基于MCU的設(shè)計可以通過將算法編碼到設(shè)備中來輕松添加專用和差異化功能。舊算法或全新方法的新變化可以使成功的產(chǎn)品與失敗之間產(chǎn)生差異。不幸的是，使用MCU還可以打開您的設(shè)計以逆向工程，競爭對手會竊取您的辛勤工作并從您的創(chuàng)新中獲益。當(dāng)然，律師可以參與并可能進(jìn)行報復(fù)，但通常只有在損害發(fā)生后才能進(jìn)行。更好的方法是保護(hù)您的設(shè)計免受常見的硬件篡改入侵，這些入侵用于訪問您的代碼并竊取您寶貴的IP。

本文將介紹硬件“黑客”用于訪問貴重設(shè)計IP的一些常用方法。新的MCU包括幾個關(guān)鍵功能，可用于設(shè)置一些困難的障礙，以防止硬件篡改。這些防篡改設(shè)計技術(shù)可以成為MCU設(shè)計人員技術(shù)“訣竅”的重要組成部分。

片上防篡改：管理員模式

最新創(chuàng)新之一在MCU中已經(jīng)包含了多年來在標(biāo)準(zhǔn)CPU中使用的功能。最早的防篡改功能之一，將用戶操作模式與管理員操作模式分離（管理員模式通常與CPU中的操作系統(tǒng)模式相關(guān)）已經(jīng)出現(xiàn)在MCU設(shè)備中。此功能允許監(jiān)督軟件對受保護(hù)資源進(jìn)行特權(quán)訪問，同時限制或取消對較低權(quán)限用戶程序的訪問。這使得黑客通過用戶軟件代碼錯誤獲得對系統(tǒng)的控制變得更加困難。即使可以使用用戶錯誤來獲得對MCU的控制，它仍然會停留在用戶模式，而無法訪問與配置，編程，調(diào)試和系統(tǒng)控制相關(guān)的最重要的系統(tǒng)元素。

作為一個說明性示例，飛思卡爾Kinetis K60 MCU系列支持管理員和用戶模式。這允許系統(tǒng)保持對配置外圍設(shè)備，訪問受保護(hù)的存儲器空間，限制系統(tǒng)代碼的重新編程以及限制對用于保護(hù)用戶數(shù)據(jù)的加密功能的訪問的控制。許多關(guān)鍵的MCU系統(tǒng)資源需要一種監(jiān)控模式來訪問配置寄存器。例如，多功能時鐘發(fā)生器（MCG）將對所有相關(guān)控制寄存器的寫訪問限制為管理員模式（圖1）。這消除了未經(jīng)授權(quán)篡改時鐘設(shè)置的可能性，時鐘設(shè)置是硬件黑客試圖禁用系統(tǒng)操作的潛在攻擊向量。此外，管理程序模式可防止用戶代碼無意中訪問系統(tǒng)資源，然后可能為攻擊者提供方便的“后門”，以獲取對其他受保護(hù)資源的訪問權(quán)。

圖1：飛思卡爾Kinetis K60 MCU多功能時鐘發(fā)生器具有僅限超級用戶對敏感控制寄存器的寫訪問權(quán)限（由飛思卡爾提供）

許多其他外設(shè)和系統(tǒng)功能具有類似的訪問保護(hù)。最敏感的元素，如閃存控制器，只能將對控制和數(shù)據(jù)寄存器的寫訪問限制為管理員模式。閃存控制器中的高速緩沖存儲器甚至可以防止未經(jīng)授權(quán)的讀取，因此黑客無法“窺探”其他敏感數(shù)據(jù)。其他不太敏感的元件具有不太嚴(yán)格的訪問要求，但即使CAN總線控制寄存器也可以防止未經(jīng)授權(quán)的寫入，因?yàn)槟幌Ｍ诳湍軌蚩刂颇嚨膭x車！

篡改 - 檢測功能

無論您在保護(hù)設(shè)計方面有多徹底，仍有可能發(fā)生篡改。篡改檢測的幾種方法是可能的并且通常易于實(shí)現(xiàn)。例如，為了檢測板級篡改事件（例如硬件探測，提升信號跡線和電源改變），通常在印刷電路板上的內(nèi)部層中放置特殊的隱藏篡改檢測跡線。如果攻擊者試圖鉆電路板以訪問關(guān)鍵信號，則可以檢測到對隱藏軌跡的影響。另一種常見方法是使用機(jī)械篡改檢測蓋，可以檢測攻擊者試圖訪問封閉設(shè)備。

大多數(shù)篡改檢測方法都可以生成篡改檢測信號，然后由MCU決定采取行動 - 通常非常快，因此攻擊者幾乎沒有可用于惡作劇的時間。當(dāng)檢測到篡改事件時，MCU可能采取的常見操作是快速記錄事件，然后重置系統(tǒng)，關(guān)閉關(guān)鍵部分的電源，甚至清除敏感信息。記錄事件可以是逐步升級“懲罰”篡改生成的有用方法。如果篡改是一個反復(fù)發(fā)生的事件，那么應(yīng)用更嚴(yán)厲的響應(yīng)（可能是擦除代碼和敏感數(shù)據(jù)）可能是謹(jǐn)慎的。如果這是第一次篡改事件，那么較不嚴(yán)重的響應(yīng)（可能只是系統(tǒng)重置）可能更合適。如果日志將用于確定升級過程，則捕獲篡改事件的時間戳非常重要。

某些MCU包括監(jiān)視事件輸入并生成用于記錄的時間戳的功能。例如，德州儀器（TI）MSP430FR5739 MCU具有實(shí)時時鐘外設(shè)（RTC）RTC_C，與其他RTC外設(shè)類似，如下面的圖2所示。但是，RTC_C具有額外的篡改檢測事件記錄功能。

圖2：德州儀器MSP430定時器/計數(shù)器資源（由德州儀器公司提供）

事件/篡改檢測時間戳可以監(jiān)視兩個MCU輸入，當(dāng)其中一個變?yōu)榛顒訝顟B(tài)時，會生成篡改事件。輸入可以來自用于檢測篡改保護(hù)蓋的移除的開關(guān)，移除備用電池或任何數(shù)量的巧妙的隱藏篡改檢測方法。激活篡改事件時捕獲實(shí)時時鐘的值，它可以用作記錄活動的一部分。此值可用于查看篡改事件是否以更高的頻率發(fā)生，以便可以應(yīng)用不斷升級的懲罰。

使用事件監(jiān)視器記錄器進(jìn)行篡改報告

為了簡化捕獲和記錄篡改事件的過程，一些MCU為篡改事件檢測和時間添加了更多功能 - 郵票捕獲功能。例如，恩智浦LPC1800 MCU具有專用的事件監(jiān)視器/記錄器外圍設(shè)備，可快速捕獲，記錄和響應(yīng)篡改事件。如圖3中的框圖所示，恩智浦LPC1800最多可監(jiān)控三個篡改事件輸入，并可捕獲事件的時間戳。為第一個篡改事件和最后一個篡改事件存儲時間戳，以便于查看它們發(fā)生的時間段。整個外圍設(shè)備在備用電池電源域運(yùn)行，RTC也是如此，即使在電源被移除或斷電情況下發(fā)生事件也可以記錄事件 - 這是黑客使用的常用方法繞過基于機(jī)箱的篡改檢測方案。

圖3：恩智浦LPC1800 MCU系列事件監(jiān)控記錄儀方框圖（由恩智浦提供）

請注意，即使MCU處于低功耗狀態(tài)，也可能會產(chǎn)生中斷或喚醒事件。這確保了篡改事件可以快速響應(yīng)，因此黑客在應(yīng)用懲罰之前有最少的時間來攻擊系統(tǒng)。隨著安全性和篡改檢測和防護(hù)變得越來越重要，期望將更多功能添加到專用篡改外圍設(shè)備中，以便以更低的開銷保護(hù)設(shè)計。

參考設(shè)計向您展示

了解MCU設(shè)計的篡改檢測和預(yù)防功能的最有效方法之一是查看參考設(shè)計。許多MCU供應(yīng)商為其產(chǎn)品提供參考設(shè)計，并且在某些情況下，它們說明了高級功能，例如篡改檢測和預(yù)防。僅舉一個例子，Microchip的能量計參考設(shè)計非常接近基于PIC18F MCU的完整系統(tǒng)。部分設(shè)計包括多種篡改檢測功能，包括電源反轉(zhuǎn)，頻率干擾，低電流，外部施加的磁場檢測以及篡改蓋移除檢測開關(guān)。下面的圖4顯示了系統(tǒng)和檢測到篡改事件時記錄的篡改代碼列表。

圖4：Microchip電表參考設(shè)計和防篡改功能（由Microchip提供）

硬件布局，原理圖和物料清單可用于充分利用Microchip在參考設(shè)計中投入的工作。該代碼也可用，可用作您自己的篡改檢測和日志記錄方案的起點(diǎn)，用于基于Microchip PIC 18F MCU的設(shè)計。您還可以使用Digi-Key參考設(shè)計庫并搜索“Tamper”，以輕松生成具有篡改相關(guān)功能的參考設(shè)計列表。

結(jié)論

使用防篡改技術(shù)對于保護(hù)為基于MCU的系統(tǒng)創(chuàng)建的有價值的設(shè)計IP至關(guān)重要。現(xiàn)代MCU設(shè)備中提供了多種防篡改技術(shù)，即使是最具攻擊性的硬件黑客，也可以有效阻止這些技術(shù)。