在嵌入式開(kāi)發(fā)中，安全存儲(chǔ)通常是系統(tǒng)中的一個(gè)內(nèi)存位置，用于保護(hù)對(duì)加密密鑰、用戶和服務(wù)憑證以及其他系統(tǒng)數(shù)據(jù)等敏感數(shù)據(jù)的訪問(wèn)。安全存儲(chǔ)可以在芯片上，例如在閃存庫(kù)或RAM位置內(nèi)，或者像NOR閃存芯片那樣的外部閃存設(shè)備內(nèi)。

　　安全存儲(chǔ)的目標(biāo)是防止私人數(shù)據(jù)被泄露到使用數(shù)據(jù)的設(shè)備或服務(wù)之外，并防止被克隆。正如你可能想象的那樣，安全存儲(chǔ)通常與系統(tǒng)信任根服務(wù)相關(guān)聯(lián)，并使用加密密鑰來(lái)加密數(shù)據(jù)并保持其機(jī)密性和完整性。

　　安全存儲(chǔ)就是保護(hù)數(shù)據(jù)和保守秘密。

　　使用Trusted Firmware-M安全存儲(chǔ)

　　開(kāi)發(fā)人員可以使用多種機(jī)制在其嵌入式系統(tǒng)中創(chuàng)建安全存儲(chǔ)。正如我前面提到的，安全存儲(chǔ)通常與系統(tǒng)的信任根聯(lián)系在一起，首先要考慮的是你選擇的微控制器附帶的服務(wù)解決方案。例如，如果你使用的是Arm Cortex-M處理器，那么你的供應(yīng)商很有可能支持Trusted Firmware-M (TF-M)。

　　Trusted Firmware-M (TF-M)是平臺(tái)安全架構(gòu)(PSA)物聯(lián)網(wǎng)安全框架的參考實(shí)施。該框架為嵌入式開(kāi)發(fā)人員提供了幾種不同的安全服務(wù)，例如：

　　審核日志記錄

　　密碼系統(tǒng)

　　固件更新

　　認(rèn)證

　　安全存儲(chǔ)

　　TF-M的安全存儲(chǔ)功能分為兩個(gè)主要服務(wù)：內(nèi)部可信存儲(chǔ)(ITS)和受保護(hù)存儲(chǔ)(PS)。內(nèi)部可信存儲(chǔ)是一種PSA信任根服務(wù)，用于在內(nèi)存中存儲(chǔ)最安全的設(shè)備數(shù)據(jù)。內(nèi)部可信存儲(chǔ)在幾個(gè)方面不同于受保護(hù)存儲(chǔ)。首先，ITS是內(nèi)部PSA信任根服務(wù)，而PS是PSA信任根應(yīng)用服務(wù)。其次，ITS旨在保護(hù)片內(nèi)存儲(chǔ)器，而PS旨在保護(hù)片外存儲(chǔ)的數(shù)據(jù)。最后，PS具有加密外部數(shù)據(jù)、驗(yàn)證和提供回滾保護(hù)的附加功能。ITS可被視為用于保護(hù)密鑰和用戶憑據(jù)等數(shù)據(jù)的存儲(chǔ)，而PS可被視為由固件更新或其他用戶數(shù)據(jù)資產(chǎn)等較大數(shù)據(jù)集進(jìn)行存儲(chǔ)。

　　使用PUF確保存儲(chǔ)安全

　　在嵌入式開(kāi)發(fā)中，近年來(lái)出現(xiàn)的創(chuàng)建信任根和安全存儲(chǔ)的一個(gè)令人興奮的解決方案是使用SRAM PUFs(物理不可克隆功能)。SRAM PUFs背后的想法是，該算法使用SRAM的一部分來(lái)創(chuàng)建唯一的設(shè)備密鑰，該部分在生產(chǎn)過(guò)程中存在亞微米變化。該唯一的設(shè)備密鑰隨后成為該設(shè)備的私有信任根密鑰。PUF解決方案很有吸引力，因?yàn)樗闪艘粋€(gè)不可復(fù)制的密鑰，該密鑰只在設(shè)備通電時(shí)存在。然后，該密鑰可用于創(chuàng)建與硬件相關(guān)的密鑰庫(kù)，以創(chuàng)建安全的存儲(chǔ)解決方案。

　　芯片外安全存儲(chǔ)

　　外部存儲(chǔ)器供應(yīng)商開(kāi)始在其存儲(chǔ)器設(shè)備中采用安全存儲(chǔ)解決方案，允許數(shù)據(jù)安全地存儲(chǔ)在存儲(chǔ)器設(shè)備上。例如，華邦電子公司有一個(gè)32Mbit的TrustME安全存儲(chǔ)元件，它已經(jīng)通過(guò)PSA認(rèn)證，可用于有安全要求的系統(tǒng)。像這樣的設(shè)備，可以提供RoT硬件保護(hù)的存儲(chǔ)，防止數(shù)據(jù)克隆、修改或訪問(wèn)存儲(chǔ)的數(shù)據(jù)。

　　安全存儲(chǔ)結(jié)論

　　在過(guò)去的幾篇文章中，我們一直在探索每個(gè)與安全相關(guān)的嵌入式系統(tǒng)應(yīng)該具備的主要安全元素。安全存儲(chǔ)是開(kāi)發(fā)人員不應(yīng)忽視的一項(xiàng)基本服務(wù)。我們已經(jīng)探索了嵌入式開(kāi)發(fā)人員可以利用的幾種不同的選擇，如安全框架、物理不可克隆功能和正在進(jìn)入行業(yè)的芯片外解決方案。滿足你的安全存儲(chǔ)需求的正確解決方案將取決于你預(yù)計(jì)你的系統(tǒng)將面臨的安全威脅以及你需要針對(duì)這些威脅的保護(hù)級(jí)別。