更geng安an全quan的de引yin導dao過guo程cheng可ke保bao護hu固gu件jian映ying像xiang
，以yi消xiao除chu密mi鑰yao或huo映ying像xiang被bei盜dao用yong造zao成cheng的de問wen題ti。通tong過guo使shi用yong安an全quan存cun儲chu和he加jia密mi加jia速su器qi，有you效xiao的de安an全quan引yin導dao功gong能neng已yi內nei置zhi到dao越yue來lai越yue多duo的de處chu理li器qi中zhong，包bao括kuo Silicon Laboratories 的 Gecko 係列 2 處理器、NXP 的 LPC55S69JBD100
、Maxim Integrated 的 MAX32520 和 Microchip Technology 的 ATSAML11D16A 等等。利用這些功能，此類安全處理器可以提供所需的信任根，以創建用於係統和應用軟件執行的可信環境。

 

通過安全引導提供信任根

 

此類安全處理器提供安全引導選項，旨在確保信任根所依托的固件映像的完整性。例如，Silicon Laboratories 的 EFR32MG21A 和 EFR32BG22 Gecko 係列 2 處理器分別通過基於硬件安全元件和虛擬安全元件 (VSE) 的多級引導過程來構建此信任根（圖 2）。

 

 

在 EFR32MG21A 中，專用處理器內核提供加密功能以及用於安全密鑰存儲的硬件安全元件。在此專用功能的支持下


，處理器使用隻讀存儲器 (ROM) 中存儲的代碼發起引導過程，以驗證第一級引導程序 (FSB) 代碼。完成驗證後，FSB 代碼即會運行，接著又會驗證第二級引導程序 (SSB) 的代碼簽名。引導序列繼續執行經驗證的 SSB
，後hou者zhe進jin而er會hui驗yan證zheng應ying用yong程cheng序xu代dai碼ma的de簽qian名ming，而er該gai代dai碼ma通tong常chang包bao括kuo係xi統tong級ji代dai碼ma和he更geng高gao級ji別bie的de應ying用yong程cheng序xu代dai碼ma。最zui後hou，經jing驗yan證zheng的de應ying用yong程cheng序xu代dai碼ma運yun行xing，係xi統tong根gen據ju應ying用yong程cheng序xu的de要yao求qiu繼ji續xu執zhi行xing操cao作zuo。

 

由於此過程從 ROM 代碼開始，而且僅運行經驗證的 FSB、SSB 和應用程序代碼，因此該方法將產生經驗證的信任鏈來執行代碼。由於此信任鏈中的第一環依賴於無法修改的 ROM daima，yincixinrenlianzhonghouxudemeiyihuandouhuiyanxucikexinhuanjing。yucitongshi，zhezhongfangfahaiyunxukaifarenyuananquandigengxinyingyongchengxudaima，shenzhishidiyijihedierjiyindaochengxudaima。zhiyaomeigedaimabaodoutigongjingyanzhengdeqianming，kexinhuanjingjiunengbaochiwanhao。

 

使用信任根提供這種安全引導的處理器，通常支持多種模式和選項。例如，Silicon Laboratories 的 Gecko 係列 2 處理器提供了更強大的基於證書的安全引導功能。

 

證書可用於常規公鑰基礎結構 (PKI) 事務處理，包含公鑰以及對一個或多個相關證書的引用，這些證書最終指向證書頒發機構 (CA) 授予的根證書。此鏈中的每個證書均用於驗證其下麵的證書，從而形成基於值得信賴的 CA 的信任鏈。在傳輸層安全性 (TLS) 的認證階段
，瀏覽器依靠此信任鏈來確認 Web 服fu務wu器qi的de身shen份fen。嵌qian入ru式shi係xi統tong可ke采cai用yong相xiang同tong的de方fang法fa使shi用yong證zheng書shu來lai確que認ren引yin導dao程cheng序xu或huo應ying用yong程cheng序xu代dai碼ma源yuan的de身shen份fen。在zai這zhe裏li，按an照zhao前qian述shu方fang式shi執zhi行xing多duo級ji引yin導dao過guo程cheng，但dan需xu要yao額e外wai驗yan證zheng與yu每mei一yi級ji相xiang關guan的de證zheng書shu（圖 3）。

 

 

NXP 的 LPC55S69JBD100 等其他處理器支持多種不同的固件映像選項。除了簽名的固件映像外，這些處理器還支持使用可信計算組織推出的設備標識符組合引擎 (DICE) 行業標準的引導映像。第三個選項允許開發人員將映像存儲在支持 PRINCE 加密的處理器閃存特殊區域內，其中 PRINCE 加密是一種低延遲的分組加密，能夠在小得多的矽麵積內達到與其他加密相當的安全強度。在 LPC55S69JBD100 中可實現 PRINCE 加密，這種技術能對處理器專用的 PRINCE 閃存區中存儲的加密代碼或數據執行實時解密。由於解密使用的密鑰僅供 PRINCE 加密引擎訪問
，因此該解密過程仍然是安全的。實際上，這些密鑰由 LPC55S69JBD100 的物理不可克隆功能 (PUF) 生成的密鑰加密密鑰 (KEK) 提供保護。（有關 PUF 和 KEK 用法的更多信息
，請參見第 2 部分。）

 

這種方法使開發人員能夠存儲更多固件映像，而這是在避免“封閉”設備的風險情況下，為物聯網設備提供固件無線 (FOTA) 更geng新xin方fang法fa所suo需xu的de功gong能neng。如ru果guo處chu理li器qi隻zhi能neng使shi用yong一yi個ge位wei置zhi來lai存cun儲chu固gu件jian映ying像xiang
，則ze有you缺que陷xian的de固gu件jian映ying像xiang會hui將jiang處chu理li器qi置zhi於yu不bu確que定ding或huo鎖suo定ding的de狀zhuang態tai，從cong而er鎖suo定ding或huo阻zu塞sai設she備bei。通tong過guo將jiang固gu件jian映ying像xiang存cun儲chu在zai LPC55S69JBD100 中啟用了 PRINCE 的閃存區內，開發人員可使用回退策略，即如果新版本引導進入無法工作狀態
，則還原固件的上一個正常工作版本。

 

由於所有這些新固件映像都必須通過基礎引導過程中所需的簽名驗證檢查
，所以開發人員可充分利用安全 FOTA，在不影響係統或其信任鏈的情況下添加新功能或修複錯誤。

 

總結

 

係xi統tong和he應ying用yong級ji別bie的de安an全quan性xing需xu要yao一yi個ge隻zhi允yun許xu授shou權quan軟ruan件jian運yun行xing的de執zhi行xing環huan境jing。盡jin管guan代dai碼ma簽qian名ming驗yan證zheng是shi實shi現xian此ci類lei環huan境jing的de基ji本ben功gong能neng
，但dan安an全quan係xi統tong還hai需xu要yao利li用yong更geng全quan麵mian的de功gong能neng集ji來lai構gou建jian必bi要yao的de信xin任ren鏈lian
，以yi確que保bao執zhi行xing的de是shi受shou信xin任ren的de軟ruan件jian。這zhe些xie可ke信xin環huan境jing的de基ji礎chu在zai於yu信xin任ren根gen，而er信xin任ren根gen可ke通tong過guo安an全quan處chu理li器qi所suo支zhi持chi的de安an全quan引yin導dao機ji製zhi提ti供gong。使shi用yong此ci類lei處chu理li器qi，開kai發fa人ren員yuan可ke以yi實shi現xian安an全quan的de物wu聯lian網wang設she備bei，使shi其qi能neng夠gou抵di禦yu企qi圖tu破po壞huai係xi統tong中zhong的de軟ruan件jian執zhi行xing或huo完wan全quan劫jie持chi係xi統tong的de攻gong擊ji行xing為wei。