基于MCU的設計可以通過將算法編碼到設備中來輕松添加專用和差異化功能。舊算法或全新方法的新變化可以使成功的產品與失敗之間產生差異。不幸的是，使用MCU還可以打開您的設計以逆向工程，競爭對手會竊取您的辛勤工作并從您的創(chuàng)新中獲益。當然，律師可以參與并可能進行報復，但通常只有在損害發(fā)生后才能進行。更好的方法是保護您的設計免受常見的硬件篡改入侵，這些入侵用于訪問您的代碼并竊取您寶貴的IP。

本文將介紹硬件“黑客”用于訪問貴重設計IP的一些常用方法。新的MCU包括幾個關鍵功能，可用于設置一些困難的障礙，以防止硬件篡改。這些防篡改設計技術可以成為MCU設計人員技術“訣竅”的重要組成部分。

片上防篡改：管理員模式

最新創(chuàng)新之一在MCU中已經包含了多年來在標準CPU中使用的功能。最早的防篡改功能之一，將用戶操作模式與管理員操作模式分離（管理員模式通常與CPU中的操作系統(tǒng)模式相關）已經出現(xiàn)在MCU設備中。此功能允許監(jiān)督軟件對受保護資源進行特權訪問，同時限制或取消對較低權限用戶程序的訪問。這使得黑客通過用戶軟件代碼錯誤獲得對系統(tǒng)的控制變得更加困難。即使可以使用用戶錯誤來獲得對MCU的控制，它仍然會停留在用戶模式，而無法訪問與配置，編程，調試和系統(tǒng)控制相關的最重要的系統(tǒng)元素。

作為一個說明性示例，飛思卡爾Kinetis K60 MCU系列支持管理員和用戶模式。這允許系統(tǒng)保持對配置外圍設備，訪問受保護的存儲器空間，限制系統(tǒng)代碼的重新編程以及限制對用于保護用戶數(shù)據(jù)的加密功能的訪問的控制。許多關鍵的MCU系統(tǒng)資源需要一種監(jiān)控模式來訪問配置寄存器。例如，多功能時鐘發(fā)生器（MCG）將對所有相關控制寄存器的寫訪問限制為管理員模式（圖1）。這消除了未經授權篡改時鐘設置的可能性，時鐘設置是硬件黑客試圖禁用系統(tǒng)操作的潛在攻擊向量。此外，管理程序模式可防止用戶代碼無意中訪問系統(tǒng)資源，然后可能為攻擊者提供方便的“后門”，以獲取對其他受保護資源的訪問權。

圖1：飛思卡爾Kinetis K60 MCU多功能時鐘發(fā)生器具有僅限超級用戶對敏感控制寄存器的寫訪問權限（由飛思卡爾提供）

許多其他外設和系統(tǒng)功能具有類似的訪問保護。最敏感的元素，如閃存控制器，只能將對控制和數(shù)據(jù)寄存器的寫訪問限制為管理員模式。閃存控制器中的高速緩沖存儲器甚至可以防止未經授權的讀取，因此黑客無法“窺探”其他敏感數(shù)據(jù)。其他不太敏感的元件具有不太嚴格的訪問要求，但即使CAN總線控制寄存器也可以防止未經授權的寫入，因為您不希望黑客能夠控制您汽車的剎車！

篡改 - 檢測功能

無論您在保護設計方面有多徹底，仍有可能發(fā)生篡改。篡改檢測的幾種方法是可能的并且通常易于實現(xiàn)。例如，為了檢測板級篡改事件（例如硬件探測，提升信號跡線和電源改變），通常在印刷電路板上的內部層中放置特殊的隱藏篡改檢測跡線。如果攻擊者試圖鉆電路板以訪問關鍵信號，則可以檢測到對隱藏軌跡的影響。另一種常見方法是使用機械篡改檢測蓋，可以檢測攻擊者試圖訪問封閉設備。

大多數(shù)篡改檢測方法都可以生成篡改檢測信號，然后由MCU決定采取行動 - 通常非?？?，因此攻擊者幾乎沒有可用于惡作劇的時間。當檢測到篡改事件時，MCU可能采取的常見操作是快速記錄事件，然后重置系統(tǒng)，關閉關鍵部分的電源，甚至清除敏感信息。記錄事件可以是逐步升級“懲罰”篡改生成的有用方法。如果篡改是一個反復發(fā)生的事件，那么應用更嚴厲的響應（可能是擦除代碼和敏感數(shù)據(jù)）可能是謹慎的。如果這是第一次篡改事件，那么較不嚴重的響應（可能只是系統(tǒng)重置）可能更合適。如果日志將用于確定升級過程，則捕獲篡改事件的時間戳非常重要。

某些MCU包括監(jiān)視事件輸入并生成用于記錄的時間戳的功能。例如，德州儀器（TI）MSP430FR5739 MCU具有實時時鐘外設（RTC）RTC_C，與其他RTC外設類似，如下面的圖2所示。但是，RTC_C具有額外的篡改檢測事件記錄功能。

圖2：德州儀器MSP430定時器/計數(shù)器資源（由德州儀器公司提供）

事件/篡改檢測時間戳可以監(jiān)視兩個MCU輸入，當其中一個變?yōu)榛顒訝顟B(tài)時，會生成篡改事件。輸入可以來自用于檢測篡改保護蓋的移除的開關，移除備用電池或任何數(shù)量的巧妙的隱藏篡改檢測方法。激活篡改事件時捕獲實時時鐘的值，它可以用作記錄活動的一部分。此值可用于查看篡改事件是否以更高的頻率發(fā)生，以便可以應用不斷升級的懲罰。

使用事件監(jiān)視器記錄器進行篡改報告

為了簡化捕獲和記錄篡改事件的過程，一些MCU為篡改事件檢測和時間添加了更多功能 - 郵票捕獲功能。例如，恩智浦LPC1800 MCU具有專用的事件監(jiān)視器/記錄器外圍設備，可快速捕獲，記錄和響應篡改事件。如圖3中的框圖所示，恩智浦LPC1800最多可監(jiān)控三個篡改事件輸入，并可捕獲事件的時間戳。為第一個篡改事件和最后一個篡改事件存儲時間戳，以便于查看它們發(fā)生的時間段。整個外圍設備在備用電池電源域運行，RTC也是如此，即使在電源被移除或斷電情況下發(fā)生事件也可以記錄事件 - 這是黑客使用的常用方法繞過基于機箱的篡改檢測方案。

圖3：恩智浦LPC1800 MCU系列事件監(jiān)控記錄儀方框圖（由恩智浦提供）

請注意，即使MCU處于低功耗狀態(tài)，也可能會產生中斷或喚醒事件。這確保了篡改事件可以快速響應，因此黑客在應用懲罰之前有最少的時間來攻擊系統(tǒng)。隨著安全性和篡改檢測和防護變得越來越重要，期望將更多功能添加到專用篡改外圍設備中，以便以更低的開銷保護設計。

參考設計向您展示

了解MCU設計的篡改檢測和預防功能的最有效方法之一是查看參考設計。許多MCU供應商為其產品提供參考設計，并且在某些情況下，它們說明了高級功能，例如篡改檢測和預防。僅舉一個例子，Microchip的能量計參考設計非常接近基于PIC18F MCU的完整系統(tǒng)。部分設計包括多種篡改檢測功能，包括電源反轉，頻率干擾，低電流，外部施加的磁場檢測以及篡改蓋移除檢測開關。下面的圖4顯示了系統(tǒng)和檢測到篡改事件時記錄的篡改代碼列表。

圖4：Microchip電表參考設計和防篡改功能（由Microchip提供）

硬件布局，原理圖和物料清單可用于充分利用Microchip在參考設計中投入的工作。該代碼也可用，可用作您自己的篡改檢測和日志記錄方案的起點，用于基于Microchip PIC 18F MCU的設計。您還可以使用Digi-Key參考設計庫并搜索“Tamper”，以輕松生成具有篡改相關功能的參考設計列表。

結論

使用防篡改技術對于保護為基于MCU的系統(tǒng)創(chuàng)建的有價值的設計IP至關重要?，F(xiàn)代MCU設備中提供了多種防篡改技術，即使是最具攻擊性的硬件黑客，也可以有效阻止這些技術。