图2:采用了安全版图技术的芯片实体模拟图
硬件安全防护能力--安全存储
安全存储功能的实现,使用了PUF技术与密码技术,PUF技术原理是根据每个芯片的身份特征数据生成不同的密钥作为存储加密的可信根密钥,程序执行时使用密码技术对读出Flash的数据进行了自动解密,对写入Flash的数据进行自动加密存储,同时为写入写出的数据提供了检错纠错功能,当芯片产生校验错误报警信号送入CPU,开发者可借助该报警擦除或改写加密数据,或对芯片进行复位、自毁坏等操作,使得攻击者无法获取或解读关键数据,保障了数据的机密性与完整性。
图3:安全存储
硬件安全防护能力-读写保护
读写保护功能基于国民技术自主创新的WRP、RDP以及MPU等技术,WRP技术用于保护闪存区的页防止错误写(防擦),当运行程序跑飞时发生了对数据的意外改变,基于芯片提供的WRP技术生成只读保护区,保护Flash内容不被外部攻击写入。
RDP技术用于保护主存储区和Option Bytes的访问操作,防止闪存中的用户代码区被非法读出,用户根据需要配置不同保护级别(L0/L1/L2),实现外部接口读写保护。
图4:读保护(RDP)技术
MPU技术实现了存储器保护单元,将存储区划分为多个独立存储区域,每个区域可单独设置地址、大小、访问权限和属性,实现区域数据隔离,当遇到非法访问时将产生错误或异常。
图5:MPU存储保护技术
硬件安全防护能力-MMU分区权限管理
分区权限管理是指对存储区分区域管理,设置不同区域的互相访问权限,达到保护存储器中的代码和数据不被非法访问的目的,当异常出现时,提示存储器访问越界错误,开发者根据返回的异常采取应对措施,达到有效实现防复制、防篡改、防擦除的目的。
