在專業(yè)和消費(fèi)市場(chǎng)中，越來越多的系統(tǒng)由微控制器管理。這些單元使用復(fù)雜的算法，并且在其生命周期中可能需要固件更新。因此，供應(yīng)商面臨著雙重威脅：產(chǎn)品專有技術(shù)被競(jìng)爭(zhēng)對(duì)手竊取，以及固件更新和升級(jí)期間的篡改攻擊。這兩種情況都可能發(fā)生在由最終用戶管理的任何不安全和不可預(yù)測(cè)的環(huán)境中。

現(xiàn)在的微控制器的固件通常是通過串行連接（如JTAG或RS232）作為編譯后的十六進(jìn)制圖像加載到控制器上，而沒有任何防止逆向工程或欺詐操作的保護(hù)。這使得文件在從生成系統(tǒng)傳輸?shù)娇刂破鲿r(shí)易受攻擊。因此，應(yīng)分析端到端生產(chǎn)的總體可信度。即使制造商相信自己的構(gòu)建過程，微控制器在離開生產(chǎn)現(xiàn)場(chǎng)后也不再處于受控環(huán)境中。

解決方案是將其現(xiàn)有的技術(shù)從桌面、嵌入式系統(tǒng)和可編程邏輯控制器（PLC）移植到XMC4500微控制器，并創(chuàng)建了μ嵌入式CodeMeter。原始設(shè)備制造商（OEM）可以利用CodeMeter在各種硬件平臺(tái)上無處不在的覆蓋范圍。

考慮到微控制器較小的存儲(chǔ)容量和較低的計(jì)算能力，編碼器的占地面積和存儲(chǔ)軟件許可證的安全文件（CmActLicense）必須縮小，同時(shí)保留其基本功能。這是對(duì)XMC特定要求的適應(yīng)環(huán)境而言是成功的；CmActLicense被綁定到微控制器和DAVE的各個(gè)屬性toolchain，并通過一個(gè)插件實(shí)現(xiàn)了自動(dòng)化，只需點(diǎn)擊幾下就可以方便地創(chuàng)建安全的軟件。從而物聯(lián)網(wǎng)產(chǎn)品就可以實(shí)現(xiàn)：

最先進(jìn)的安全功能可供微控制器開發(fā)人員使用智能設(shè)備制造商的知識(shí)產(chǎn)權(quán)保護(hù)最終用戶確信固件更新或升級(jí)是真實(shí)的，不會(huì)導(dǎo)致目標(biāo)設(shè)備的意外行為

為了實(shí)現(xiàn)一個(gè)全面的解決方案，以滿足專有技術(shù)保護(hù)、完整性保護(hù)和許可證貨幣化的目標(biāo)，固件已經(jīng)用對(duì)稱和非對(duì)稱（AES和ECC）算法加密，并作為DAVE中構(gòu)建過程的一部分進(jìn)行數(shù)字簽名唯一綁定到微控制器。DAVE的加密機(jī)是微控制器內(nèi)部的一個(gè)特殊的安全固件加載程序，與特定芯片的安全綁定相結(jié)合。任務(wù)中最關(guān)鍵的部分是將主流CodeMeter的代碼剝離到60kb，而不損害其基本的安全特性。最終將導(dǎo)致編碼器μ嵌入的整套功能打包到一個(gè)新的安全固件加載程序中。

在基于XMC4500的設(shè)備的第三方生產(chǎn)過程中，安全固件被加載到控制器中。首次通電時(shí)，加載程序與生產(chǎn)系統(tǒng)通信，生成設(shè)備的指紋并注入許可證。從那時(shí)起，只有加密、授權(quán)和簽名的固件才能加載到XMC中的微控制器。如果需要，固件還可以將許可證信息用于自定義行為。從XMC中無法提取固件，它被內(nèi)部XMC讀取機(jī)制進(jìn)行保護(hù)。

為了進(jìn)一步增強(qiáng)安全性，可以將硬件綁定擴(kuò)展到外部安全元素，如OPTIGA通過串行外圍接口（SPI）與XMC通信的TPM（可信平臺(tái)模塊）或SLE安全控制器控制器。