随着物联网（IoT）的普及，安全性已经不再只是嵌入式应用的选用功能，而是演变成确保系统完整性的必备功能。为了满足不断增加的安全规范，开发人员需要的解决方案不仅要能满足低功率或高效能的应用要求，而且还要能够提供硬体架构安全功能，包括身份验证、加密、安全储存和安全启动。

本文简介嵌入式安全原理，并且介绍开发人员如何使用Microchip Technology的高效能数位讯号控制器（DSC）和低功率PIC24F微控制器单元（MCU），以及专用安全装置，以满足严格的嵌入式安全新兴需求。

嵌入式安全建立在关键原则之上

智慧产品在连接到公共网际网路後，便可以在复杂的应用中结合，很少有独立产品可与之比拟。然而，攻击威胁使用这些相同连接路径的网路，不仅可能限制智慧产品的价值，还会让这些产品、相关应用，以及其使用者面临看似无法遏阻的威胁来源。

开发人员除了回应消费者在系统级网路安全的持续需求，也必须满足国家和地区组织的安全规范。两个最具影响力的规范：欧洲ETSI EN 303 645「消费性物联网网路安全：基准要求」和美国NIST IR 8259「针对物联网装置制造商的基础网路安全动作」，说明网路安全实作取决於四个关键原则：

· 使用唯一的密码

· 装置上可安全储存敏感安全叁数

· 以相互验证和加密通讯进行安全通讯

· 透过安全启动和安全韧体更新，确保韧体的完整性和真实性

基於这些核心原则的交付系统需要使用可信赖平台，才能防止骇客注入入侵程式码，进而改变通讯、储存、韧体甚至安全机制本身。

可信赖平台透过使用不可变的硬体架构安全机制，从基础建立系统级安全性，有助於确保安全。尽管概念简单，但系统级安全在实作上一直深具挑战，因为系统任何部分的安全弱点都可能成为网路攻击的途径。透过Microchip的高效能dsPIC33C DSC和低功率 PIC24F MCU，并结合配套安全元件，开发人员可以更轻松达成确保系统级安全性的嵌入式设计。

满足效能和功率要求

Microchip的dsPIC33C DSC和PC24F MCU系列元件用於支援各种使用案例，结合强大的执行平台与应用特定的功能，包括广泛的整合类比、波形控制和通讯周边装置。事实上，使用dsPIC33C DSC的多个脉宽调变（PWM）、可编程增益放大器（PGA）、类比数位转换器（ADC）和其他周边装置，开发人员可以用最少的附加组件，达到复杂的系统：通常只需要任何此类设计所需的功率元件。例如使用DSPIC33CK512MP608单核心DSC於离线不断电系统（UPS）（图一）。

图一 : DSPIC33CK512MP608 单核心 DSC 与其他 dsPIC33C DSC 相同，整合完整的周边装置，简化复杂系统的设计，例如所示的离线 UPS 。（source：Microchip Technology）

对於需要即时控制功能和数位讯号处理的应用，dsPIC33C DSC结合MCU和DSC的功能与其专用指令和硬体功能。至於安全关键型设计，dsPIC33C DSC符合IEC 60730功能安全标准及 ISO 26262 标准，提供多种硬体功能，用於简化汽车安全完整性等级 B （ASIL-B） 以及 SIL-2 汽车和工业安全关键应用的功能安全认证。

dsPIC33C DSC专为重视效能的应用所设计，而PIC24F MCU则为通用嵌入式系统、消费电子产品、工业自动化、医疗装置以及其他需要控制和连接，但不需要DSP功能的应用提供效能和功效之间的平衡。PIC24F MCU与dsPIC33C DSC一样，符合IEC 60730 功能安全标准，具有B级安全诊断库，适用於建立家庭应用。

如前所述，韧体完整性是嵌入式网路安全的核心原则。为了帮助开发人员确保韧体完整性和整体程式码保护，在dsPIC33C DSC元件透过电路内序列编程（ICSP）写入禁止提供快闪记忆体单次编程（OTP）和CodeGuard快闪记忆体安全，例如DSPIC33CK512MP608单核心DSC、DSPIC33CH512MP508 双核心DSC和PIC24FJ512GU405 MCU等PIC24F MCU元件，并具有众多配置及不同组合的应用特定周边装置。

保护装置韧体

ICSP写入禁止的快闪记忆体OTP让开发人员能够将部分快闪记忆体配置为OTP记忆体，并对快闪记忆体进行读取／写入保护。Microchip自行研发的ICSP功能允许这些元件用於最终应用时，以一对引脚进行序列编程。此功能可让制造商在生产板件上完成编程。

ICSP需要使用外部编程元件控制快闪记忆体OTP过程，而增强型ICSP允许板载引导载入程式控制快闪记忆体OTP过程，这些元件还支援运作时自编程（RTSP），允许快闪记忆体使用者应用程式码在运作时自行更新。

完成生产装置编程後，开发人员可以启用ICSP写入禁止，以防止任何进一步的ICSP编程或抹除。不过，如果在启用之前将适当的快闪记忆体更新程式码编程到元件中，即使启用ICSP写入禁止，也可以继续进行RTSP快闪记忆体抹除和编程作业。因此，即使启用 ICSP写入禁止，开发人员也可以使用可信赖的引导载入程式修改快闪记忆体，如此便能够安全更新韧体，同时减少在生产系统中更新快闪记忆体的外部尝试。

CodeGuard快闪记忆体安全性透过使用独立引导段和通用段，提供快闪记忆体编程的精细保护。开发人员在装置的BSLIM暂存器中设置引导段（BS）限制（BSLIM）的位址，定义这些区段的大小；通用段（GS）占用剩馀记忆体。为了进一步保护敏感资讯，每个区段都包含附加分区。例如BS包含中断向量表（IVT）、选用备用中断向量表（AIVT）和附加指令字（IW）空间；配置段（CS）包含关键元件使用者配置资料，位於GS的使用者位址空间内（图二）。

图二 : dsPIC33C DSC 和 PIC24F MCU 系列支援单独分区 （例如 BS 和 GS） 中的程式码保护。（source：Microchip Technology）

设置区段分区後，开发人员可以使用装置的韧体安全（FSEC）暂存器选择启用写入保护，并为每个区段设置所需的程式码保护等级。在运作期间，装置会阻止具有较低程式码保护等级区段的程式码存取较高程式码保护等级区段的程式码。典型的系统中，开发人员会对BS进行写入保护，并将其程式码保护设为高等级，以减少外部尝试更改BS（包括引导载入程式）的可能性。

实作安全空中韧体更新

软体开发人员无法避免需要更新软体，以因应新发现的软体错误、竞争加强或新出现的安全威胁。不同於行动应用程式更新，嵌入式系统中的韧体执行安全更新最轻微影响是干扰正在运作的应用程式，最坏的情况则可能会导致系统「变砖」。Microchip的dsPIC33C DSC和低功率PIC24F MCU系列提供双分区机制，用於协助开发人员避免这些问题。

在标准操作模式下，这些装置使用所有可用的实体记忆体作为连续的单分区记忆体空间（图三左），可以配置为单独的BS和GS。在双分区模式下，开发人员将实体记忆体分为单独的活跃分区和非活跃分区（图三右）。

图三 : 开发人员可以在预设的单分区模式或双分区模式下操作 dsPIC33C DSC 和 PIC24F MCU 系列。（source：Microchip Technology）

这些装置在双分区模式下运作，可以继续执行活跃分区中的应用程式码，同时对非活跃分区进行编程。编程完成後，执行引导交换（BOOTSWP）运作指令会让装置将引导目标切换到已更新的分区。如果已更新分区中的程式码失败或发现有缺陷，装置将会重置，自动将装置引导至原始分区（图四）。

图四 : 在双分区模式下，dsPIC33C DSC 和 PIC24F MCU 可以在一个分区中加载应用程式码，同时继续在另一个分区中执行应用程式码。（source：Microchip Technology）

在确保更新分区成功後，可以将已更新分区的快闪记忆体引导顺序（FBTSEQ）设置为比原始分区更低。在後续装置重置时，装置将引导到具有较低FBTSEQ的已更新分区（图五）。

图五 : 双分区模式允许开发人员指定在装置重置後引导到所需分区的顺序（source：Microchip Technology）

ICSP写入禁止和CodeGuard的Flash OTP快闪记忆体安全性为静态和运作时程式码安全性提供关键支援，但全面的嵌入式安全需要额外的机制，包括安全密钥储存、程式码身份验证和安全通讯。

配套安全装置确保嵌入式系统安全

将dsPIC33C DSC和PIC24F微控制器与Microchip的ATECC608 CryptoAuthentication 或TrustAnchor100（TA100）CryptoAutomotive安全IC结合，开发人员可以更轻松部署全套硬体架构的安全功能。

这些安全IC提供硬体架构防篡改安全机制，包括安全储存、硬体加速加密引擎、真实乱数产生器以及加密演算法所需的其他机制。这些IC是专门设计的配套元件，可以轻松添加到DSC或MCU系统设计中，完成完整嵌入式系统安全的实作（图六）。

图六 : ATECC608或TA100等安全IC补充dsPIC33C DSC和PIC24F MCU的安全功能，简化安全嵌入式系统的实作。（source：Microchip Technology）

执行安全韧体更新等关键操作，展现dsPIC33C DSC和PIC24F微控制器与这些配套安全IC的互补安全功能。开发人员在完成韧体更新操作前，使用程式码签章技术，验证程式码的真实性和完整性。开发人员使用其开发系统，建立一个更新封包，包含程式码、程式码中继资料和用於验证的签章（图七）。

图七 : 程式码签章提供重要的协定，通常用於在目标系统进行更新之前验证程式码的真实性和完整性。（source：Microchip Technology）

在目标系统上，过去使用软体架构的签章验证，其验证协定可能被入侵，如今使用硬体架构的签章验证，可消除此风险。相反地，Microchip的ATECC608和TA100等配套安全 IC可以快速且安全地执行签章验证操作，而不会有入侵风险（图八）。

图八 : 在目标系统中，ATECC608或TA100等安全IC提供硬体架构验证，在引导载入程式更新韧体之前，用於验证程式码非常重要。（source：Microchip Technology）

为了加速安全系统的实作，Microchip提供软硬体开发工具的组合。

加速软体和硬体开发

MPLAB X整合开发环境（IDE）为开发人员提供完整的软体开发环境，而MPLAB XC C 编译器为现有工具链提供开发支援。为了加快任一环境中的开发速度，MPLAB程式码配置器（MCC）允许开发人员使用图形介面自动生成初始化程式、建立驱动程式、分配引脚、实作资料库，以及以其他方式帮助加速许多关键低层级与任何嵌入式软体开发专案相关的设置程序和流程。

为了加快实作合适的安全引导载入程式，dsPIC33 DSC和PIC24 MCU用引导载入程式提供图形介面，可协助开发人员快速配置和生成其应用所需的自定义引导载入程式，相关的引导载入程式主机应用程式进一步简化应用程式码到目标装置的传输。

针对硬体开发，Microchip 提供多款相关开发板，可打造以dsPIC33C DSC或PIC24F MCU为基础的系统。事实上，Microchip的PIC-IoT板EV54Y39A和PIC-IoT板AC164164 已整合安全IC，这些IC分别预先配置Amazon Web Services（AWS）和 Google Cloud。

针对客制化设计，Microchip提供基於dsPIC33CH512MP508双核心DSC的dsPIC33CH Curiosity开发板。或者，开发人员可以将Microchip基於dsPIC33CH128MP508的附加模组连接到Microchip Explorer嵌入式评估板，以加速安全嵌入式系统的开发。

结论

嵌入式系统的安全仰赖硬体架构机制的可用性，能够支援核心网路安全原则，包括韧体完整性、身份验证、加密和安全储存。dsPIC33C DSC和PIC24F MCU简化程式码保护，其ATECC608和TA100安全IC提供有效率安全平台所需的附加安全机制。开发人员将这些装置结合使用，便可以满足物联网嵌入式解决方案，以及汽车、工业、消费和医疗应用对系统级安全的需求。

（本文作者Barley Li为DigiKey Electronics亚太区技术内容部门应用工程经理）