MEC170x/MEC172x的信任根及安全启动

Microchip的MEC170x/MEC172x 系列嵌入式控制器（EC）提供多种功能，以满足复杂且具有挑战性的计算应用之要求。它们提供基於硬体的安全性，其安全启动（或信任根）功能是使用芯片上启动 Boot Loader ROM中的不可变韧体程式码及公钥或私钥加密来执行的。此安全启动过程能满足 NIST 800-193韧体复原指南中对保护和检测要求。

在 MEC170x/MEC172x载入执行所有储存於外接SPI 快闪记忆体的应用程式码前，其启动ROM中的不可变韧体程式码（信任根）使用芯片上OTP（一次性烧录记忆区）所储存之公钥对即将载入的应用程式码进行数位签章身份验证。ECC 数位签章演算法（ECDSA）用於对程式码进行身份验证，并验证程式码曾否遭意外或恶意损坏。要达到系统与应用层级的安全，需要执行环境仅可允许授权软体运作。这些可信赖的环境基础在於此种硬体信任根。

系统程式码恢复

为了满足 NIST 平台韧体复原指南中的恢复要求，MEC172x 应用程式码的两个映像储存在 SPI 快闪记忆体（Tag0 和 Tag1）中，以提供安全备份。在开机启动时，MEC170x/MEC172x首先会将尝试使用 Tag0 所映射的程式码0进行启动。如果此程式码映像已损坏，它则会将尝试使用Tag1所映射的程式码1进行启动。一旦MEC170x/MEC172x载入了应用程式码，它就可以使用其加密演算法和加密硬体将完成信任根扩展至系统程式码（BIOS 和 ME）。如果 MEC170x/MEC172x 检测到系统程式码已损坏，应用程式码就可以通过使用备份（黄金映像备份）将系统恢复到完整性状态。

下图为一般常见的PC架构：在这种 MAF 配置中，SPI 快闪记忆体容量充足，可以储存主机BIOS和 ME 程式码的黄金映像备份及正常的主机BIOS和 ME 程式码。

开机时，首先执行MEC170x/MEC172X ROM上的 Boot Loader（受信任的不可变程式码）

· ROM上的 Boot Loader程式码根基於硬体无法变更

· 无法远端修改

· 因此ROM上的 Boot Loader 建立信任根

ROM上的 Boot Loader

· 保持主机CPU/SOC处於RESET状态（RSMRST# = 0）

· 从SPI快闪记忆体载入并验证EC应用程式码

经过身份验证的 EC 程式码

· 开始执行

· 验证系统 BIOS 和 ME 程式码

· 释放主机处理器的RESET状态（RSMRST# = 1）

信任链现已扩展到：

· EC 应用程式码

· BIOS和ME程式码

安全程式码更新：

有时，必须实现安全程式码更新才能更新系统中的一个或所有程式码映像。通常的建议是分配一段SPI快闪记忆体来保存程式码映像，以便在将这些程式码映像作为主映像或备份映像复制之前对其进行身份验证。此区域可称为暂存区域。

在某些系统中，映像档案可能非常大，以至快闪记忆体设备中没有足够的区域用於储存主映像、备份映像和暂存映像。在这种情况下，系统可以将暂存映像储存在系统 DRAM 中。MEC172x 在 eSPI 汇流排上实现汇流排主控，允许 MEC172x 直接访问大量系统快闪记忆体。MEC172x 可以使用 4 KB 为增量读取大型 DRAM 块，并对暂存映像进行身份验证。一旦暂存映像通过身份验证，MEC172x就可以将其复制到SPI快闪记忆体并再次进行身份验证，以确保在将映像复制到快闪记忆体设备时不会引入错误。

其他EC产品（如 CEC1712）也可以实现相同的保护、检测和恢复功能。

欢迎访问MEC170x 产品页面（https://www.microchip.com/en-us/product/MEC1703

），MEC172x 产品页面（https://www.microchip.com/en-us/product/MEC1723 和 CEC1712 产品页面（https://www.microchip.com/en-us/product/CEC1712

），以了解有关使用这些产品的更多资讯。

本文作者为：Microchip主任应用工程师黄俊斐

‧	新一代4D成像雷达实现高性能
‧	蜂巢服务和 Wi-Fi 辅助全球卫星导航系统追踪贵重物品
‧	2024年嵌入式系统的三大重要趋势
‧	利用微小型温湿度感测器精准收集资料
‧	以模拟技术引领液态矽橡胶成型新境界

comments powered by Disqus