信息安全概览

Ameba Trust 信息安全

信息安全概览

概览

随着物联网和智能设备的快速发展,信息安全问题日益突出。真正的系统安全需要端到端的考量——从云端服务、数据传输通道,到边缘设备和终端产品,每个环节都应具备相应的安全防护。尤其对于资源受限的终端设备,更不应因其处理能力或成本限制而成为整个系统的安全短板。Ameba Trust 正是在这一背景下推出的安全解决方案,旨在帮助客户在新产品设计阶段就集成更强的安全能力。它充分利用 Ameba MCU 的硬件安全特性和配套生态资源,简化安全功能的实现,提升整体系统的可信度与可靠性。

Ameba Trust 是一套面向嵌入式设备的信息安全架构,提供从芯片启动到应用运行的全链路保护。它集成了安全启动、可信执行环境(TEE)、安全存储和密钥管理等核心功能,符合行业通用安全规范,并可根据不同应用场景灵活启用所需的安全能力。

Ameba_Trust 信息安全架构

一些典型的安全功能需求:

  • 安全启动
  • 安全固件更新
  • 代码保护
  • 安全存储
  • 密码学算法引擎
  • 安全隔离
  • 安全生产
  • 生命周期安全

安全启动与安全更新

Ameba 提供基于 Arm TrustZone® 安全架构的安全启动与安全固件更新参考实现,适用于 Arm Cortex®-M(v8-M)处理器平台。该方案充分利用 MCU 的硬件安全能力,确保启动入口唯一、启动代码不可篡改,并具备以下特性:

  • 支持多种加密算法与签名机制
  • 提供配套的签名与固件打包工具
  • 支持单固件与双固件更新模式
  • 已通过第三方安全评估(如 PSA Certified Level 2)
Ameba Arm TrustZone 安全启动与固件更新方案特性

了解更多:请点击 安全启动OTA 固件升级

代码保护

为防止固件代码通过调试接口被非法读取,Ameba 芯片支持使用密钥锁定调试功能。建议在量产设备中通过密钥机制限制调试功能,并可选择永久关闭安全世界(Secure World)或非安全世界(Non-Secure World)的调试接口。较新的 Ameba 系列进一步支持上电时默认关闭所有调试访问,并在安全启动验证成功后,按需动态启用特定域的调试权限,兼顾开发调试灵活性与设备运行时安全。

调式端口访问控制
  • 支持密码保护的访问控制
  • 可选永久关闭调式接口
  • 安全启动后支持授权访问
Flash 存储器数据保护
  • 实时解密 Flash 上的密文代码和数据
  • 无须软件解密,直接运行加密代码
  • 多固件独立密钥加密
  • 支持每台设备都具备唯一的加密密钥

当代码或数据存储在内置或外部 Flash 中时,Ameba 系列芯片通过 RSIP(Runtime Secure Image Protection)硬件模块提供运行时透明解密能力。RSIP 模块在 Bus Matrix 与 SPIC 之间,当 CPU 或 DMA 访问加密区域时,RSIP 自动解密数据,无须软件参与,也无须将内容预加载到内部 RAM,支持直接执行 Flash 上的加密代码。Flash 可划分为多个区域,每个区域使用独立密钥。

固件加密可以通过芯片集成的对称加密引擎完成,将固件加密后写入 Flash(通常经 RAM 中转)。密钥可为每个设备唯一生成,并由硬件保护,仅加密引擎可访问。注意:RSIP 仅在读取时提供透明解密,不支持运行时实时加密写入。

了解更多:请点击 Flash XIP 解密SWD 保护

安全存储

敏感数据在存储时需加密,而加密密钥自身的安全存储与使用是防护关键。Ameba 芯片通过以下机制应对不同类型的威胁:

  • 抵御外部攻击:通过调试端口访问控制与芯片生命周期管理(如从开发到量产的权限锁定),防止物理提取
  • 防范内部软件攻击:利用硬件隔离机制(如 Arm TrustZone 或安全内存区域),确保即使存在软件漏洞,敏感数据也无法被非授权代码访问

Ameba 通过硬件与软件协同设计,实现密钥的安全存储与受控使用,具体包括以下方面:

  • OTP 保护:通过配置 Security 选项字节,可将多组密钥永久锁定在 OTP 区域,锁定后不可读、不可写;部分 OTP 区域仅限 Secure CPU 访问
  • 密钥隔离使用:加密引擎可调用已锁定的 OTP 密钥执行加解密操作,但密钥本身始终不暴露给软件或外部接口
  • 硬件唯一密钥(HUK)支持:每颗芯片在 ROM 启动阶段才可以访问唯一的 HUK,用于派生运行时密钥;HUK 在 ROM 阶段结束后即被硬件锁定,无法再次访问
  • 加密引擎安全状态隔离:硬件加密引擎区分安全与非安全状态,非安全世界的应用代码无法控制安全状态下的硬件操作,确保 Secure 密钥使用过程受保护
  • 基于 Arm TrustZone 的系统级防护:支持 Arm TrustZone 架构,利用其硬件强制的系统隔离能力保护密钥;同时可配合 Trusted Firmware-M(TF-M)软件框架,提供标准化的安全存储服务
Ameba 芯片安全存储特性与优势

了解更多:请点击 OTP 存储HUK 派生

密码学算法引擎

Ameba 系列芯片提供对主流密码库的软件支持,便于开发符合不同安全标准的应用:

  • Mbed TLS:轻量级开源密码库,支持 TLS/DTLS 及国际通用加密算法,Ameba 有支持硬件加速。点击 官方文档 了解更多
  • GmSSL:开源国密算法工具箱,支持 SM2(公钥加密/签名)、SM3(哈希)、SM4(分组加密)、SM9(标识密码)及 ZUC 等中国商用密码标准。点击 项目主页 了解更多

硬件方面,Ameba 系列芯片集成 HASH、AES 和真随机数生成器(TRNG)硬件模块,此外还支持非对称加密引擎,可高效执行 RSA(最高 3072 位)和 ECC(256 位)运算。其中,RTL8721F 进一步支持 RSA(4096 位)与 ECC(512 位),并具备针对计时攻击(Timing Attack)、简单功耗分析(SPA)和差分功耗分析(DPA) 的防护能力,相关加密算法实现已通过 NIST CAVP(Cryptographic Algorithm Validation Program)认证。

密码学算法引擎优势

了解更多:请点击 TRNG对称加密引擎非对称加密引擎

安全隔离

隔离机制的作用:

  • 保护系统免受攻击:隔离主要是为了防止逻辑攻击,特别是当软件存在未修复的漏洞时,软件漏洞可能被利用,进而导致关键信息收到损害。通过限制不同软件部分之间的访问权限,即使某一部分被攻破,其他关键资源依然安全。
  • 区分访问权限:隔离策略将资源分为不同的访问等级。软件运行在不同状态时对资源的访问权限是不同的,例如,内存和外设等重要资源仅允许特定的代码访问,从而避免恶意代码获取敏感信息或执行非法操作。
Ameba 安全隔离机制的作用

Ameba MCU 的隔离特性:

  • MPU 单元:所有 Amaba MCU 都带有的 MPU 单元(或类似功能),能够划分多个区域并设置各自的访问属性。结合内核的 User 和 Privilege 模式,实现对关键资源的有效控制。
  • Arm TrustZone:将所有系统资源,从内存到外设都可以区分为安全和非安全两种属性,代码在运行时有安全和非安全两种状态,对不同安全属性的资源也有着不同的访问权限
  • 硬件隔离单元:MPC(Memory Protection Controller)和 PPC(Peripheral Protection Controller)支持在物理总线层面保护标记为安全的内存区域或外设。

通过这些机制,Ameba MCU 不仅提供了基本的安全保障措施,如密钥存储和加密操作,还支持更复杂的场景,比如身份验证算法的执行。

Ameba 支持的隔离机制

了解更多:请点击 内存管理TrustZone 安全处理环境TrustZone 固件保护

安全生产

安全生产涵盖了从芯片编程到设备组装的各个环节,确保在生产过程中敏感信息不被泄露或篡改。Ameba 提供安全的制造流程,可以支持每台设备都具备唯一的加密身份,从而实现基于证书的无缝接入主流 IoT 云平台。

此外,针对代码或者数据交由第三方工厂进行烧写的情况可能存在的风险,例如数据盗取,数据篡改以及过量生产,Ameba 提供了以下安全生产方案:

  • 加密烧写:通过加密工具将固件加密后烧写到 Flash 中,确保即使烧写过程中数据被截获,也无法被解密和利用,可选支持一机一密安全方案。。
  • 唯一身份绑定:每台设备在生产过程中绑定唯一的身份信息,并将其安全存储在芯片内部,确保设备在后续生命周期中的身份不可伪造。
  • 生产权限控制:Ameba 提供 HSM 支持,OEM 可以将 HSM 和加密后的 binary 密文交付工厂进行烧写,HSM 还可以进行烧录计数,进行产量控制,避免过量生产情况的发生。

通过这些措施,Ameba 的安全生产方案不仅保护了生产过程中的敏感信息,还为设备的安全生命周期管理奠定了坚实的基础。

了解更多:请点击 技术支持

生命周期安全

生命周期安全涵盖了设备从生产、部署、使用到退役的全过程,确保在每个阶段都能有效防护设备免受安全威胁。Ameba 提供全面的生命周期安全管理方案,包括以下方面:

  • 生产阶段:通过安全生产流程,确保设备在制造过程中不被篡改或植入恶意代码,支持唯一身份绑定和加密烧写等措施。
  • 部署阶段:提供安全的设备注册和认证机制,确保只有合法设备能够接入网络和云平台。
  • 使用阶段:通过定期的安全更新和漏洞修复,持续提升设备的安全性,并支持固件回滚机制,保障设备在使用过程中稳定可靠。
  • 返修阶段:提供安全的设备返修流程,确保设备在返修过程中芯片原厂或授权机构都无法获取用户敏感数据。
  • 退役阶段:提供安全的设备退役流程,确保设备在退役后无法被恶意利用。

通过这些措施,Ameba 的生命周期安全方案不仅保护了设备在各个阶段的安全,还为客户提供了全方位的安全保障,帮助他们应对不断变化的安全威胁。

了解更多:请点击 生命周期

安全认证

Ameba MCU 及其解决方案已获得多项全球认可的安全认证与法规合规,充分满足物联网设备安全要求,具体包括:

PSA Level 1 安全认证

PSA Level 2 安全认证

PSA API Compliance 认证

了解更多:请点击 IoT 芯片安全认证及标准 查看更多安全认证和法规合规信息。

开发资源

SDK 下载 查看
FreeRTOS 系统安全编程指南 查看
联系我们 查看


推荐 IC 型号

功能 筛选 RTL8721Dx RTL8720E RTL8710E RTL8726E RTL8713E RTL8730E RTL8721F RTL872xD RTL8735B
AES 硬件引擎
SHA 硬件引擎
ECDSA/ECDH 硬件引擎
EDDSA 硬件引擎
RSA 硬件引擎
安全启动
Flash OTF 解密
Arm TrustZone
OTP 安全存储
真随机数发生器
HUK 派生机制
调试密码保护