本應(yīng)用筆記描述了MAX32520如何通過高速USB連接為上臺個人計算機提供安全服務(wù)。本文討論了MAX32520FTHR評估板（EV kit）和軟件作為快速應(yīng)用開發(fā)和實驗的潛在平臺。

系統(tǒng)設(shè)計

安全 USB 加密狗由 USB 接口和微控制器組成。微控制器必須提供一些關(guān)鍵的安全功能：

篡改檢測

安全且經(jīng)過身份驗證的代碼執(zhí)行

安全加密密鑰存儲

受保護的唯一身份驗證值

MAX32520符合Maxim集成專利ChipDNA的要求?物理不可克隆功能 （PUF） 技術(shù)、安全密鑰存儲、加密固件執(zhí)行和安全引導(dǎo)加載程序。

下面的系統(tǒng)框圖給出了使用高速USB橋接器和MAX32520的典型安全加密狗應(yīng)用，MAX32520通過4位QSPI接口。該設(shè)計在MAX32520FTHR中實現(xiàn)，MAX32520FTHR是ADI公司提供的低成本Adafruit兼容Feather板。

圖1.系統(tǒng)架構(gòu)。

信任根

安全加密狗的第一個要求是固件映像身份驗證和加密。MAX32520包含一個安全引導(dǎo)加載程序，用于驗證并執(zhí)行閃存中的固件映像。固件映像必須使用用戶特定的密鑰進行簽名和加密，這些密鑰是在IC制造期間分配的。如果檢測到篡改事件，內(nèi)部篡改檢測機制會擦除這些密鑰。此機制獨立于 CPU 運行。如果沒有密鑰，引導(dǎo)加載程序?qū)o法對固件映像進行身份驗證和解密。

內(nèi)部篡改檢測機制監(jiān)控芯片的物理、電氣和散熱方面。此外，MAX32520提供獨立于CPU的外部篡改檢測信號，可用于實現(xiàn)PCB專用保護機制。

USB通信

主機通過 USB 與安全加密狗通信。應(yīng)對此流量進行加密，以防止對通信協(xié)議進行逆向工程。使用MAX32520對稱和非對稱橢圓發(fā)動機，可以在加密狗上輕松實現(xiàn)。主機軟件更難保護。特定于PC的軟件解決方案通常涉及系統(tǒng)監(jiān)控和代碼執(zhí)行混淆技術(shù)。

MAX32520FTHR使用FTDI FT4222 USB轉(zhuǎn)QSPI橋接器實現(xiàn)USB連接。在主機端，F(xiàn)TDI 提供跨平臺庫，以簡化特定于 USB 的軟件開發(fā)。此設(shè)計有兩個可能的外部攻擊點 - USB 接口和 QSPI 接口。如果通信流已加密，則兩個接口都將受到保護。

應(yīng)用特定功能

一旦固件、PC 軟件和通信鏈路得到保護，PC 軟件應(yīng)用程序就可以實現(xiàn)各種身份驗證、許可證和加密功能，例如：

特定于計算機的許可

用戶特定的許可

過期的功能許可

戰(zhàn)略或大規(guī)模數(shù)據(jù)加密

主機代碼身份驗證和加密

MAX32520FTHR實驗平臺

MAX32520FTHR可作為安全加密狗設(shè)計的起點。它預(yù)編程了測試鍵，可實現(xiàn)快速便捷的應(yīng)用程序開發(fā)。MAX32520FTHR的器件固件和主機軟件示例可在 www.analog.com 的電路板產(chǎn)品頁面上找到。

結(jié)論

安全的嵌入式設(shè)計需要代碼安全和篡改檢測以及身份驗證和加密機制。MAX32520在小型低功耗封裝中提供了這些功能以及被廣泛接受且易于使用的ARM Cortext-M4處理器。

審核編輯：郭婷