安全性在包括智能手機配件、智能儀表、個人健康監控、遙控以及存取系統等各種應用中正在變得日益重要。要保護收益及客戶隱私，OEM 廠商必須采用安全技術加強系統的防黑客攻擊能力。對于大量這些應用而言，將要部署數百萬的器件，工程師面臨的挑戰是在不嚴重影響系統成本或可靠性的同時，確保最佳安全平衡。主要注意事項包括保護敏感數據的傳輸，防止MCU 應用代碼及安全數據被讀取，防止MCU 遭到物理攻擊，最大限度提高電源效率，以及支持安全升級，確保設備能夠應對未來安全威脅等。

    安全設備必須能夠像銀行保險庫一樣有效地安全存儲敏感信息。這類信息包括交換的實際數據（比如客戶的信用卡號或者何時用了多少電的記錄等）以及任何確保通信通道安全的加密數據（如安全密鑰及密碼等）等。

    最新低功耗微處理器(MCU) 集成降低安全應用成本與功耗所需的高性能以及各種特性，可幫助開發人員為低功耗應用提高安全性。此外，它們還采用非易失性FRAM 替代EEPROM 或閃存提供穩健統一的存儲器架構，從而可簡化安全系統設計。

FRAM 的優勢
    與基于閃存的傳統系統相比，FRAM 可提供優異的保留性與耐用性。采用閃存，數據按晶體管充電狀態存儲（如開或關）。寫入閃存時，必須先擦除相應的塊然后再寫入。這個過程可對閃存造成物理損壞，最終導致晶體管無法可靠保持電荷。

    確保閃存的最長使用壽命，通常部署損耗平衡等技術在各個塊上平攤使用量，以避免某些常用塊過早損壞。進而需要評估閃存系統可靠性，是因為閃存的耐用性規范反映的是平均故障率，每個具體塊的耐用性有高有低。此外，保留的可靠性會隨耐用性極限的接近而下降，因為保留是根據每個存儲器元素的磨損進行統計的。

圖1：FRAM PZT 分子的模型

    相比之下，FRAM 將數據按分子極化狀態存儲。由于該過程為非破壞性，因此FRAM 具有幾乎無限期的保留性與耐用性。對必須在整個設備使用壽命期間執行20,000 至40,000 次交易的移動支付系統等應用而言，FRAM 無需考慮耐用性與可靠性問題。

    此外，FRAM 的高耐用性也關系到某些應用的安全性。例如，要提高通信安全性，每次新傳輸都需要生成新密鑰。這種方法必須考慮閃存和EEPROM 的耐用性問題。使用FRAM 就無需考慮密鑰改變頻次對存儲器耐用性產生影響的問題。

校準

    除了防止應用數據和加密密鑰遭到非授權讀寫之外，系統還必須防止參數被惡意篡改，導致敏感信息被訪問，甚至發生物理MCU 本身受到侵害攻擊的情況。MCU 容易受到各種攻擊的侵害，導致存儲器中存儲的數據、應用代碼或安全密鑰被提取。

    在許多情況下，MCU 攻擊的目的都是為了改變器件上存儲的數據。例如，自動計量儀表上的使用數據可能被修改，顯示實際使用數額偏低，導致每月賬單降低。一般說來，黑客不是去修改收集到的數據，而是要改變應用代碼本身。要達到這一目標，它們必須首先獲得應用代碼畫面，進行逆向工程，然后在系統中使用修改后的版本進行成功覆蓋。

圖2：TI MSP430FR59xx MCU 建立在超低功耗“Wolverine”技術平臺基礎之上，采用非易失性FRAM 替代EEPROM 或閃存提供高穩健統一存儲器架構，可簡化安全系統設計

    目前已經出現了大量強制系統暴露保密信息甚至其應用代碼的方法。例如，故障攻擊可引發故障操作，讓系統進入不可預測的狀態，從而使其輸出安全密鑰或應用代碼塊。此外，黑客還可對系統進行物理攻擊，分離MCU 或采用光學手段引發故障。需要注意的是，不是所有以下攻擊情境都適用于所有應用，具體可能發生哪種攻擊取決于風險數據的應用及價值。

• 機械探查：雖然對EEPROM 進行機械探查比較困難，但仍可通過IC 后端、采用既不破壞浮動柵，又不破壞比特單元數據的方法做到。相比之下，FRAM 的極化狀態只有在電路完整時才能檢測到。
• 電源分析：頻譜電源分析(SPA) 和動態電源分析(DPA) 是測量MCU 電磁輻射或電源使用的專業技術，其可創建用來確定MCU 內部所做工作的配置文件。EEPROM 與閃存需要工作電壓為10 至14V 的電荷泵，使其比較容易檢測到。FRAM 極其快速的讀寫速度（分別為50 ns 和200 ns 以下）以及較低的工作電壓(1.5 V) 使其被成功安裝基于SPA 或DPA 的攻擊極為困難。
• 顯微鏡檢查：實踐證明，使用Atomic Force Microscopy (AFM) 或Scanning Kelvin Probe Microscopy (SKPM) 可在后端剝層后檢測到EEPRO 中的浮動柵電荷水平，因此可記錄存儲在存儲器位置上或在數據線路上傳輸的數據。
• 電壓篡改：這類攻擊多年來一直針對EEPROM 及閃存設備，特別是用于電話卡作弊。實際上，就是讓設備輸入電壓超過標準范圍，對比特單元進行強制編程。注意，提供工作時間比EEPROM 比特單元完成編程所需時間長得多的欠壓及過壓保護電路系統非常困難。不過，FRAM 的讀寫時間很快，因此可對電壓篡改攻擊進行保護。
• 光篡改：有證據表明，EEPROM 比特單元可能因為Optical Fault Induction 攻擊而導致數據值被修改。激光或UV 輻射都不會影響FRAM 比特單元（忽略強光熱效應），因此基于FRAM 的設備對于這類攻擊而言是安全的。
• 輻射：阿爾法粒子可導致EEPROM 中的比特替換。實踐證明，FRAM 架構不受阿爾法粒子及其它輻射源影響。此外，由于FRAM 的鐵電屬性，其也不受磁場影響。
•  

圖 3：FRAM 與 EEPROM 受影響情況一覽表

    對于眾多上述攻擊的應對措施就是確保閃存及EEPROM IC 的安全性。但是，與某種攻擊實例以及某單個器件上被盜用數據的價值相比，這些應對措施往往實施起來成本太高。此外，這些應對措施可提高電源需求，提升應用設計復雜性，從而可降低整體系統可靠性。然而，由于FRAM 提供針對不同類型攻擊的所有內在恢復力，因此可對安全應用產生比閃存和EEPROM 更積極的影響，降低設計復雜性，消除實施應對措施的開銷。

    使用支持快速信號及偏振狀態的FRAM 與使用閃存和EEPROM 相比，可為敏感代碼及數據提供強大保護。FRAM 存儲器塊可采用不同類型的訪問權限進行配置，進一步保護系統。只讀針對諸如LCD 使用的字體等常量，讀寫僅支持變量，而讀取與執行僅適用于應用代碼。訪問權限的使用不僅可提高應用穩定性，防止存儲器的無意識濫用，而且還可針對系統蓄意攻擊提供保護。

    此外，FRAM 存儲器管理還可通過IP 包絡提供另一層存儲器安全，使開發人員不但可定義受保護的存儲器分段，而且還可針對應用進行功能拆分。只有通過代碼執行在相同包絡分段內才能對受保護分段進行直接讀寫訪問。這樣，來自未保護分段的代碼要訪問包絡分段的唯一途徑就是調用受保護分段內的函數。具體而言，處理安全密鑰及數據的代碼可通過打包與其它應用隔離。這樣，即便應用代碼遭到某種毀壞，也不會暴露系統的安全部分。此外，外部JTAG 訪問不允許進入受保護分段。不過要特別注意的是，任何設計都必須包含安全門入口和多重檢查等軟件設置，以便傳遞這種安全標準。該實用硬件特性可產生更深遠的意義，但不是萬無一失的“傻瓜式”方案。

電源
    采用無線連接的便攜式應用在設計時需要考慮電源效率問題。例如，加密通道會由所使用的握手與認證過程大幅提升事務處理開銷。例如該過程不但可延長無線電的工作時間，而且還可延長CPU 的工作時間。在使用閃存或EEPROM 等慢速存儲器技術時，無線更新在超過10 mA 的恒定電流下可以按秒計，這對電池的負面影響非常大。

   集成型AES 256 加密引擎的高效率有助于工程師推出功耗僅為此前所需能源十分之一的加密功能。此外，FRAM 更快的訪問速度與更低的電源需求所消耗的功耗可比傳輸前加密格式記錄數據的單位功耗減少約250 倍。

    更好地理解這些數字，需要考慮執行無線更新的低功耗器件。由于這些器件所需電源極少，因此要采用EEPROM 或閃存的話，一次更新的功耗可能就高達電池使用壽命的一個月。而采用FRAM 的同等系統將使用不足四分之一天的電池使用壽命。

圖4：TI MSP430FR59xx MCU 采用FRAM 存儲器管理提供存儲器保護及IP 包絡

    此外，FRAM 的高效率還可影響到標準工作期間的電源與存儲器使用效率。閃存和EEPROM 必須在某一時刻為存儲器擦除一個數據塊并對其進行編程。因此，要改變單比特系統標識，就必須從閃存讀取256 字節的整個塊，擦除該塊并重新為其寫回數據。利用FRAM，開發人員可對全部存儲器進行比特級訪問。

    最后，由于EEPROM 與閃存的讀取、擦除和寫入序列，開發人員必須使用冗余存儲器塊對數據進行鏡像，以確保潛在電源損耗過程中的數據完整性?？赏ㄟ^使用片上電容器，用FRAM 提供寫入操作擔保，來確保有足夠的電源完成當前寫入工作。由于FRAM 寫入的極快速度與更低電流，電容器可以非常小，小得無需鏡像便可集成在MCU 上。

圖5：TI MSP430FR59xx MCU 中的FRAM 為無線固件升級提供電源管理優勢

    FRAM 更高的電源效率可用于支持更長的電池使用壽命?；蛘吲cEEPROM 或閃存的使用相比，這些設備能夠以更低的功耗存儲更多的數據，因此開發人員可選擇采用較大數據緩沖或事件日志。這可幫助設備在更低頻率下進行檢查，從而減少無線電或其它大功耗通信通道必須使用的頻次。

結論
    鑒于設備互聯趨勢的不斷發展，在MCU 中集成安全性正在成為一種常見需求。OEM 廠商可通過對器件預期工作范圍以外的惡意行為進行阻止、檢查并采取相應措施，防止數據暴露，避免應用代碼被覆蓋，為敏感數據的交換提供安全的通信通道等措施，來保護客戶信息以及其自己的知識產權。

    FRAM MCU 的高效率架構集成的硬件可在既不影響數據完整性或可靠性，又可降低功耗的情況下降低軟件復雜性，簡化安全系統設計。這樣，我們就可在低成本下將低功耗應用的安全性提升到全新的高度。

作者簡介

Jacob Borgeson 現任德州儀器MSP430™ MCU 產品部FRAM 產品市場營銷經理，擁有5 年的微控制器和功耗優化經驗。他此前撰寫出版的文章涉及能量采集、低功耗趨勢以及無線傳感及個人醫療監護應用。Borgeson 畢業于德州理工大學(Texas Tech University)，先后獲電氣工程學士學位與工商管理碩士學位。