU 遭到物理攻擊，最大限度提高電源效率，以及支持安全升級(jí)，確保設(shè)備能夠應(yīng)對(duì)未來(lái)安全威脅等。

安全設(shè)備必須能夠像銀行保險(xiǎn)庫(kù)一樣有效地安全存儲(chǔ)敏感信息。這類(lèi)信息包括交換的實(shí)際數(shù)據(jù)(比如客戶的信用卡號(hào)或者何時(shí)用了多少電的記錄等)以及任何確保通信通道安全的加密數(shù)據(jù)(如安全密鑰及密碼等)等。

最新低功耗微處理器 (MCU) 集成降低安全應(yīng)用成本與功耗所需的高性能以及各種特性，可幫助開(kāi)發(fā)人員為低功耗應(yīng)用提高安全性。此外，它們還采用非易失性 FRAM 替代 EEPROM 或閃存提供穩(wěn)健統(tǒng)一的存儲(chǔ)器架構(gòu)，從而可簡(jiǎn)化安全系統(tǒng)設(shè)計(jì)。

FRAM 的優(yōu)勢(shì)

與基于閃存的傳統(tǒng)系統(tǒng)相比，FRAM 可提供優(yōu)異的保留性與耐用性。采用閃存，數(shù)據(jù)按晶體管充電狀態(tài)存儲(chǔ)(如開(kāi)或關(guān))。寫(xiě)入閃存時(shí)，必須先擦除相應(yīng)的塊然后再寫(xiě)入。這個(gè)過(guò)程可對(duì)閃存造成物理?yè)p壞，最終導(dǎo)致晶體管無(wú)法可靠保持電荷。

確保閃存的最長(zhǎng)使用壽命，通常部署損耗平衡等技術(shù)在各個(gè)塊上平攤使用量，以避免某些常用塊過(guò)早損壞。進(jìn)而需要評(píng)估閃存系統(tǒng)可靠性，是因?yàn)殚W存的耐用性規(guī)范反映的是平均故障率，每個(gè)具體塊的耐用性有高有低。此外，保留的可靠性會(huì)隨耐用性極限的接近而下降，因?yàn)楸Ａ羰歉鶕?jù)每個(gè)存儲(chǔ)器元素的磨損進(jìn)行統(tǒng)計(jì)的。

圖1：FRAM PZT 分子的模型

相比之下，F(xiàn)RAM 將數(shù)據(jù)按分子極化狀態(tài)存儲(chǔ)。由于該過(guò)程為非破壞性，因此 FRAM 具有幾乎無(wú)限期的保留性與耐用性。對(duì)必須在整個(gè)設(shè)備使用壽命期間執(zhí)行 20,000 至 40,000 次交易的移動(dòng)支付系統(tǒng)等應(yīng)用而言，F(xiàn)RAM 無(wú)需考慮耐用性與可靠性問(wèn)題。

此外，F(xiàn)RAM 的高耐用性也關(guān)系到某些應(yīng)用的安全性。例如，要提高通信安全性，每次新傳輸都需要生成新密鑰。這種方法必須考慮閃存和 EEPROM 的耐用性問(wèn)題。使用 FRAM 就無(wú)需考慮密鑰改變頻次對(duì)存儲(chǔ)器耐用性產(chǎn)生影響的問(wèn)題。

校準(zhǔn)

除了防止應(yīng)用數(shù)據(jù)和加密密鑰遭到非授權(quán)讀寫(xiě)之外，系統(tǒng)還必須防止參數(shù)被惡意篡改，導(dǎo)致敏感信息被訪問(wèn)，甚至發(fā)生物理 MCU 本身受到侵害攻擊的情況。MCU 容易受到各種攻擊的侵害，導(dǎo)致存儲(chǔ)器中存儲(chǔ)的數(shù)據(jù)、應(yīng)用代碼或安全密鑰被提取。

在許多情況下，MCU 攻擊的目的都是為了改變器件上存儲(chǔ)的數(shù)據(jù)。例如，自動(dòng)計(jì)量?jī)x表上的使用數(shù)據(jù)可能被修改，顯示實(shí)際使用數(shù)額偏低，導(dǎo)致每月賬單降低。一般說(shuō)來(lái)，黑客不是去修改收集到的數(shù)據(jù)，而是要改變應(yīng)用代碼本身。要達(dá)到這一目標(biāo)，它們必須首先獲得應(yīng)用代碼畫(huà)面，進(jìn)行逆向工程，然后在系統(tǒng)中使用修改后的版本進(jìn)行成功覆蓋。

圖 2：TI MSP430FR59xx MCU 建立在超低功耗“Wolverine”技術(shù)平臺(tái)基礎(chǔ)之上，采用非易失性 FRAM 替代 EEPROM 或閃存提供高穩(wěn)健統(tǒng)一存儲(chǔ)器架構(gòu)，可簡(jiǎn)化安全系統(tǒng)設(shè)計(jì)

目前已經(jīng)出現(xiàn)了大量強(qiáng)制系統(tǒng)暴露保密信息甚至其應(yīng)用代碼的方法。例如，故障攻擊可引發(fā)故障操作，讓系統(tǒng)進(jìn)入不可預(yù)測(cè)的狀態(tài)，從而使其輸出安全密鑰或應(yīng)用代碼塊。此外，黑客還可對(duì)系統(tǒng)進(jìn)行物理攻擊，分離 MCU 或采用光學(xué)手段引發(fā)故障。需要注意的是，不是所有以下攻擊情境都適用于所有應(yīng)用，具體可能發(fā)生哪種攻擊取決于風(fēng)險(xiǎn)數(shù)據(jù)的應(yīng)用及價(jià)值。

• 機(jī)械探查：雖然對(duì) EEPROM 進(jìn)行機(jī)械探查比較困難，但仍可通過(guò) IC 后端、采用既不破壞浮動(dòng)?xùn)?，又不破壞比特單元?shù)據(jù)的方法做到。相比之下，F(xiàn)RAM 的極化狀態(tài)只有在電路完整時(shí)才能檢測(cè)到。

• 電源分析：頻譜電源分析 (SPA) 和動(dòng)態(tài)電源分析 (DPA) 是測(cè)量 MCU 電磁輻射或電源使用的專業(yè)技術(shù)，其可創(chuàng)建用來(lái)確定 MCU 內(nèi)部所做工作的配置文件。EEPROM 與閃存需要工作電壓為 10 至 14V 的電荷泵，使其比較容易檢測(cè)到。FRAM 極其快速的讀寫(xiě)速度(分別為 50 ns 和 200 ns 以下)以及較低的工作電壓 (1.5 V) 使其被成功安裝基于 SPA 或 DPA 的攻擊極為困難。

• 顯微鏡檢查：實(shí)踐證明，使用 Atomic Force Microscopy (AFM) 或 Scanning Kelvin Probe Microscopy (SKPM) 可在后端剝層后檢測(cè)到 EEPRO 中的浮動(dòng)?xùn)烹姾伤?，因此可記錄存?chǔ)在存儲(chǔ)器位置上或在數(shù)據(jù)線路上傳輸?shù)臄?shù)據(jù)。

• 電壓篡改：這類(lèi)攻擊多年來(lái)一直針對(duì) EEPROM 及閃存設(shè)備，特別是用于電話卡作弊。實(shí)際上，就是讓設(shè)備輸入電壓超過(guò)標(biāo)準(zhǔn)范圍，對(duì)比特單元進(jìn)行強(qiáng)制編程。注意，提供工作時(shí)間比 EEPROM 比特單元完成編程所需時(shí)間長(zhǎng)得多的欠壓及過(guò)壓保護(hù)電路系統(tǒng)非常困難。不過(guò)，F(xiàn)RAM 的讀寫(xiě)時(shí)間很快，因此可對(duì)電壓篡改攻擊進(jìn)行保護(hù)。

• 光篡改：有證據(jù)表明，EEPROM 比特單元可能因?yàn)?Optical Fault Induction 攻擊而導(dǎo)致數(shù)據(jù)值被修改。激光或 UV 輻射都不會(huì)影響 FRAM 比特單元(忽略強(qiáng)光熱效應(yīng))，因此基于 FRAM 的設(shè)備對(duì)于這類(lèi)攻擊而言是安全的。

• 輻射：阿爾法粒子可導(dǎo)致 EEPROM 中的比特替換。實(shí)踐證明，F(xiàn)RAM 架構(gòu)不受阿爾法粒子及其它輻射源影響。此外，由于 FRAM 的鐵電屬性，其也不受磁場(chǎng)影響。

圖 3：FRAM 與 EEPROM 受影響情況一覽表

對(duì)于眾多上述攻擊的應(yīng)對(duì)措施就是確保閃存及 EEPROM IC 的安全性。但是，與某種攻擊實(shí)例以及某單個(gè)器件上被盜用數(shù)據(jù)的價(jià)值相比，這些應(yīng)對(duì)措施往往實(shí)施起來(lái)成本太高。此外，這些應(yīng)對(duì)措施可提高電源需求，提升應(yīng)用設(shè)計(jì)復(fù)雜性，從而可降低整體系統(tǒng)可靠性。然而，由于 FRAM 提供針對(duì)不同類(lèi)型攻擊的所有內(nèi)在恢復(fù)力，因此可對(duì)安全應(yīng)用產(chǎn)生比閃存和 EEPROM 更積極的影響，降低設(shè)計(jì)復(fù)雜性，消除實(shí)施應(yīng)對(duì)措施的開(kāi)銷(xiāo)。