更(geng)安(an)全(quan)的(de)引(yin)導(dao)過(guo)程(cheng)可(ke)保(bao)護(hu)固(gu)件(jian)映(ying)像(xiang)
，以(yi)消(xiao)除(chu)密(mi)鑰(yao)或(huo)映(ying)像(xiang)被(bei)盜(dao)用(yong)造(zao)成(cheng)的(de)問(wen)題(ti)。通(tong)過(guo)使(shi)用(yong)安(an)全(quan)存(cun)儲(chu)和(he)加(jia)密(mi)加(jia)速(su)器(qi)，有(you)效(xiao)的(de)安(an)全(quan)引(yin)導(dao)功(gong)能(neng)已(yi)內(nei)置(zhi)到(dao)越(yue)來(lai)越(yue)多(duo)的(de)處(chu)理(li)器(qi)中(zhong)
，包(bao)括(kuo) Silicon Laboratories 的 Gecko 係列 2 處理器、NXP 的 LPC55S69JBD100、Maxim Integrated 的 MAX32520 和 Microchip Technology 的 ATSAML11D16A 等等。利用這些功能，此類安全處理器可以提供所需的信任根，以創建用於係統和應用軟件執行的可信環境。

 

通過安全引導提供信任根

 

此類安全處理器提供安全引導選項，旨在確保信任根所依托的固件映像的完整性。例如，Silicon Laboratories 的 EFR32MG21A 和 EFR32BG22 Gecko 係列 2 處理器分別通過基於硬件安全元件和虛擬安全元件 (VSE) 的多級引導過程來構建此信任根（圖 2）。

 

 

在 EFR32MG21A 中，專用處理器內核提供加密功能以及用於安全密鑰存儲的硬件安全元件。在此專用功能的支持下
，處理器使用隻讀存儲器 (ROM) 中存儲的代碼發起引導過程
，以驗證第一級引導程序 (FSB) 代碼。完成驗證後，FSB 代碼即會運行，接著又會驗證第二級引導程序 (SSB) 的代碼簽名。引導序列繼續執行經驗證的 SSB，後(hou)者(zhe)進(jin)而(er)會(hui)驗(yan)證(zheng)應(ying)用(yong)程(cheng)序(xu)代(dai)碼(ma)的(de)簽(qian)名(ming)，而(er)該(gai)代(dai)碼(ma)通(tong)常(chang)包(bao)括(kuo)係(xi)統(tong)級(ji)代(dai)碼(ma)和(he)更(geng)高(gao)級(ji)別(bie)的(de)應(ying)用(yong)程(cheng)序(xu)代(dai)碼(ma)。最(zui)後(hou)
，經(jing)驗(yan)證(zheng)的(de)應(ying)用(yong)程(cheng)序(xu)代(dai)碼(ma)運(yun)行(xing)，係(xi)統(tong)根(gen)據(ju)應(ying)用(yong)程(cheng)序(xu)的(de)要(yao)求(qiu)繼(ji)續(xu)執(zhi)行(xing)操(cao)作(zuo)。

 

由於此過程從 ROM 代碼開始，而且僅運行經驗證的 FSB
、SSB 和應用程序代碼，因此該方法將產生經驗證的信任鏈來執行代碼。由於此信任鏈中的第一環依賴於無法修改的 ROM 代(dai)碼(ma)

，因(yin)此(ci)信(xin)任(ren)鏈(lian)中(zhong)後(hou)續(xu)的(de)每(mei)一(yi)環(huan)都(dou)會(hui)延(yan)續(xu)此(ci)可(ke)信(xin)環(huan)境(jing)。與(yu)此(ci)同(tong)時(shi)，這(zhe)種(zhong)方(fang)法(fa)還(hai)允(yun)許(xu)開(kai)發(fa)人(ren)員(yuan)安(an)全(quan)地(di)更(geng)新(xin)應(ying)用(yong)程(cheng)序(xu)代(dai)碼(ma)，甚(shen)至(zhi)是(shi)第(di)一(yi)級(ji)和(he)第(di)二(er)級(ji)引(yin)導(dao)程(cheng)序(xu)代(dai)碼(ma)。隻(zhi)要(yao)每(mei)個(ge)代(dai)碼(ma)包(bao)都(dou)提(ti)供(gong)經(jing)驗(yan)證(zheng)的(de)簽(qian)名(ming)
，可(ke)信(xin)環(huan)境(jing)就(jiu)能(neng)保(bao)持(chi)完(wan)好(hao)。

 

使用信任根提供這種安全引導的處理器
，通常支持多種模式和選項。例如
，Silicon Laboratories 的 Gecko 係列 2 處理器提供了更強大的基於證書的安全引導功能。

 

證書可用於常規公鑰基礎結構 (PKI) 事務處理，包含公鑰以及對一個或多個相關證書的引用，這些證書最終指向證書頒發機構 (CA) 授予的根證書。此鏈中的每個證書均用於驗證其下麵的證書
，從而形成基於值得信賴的 CA 的信任鏈。在傳輸層安全性 (TLS) 的認證階段，瀏覽器依靠此信任鏈來確認 Web 服(fu)務(wu)器(qi)的(de)身(shen)份(fen)。嵌(qian)入(ru)式(shi)係(xi)統(tong)可(ke)采(cai)用(yong)相(xiang)同(tong)的(de)方(fang)法(fa)使(shi)用(yong)證(zheng)書(shu)來(lai)確(que)認(ren)引(yin)導(dao)程(cheng)序(xu)或(huo)應(ying)用(yong)程(cheng)序(xu)代(dai)碼(ma)源(yuan)的(de)身(shen)份(fen)。在(zai)這(zhe)裏(li)，按(an)照(zhao)前(qian)述(shu)方(fang)式(shi)執(zhi)行(xing)多(duo)級(ji)引(yin)導(dao)過(guo)程(cheng)
，但(dan)需(xu)要(yao)額(e)外(wai)驗(yan)證(zheng)與(yu)每(mei)一(yi)級(ji)相(xiang)關(guan)的(de)證(zheng)書(shu)（圖 3）。

 

 

NXP 的 LPC55S69JBD100 等其他處理器支持多種不同的固件映像選項。除了簽名的固件映像外，這些處理器還支持使用可信計算組織推出的設備標識符組合引擎 (DICE) 行業標準的引導映像。第三個選項允許開發人員將映像存儲在支持 PRINCE 加密的處理器閃存特殊區域內，其中 PRINCE 加密是一種低延遲的分組加密，能夠在小得多的矽麵積內達到與其他加密相當的安全強度。在 LPC55S69JBD100 中可實現 PRINCE 加密，這種技術能對處理器專用的 PRINCE 閃存區中存儲的加密代碼或數據執行實時解密。由於解密使用的密鑰僅供 PRINCE 加密引擎訪問，因此該解密過程仍然是安全的。實際上，這些密鑰由 LPC55S69JBD100 的物理不可克隆功能 (PUF) 生成的密鑰加密密鑰 (KEK) 提供保護。（有關 PUF 和 KEK 用法的更多信息，請參見第 2 部分。）

 

這種方法使開發人員能夠存儲更多固件映像，而這是在避免“封閉”設備的風險情況下，為物聯網設備提供固件無線 (FOTA) gengxinfangfasuoxudegongneng。ruguochuliqizhinengshiyongyigeweizhilaicunchugujianyingxiang，zeyouquexiandegujianyingxianghuijiangchuliqizhiyubuquedinghuosuodingdezhuangtai，congersuodinghuozusaishebei。tongguojianggujianyingxiangcunchuzai LPC55S69JBD100 中啟用了 PRINCE 的閃存區內，開發人員可使用回退策略，即如果新版本引導進入無法工作狀態
，則還原固件的上一個正常工作版本。

 

由於所有這些新固件映像都必須通過基礎引導過程中所需的簽名驗證檢查，所以開發人員可充分利用安全 FOTA，在不影響係統或其信任鏈的情況下添加新功能或修複錯誤。

 

總結

 

係(xi)統(tong)和(he)應(ying)用(yong)級(ji)別(bie)的(de)安(an)全(quan)性(xing)需(xu)要(yao)一(yi)個(ge)隻(zhi)允(yun)許(xu)授(shou)權(quan)軟(ruan)件(jian)運(yun)行(xing)的(de)執(zhi)行(xing)環(huan)境(jing)。盡(jin)管(guan)代(dai)碼(ma)簽(qian)名(ming)驗(yan)證(zheng)是(shi)實(shi)現(xian)此(ci)類(lei)環(huan)境(jing)的(de)基(ji)本(ben)功(gong)能(neng)
，但(dan)安(an)全(quan)係(xi)統(tong)還(hai)需(xu)要(yao)利(li)用(yong)更(geng)全(quan)麵(mian)的(de)功(gong)能(neng)集(ji)來(lai)構(gou)建(jian)必(bi)要(yao)的(de)信(xin)任(ren)鏈(lian)，以(yi)確(que)保(bao)執(zhi)行(xing)的(de)是(shi)受(shou)信(xin)任(ren)的(de)軟(ruan)件(jian)。這(zhe)些(xie)可(ke)信(xin)環(huan)境(jing)的(de)基(ji)礎(chu)在(zai)於(yu)信(xin)任(ren)根(gen)，而(er)信(xin)任(ren)根(gen)可(ke)通(tong)過(guo)安(an)全(quan)處(chu)理(li)器(qi)所(suo)支(zhi)持(chi)的(de)安(an)全(quan)引(yin)導(dao)機(ji)製(zhi)提(ti)供(gong)。使(shi)用(yong)此(ci)類(lei)處(chu)理(li)器(qi)，開(kai)發(fa)人(ren)員(yuan)可(ke)以(yi)實(shi)現(xian)安(an)全(quan)的(de)物(wu)聯(lian)網(wang)設(she)備(bei)
，使(shi)其(qi)能(neng)夠(gou)抵(di)禦(yu)企(qi)圖(tu)破(po)壞(huai)係(xi)統(tong)中(zhong)的(de)軟(ruan)件(jian)執(zhi)行(xing)或(huo)完(wan)全(quan)劫(jie)持(chi)係(xi)統(tong)的(de)攻(gong)擊(ji)行(xing)為(wei)。