在本系列的第 1 部分中，我們介紹了安全性在連接的嵌入式系統(tǒng)中的重要性，以及強制使用外部閃存的閃存的去集成。在本系列的第 2 部分中，我們介紹了下一代智能內(nèi)存安全閃存。在本系列的最后一部分中，我們將介紹與使用外部閃存的安全嵌入式系統(tǒng)相關(guān)的設計問題。

圖 4 顯示了安全閃存內(nèi)置的智能如何能夠提供嵌入式系統(tǒng)所需的性能、可靠性、安全性和功能安全性。使用標準總線協(xié)議，包括四通道串行外設接口（QSPI）和擴展串行外設接口（xSPI），智能安全閃存可以與主機配合使用，以實現(xiàn)要求苛刻的連接應用所需的安全級別，同時保持與現(xiàn)有主機存儲器控制器的完全兼容性。

對于不能發(fā)生故障的關(guān)鍵任務應用程序，安全閃存可以確保系統(tǒng)的安全啟動，記錄關(guān)鍵信息并擴展基本功能的工作內(nèi)存。此類“故障安全”應用的示例包括高級駕駛員輔助系統(tǒng)（ADAS）、便攜式醫(yī)療設備、工廠自動化、國防級傳感器和高級無線通信系統(tǒng)。

故障安全的一個重要方面涉及加密存儲的代碼和數(shù)據(jù)，以防止其被更改或以其他方式泄露。通過將加密引擎與嵌入式處理器集成，可以以安全的方式存儲數(shù)據(jù)。鑒于內(nèi)存占用量通常使CPU和特定任務的計算引擎所需的門數(shù)相形見絀，因此可以在智能安全閃存中以相對較低的增量成本實現(xiàn)加密和其他高級功能。

安全閃存創(chuàng)建基于硬件的信任根，提供安全環(huán)境或與安全 MCU 提供的 TEE 集成。信任根的一個至關(guān)重要的角色是確保系統(tǒng)正確啟動，理想情況下基于受信任的計算組的設備標識符組合引擎（DICE）標準。安全啟動過程通過對閃存和主機 MCU 進行相互身份驗證來提供端到端保護，以確保遍歷總線的所有事務的機密性。而且，由于 Flash 是智能的，因此經(jīng)過身份驗證的啟動可以在不到某些應用程序所需的 100 毫秒內(nèi)開始。

將代碼安全地更新到最新版本的能力是安全啟動過程的同等重要的方面。這需要確保固件無線（FOTA）或其他形式的更新完成，沒有任何篡改或損壞，無論是故意的還是意外的。如果通過版本證明或其他方式檢測到任何篡改，則可以使用回滾保護功能來還原以前已知有效（盡管是下轉(zhuǎn)）版本的代碼。此相同功能還可用于保護在不安全的制造設施或服務中心可能發(fā)生的任何設備預配。

嵌入式智能使安全的閃存能夠處理除保護存儲的代碼和數(shù)據(jù)之外的其他任務。例如，對原位驗證 （XIP） 功能的支持使安全的閃存作為可信環(huán)境能夠直接執(zhí)行代碼，從而減輕主機 MCU 的負擔。這還可以通過減少MCU所需的片上RAM數(shù)量來幫助降低成本和功耗。

汽車和工業(yè)自動化市場正在引領(lǐng)安全閃存的采用，這是由于需要滿足最苛刻的安全性和功能安全要求。由于嵌入式系統(tǒng)中的潛在漏洞可能導致可遠程利用的攻擊，從而威脅到乘客或工人的安全，因此，如果不確保強大的安全性，就無法實現(xiàn)系統(tǒng)中的功能安全。因此，要求安全關(guān)鍵型應用中的所有半導體元件（包括外部閃存設備）均符合高級駕駛輔助系統(tǒng)（ADAS）的ISO26262標準和工業(yè)系統(tǒng)的IEC 61508標準。

在現(xiàn)場持續(xù)監(jiān)控設備的健康狀況以及執(zhí)行遠程診斷和預防性維護也至關(guān)重要。閃存設備容易出現(xiàn)多種故障模式，包括由于電荷損失或宇宙輻射、延遲、功率損耗故障等引起的閃存單元故障，需要解決這些問題，以確保在20年或更長時間的使用壽命內(nèi)具有高可靠性。

閃存的未來

智能安全閃存作為eFlash的替代品正在被接受，隨著工藝幾何形狀縮小到28nm以下，eFlash注定會變得稀缺或完全消失。可以集成eFlash但需要專用于HSM功能的額外非易失性存儲器的芯片組也將受益于安全閃存的出現(xiàn)。在這兩種設計中，安全閃存能夠以加密安全的方式在受保護區(qū)域和主機MCU的HSM之間通過行業(yè)標準總線傳輸代碼和數(shù)據(jù)。

預計采用安全閃存的設計將變得更加普遍，甚至對于滿足不斷變化的安全要求至關(guān)重要。攻擊正變得越來越普遍和復雜。預計法規(guī)將變得更加嚴格，增加的自主性將進一步提高安全性和功能安全的重要性。為了滿足這些不斷變化的需求，同時最大限度地縮短新功能的上市時間，設計工程師將越來越依賴只有智能安全閃存才能提供的敏捷性。

審核編輯：郭婷