鑒于任何系統(tǒng)的潛在威脅數(shù)量驚人，設計人員需要一種方法來保護系統(tǒng)完整性也就不足為奇了。可能令人驚訝的是，在其位和塊中，閃存是保護固件甚至硬件設計免受攻擊的關鍵 - 無論是黑客故意覆蓋還是在服務安裝過程中意外損壞。

閃存設備提供多種數(shù)據(jù)保護措施，每種措施在讀取、寫入或擦除保護方面都有自己的優(yōu)勢。安全選項增加了安全層，以減緩潛在的黑客和竊賊。這些層還提供保護，防止意外修改。某些閃存安全功能不會增加最終設計的成本，雖然最強大的閃存保護功能可能比標準閃存成本更高，但它們比非閃存硬件加密引擎、隱藏操作、身份驗證操作或軟件加密應用程序更實惠。

并非所有制造商或同一制造商的設備都提供相同的功能。設計人員在為最終應用選擇閃存器件時，必須考慮內(nèi)置安全選項、性能、密度、尺寸和成本等因素。

尋找合適的解決方案

評估選項首先要確定問題。需要考慮的一些關鍵點：

· 確定在位、數(shù)據(jù)和代碼中必須保護的內(nèi)容。例如，設計人員可能需要保護用于服務訪問的電子系統(tǒng)序列號、安全密鑰、啟動代碼或財務信息，例如付費電視。

· 確定這些位、數(shù)據(jù)或代碼是否可能受到軟件或物理中斷的影響。例如，軟件攻擊可能來自互聯(lián)網(wǎng)或系統(tǒng)應用程序。物理攻擊可能是由從印刷電路板上移除閃存設備引起的。

· 確定威脅是否是故意的。由有缺陷的軟件引起的無意更改通常更容易預防，因為問題的原因是可重復的并且難以捉摸。如果攻擊威脅來自黑客或小偷，請量化攻擊者愿意付出多少努力。黑客或克隆人愿意花費的時間和金錢越多，會影響設計所需的安全性。

密碼訪問

一些閃存設備提供密碼訪問功能，通過創(chuàng)建障礙使設計成為復制或克隆的不太理想的目標來減緩竊賊的速度。IP 竊賊需要快速輕松地復制系統(tǒng)數(shù)據(jù)。密碼訪問增加了低開銷克隆操作的時間、成本和工作量。

密碼訪問可鎖定整個陣列或主陣列中選定數(shù)量的塊，使其免于程序擦除或讀取訪問。每個塊都可以單獨設置為所需的保護級別。在系統(tǒng)出廠給最終客戶之前，必須在閃存設備的密碼區(qū)域中存儲64位密碼，并且必須將匹配的密碼編程到系統(tǒng)微控制器（MCU）或其他隱藏存儲器中。

當系統(tǒng)收到讀取、修改或擦除受保護塊中的數(shù)據(jù)的命令時，系統(tǒng)處理器會查找 MCU 和閃存設備中的數(shù)字之間的匹配項。如果密碼對MCU和閃存設備都無效，則無法讀取或修改數(shù)據(jù)。如果系統(tǒng)檢測到匹配的密碼，則可以讀取或修改單個塊。根據(jù)閃存器件的不同，設計人員可以選擇各種保護模式，包括讀取、修改和防替換。

密碼保護：服務防盜威懾

基于密碼的讀取保護是一種簡單、經(jīng)濟高效的方法，可以阻止分發(fā)盜版閃存芯片的嘗試，從而獲得高級服務。復制的閃存芯片為不付費的用戶提供優(yōu)質(zhì)服務，導致服務提供商的收入損失。但是，如果設計人員在閃存設備上使用密碼保護，則盜版者將卡在無法操作的芯片上。

即使竊賊可以總線窺探，發(fā)現(xiàn)密碼，并從芯片中復制數(shù)據(jù)，盜版芯片中的64位密碼也不會與插入它的系統(tǒng)中的MCU相匹配，再次使芯片無法運行。

密碼保護：IP克隆和復制威懾

在克隆的情況下，IP竊賊需要在原始版本的更新版本使克隆過時之前復制并生成設計。閃存密碼保護可以產(chǎn)生足夠長的延遲，使克隆程序更容易找到目標，因為閃存保護系統(tǒng)的硬件簽名。

具有64位密碼的閃存設備將有助于限制對合法來源的訪問。如果沒有密碼，使用舞會編程器讀取閃存芯片的IP克隆器將僅讀回零。

這種延遲使制造商在克隆可以競爭收入之前在市場上有更多的時間，從而為原始制造商在克隆人有機會生產(chǎn)可行產(chǎn)品之前刷新設計創(chuàng)造了足夠的延遲。這種內(nèi)置閃存功能提供了一種非常經(jīng)濟高效的方法來應對IP損失對收入的影響。

加密密碼訪問：更高級別的 IP 安全性

64 位密碼會降低克隆人或服務竊賊的速度，而加密的密碼可顯著提高數(shù)據(jù)保護級別。

從閃存和MCU傳遞到處理器的密碼是加密的。處理器使用算法破譯密碼并確認匹配。另一方面，公共汽車窺探者只能讀取加密的密碼;它無法破譯它。如果沒有未加密的密碼，閃存芯片將無法讀取，并且IP受到保護。

具有加密密碼的閃存設備的成本通常高于未加密密碼的設備，因為該算法是在硅上實現(xiàn)的，這會增加組件成本。然而，與服務收入損失相比，閃存芯片的成本是微不足道的。

塊鎖定軟件保護

易失性和非易失性塊鎖定功能使用軟件命令來鎖定和解鎖塊，從而保護數(shù)據(jù)免受意外修改。在易失性塊鎖定中，易失性數(shù)組中的位映射到主內(nèi)存數(shù)組塊。這些易失性保護位（VPB）可以單獨修改，并根據(jù)需要經(jīng)常設置或清除。但是，它們只能保護未被非易失性陣列位鎖定的塊。當系統(tǒng)電源重新啟動或硬件重置時，VBB 將恢復到其原始的解鎖或鎖定狀態(tài)。

非易失性模塊鎖定可保持模塊鎖定或解鎖，如設計人員所定義，即使在電源循環(huán)或復位后也是如此。非易失性保護位 （NVPB） 映射到每個塊，可以單獨鎖定每個塊。NVPB可以通過清除位或擦除命令清除。

非易失性模塊鎖定可用于確保模塊保持鎖定狀態(tài)，以防意外覆蓋，即使在意外的電源循環(huán)或復位后也是如此。

一系列保護

閃存安全功能提供了一種經(jīng)濟實惠的安全替代方案來保護 IP、內(nèi)容、數(shù)據(jù)或系統(tǒng)完整性，并且可能因制造商和設備而異。從阻止鎖定到高級加密密碼訪問，關鍵是要找到解決潛在攻擊類型和來源的功能。

審核編輯：郭婷