I. مقدمة
في عالم مترابط ومترابط بشكل متزايد ، أصبحت المخاوف الأمنية أكثر أهمية. يوسع كل نظام مضمن مساحة الهجوم ، مما يجعل كل شيء من الأجهزة والمركبات إلى المكاتب والمصانع أكثر عرضة للخطر. في تطبيقات مثل إلكترونيات السيارات والأنظمة الصناعية ، ارتفعت السلامة الوظيفية إلى موقع حرج.
يعرف مهندسو التصميم أن المخاوف المتزايدة بشأن الأمان والخصوصية أصبحت عاملاً رئيسًا في قرارات الشراء. لقد ولت الأيام التي تبنى فيها المستهلكون والشركات التقنيات الجديدة بسهولة. اليوم ، حلت المداولات محل الثقة ، مما جعل كل بائع مستوى معينًا من التأكيد على أن منتجاته وخدماته آمنة. شاركت الحكومة نفس المخاوف وقدمت لوائح تتطلب من الموردين إنفاذ لوائح السلامة المختلفة ، مع فرض عقوبات في بعض الأحيان على عدم القيام بذلك.
يدرك مهندسو التصميم أيضًا أنه سيصبح من الصعب بشكل متزايد تأمين الأنظمة المدمجة. والسبب هو أنه نظرًا لأن وحدات SOC / MCU أصبحت أكثر قوة للتطبيقات المعقدة في الوقت الفعلي ، فإنها تبدأ في الانتقال إلى تقنيات CMOS ذات عامل الشكل الأصغر (على سبيل المثال: 16 نانومتر أو 7 نانومتر) للحصول على سرعة أسرع واستهلاك أقل للطاقة. ولكن في الحجم الأصغر ، لا تتوفر حاليًا تقنية ذاكرة غير متطايرة قابلة لإعادة البرمجة (NVM). وقد أدى ذلك إلى إلغاء تكامل eFlash (ذاكرة فلاش المضمنة في MCU) ، الأمر الذي يتطلب بنية آمنة بشكل طبيعي ويدعم ذاكرة فلاش خارجية. هذا يتطلب قواعد خاصة لضمان التشغيل الآمن.
يحلل الفصلان الثاني والثالث من هذه الورقة أيضًا تحديات تصميم أنظمة مضمنة آمنة ، بما في ذلك التحديات التي يطرحها إلغاء تكامل ذاكرة الفلاش المدمجة. يناقش الفصل 4 معماريات الجيل التالي لتأمين الأنظمة المضمنة بذاكرة فلاش آمنة.
2. ذاكرة فلاش مدمجة تواجه عدم التكامل
استجابةً للمخاوف الأمنية المتزايدة ، قام بائعو الرقائق بدمج وظائف وحدة أمان الأجهزة (HSM) في وحدات MCU. يتواجد HSM في بيئة معالجة آمنة مع جذر ثقة قائم على الأجهزة يحمي البيانات الحساسة وحالة المعالج ومحمل الإقلاع ومفاتيح التشفير ورمز خدمة أمان التطبيق. يعد التخزين المدمج (eFlash و RAM) أيضًا جزءًا مهمًا من المحيط الموثوق به لبيئة المعالجة الآمنة ، وبالتالي فهو كافٍ للدفاع ضد التهديدات الشائعة.
التخزين خارج الشريحة (على سبيل المثال: الفلاش الخارجي) غير موثوق به بطبيعته وهو عرضة للهجمات المستمرة. يتمثل الإجراء المضاد عمومًا في تشفير البيانات في ذاكرة الفلاش الخارجية ، ثم تنزيلها من ذاكرة الفلاش الخارجية إلى ذاكرة الوصول العشوائي المدمجة في MCU لفك التشفير والتحقق قبل تنفيذ الكود. على الرغم من أن هذا النهج قوي بما يكفي للدفاع ضد معظم الهجمات ، إلا أنه يؤدي إلى تدهور الأداء (مشاكل محتملة عند بدء التشغيل) والتكلفة (يتطلب المزيد من ذاكرة الوصول العشوائي المدمجة وطاقة أعلى) ، وقد يظل عرضة للهجوم المستمر (على سبيل المثال: هجوم العودة إلى الحالة السابقة) ).
نظرًا لتطبيق MCU تدريجيًا على عقد التكنولوجيا المتقدمة لتحسين الأداء وتحسين أداء التكلفة وتقليل استهلاك الطاقة ، فقد يؤدي إلغاء تكامل ذاكرة الفلاش إلى ظهور تهديدات أكبر ، وقد تكون بعض تحديات التخزين الموثوقة التي تم التغلب عليها مسبقًا بواسطة eFlash كليًا أو جزئيًا هي العودة . بالإضافة إلى ذلك ، فإن بيئة التهديد الناتجة عن انتشار الأنظمة المدمجة تجلب تحديات جديدة يصعب التغلب عليها باستخدام ذاكرة فلاش خارجية.
تشمل التهديدات الرئيسية التي يجب معالجتها من أجل تأمين ذاكرة فلاش خارجية ما يلي:
محاكاة وصول البيانات المصرح به إلى رقائق ذاكرة الفلاش
· العبث بمحتويات شريحة ذاكرة الفلاش
إعادة أوامر الاتصال لتحليل محتويات رقاقة فلاش
· الإعداد في بيئة غير آمنة للحصول على المفاتيح
هجمات التطفل (رجل في الوسط) على اتصالات رقاقة الفلاش
كشف (الحصول على أو مراقبة) محتويات ومفاتيح رقائق الفلاش من خلال هجمات القناة الجانبية أو الحقن في الخطأ
تعريض سلامة شريحة ذاكرة الفلاش للخطر إلكترونياً
رقائق فلاش استنساخ
للتعامل مع هذه التهديدات وغيرها على ذاكرة الفلاش الخارجية ، وجعلها بشكل فعال جزءًا من المحيط الموثوق به لبيئة المعالجة الآمنة ، يجب أن يوفر الجهاز الإمكانات الثلاث التالية:
جذر الثقة القائم على الأجهزة والذي يمنع التعديل أو التلاعب أو الازدواجية أو أي تأثير محتمل آخر للهجمات على التعليمات البرمجية و / أو البيانات المخزنة
يوفر تحديثات الأمان عبر MCU أو السحابة ، وحماية شاملة باستخدام مجموعة من الإجراءات بما في ذلك المصادقة المشفرة عبر الناقل ، والجيب الآمن عبر طرق الوصول للقراءة / الكتابة ، ومساحة تخزين المفتاح الآمن ، وعداد التراجع الأمني غير المتقلب
تكلفة منخفضة ، لا حاجة إلى أجهزة أمان إضافية (على سبيل المثال: Trusted Platform Module) ولا تغييرات في اللوحة ، بما في ذلك دعم معايير x4 SPI و x8 HyperBus.
يوضح الشكل 1 كيف توفر ذاكرة فلاش آمنة مصممة خصيصًا (انظر الفصل الرابع) الوظائف الثلاث الموضحة أعلاه. في الواقع ، يعمل Secure Flash خارجيًا على توسيع وظائف HSM المدمجة في ذاكرة فلاش المضمنة في MCU عبر ناقل قياسي. لاحظ أيضًا أن الشكل 1 يوضح أيضًا كيف يمكن للفلاش الآمن أن يحل محل فلاش NOR العادي ، وبالتالي الاستمرار في استخدام اللوحات الموجودة.
من الجدير بالذكر أن هناك بعض المزايا الأخرى لاستخدام الفلاش الخارجي ، أولها أنه يمكن أن يستوعب أطوال الكود المتزايدة بسهولة أكبر. مواصفات سعة ذاكرة الفلاش القياسية المستخدمة بشكل شائع في الأنظمة المضمنة يمكن أن تدعم 1 جيجابت أو حتى مساحة تخزين أكبر ، أعلى بكثير من eFlash. يمكن أن يحتوي الفلاش الخارجي أيضًا على المزيد من نوى / حمل وحدة المعالجة المركزية من أجل معالجة أكثر كثافة في الوقت الفعلي تتطلبها التقنيات المعقدة مثل التعلم الآلي والذكاء الاصطناعي وما إلى ذلك. تساعد هذه التغييرات في تبسيط التصميم وتسريع وقت الوصول إلى السوق ، وتقديم نماذج مختلفة لتلبية السعر أو الأداء أو المعايير الأخرى بشكل أفضل.
ثالثا: تصميم أنظمة مضمنة آمنة باستخدام ذاكرة فلاش خارجية
سواء كنت تستخدم eFlash أو ذاكرة فلاش خارجية ، فإن تصميم أنظمة مضمنة آمنة يعد مهمة شاقة بشكل متزايد. يسلط هذا الفصل الضوء على بعض الاعتبارات الهامة للمساعدة في توجيه جهود التصميم والتطوير.
بشكل عام ، يجب أن يحتوي النظام المصمم للأمان الشامل على ثلاثة عناصر رئيسية:
· آليات الحماية لحماية سلامة الكود والبيانات الهامة ضد الحذف أو التغيير أو الإتلاف بأي شكل من الأشكال
· آليات الكشف للكشف عن تغيير التعليمات البرمجية و / أو البيانات الهامة بطريقة غير مصرح بها
· آليات الاسترداد لاستعادة سلامة التعليمات البرمجية و / أو البيانات الهامة التي تم تغييرها بطريقة غير مصرح بها
يصمم المهندسون أنظمة قادرة على مواجهة جميع التهديدات التي تحقق منها نموذج STRIDE. يوضح الجدول التالي هذا النموذج ، والذي يوفر نهجًا عمليًا لفهم التهديدات المحتملة المختلفة وكيفية استخدام تدابير الأمان المختلفة لمكافحتها.
يحتاج تصميم منتج الأمان إلى إنشاء بيئة تنفيذ موثوقة (TEE) بناءً على جذر الثقة. يوفر TEE وسيلة للتحقق من الأصالة والسلامة قبل استخدام جميع المكونات والأنظمة الفرعية. فيما يلي بعض أفضل الطرق لإنشاء هذا التصميم الآمن:
قم بتطبيق جذر الثقة في الأجهزة لإنشاء أساس آمن
· تعزيز هذا الأساس مع المصادقة والتشفير
· تأمين سلسلة القيمة الشاملة لجميع مكونات الاتصال والشبكة والسحابة
يوفر القدرة على الدفاع ضد هجمات القنوات الجانبية وتقنيات حقن الأخطاء
· إجراء تقييمات مستقلة للضعف والمخاطر للأنظمة
· المراقبة المستمرة في الوقت الحقيقي للظروف غير الطبيعية
· تنفيذ عملية استجابة (على سبيل المثال: تحديثات أمنية)
يوضح الشكل 2 كيف يتم تقييم المخاطر والتكلفة عند تنفيذ جذور الثقة في النظام. من المتوقع أن تتمتع التصميمات القائمة على البرامج بأقل تكلفة وأقل أمان. لا يُظهر الشكل 2 التكاليف غير المباشرة للأنظمة المدمجة غير الآمنة ، ويمكن لهذه التكاليف الحقيقية للغاية أن تثبت بسهولة أن التصميم المعتمد على الأجهزة يمكن أن يزيد من مستوى الأمان.
يشرح مركز موارد أمان الكمبيوتر التابع للمعهد الوطني للمعايير والتكنولوجيا مزايا تنفيذ جذر الثقة في الأجهزة: “جذر الثقة هو جهاز موثوق به للغاية ، وبرامج ثابتة ، ومكوِّن برمجيات يؤدي وظائف أمنية مهمة معينة. لأن جذر الثقة بطبيعتها موثوق بها ، يجب أن يتم الحفاظ عليها آمنة حسب التصميم. لتحقيق هذه الغاية ، يتم تنفيذ العديد من جذور الثقة في الأجهزة حتى لا تتمكن البرامج الضارة من التلاعب بالوظائف التي توفرها. ”
يستمر التقدم في التكنولوجيا في خفض تكلفة الدوائر المتكاملة ، كما تنخفض تكلفة الأنظمة التي تدمج الجيل التالي من الدوائر المتكاملة. هذا هو الحال أيضًا مع الفلاش الخارجي ، حيث يقلل ظهور “الفلاش الذكي” الآمن من الجهد المطلوب لتنفيذ جذر الثقة في الأجهزة ودمج الوظائف الضرورية الأخرى.
1. فلاش آمن: تخزين ذكي من الجيل التالي
يحاول مصنعو أشباه الموصلات العثور على ذاكرة فلاش مدمجة بحجم صغير ، ولكن لم يظهر حل عملي. تمت دراسة تقنيات عامل الشكل الصغير RRAM و MRAM على نطاق واسع كبدائل لـ eFlash ، ولكن لا يمكن تنفيذ أي منهما حاليًا بسبب تكامل البيانات وتحديات التكلفة ، خاصة للتطبيقات ذات المهام الحرجة التي تتطلب درجة حرارة عالية وموثوقية عالية. حتى كتابة هذه السطور ، من غير المؤكد متى (أو ما إذا كانت) هذه التقنيات أو غيرها من التقنيات ذات الصلة ستوفر تخزينًا مدمجًا بكميات كبيرة.
التغييرات لا مفر منها بسبب تقلص الحجم ، وبالتالي خلق الحاجة إلى أنواع جديدة من القنوات الآمنة. في هذه القناة ، يحدث تبادل المعلومات بين HSM داخل MCU والمنطقة الآمنة المشفرة لجهاز التخزين الخارجي. الحل الواعد هو التخلي عن الممارسة الحالية المتمثلة في عدم دمج أنواع مختلفة من التخزين في المعالج ، ولكن دمج المعالج في IC للتخزين ، وهو التخزين الذكي. يوضح الشكل 3 كيف ينشئ Secure Flash بيئة معالجة آمنة مصادق عليها ومشفرة مع مضيف MCU.
هذا التطور لجيل جديد من التخزين الذكي لديه القدرة على إحداث ثورة في صناعة الإلكترونيات. بقدر ما يتعلق الأمر بالأنظمة المدمجة ، سيتم تركيز التطوير التكنولوجي على ذاكرة فلاش NOR. يعد NOR flash مثاليًا للتخزين غير المتطاير ، وتخزين الشفرة بأداء ثابت وسريع للقراءة العشوائية.
يوفر فلاش NOR الآمن ، أو فلاش آمن أبسط ، تخزينًا آمنًا محميًا للأجهزة لمفاتيح الأمان والشهادات وكلمات المرور المجزأة والبيانات الخاصة بالتطبيق وبيانات التكوين ومعلومات إصدار الكود وبيانات مستشعر المقاييس الحيوية للمصادقة. يدعم Secure Flash أيضًا المعاملات المصدق عليها والمشفرة لمنع الوصول غير المصرح به والتهديدات الأمنية الأخرى.
في المقابل ، لا يمكن أن توفر معماريات الذاكرة القائمة على الحالة الحالية نفس التنوع والأداء مثل المعالجات المضمنة. على سبيل المثال ، يتطلب الأمان القوي تشفيرًا قويًا ، والذي بدوره يتطلب قوة معالجة قوية. يدعم المعالج المضمن أيضًا متطلبات الأمان الأخرى ، بما في ذلك إنشاء مفتاح HMAC وتخزينه وعدادات منع التراجع ، ويحمي البرامج الثابتة وصور التمهيد ومعلمات النظام من الهجمات.
يساعد دمج قوة المعالجة في الذاكرة على دمج المنطق لإضافة وظائف محددة و / أو إلغاء تحميل SOC / MCU الرئيسي للنظام. على سبيل المثال ، تتيح المعالجة المضمنة إنشاء جذر ثقة للأجهزة يمنع التعديل والتلاعب وهجمات الأمان الأخرى على التعليمات البرمجية والبيانات المخزنة. بدلاً من ذلك ، يمكن للمعالج تشغيل خوارزميات مختلفة ، بما في ذلك خوارزميات التعلم الآلي ، على البيانات الأولية ، ثم تخزين النتائج المطلوبة للوظائف الأخرى للنظام.
بالإضافة إلى ذلك ، يمكن اعتماد الأنظمة الجديدة بسهولة أكبر مقابل لوائح السلامة التي يمكن اعتمادها كليًا أو جزئيًا عن طريق تشغيل التعليمات البرمجية من خلال المعالجات المدمجة المخزنة بذكاء. بهذه الطريقة ، من خلال تبسيط جهود التصميم والتطوير المطلوبة ، يمكننا تسريع وقت وصول المنتجات الجديدة إلى السوق بشكل كبير.
يوضح الشكل 4 كيف تلبي ذاكرة الفلاش ذات الأمان الذكي المدمج الأداء والموثوقية والأمان والسلامة الوظيفية التي تتطلبها الأنظمة المدمجة. باستخدام بروتوكولات الناقل القياسية بما في ذلك x4 SPI (QSPI) و x8 HyperBus ، يمكن لـ Smart Secure Flash العمل مع الرقائق الرئيسية لتحقيق مستوى الأمان المطلوب للتطبيقات المتصلة ، مع استمرار التوافق التام مع وحدة التحكم الرئيسية الحالية في رقاقة الذاكرة.
بالنسبة للتطبيقات ذات المهام الحرجة التي لا تتسامح مع الفشل ، يمكن لـ Secure Flash ضمان التمهيد الآمن للنظام ، وتسجيل المعلومات الهامة ، وتوسيع تخزين العمل للوظائف الهامة. تتضمن الأمثلة على هذه التطبيقات “الآمنة من الفشل”: أنظمة مساعدة السائق المتقدمة (ADAS) ، والمعدات الطبية المحمولة ، وأتمتة المصانع ، وأجهزة الاستشعار الدفاعية ، وأنظمة الاتصالات اللاسلكية المتقدمة.
أحد الجوانب المهمة للخالية من المتاعب هو أن الكود والبيانات المخزنة يتم تشفيرها لمنع التغيير أو التدمير. باستخدام محرك تشفير متكامل ومعالج مضمن ، يمكن تخزين البيانات بطريقة آمنة. يعد تنفيذ التشفير والوظائف المتقدمة الأخرى بتكلفة إضافية منخفضة نسبيًا في الفلاش الآمن الذكي أكثر جدوى ، نظرًا لأن عدد البوابة المنطقية الإضافية للتخزين أقل بكثير من ذلك المطلوب لوحدات المعالجة المركزية ومحركات الحوسبة المتخصصة.
جذر ثقة في الأجهزة تم إنشاؤه بواسطة فلاش آمن يوفر بيئة آمنة أو يتكامل مع TEE الذي توفره وحدة MCU الآمنة. يلعب جذر الثقة دورًا حاسمًا في ضمان قيام النظام بالتمهيد بشكل صحيح ، ويستند بشكل مثالي إلى معيار محرك تكوين معرف الجهاز (DICE) التابع لمجموعة عمل الحوسبة الموثوقة. تقوم عملية التمهيد الآمن بشكل متبادل بمصادقة ذاكرة الفلاش و SOC / MCU الرئيسية لضمان سرية جميع المعاملات التي تمر عبر الناقل من أجل الحماية الشاملة. ونظرًا لذكاء الفلاش ، يمكن تحقيق عملية تمهيد مثبتة في أقل من 100 مللي ثانية التي تتطلبها بعض مجالات التطبيق.
تعد القدرة على تحديث التعليمات البرمجية بأمان إلى أحدث إصدار جانبًا مهمًا آخر في عملية التمهيد الآمن. يتطلب ذلك التأكد من أن FOTA أو أي أشكال أخرى من التحديثات تتم دون أي تلاعب أو ضرر ، سواء كان مقصودًا أو عرضيًا. في حالة اكتشاف أي تلاعب من خلال شهادة الإصدار أو غير ذلك ، يمكن استخدام ميزة النسخ الاحتياطي لاستعادة التعليمات البرمجية من إصدار صالح معروف سابقًا (وإن كان قديمًا). يمكن استخدام نفس الوظيفة لحماية أي تكوين للمعدات قد يكون موجودًا في منشأة إنتاج أو مركز خدمة غير آمن.
يتيح الذكاء المدمج إمكانية الفلاش الآمن للتعامل مع المهام الأخرى بالإضافة إلى حماية التعليمات البرمجية والبيانات المخزنة. على سبيل المثال ، يعمل دعم وظائف XIP على تمكين ذاكرة فلاش آمنة كبيئة موثوق بها لتنفيذ التعليمات البرمجية مباشرةً ، مما يقلل الحمل على مضيف MCU. هذا يقلل أيضًا من مقدار ذاكرة الوصول العشوائي على الرقاقة التي تتطلبها وحدة MCU ، مما يساعد على تقليل التكلفة واستهلاك الطاقة.
تعتبر أسواق الأتمتة الصناعية والسيارات أول من يتبنى التخزين الآمن ، مدفوعًا بأشد متطلبات السلامة والسلامة الوظيفية صرامة. نظرًا لأن الثغرات الأمنية المحتملة في الأنظمة المضمنة يمكن أن تؤدي إلى هجمات عن بُعد وتهدد في النهاية سلامة الركاب أو الموظفين ، فلا يمكن تحقيق السلامة الوظيفية للنظام دون ضمان أمان قوي. لذلك ، يجب أن تتوافق جميع مكونات أشباه الموصلات لتطبيقات السلامة الحرجة ، بما في ذلك أجهزة ذاكرة الفلاش الخارجية ، مع معيار نظام مساعدة السائق المتقدم (ADAS) ISO26262 ومعيار النظام الصناعي IEC 61508.
من المهم أيضًا المراقبة المستمرة لحالة المعدات الميدانية وإجراء التشخيصات عن بُعد والصيانة الوقائية. أجهزة ذاكرة الفلاش عرضة للعديد من أوضاع الفشل ، بما في ذلك فشل خلايا الفلاش بسبب فقدان الشحن أو الإشعاع الكوني ، والكمون ، وفقدان الطاقة ، وما إلى ذلك ، والتي يجب معالجتها على الفور لضمان أداء أفضل على مدى عمر يزيد عن 20 عامًا.موثوقية عالية.
ثانياً – الخلاصة
كبديل لـ eFlash ، تم قبول ذاكرة الفلاش الذكية والآمنة بشكل تدريجي من قبل الناس. ومع تقلص حجم العملية إلى أقل من 28 نانومتر ، سيصبح استخدام eFlash نادرًا بشكل متزايد حتى يختفي تمامًا. يمكن أن تدمج الشريحة eFlash ، لكن حل ذاكرة الفلاش الآمن الذي يدمج وظيفة HSM أكثر فائدة. في كلا التصميمين ، يمكن لـ Secure Flash نقل الكود والبيانات بين المنطقة المحمية و HSM لوحدة MCU المضيفة بطريقة آمنة مشفرة عبر ناقل قياسي صناعي.
من المتوقع أن تصبح التصاميم ذات الفلاش الآمن أكثر شيوعًا بل وضرورية لتلبية الاحتياجات الأمنية المتطورة. أصبحت هجمات اليوم أكثر انتشارًا وتعقيدًا ، ومن المتوقع أن تصبح اللوائح أكثر صرامة ، وستزيد الأتمتة المتزايدة من أهمية الأمن والسلامة الوظيفية. لتلبية هذه الاحتياجات المتطورة مع زيادة الوقت المستغرق في السوق للميزات الجديدة ، سيعتمد مهندسو التصميم بشكل متزايد على الراحة التي يمكن أن يوفرها الفلاش الآمن الذكي فقط.
The Links: LM170E03-TLG3 LQ070T5BG01